Introdução

Todos os endereços de IPv4 público que atravessam a Internet devem ser registrados com um
Registro Regional de Internet (RIR, Regional Internet Registry). As organizações podem
adquirir endereços públicos com um provedor de serviços, mas somente o proprietário
registrado de um endereço de internet pode atribuir esse endereço a um dispositivo de rede. No
entanto, com um máximo teórico de 4,3 bilhões de endereços, o espaço de endereço IPv4 é
rigidamente limitado. Quando Bob Kahn e Vint Cerf desenvolveram o conjunto de protocolos
TCP / IP incluindo IPv4 em 1981, nunca teriam imaginado o que a Internet se tornaria. Na
época, o computador pessoal era principalmente uma curiosidade para algumas pessoas e a
World Wide Web ainda estava a uma década de existência.

Com a proliferação da computação pessoal e o advento da Web, logo se percebeu que 4,3
bilhões de endereços IPv4 não seriam suficientes. A solução a longo prazo foi IPv6, mas uma
solução mais imediata para atender a exaustão era necessária. Para curto prazo, várias soluções
foram executadas pelo IETF, incluindo Network Address Translation (NAT) e os endereços
IPv4 privados RFC 1918. O capítulo discute como o NAT, combinado com o uso do espaço de
endereço privado, é usado para preservar e usar mais eficientemente os endereços IPv4 para
fornecer a redes de todos os tamanhos o acesso à Internet . Este capítulo abrange:

 Características do NAT, terminologia e operações gerais

 Os tipos diferentes de NAT, incluindo o NAT estático, NAT dinâmico e NAT com sobrecarga
 As vantagens e desvantagens do NAT
 A configuração, a verificação e a análise de NAT estático, NAT dinâmico e NAT com sobrecarga
 Como o encaminhamento de portas pode ser usado para acessar dispositivos internos da Internet
 A solução de problemas de NAT usando os comandos show e debug
 Como o NAT para IPv6 é usado para a conversão entre endereços IPv6 e IPv4
Atividade em aula - NAT conceitual

NAT conceitual

Você trabalha para uma grande universidade ou sistema educacional.

Como você é o administrador de rede, muitos professores, funcionários administrativos e

outros administradores de rede precisam sua ajuda com suas redes diariamente. Eles ligam para
você durante todo o horário comercial e, devido ao número de chamadas telefônicas, você não
pode concluir suas tarefas normais de administração de rede.

Você precisa encontrar uma forma de limitar o período que atende chamadas e a quem atender.
Você também precisa mascarar seu número de telefone para que, quando alguém ligue, outro
número seja exibido para o destinatário.

Esse cenário descreve uma questão muito comum para a maioria de pequenas e médias
empresas. Acesse “How Network Address Translation Works" ("Como funciona a conversão
de endereço de rede"), aqui, para ver mais informações sobre a forma pela qual o mundo digital
lida com esses tipos de interrupções no dia de trabalho.

Atividade em aula - NAT conceitual

Espaço de endereço particular IPv4

Não há endereços IPv4 públicos o suficiente para designar um endereço exclusivo para cada
dispositivo conectado à Internet. As redes são implementadas geralmente usando endereços
IPv4 privados, conforme definido na RFC 1918. A Figura 1 mostra o intervalo de endereços
incluídos na RFC 1918. É muito provável que o computador que você usa para este curso esteja
atribuído a um endereço privado.

Esses endereços privados são usados em uma organização ou local para permitir que os
dispositivos se comuniquem localmente. Entretanto, como esses endereços não identificam
nenhuma empresa ou organização, os endereços IPv4 privados não podem ser roteados pela
Internet. Para permitir que um dispositivo com IPv4 privado acesse dispositivos e recursos de
fora da rede local, o endereço privado deve primeiro ser convertido a um endereço público.

Como mostrado na Figura 2, o NAT fornece a conversão de endereços particulares para

endereços públicos. Isso permite a um dispositivo com endereço IPv4 privado acessar recursos
fora de sua rede privada, como aqueles encontrados na Internet. O NAT combinado com o
endereço IPv4 privado provou ser um método útil de preservar endereços IPv4 públicos. Um
único IPv4 público pode ser compartilhado por centenas, mesmo milhares de dispositivos, cada
um configurado com um IPv4 privado original.

Sem o NAT, o esgotamento do espaço de endereços IPv4 ocorreria bem antes do ano 2000.
Entretanto, o NAT tem certas limitações, que serão exploradas mais adiante neste capítulo. A
solução para a redução do espaço de endereços IPv4 e limitações do NAT é a eventual transição
para IPv6.
O que é o NAT?

O NAT tem várias utilidades, mas seu principal uso é conservar endereços IPv4 públicos. Ele
faz isso permitindo que as redes usem endereços IPv4 privados internamente e fornecendo
conversão para um endereço público somente quando necessário. O NAT tem um benefício a
mais de adicionar um grau de privacidade e segurança a uma rede, porque oculta os endereços
IPv4 internos de redes externas.

Os roteadores ativados para NAT podem ser configurados com um ou mais endereços IPv4
públicos válidos. Esses endereços públicos são conhecidos como o pool de NATs. Quando um
dispositivo interno enviar o tráfego para fora da rede, o roteador ativado para NAT converterá
o IPv4 interno do dispositivo a um endereço público do pool de NATs. Para dispositivos
externos, todo o tráfego que entra e sai da rede parece ter um endereço IPv4 público do pool
de endereços fornecido.

Um dispositivo ativado para NAT geralmente opera na fronteira de uma rede stub. Uma rede
stub tem uma única conexão à rede vizinha, um caminho de entrada e um de saída da rede. No
exemplo da figura, o R2 é um roteador de borda. Como visto do ISP, o R2 forma uma rede
stub.

Quando um dispositivo dentro da rede stub quer se comunicar com um dispositivo fora de sua
rede, o pacote é encaminhado para o roteador de borda. O roteador de borda realiza o processo
de NAT, convertendo o endereço privado interno do dispositivo a um endereço público, externo
e roteável.

Observação: a conexão com o ISP pode usar uma rede privada ou um endereço público
compartilhado entre os clientes. Neste capítulo, um endereço público é exibido.
Terminologia NAT

Na terminologia do NAT, a rede interna é o conjunto de redes sujeitas a conversão. A rede

externa se refere a todas as outras redes.

Na utilização do NAT, os endereços IPv4 têm designações diferentes dependendo de estarem

na rede privada ou na rede pública (Internet), e se o tráfego é de entrada ou saída.

O NAT inclui quatro tipos de endereço:

 Endereço local interno
 Endereço global interno
 Endereço local externo
 Endereço global externo

Na determinação de que tipo de endereço é usado, é importante lembrar que a terminologia

NAT é sempre aplicada da perspectiva do dispositivo com o endereço convertido:

 Endereço interno - o endereço do dispositivo que está sendo convertido pelo NAT.

 Endereço externo - o endereço do dispositivo destino.

O NAT também usa o conceito de local ou global com relação aos endereços:

 Endereço local - endereço local é qualquer endereço que aparece na parte interna da rede.
  Endereço global - endereço global é qualquer endereço que aparece na parte externa da rede.

Na figura, o PC1 tem um endereço local interno de 192.168.10.10. Da perspectiva do PC1, o

Servidor web tem um endereço externo de 209.165.201.1. Quando os pacotes são enviados do
PC1 ao endereço global do Servidor web, o endereço local interno do PC1 é convertido a
209.165.200.226 (endereço global interno). O endereço do dispositivo externo geralmente não
é convertido, pois esse endereço é geralmente o endereço IPv4 público.

Observe que o PC1 tem endereços locais e globais diferentes, enquanto o Servidor web tem o
mesmo endereço IPv4 público para ambos. Da perspectiva do Servidor web, o tráfego
originado do PC1 parece ter vindo de 209.165.200.226, o endereço global interno.

O roteador de NAT, R2 na figura, é o ponto de demarcação entre as redes internas e externas e

entre endereços locais e globais.

Terminologia NAT (Cont.)

Os termos internos e externos são combinados com os termos locais e globais para se referir a
endereços específicos. Na figura, o roteador R2 foi configurado para fornecer NAT. Ele tem
um pool de endereços públicos a serem atribuídos aos hosts internos.
  Endereço local interno - o endereço origem conforme visto de dentro da rede. Na
figura, um endereço IPv4 192.168.10.10 é atribuído ao PC1. Esse é o endereço local
interno do PC1.

 Endereço global interno - o endereço origem conforme visto da rede externa. Na

figura, quando o tráfego do PC1 é enviado ao Servidor web em 209.165.201.1, o R2
converte o endereço local interno a um endereço global interno. Nesse caso, o R2 altera
o endereço origem IPv4 de 192.168.10.10 para 209.165.200.226. Na terminologia do
NAT, o endereço local interno de 192.168.10.10 é convertido ao endereço global
interno de 209.165.200.226.

 Endereço global externo - o endereço destino conforme visto da rede externa. É um

endereço IPv4 global roteável atribuído a um host na Internet. Por exemplo, o Servidor
web é alcançável no endereço IPv4 209.165.201.1. Com mais frequência, os endereços
local externo e global externo são os mesmos.

 Endereço local externo - o endereço destino conforme visto da rede interna. Neste
exemplo, o PC1 envia tráfego para o Servidor web no endereço IPv4 209.165.201.1.
Apesar de incomum, este endereço pode ser diferente do endereço destino globalmente
roteável.

A figura mostra como é endereçado o tráfego enviado de um PC interno para um Servidor web
externo, pelo roteador ativado para NAT. Ela também mostra como o tráfego de retorno é
inicialmente endereçado e convertido.

Observação: o uso do endereço local externo está fora do escopo deste curso.
Como o NAT funciona

Neste exemplo, o PC1 com endereços privados 192.168.10.10 deseja se comunicar com um
Servidor web externo com endereço público 209.165.201.1.

Clique no botão Play na figura para iniciar a animação.

O PC1 envia um pacote endereçado ao Servidor web. O pacote é encaminhado de R1 para R2.

Quando o pacote chega ao R2 (o roteador ativado para NAT na rede), R2 lê o endereço IPv4
origem do pacote para determinar se corresponde aos critérios especificados para conversão.

Nesse caso, o endereço IPv4 origem corresponde aos critérios e é convertido de 192.168.10.10
(endereço local interno) para 209.165.200.226 (endereço global interno). O R2 adiciona esse
mapeamento do endereço local para global à tabela NAT.

O R2 envia o pacote com um endereço origem convertido para o destino.

O Servidor web responde com um pacote endereçado ao endereço global interno do PC1
(209.165.200.226).

O R2 recebe o pacote com endereço destino 209.165.200.226. O R2 verifica a tabela NAT e

localiza uma entrada para esse mapeamento. O R2 usa estas informações e converte o endereço
global interno (209.165.200.226) ao endereço local interno (192.168.10.10), e o pacote é
enviado para o PC1.

NAT estático

Há três tipos de conversão de NAT:

 Conversão estática do endereço (NAT estático) - mapeamento de um para um entre

endereços locais e globais.

 Conversões dinâmicas de endereços (NAT dinâmico) - mapeamento de endereços de

muitos para muitos entre endereços locais e globais.
  Port Address Translation (PAT, Conversão do endereço de porta) - mapeamento
de vários para um entre endereços locais e globais. Este método também é conhecido
como sobrecarga (sobrecarga de NAT).

NAT estático

O NAT estático usa um mapeamento de um para um de endereços locais e globais. Esses

mapeamentos são configurados pelo administrador da rede e permanecem constantes.

Na figura, o R2 é configurado com mapeamentos estáticos para endereços locais internos de

Svr1, do PC2 e de PC3. Quando esses dispositivos encaminham o tráfego à Internet, seus
endereços locais internos são convertidos aos endereços globais internos configurados. Para as
redes externas, esses dispositivos têm endereços IPv4 públicos.

O NAT estático é particularmente útil para servidores web ou dispositivos que precisam ter um
endereço consistente acessíveis da Internet, como um Servidor web de uma empresa. Ele é útil
também para os dispositivos que devem ser acessíveis por pessoal autorizado remoto, mas não
pelo público geral da Internet. Por exemplo, um administrador de rede do PC4 pode realizar
um SSH para o endereço global interno do Svr 1 (209.165.200.226). O R2 converte este
endereço global interno ao endereço local interno e conecta a sessão do administrador ao Svr1.

O NAT estático requer que endereços públicos suficientes estejam disponíveis para satisfazer
o número total de sessões simultâneas de usuário.
Dynamic NAT

O NAT dinâmico usa um pool de endereços públicos e os atribui por ordem de chegada.
Quando as solicitações internas de um dispositivo acessam uma rede externa, o NAT dinâmico
designa um endereço IPv4 público disponível do pool.

Na figura, o PC3 acessou a Internet usando o primeiro endereço disponível no pool de NAT
dinâmico. Os outros endereços ainda estão disponíveis para uso. Da mesma forma que o NAT
estático, o NAT dinâmico requer que endereços públicos suficientes estejam disponíveis para
satisfazer o número total de sessões simultâneas de usuário.
Conversão de Endereço de Porta (PAT – Port Address
Translation)

A conversão do PAT, também conhecida como sobrecarga de NAT, mapeia os endereços IPv4
privados para um único endereço IPv4 público ou para alguns endereços. Isso é o que a maioria
dos roteadores residenciais fazem. O ISP atribui um endereço ao roteador, mas vários membros
da casa podem acessar simultaneamente a Internet. Esta é a forma mais comum de NAT.

Com o PAT, vários endereços podem ser mapeados para um ou para alguns endereços, pois
cada endereço privado é também seguido por um número de porta. Quando um dispositivo
inicia uma sessão TCP/IP, ele gera um valor de porta origem TCP ou UDP para identificar
unicamente uma sessão. Quando o roteador de NAT recebe um pacote do cliente, usa seu
número de porta origem para identificar excepcionalmente a conversão do NAT específico.
O PAT garante que os dispositivos utilizem um número de porta diferente do TCP para cada
sessão com um Servidor na Internet. Quando uma resposta volta do Servidor, o número de
porta origem, que se torna o número de porta destino na viagem de ida e volta, determina a que
dispositivos o roteador encaminha os pacotes. O processo de PAT também valida que os
pacotes de entrada tenham sido solicitados, adicionando portanto um nível de segurança à
sessão.

Clique nos botões Play e Pause na figura para controlar a animação.

A animação ilustra o processo de PAT. O PAT usa números de portas origem exclusivos no
endereço IP global interno para distinguir entre conversões.

Como o R2 processa cada pacote, ele usa um número de porta (1331 e 1555, neste exemplo)
para identificar o dispositivo que originou o pacote. O endereço origem (SA) é o endereço local
interno com número de porta TCP/IP designado adicionado. O endereço destino (DA) é o
endereço local externo com o número de porta de serviço adicionado. Neste exemplo, a porta
de serviço é 80, que é HTTP.

Para o endereço origem, o R2 converte o endereço local interno a um endereço global interno
com o número de porta adicionado. O endereço destino não é alterado, mas agora é conhecido
como endereço IP global externo. Quando o Servidor web responde, o caminho é invertido.
Próxima porta disponível

No exemplo anterior, os números de porta do cliente, 1331 e 1555, não mudaram no roteador
ativado para NAT. Este não é um cenário muito provável, pois há uma boa chance destes
números de porta terem sido conectados a outras sessões ativas.

O PAT tenta preservar a porta origem. No entanto, se a porta origem estiver sendo usada
atualmente, o PAT atribui o primeiro número de porta disponível a partir do início do grupo de
portas apropriado 0–511, 512–1.023 ou 1.024–65.535. Quando não houver mais portas
disponíveis e houver mais de um endereço externo no pool de endereços, o PAT passa para o
próximo endereço para tentar alocar a porta origem. Esse processo continua até que não haja
mais portas disponíveis ou endereços IP externos.

Clique no botão Play na figura para ver a operação de PAT.

Na animação, os hosts escolheram o mesmo número de porta 1444. Isso é aceitável para o
endereço interno, pois os hosts têm endereços IP privados exclusivos. No entanto, no roteador
de NAT, os números de porta devem ser alterados; caso contrário, os pacotes de dois hosts
diferentes sairiam de R2 com o mesmo endereço origem. Neste exemplo, o PAT atribuiu a
próxima porta disponível (1445) ao segundo endereço de host.
Comparando NAT e PAT

Resumir as diferenças entre NAT e PAT ajuda você a entender cada um deles.

Como mostra a figura, o NAT converte os endereços IPv4 em uma base de 1:1 entre os
endereços IPv4 privados e os endereços IPv4 públicos. Entretanto, o PAT modifica o endereço
e o número de porta.

O NAT encaminha os pacotes de entrada para seu destino interno fazendo referência à origem
de entrada do endereço IPv4 fornecido pelo host na rede pública. Com o PAT, há normalmente
apenas um ou poucos endereços IPv4 publicamente expostos. Os pacotes que chegam à rede
pública são roteados para os destinos da rede privada com referência a uma tabela no roteador
de NAT. Esta tabela rastreia os pares de portas públicos e privados. Isso é chamado
rastreamento de conexão.

Pacotes sem um segmento de Camada 4

E os pacotes IPv4 que transportam dados diferentes de um segmento TCP ou UDP? Esses
pacotes não contêm um número de porta de Camada 4. O PAT converte a maioria dos
protocolos comuns transportados por IPv4 que não usam TCP ou UDP como protocolo da
camada de transporte. O mais comum deles é ICMPv4. Cada um de esses tipos de protocolos
é tratado de maneira diferente pelo PAT. Por exemplo, mensagens de consulta ICMPv4, as
solicitações de eco e as respostas de eco incluem um ID de consulta (Query ID). O ICMPv4
usa o ID de consulta para identificar um echo request com o seu echo reply correspondente. O
ID de consulta é incrementada quando cada echo request é enviada. O PAT usa o ID de consulta
em vez de um número de porta de Camada 4.

Observação: outras mensagens ICMPv4 não usam o ID de consulta. Essas mensagens e outros
protocolos que não usam números de porta TCP ou UDP variam e estão fora do escopo deste currículo.
Packet Tracer – operação de pesquisa do NAT

Histórico /cenário

À medida que um quadro trafega por uma rede, os endereços MAC podem mudar. Os endereços
IP também podem mudar, quando um pacote é enviado por um dispositivo configurado com
NAT. Nesta atividade, investigaremos o que acontece com os endereços IP durante o processo
NAT.

Packet Tracer – instruções para operação de pesquisa do NAT

Packet Tracer – operação de pesquisa do NAT - PKA

Vantagens do NAT

Conforme destacado pela figura, o NAT fornece muitos benefícios, incluindo:

 NAT mantém o esquema de endereçamento registrado legalmente, permitindo a

privatização de intranets. O NAT economiza endereços por meio da aplicação de
multiplexação no nível das portas. Com o NAT, os hosts internos podem compartilhar
um único endereço IPv4 público para toda a comunicação externa. Nesse tipo de
configuração, são necessários pouquíssimos endereços externos para suportar muitos
hosts internos, economizando, assim, endereços IP.

 O NAT aumenta a flexibilidade das conexões à rede pública. Pools múltiplos, pools de
backup e pools de balanceamento de carga podem ser implementados para garantir
conexões de rede pública confiáveis.
  O NAT oferece consistência de esquemas de endereçamento da rede interna. Em uma
rede que não usa os endereços IPv4 privados e NAT, a alteração do esquema de
endereços IPv4 público requer o reendereçamento de todos os hosts na rede existente.
Os custos de reendereçar os hosts podem ser significativos. O NAT permite que o
esquema privado existente de endereços IPv4 permaneça, propiciando a alteração fácil
para um novo esquema de endereçamento público. Isso significa que uma organização
pode alterar os ISPs e não precisa alterar nenhum de seus clientes internos.

 O NAT fornece segurança de rede. Como as redes privadas não anunciam seus
endereços nem sua topologia interna, elas permanecem razoavelmente seguras quando
usadas em conjunto com o NAT para obter acesso externo controlado. Entretanto, o
NAT não substitui firewalls.

Desvantagens do NAT

Conforme destacado pela figura, o NAT tem muitas desvantagens. O fato de que os hosts na
Internet pareçam se comunicar diretamente com o dispositivo ativado para NAT, em vez de
com o host real dentro da rede privada, cria diversos problemas.

Uma desvantagem do uso do NAT é relacionada ao desempenho da rede, especialmente para

protocolos em tempo real, como o VoIP. O NAT aumenta atrasos de switching, porque a
conversão de cada endereço IPv4 nos cabeçalhos de pacote leva tempo. O primeiro pacote
sempre é comutado por processo (process-switched), portanto, passa pelo caminho mais lento.
O roteador precisa analisar cada pacote para decidir se precisa de conversão. O roteador deve
alterar o cabeçalho IPv4 e, possivelmente, o cabeçalho TCP ou UDP. O checksum do cabeçalho
IPv4, juntamente com o checksum do TCP ou UDP, deve ser recalculado toda vez que uma
conversão é executada. Os outros pacotes passam pelo caminho de switch rápido se uma
entrada da cache existir; se não, eles atrasarão também.
Outra desvantagem de usar NAT é que o endereçamento fim a fim será perdido. Muitos
protocolos e aplicativos da Internet dependem de endereçamento fim a fim da origem para o
destino. Alguns aplicativos não trabalham com NAT. Por exemplo, alguns aplicativos de
segurança, como assinaturas digitais, falham porque o endereço IPv4 origem é alterado antes
de alcançar o destino. Os aplicativos que usam endereços físicos em vez de um nome de
domínio qualificado não alcançam os destinos convertidos através do roteador NAT. Às vezes,
esse problema pode ser evitado através da implementação de mapeamentos NAT estático.

O rastreamento de IPv4 fim a fim é perdido. Torna-se muito mais difícil rastrear pacotes que
passam por diversas alterações de endereço ao longo dos vários saltos do NAT, o que desafia
a solução dos problemas.

O uso do NAT também complica protocolos de túnel, como IPsec, porque o NAT altera valores
nos cabeçalhos que interferem nas verificações de integridade feitas pelo IPsec e por outros
protocolos de túnel.

Os serviços que exigem o inicio de conexões TCP da rede externa, ou protocolos stateless,
como os que usam UDP, podem ser interrompidos. A menos que o roteador de NAT esteja
configurado para suportar esses protocolos, os pacotes de entrada não podem alcançar seu
destino. Alguns protocolos podem acomodar uma instância de NAT entre hosts participantes
(modo FTP passivo, por exemplo), mas falham quando ambos os sistemas forem separados da
Internet pelo NAT.

Configuração de NAT estático

O NAT estático é um mapeamento de um para um entre um endereço interno e um endereço

externo. O NAT estático permite que os dispositivos externos iniciem conexões com os
dispositivos internos usando o endereço público atribuído estaticamente. Por exemplo, um
Servidor web interno pode ser mapeado para um endereço global interno específico, de forma
que fiquem acessíveis para as redes externas.
A Figura 1 mostra uma rede que contém um Servidor web com IPv4 privado. O roteador R2 é
configurado com NAT estático para permitir que os dispositivos da rede externa (Internet)
acessem o Servidor web. O cliente da rede externa acessa o Servidor web usando o endereço
IPv4 público. O NAT estático converte o endereço IPv4 público ao endereço IPv4 privado.

Há duas tarefas básicas na configuração de conversões estáticas de NAT.

Etapa 1. A primeira tarefa é criar um mapeamento entre o endereço local interno e endereços
globais de entrada. Por exemplo, o endereço local interno 192.168.10.254 e o endereço global
interno 209.165.201.5 da Figura 1 são configurados como uma conversão de NAT estático.

Etapa 2. Depois que o mapeamento é configurado, as interfaces que participam da conversão

são configuradas como internas ou externas com relação ao NAT. No exemplo, a interface
serial 0/0/0 do R2 é uma interface interna e a serial 0/1/0 é uma interface externa.

Os pacotes que chegam à interface interna do R2 (serial 0/0/0) do endereço IPv4 local interno
(192.168.10.254) são convertidos e encaminhados para a rede externa. Os pacotes que chegam
à interface externa do R2 (serial 0/1/0), que são endereçados ao endereço IPv4 global interno
configurado (209.165.201.5), são convertidos para o endereço local interno (192.168.10.254)
e enviados à rede.

A Figura 2 detalha os comandos necessários para configurar o NAT estático.

A Figura 3 mostra os comandos necessários em R2 para criar um NAT estático que mapeia o
Servidor web no exemplo de topologia. Com a configuração mostrada, R2 converte os pacotes
do Servidor web com o endereço 192.168.10.254 ao endereço IPv4 IP público 209.165.201.5.
O cliente da Internet direciona solicitações da Web ao endereço IPv4 público 209.165.201.5.
O R2 encaminha o tráfego para o Servidor web em 192.168.10.254.

Use o verificador de sintaxe na Figura 4 para configurar uma entrada de NAT estático adicional
em R2.
Análise de NAT estático

Usando a configuração anterior, a figura ilustra o processo de conversão de NAT estático entre
o cliente e o Servidor web. Conversões de NAT estático são usadas geralmente quando os
clientes da rede externa (Internet) precisam acessar servidores da rede interna.

1. O cliente deseja abrir uma conexão com o Servidor web. O cliente envia um pacote ao
Servidor web usando o endereço IPv4 destino público 209.165.201.5. Esse é o endereço global
interno do Servidor web.

2. O primeiro pacote que R2 recebe do cliente na interface externa do NAT faz com que o R2 verifique
a tabela NAT. O endereço IPv4 destino está localizado na tabela NAT e foi convertido.

3. O R2 substitui o endereço global interno de 209.165.201.5 pelo endereço local interno de

192.168.10.254. O R2 depois encaminha o pacote para o Servidor web.

4. O Servidor web recebe o pacote e responde ao cliente que usa o endereço local interno, 192.168.10.254.

5a. O R2 recebe o pacote do Servidor web na interface interna do NAT com o endereço origem
do endereço local interno do Servidor web, 192.168.10.254.

5b. O R2 verifica a tabela NAT para obter uma conversão para o endereço local interno. O
endereço é encontrado na tabela NAT. O R2 converte o endereço origem ao endereço global
interno de 209.165.201.5 e encaminha o pacote para fora da interface serial 0/1/0 para o cliente.

6. O cliente recebe o pacote e continua a conversação. O roteador NAT executa os passos 2 a

5b para cada pacote. A etapa 6 não é mostrada na figura.
Verificação de NAT estático

Um comando útil para verificar a operação do NAT é show ip nat translations. Esse comando
exibe as conversões ativas de NAT. As conversões estáticas, diferentemente das dinâmicas,
sempre estão na tabela NAT. A Figura 1 mostra a saída desse comando usando o exemplo de
configuração anterior. Como o exemplo é uma configuração de NAT estático, a conversão está
sempre presente na tabela NAT, independentemente de todas as comunicações ativas. Se o
comando for emitido durante uma sessão ativa, a saída também exibirá o endereço do
dispositivo externo como mostrado na Figura 1.

Outro comando útil é show ip nat statistics. Como mostrado na Figura 2, o comando show ip
nat statistics exibe informações sobre o número total de conversões ativas, os parâmetros de
configuração de NAT, o número de endereços no pool e o número de endereços que foi alocado.

Para verificar se a conversão de NAT está funcionando, é melhor limpar as estatísticas de

algumas conversões do passado usando o comando clear ip nat statistics antes de testar.

Antes de todas as comunicações com o Servidor web, o comando show ip nat statistics não
mostra nenhuma ocorrência atual. Depois que o cliente estabelece uma sessão com o Servidor
web, o comando show ip nat statistics teve um acréscimo de cinco ocorrências. Ele verifica
se a conversão de NAT estático está ocorrendo no R2.
Packet Tracer - Configurando o NAT estático

Histórico /cenário

Nas redes IPv4 configuradas, clientes e servidores configurados usam o endereçamento

privado. Antes que os pacotes com endereçamento privado possam atravessar a Internet, eles
precisam ser convertidos em endereçamento público. Servidores acessados de fora da
organização são geralmente atribuídos a um endereço IP estático público e um privado. Nesta
atividade, você irá configurar o NAT estático de modo que os dispositivos externos possam
acessar um Servidor interno em seu endereço público.

Packet Tracer - instruções para configurar o NAT estático

Packet Tracer - configuração de NAT estático - PKA

Operação do NAT dinâmico

Quando o NAT estático fornecer um mapeamento permanente entre um endereço local interno
e um endereço global interno, o NAT dinâmico permitirá o mapeamento automático de
endereços locais internos para endereços globais de entrada. Esses endereços globais internos
geralmente são os endereços IPv4 públicos. O NAT dinâmico usa um grupo ou pool de
endereços IPv4 público para conversão.

O NAT dinâmico, assim como o NAT estático, requer a configuração de interfaces internas e
externas que participam do NAT. No entanto, onde o NAT estático cria um mapa permanente
para um único endereço, o NAT dinâmico usa um pool de endereços.

Observação: converter endereços IPv4 públicos e privados é de longe o uso mais comum do
NAT. No entanto, as conversões de NAT podem ocorrer entre todos os pares de endereços.

A topologia do exemplo mostrado na figura tem uma rede interna usando endereços do espaço
de endereço privado RFC 1918. Duas redes locais, 192.168.10.0/24 e 192.168.11.0/24, são
conectadas ao roteador R1. O roteador de borda R2 é configurado para NAT dinâmico com um
pool de endereços IPv4 públicos 209.165.200.226 a 209.165.200.240.

O pool de endereços IPv4 públicos (pool de endereços globais internos) está disponível para
qualquer dispositivo na rede interna, na ordem de chegada. Com o NAT dinâmico, um único
endereço interno é convertido em um único endereço externo. Com esse tipo de conversão,
deve haver endereços suficientes no pool para acomodar todos os dispositivos internos que
precisam de acesso à rede externa ao mesmo tempo. Se todos os endereços no pool tiverem
sido usados, um dispositivo deverá esperar um endereço disponível antes que possa acessar a
rede externa.
Configuração do NAT dinâmico

A Figura 1 mostra as etapas e os comandos usados para configurar o NAT dinâmico.

Etapa 1. Defina o pool de endereços que serão usados para conversão usando o comando ip
nat pool. Esse pool de endereços é geralmente um grupo de endereços públicos. Os endereços
são definidos indicando o endereço IP inicial e final do pool. A palavra-chave netmask ou
prefix-length indica que bits do endereço pertencem à rede e que os bits pertencem ao host
para o intervalo de endereços.

Etapa 2. Configure uma ACL padrão para identificar (permitir) somente os endereços a serem
convertidos. Uma ACL que seja muito permissiva pode causar resultados imprevisíveis.
Lembre-se de que existe uma instrução deny all implícita no final de cada ACL.
Etapa 3. Vincule a ACL ao pool. O comando ip nat inside source list access-list-number pool
pool name é usado para vincular a ACL ao pool. Essa configuração é usada pelo roteador para
identificar quais dispositivos (lista) receberão o endereçamento (pool).

Etapa 4. Identifique quais interfaces são internas em relação ao NAT, ou seja, uma interface
que se conecta à rede interna.

Etapa 5. Identifique quais interfaces são externas em relação ao NAT, ou seja, uma interface
que se conecta à rede externa.

A Figura 2 mostra um exemplo de topologia e configuração. Essa configuração permite a

conversão de todos os hosts na rede 192.168.0.0/16, o que inclui as LANs 192.168.10.0 e
192.168.11.0, quando elas geram tráfego que entra em S0/0/0 e sai de S0/1/0. Esses hosts são
convertidos para um endereço disponível no pool no intervalo 209.165.200.226 -
209.165.200.240.

A Figura 3 mostra a topologia usada para a configuração do verificador de sintaxe. Use o

verificador de sintaxe na Figura 4 para configurar o NAT dinâmico em R2.
Análise do NAT dinâmico

Usando a configuração anterior, a figura ilustra o processo de conversão de NAT dinâmico

entre dois clientes e o Servidor web:

Na Figura 1, o fluxo de tráfego de dentro para fora é mostrado:

1. Os hosts com os endereços origem (IPv4 192.168.10.10 (PC1) e 192.168.11.10 (PC2))

encaminham pacotes solicitando uma conexão com o Servidor no endereço IPv4 público
(209.165.200.254).

2. O R2 recebe o primeiro pacote do host 192.168.10.10. Como este pacote foi recebido em
uma interface configurada como uma interface interna do NAT, o R2 verifica a configuração
de NAT para determinar se este pacote deve ser convertido. A ACL permite esse pacote,
portanto o R2 irá converter o pacote. O R2 examina sua tabela NAT. Como não há entrada de
conversão para esse endereço IP, o R2 determina que o endereço origem 192.168.10.10 seja
convertido dinamicamente. O R2 seleciona um endereço global disponível do pool de
endereços dinâmicos e cria uma entrada de conversão, 209.165.200.226. O endereço IPv4
origem (192.168.10.10) é o endereço local interno e o endereço convertido é o endereço global
interno (209.165.200.226) na tabela NAT.

Para o segundo host, 192.168.11.10, o R2 repete o procedimento, seleciona o próximo endereço

global disponível do pool de endereços dinâmicos e cria uma segunda entrada de conversão,
209.165.200.227.
3. O R2 substitui o endereço origem local interno do PC1, 192.168.10.10, pelo endereço global
interno convertido de 209.165.200.226 e encaminha o pacote. O mesmo processo ocorre para
o pacote de PC2 usando o endereço convertido para o PC2 (209.165.200.227).

Na Figura 2, o fluxo de tráfego de fora para dentro é mostrado:

4. O Servidor recebe o pacote do PC1 e atende usando o endereço IPv4 destino

209.165.200.226. Quando o Servidor recebe o segundo pacote, responde ao PC2 usando o
endereço IPv4 destino 209.165.200.227.

5a. Quando o R2 receber o pacote com um endereço IPv4 destino 209.165.200.226; realizará
uma pesquisa na tabela NAT. Usando o mapeamento da tabela, o R2 converte o endereço de
volta ao endereço local interno (192.168.10.10) e encaminha o pacote para o PC1.

5b. Quando o R2 receber o pacote com um endereço IPv4 destino 209.165.200.227; realizará
uma pesquisa na tabela NAT. Usando o mapeamento da tabela, o R2 converte o endereço de
volta ao endereço local interno (192.168.11.10) e encaminha o pacote para o PC2.

6. O PC1 em 192.168.10.10 e o PC2 em 192.168.11.10 recebem os pacotes e continuam a

conversação. O roteador executa as etapas 2 a 5b para cada pacote. (A Etapa 6 não é mostrada
nas figuras.)
Verificação do NAT dinâmico

A saída do comando show ip nat translations mostrada na Figura 1 exibe os detalhes das duas
tarefas de NAT anteriores. O comando exibe todas as conversões estáticas configuradas e todas
as conversões dinâmicas criadas pelo tráfego.

Adicionar a palavra-chave verbose exibe informações adicionais sobre cada conversão,

inclusive há quanto tempo a entrada foi criada e usada.

Por padrão, as entradas de conversão são expiradas após 24 horas, a menos que os
temporizadores sejam reconfigurados com o comando ip nat translation timeout timeout-
seconds no modo de configuração global.

Para limpar entradas dinâmicas antes que o tempo limite expire, use o comando do modo de
configuração global clear ip nat translation (Figura 2). Ele é útil para limpar as entradas
dinâmicas para testar a configuração do NAT. Como mostrado na tabela, este comando pode
ser usado com palavras-chave e variáveis para controlar quais entradas serão canceladas. As
entradas específicas podem ser apagadas para evitar a interrupção das sessões ativas. Use o
comando de configuração global clear ip nat translation * para cancelar todas as conversões
da tabela.

Observação: somente as conversões dinâmicas são eliminadas da tabela. As conversões

estáticas não podem ser apagadas de tabela de conversão.

Como mostrado na Figura 3, o comando show ip nat statistics exibe informações sobre o
número total de conversões ativas, os parâmetros de configuração de NAT, o número de
endereços no pool e o número de endereços que foi alocado.

Uma alternativa é usar o comando show running-config e procurar os comandos de NAT, lista
de acesso, interface ou pool com os valores exigidos. Examine-os cuidadosamente e corrija
quaisquer erros descobertos.
Packet Tracer - Configurando o NAT dinâmico

Neste Packet Tracer, você atingirá os seguintes objetivos:

 Parte 1: Configurar NAT dinâmico

 Parte 2: Verificar a implementação NAT

Packet Tracer - instruções para configurar o NAT dinâmico

Packet Tracer - configuração do NAT dinâmico - PKA

Laboratório - Configurando NAT dinâmico e estático

Nesse laboratório, você atingirá os seguintes objetivos:

 Parte 1: Construir a rede e verificar a conectividade

 Parte 2: Configurar e verificar o NAT estático

 Parte 3: Configurar e verificar o NAT dinâmico

Laboratório - Configurando NAT dinâmico e estático

Configuração do PAT: Pool de endereços

O PAT (também chamada sobrecarga de NAT) preserva endereços no pool de endereços

globais internos, permitindo que o roteador use um endereço global interno para muitos
endereços locais internos. Em outras palavras, um único endereço IPv4 público pode ser usado
para centenas e até milhares dos endereços IPv4 privados internos. Quando esse tipo de
conversão é configurado, o roteador mantém informações suficientes de protocolos de nível
superior, de números de porta TCP ou UDP, por exemplo, para converter o endereço global
interno ao endereço local interno correto. Quando vários o endereços locais internos são
mapeados para um endereço global interno, os números de porta TCP ou UDP de cada host
interno distinguem os endereços locais.

Observação: o número total de endereços internos que podem ser convertidos para um
endereço externo pode ser, teoricamente, até 65.536 por endereço IP. Na realidade, a
quantidade de portas que podem receber um único endereço IP fica em torno de 4.000.
Há duas maneiras de configurar o PAT, dependendo de como o ISP atribua endereços IPv4
públicos. No primeiro exemplo, o ISP atribui mais de um endereço IPv4 público à organização,
e no outro ele aloca um único endereço IPv4 público que é necessário para a organização fazer
a conexão com o ISP.

Configuração do PAT para um pool de endereços IP públicos

Se um site tiver emitido mais de um IPv4 público, esses endereços podem ser parte de um pool
usado pelo PAT. Isso é semelhante ao NAT dinâmico, exceto que não existem endereços
públicos suficientes para um mapeamento de um a um dos endereços internos para externos. O
pequeno pool de endereços é compartilhado entre um número maior de dispositivos.

A Figura 1 mostra as etapas para configurar o PAT e usar um pool de endereços. A principal
diferença entre esta configuração e a configuração do NAT dinâmico de um para um é que a
palavra-chave overload é usada. A palavra-chave overload ativa o PAT.

A configuração de exemplo mostrada na Figura 2 estabelece uma conversão de sobrecarga para

o pool NAT chamado de NAT-POOL2. O NAT-POOL2 contém endereços 209.165.200.226 a
209.165.200.240. Os hosts na rede 192.168.0.0/16 estão sujeitos a conversão. A interface
serial0/0/0 é identificada como uma interface interna e a interface serial0/1/0 é identificada
como uma interface externa.

Use o verificador de sintaxe na Figura 3 para configurar o PAT usando um pool de endereços
no R2.
Configuração do PAT: Endereço único

Configuração do PAT para um único endereço IPv4 público

A Figura 1 mostra a topologia da implementação do PAT para a conversão de um único

endereço IPv4 público. No exemplo, todos os hosts da rede 192.168.0.0/16 (que correspondem
à ACL1) que enviam tráfego pelo roteador R2 para a Internet serão convertidos ao endereço
IPv4 209.165.200.225 (endereço IPv4 da interface serial0/1/0). Os fluxos de tráfego serão
identificados por números de porta na tabela NAT, pois a palavra-chave overload foi usada.

A Figura 2 mostra etapas a serem seguidas para configurar o PAT com IPv4 único. Se apenas
um único endereço IPv4 público estiver disponível, a configuração de sobrecarga atribui
geralmente o endereço público à interface externa que se conecta ao ISP. Todos os endereços
internos são convertidos ao único endereço IPv4 ao deixar a interface externa.

Etapa 1. Definir uma ACL para permitir o tráfego a ser convertido

Etapa 2. Configurar a conversão da origem usando as palavras-chave interface e overload. A

palavra-chave interface identifica qual endereço IP da interface será usado para converter
endereços internos. A palavra-chave overload direciona o roteador para controlar números de
porta com cada entrada de NAT.

Etapa 3. Identificar quais interfaces são internas em relação ao NAT. Qualquer interface que
se conecte à rede interna.

Etapa 4. Identificar qual interface está fora em relação ao NAT. Deve ser a mesma interface
identificada na instrução da conversão origem da Etapa 2.

A configuração é similar ao NAT dinâmico, exceto que em vez de um pool de endereços, a

palavra-chave interface é usada para identificar o endereço IPv4 externo. Portanto, nenhum
pool de NAT é definido.

Use o verificador de sintaxe na Figura 3 para configurar o PAT usando um único endereço em
R2.
Análise do PAT

O processo de sobrecarga de NAT é o mesmo se um pool de endereços for usado ou um único

endereço for usado. Continuando com o exemplo anterior do PAT, usando um único endereço
IPv4 público, o PC1 quer se comunicar com o Servidor web, Svr1. Ao mesmo tempo, outro
cliente, o PC2, deseja estabelecer uma sessão semelhante com o Servidor web Svr2. O PC1 e
o PC2 são configurados com endereços IPv4 privados, com R2 ativados para o PAT.

Processo do PC para o Servidor

1. A Figura 1 mostra o PC1 e o PC2 que enviam pacotes a Svr1 e a Svr2, respectivamente. O
PC1 tem endereço IPv4 origem 192.168.10.10 e está usando a porta origem TCP 1444. O PC2
tem endereço IPv4 origem 192.168.10.11 e coincidentemente é atribuído à mesma porta origem
de 1444.

2. O pacote do PC1 acessa primeiro o R2. Usando o PAT, o R2 modifica o endereço IPv4
origem para a 209.165.200.225 (endereço global interno). Não há nenhum outro dispositivo na
tabela NAT usando a porta 1444, portanto o PAT mantém o mesmo número de porta. O pacote
é encaminhado para Svr1 em 209.165.201.1.
3. Em seguida, o pacote de PC2 chega ao R2. O PAT é configurada para usar um único
endereço IPv4 global interno para todas as conversões, 209.165.200.225. Semelhante ao
processo de conversão para PC1, o PAT altera o endereço IPv4 origem do PC2 para o endereço
global interno 209.165.200.225. No entanto, o PC2 tem o mesmo número de porta origem que
uma entrada atual do PAT, a conversão para o PC1. O PAT aumenta o número da porta origem
até que ele seja um valor único em sua tabela. Nesse caso, a entrada de porta origem na tabela
NAT e o pacote para o PC2 recebem 1445.

Embora o PC1 e o PC2 estejam usando o mesmo endereço convertido, o endereço global
interno de 209.165.200.225, e o mesmo número da porta origem de 1444, o número de porta
modificado para o PC2 (1445) tornará única cada entrada na tabela NAT Isso será evidente
com os pacotes enviados dos servidores de volta para os clientes.

Processo de Servidor para o PC

4. Como mostrado na Figura 2, em uma troca típica de cliente-Servidor, Svr1 e Svr2 respondem
às solicitações de entrada do PC1 e PC2, respectivamente. Os servidores usam a porta origem
do pacote recebido como a porta destino, e o endereço origem como o endereço destino para o
tráfego de retorno. Os servidores parecem estar se comunicando com o mesmo host em
209.165.200.225; no entanto, não é esse o caso.

5. Quando os pacotes chegam, R2 encontra a entrada única em sua tabela NAT usando o
endereço destino e a porta destino de cada pacote. No caso do pacote de Svr1, o endereço IPv4
destino 209.165.200.225 tem várias entradas, mas apenas uma com a porta destino 1444.
Usando a entrada em sua tabela, o R2 altera o endereço IPv4 destino do pacote a 192.168.10.10,
sem alteração necessária para a porta destino. O pacote é encaminhado para o PC1.

6. Quando o pacote do Svr2 chega, o R2 executa uma conversão semelhante. O endereço IPv4
destino 209.165.200.225 é localizado, novamente com várias entradas. Entretanto, usando a
porta destino de 1445, o R2 pode identificar excepcionalmente a entrada de conversão. O
endereço IPv4 destino é alterado para 192.168.10.11. Nesse caso, a porta destino também deve
ser modificada e voltar ao valor original de 1444, que é armazenado na tabela NAT. O pacote
é encaminhado para o PC2.
Verificação do PAT

O roteador R2 foi configurado para fornecer o PAT aos clientes de 192.168.0.0/16. Quando os
hosts internos saem do roteador R2 para a Internet, são convertidos para o endereço IPv4 do
pool de PAT com um número de porta origem exclusivo.

Os mesmos comandos usados para verificar o NAT estático e dinâmico são usados para
verificar o PAT, como mostrado na Figura 1. O comando show ip nat translations exibe as
conversões de dois hosts diferentes para servidores web diferentes. Observe que dois hosts
internos diferentes são atribuídos ao mesmo endereço IPv4 de 209.165.200.226 (endereço
global interno). Os números de porta origem na tabela NAT diferenciam as duas transações.

Como mostrado na Figura 2, o comando show ip nat statistics verifica se NAT-POOL2 foi
alocado para um único endereço para ambas as conversões. A saída inclui informações sobre
o número e o tipo de conversões ativas, parâmetros de configuração de NAT, o número de
endereços do pool e quantos foram atribuídos.
Packet Tracer - Implementando o NAT estático e dinâmico

Neste Packet Tracer, você atingirá os seguintes objetivos:

 Parte 1: Configurar NAT dinâmico com PAT
 Parte 2: Configurar o NAT estático
 Parte 3: Verificar a implementação do NAT

Packet Tracer - instruções de implementação de NAT estático e dinâmico

Packet Tracer - implementação de NAT estático e dinâmico - PKA
Lab - Configurando a Tradução de Endereço de Porta (PAT)

Nesse laboratório, você atingirá os seguintes objetivos:

 Parte 1: Construir a rede e verificar a conectividade

 Parte 2: Configurar e verificar a sobrecarga do pool de NAT

 Parte 3: Configurar e verificar o PAT

Lab - Configurando a Tradução de Endereço de Porta (PAT)

Encaminhamento de portas

O encaminhamento de portas (às vezes chamado tunelamento) consiste no ato de encaminhar

o tráfego endereçado a uma porta de rede específica de um nó de rede para outro. Essa técnica
permite que um usuário externo acesse uma porta no endereço IPv4 privado (dentro de uma
LAN) externo, com um roteador ativado para NAT.

Normalmente, os programas de compartilhamento de arquivos de ponto a ponto, como o

serviço da Web e FTP de saída, exigem que as portas do roteador sejam encaminhadas ou
abertas para permitir que esses aplicativos funcionem, como mostrado na Figura 1. Como o
NAT oculta os endereços internos, o ponto a ponto funcionará somente de dentro para fora,
onde o NAT poderá mapear solicitações contra respostas de entrada.

O problema é que o NAT não permite solicitações iniciadas externamente. Essa situação pode
ser resolvida com intervenção manual. O encaminhamento de portas pode ser configurado para
identificar as portas específicas que podem ser encaminhadas aos hosts internos.

Lembre-se de que os aplicativos de software da Internet interagem com as portas de usuários

que precisam estar abertas ou disponíveis para esses aplicativos. Diferentes aplicativos usam
diferentes portas. Isso torna previsível para aplicativos e os roteadores a identificação de
serviços de rede. Por exemplo, HTTP opera através da conhecida porta 80. Quando alguém
insere o endereço http://cisco.com, o navegador exibe o site da Cisco Systems, Inc. Observe
que eles não têm que especificar o número da porta HTTP para a solicitação de página, porque
o aplicativo supõe a porta 80.
Se um número de porta diferente for necessário, ele pode ser adicionado ao URL separado por
dois-pontos (:). Por exemplo, se o Servidor web aguardar na porta 8080, o usuário digitará
http://www.example.com:8080.

O encaminhamento de portas permite que os usuários na Internet acessem servidores internos

usando o endereço de porta WAN do roteador e do número da porta externa correspondente.
Os servidores internos são normalmente configurados com endereços IPv4 privados de RFC
1918. Quando uma solicitação é enviada ao endereço IPv4 da porta WAN via Internet, o
roteador encaminha a solicitação ao Servidor adequado na LAN. Por motivo de segurança, os
roteadores de banda larga não permitem por padrão o encaminhamento de nenhuma solicitação
externa de rede para a um host interno.

A Figura 2 mostra um proprietário de uma pequena empresa que usa um Servidor de (PoS) de
ponto de Vendas para controlar as Vendas e o estoque da loja. O Servidor pode ser acessado
na loja, mas como tem um endereço IPv4 privado, não é publicamente acessível da Internet.
Ativar o roteador local para o encaminhamento de portas permite que o proprietário acesse o
Servidor do ponto de venda em qualquer lugar da Internet. O encaminhamento de portas no
roteador é configurado usando o número de porta destino e o endereço IPv4 privado do
Servidor do ponto de venda. Para acessar o Servidor, o software cliente usaria o endereço IPv4
público do roteador e da porta destino do Servidor.
Exemplo SOHO

A figura mostra a janela de configuração Single Port Forwarding de um roteador Linksys

EA6500 SOHO. Por padrão, o encaminhamento de portas não está ativado no roteador.

O encaminhamento de portas pode ser ativado para aplicativos especificando o endereço local
interno para os quais as solicitações devem ser enviadas. Na figura, as solicitações de serviço
HTTP, definidas neste roteador Linksys, são enviadas ao Servidor web com o endereço local
interno de 192.168.1.254. Se o endereço IPv4 externo da WAN do roteador SOHO for
209.165.200.225, o usuário externo poderá entrar emhttp://www.example.com e o roteador
Linksys redirecionará a solicitação HTTP ao Servidor web interno no endereço IPv4
192.168.1.254, usando a porta número 80 padrão.

Uma porta diferente da porta 80 padrão pode ser especificada. Contudo, o usuário externo
precisaria conhecer o número de porta específico para usar. Para especificar um número de
porta diferente, o valor de porta externa na janela Single Port Forwarding seria modificado.

A abordagem feita para configurar o encaminhamento de portas depende da marca e do modelo

do roteador de banda larga na rede. No entanto, há algumas etapas genéricas a seguir. Se as
instruções fornecidas pelo ISP ou aquelas que acompanham o roteador não fornecerem
orientação adequada, o site http://www.portforward.com fornece guias para vários roteadores
de banda larga. Você pode seguir as instruções para adicionar ou excluir conforme necessário,
para atender às necessidades de todos os aplicativos que deseja permitir ou negar.
Configuração do encaminhamento de porta com IOS

Implementar o encaminhamento de portas com comandos IOS é semelhante ao uso dos

comandos para configurar o NAT estático. O encaminhamento de portas é essencialmente uma
conversão de NAT estático com número de porta TCP ou UDP especificada.

A Figura 1 mostra o comando de NAT estático usado para configurar o encaminhamento de

portas com o IOS.

A Figura 2 mostra um exemplo de configuração do encaminhamento de portas utilizando

comandos do IOS no roteador R2. 192.168.10.254 é o endereço IPv4 local interior do Servidor
web que aguarda na porta 80. Os usuários acessarão este Servidor web interno com o endereço
IP global 209.165.200.225, um endereço IPv4 público globalmente exclusivo. Neste caso, é o
endereço da interface serial 0/1/0 do R2. A porta global é configurada como 8080. Esta será a
porta destino usada juntamente com um endereço IPv4 global de 209.165.200.225 para acessar
o Servidor web interno. Observe na configuração de NAT, os seguintes parâmetros de
comando:
  local-ip = 192.168.10.254
 local-port = 80
 global-ip = 209.165.200.225
 global-port = 8080

Quando um número de porta conhecido não estiver sendo usado, o cliente deve especificar o
número da porta no aplicativo.

Como outros tipos de NAT, o encaminhamento de portas exige uma configuração das
interfaces internas e externas de NAT.

Assim como o NAT estático, o comando show ip nat translations pode ser utilizado para
verificar o encaminhamento de portas, como mostrado na Figura 3.

No exemplo, quando o roteador recebe o pacote com um endereço IPv4 global interno de
209.165.200.225 e uma porta destino TCP 8080, o roteador executa uma pesquisa na tabela
NAT usando o endereço IPv4 destino e a porta destino como a senha. O roteador converte o
endereço para o endereço local interno do host 192.168.10.254 e para a porta destino 80. O R2
depois encaminha o pacote para o Servidor web. Para os pacotes de retorno do Servidor web
para o cliente, este processo é revertido.
Packet Tracer – configuração do encaminhamento em um roteador Linksys

Histórico /cenário

O seu amigo quer jogar com você no seu Servidor. Você dois estão em suas casas, conectados
à Internet. Você precisa configurar o roteador SOHO (Small Office, Home Office) para
encaminhar solicitações HTTP para o seu Servidor, de modo que o seu amigo possa acessar a
página inicial do jogo na web.

Packet Tracer – instruções de configuração do encaminhamento em um roteador Linksys

Packet Tracer – configuração do encaminhamento em um roteador Linksys - PKA

NAT para IPv6?

Desde o início dos anos de 1990, a preocupação com a redução do espaço de endereço IPv4
era uma prioridade do IETF. A combinação dos endereços IPv4 privados RFC 1918 e NAT foi
fundamental para desacelerar essa redução. O NAT tem desvantagens significativas e em
janeiro de 2011 a IANA atribuiu o último dos endereços IPv4 a RIRs.
Um dos benefícios não intencionais do NAT para IPv4 é que ele oculta a rede privada da
internet pública, conforme mostrado na figura. O NAT tem a vantagem de fornecer um nível
de segurança percebido ao negar aos computadores da internet pública o acesso a hosts
internos. No entanto, ele não deve ser considerado um substituto para a segurança de rede
adequada, como as fornecidas por um firewall.

No RFC 5902, a Internet Architecture Board (IAB) faz a seguinte afirmação com relação à
conversão de endereço de rede IPv6:

“Percebe-se que geralmente uma caixa NAT fornece um nível de proteção, pois os hosts
externos não podem iniciar diretamente a comunicação com os hosts por trás de um NAT. No
entanto, não se deve confundir caixas do NAT com firewalls. Como discutido em RFC4864,
Seção 2.2, o ato de conversão não oferece segurança em si. A função de filtragem stateful pode
fornecer o mesmo nível de proteção sem exigir uma função de conversão".

O IPv6 com um endereço de 128 bits fornece 340 endereços de undecilhão. Portanto, o espaço
de endereço não é um problema. O IPv6 foi projetado com a intenção de fazer o NAT para
IPv4 com a conversão entre os endereços IPv4 públicos e privados desnecessários. Contudo, o
IPv6 implementa uma forma de NAT. O IPv6 inclui seu próprio espaço de endereço privado
IPv6 e NAT, que são implementados de forma diferente que a de IPv4.
Endereços unique local IPv6

Os endereços unique local (ULA) IPv6 são semelhantes aos endereços privados RFC 1918 no
IPv4, mas há diferenças significativas também. A intenção do ULA é fornecer o espaço de
endereço IPv6 para comunicações dentro de uma instalação local; ele não tem o objetivo de
fornecer espaço de endereço adicional ao IPv6, nem fornecer um nível de segurança.

Como mostrado na figura, os ULA têm o prefixo FC00:: /7, o que resulta em um primeiro
intervalo de hexteto de FC00 a FDFF. O próximo bit 1 será definido como 1 se o prefixo for
atribuído localmente. A definição como 0 pode ser definida no futuro. Os 40 bits seguir são um
ID global seguido de um ID de 16 bits de sub-rede. Esses primeiros 64 bits são combinados
para formar o prefixo de ULA. Isso deixa os 64 bits restantes para o ID da interface, ou nos
termos de IPv4, a porção de host do endereço.

Os endereços unique local são definidos no RFC 4193. Os ULAs também são conhecidos como
endereços locais IPv6 (não confundir com os endereços link-local IPv6) e têm várias
características, incluindo:

 Permitem aos sites ser combinados ou interconectados em particular, sem criar alguns
conflitos de endereço ou exigir renumeração das interfaces que usam esses prefixos.

 Independente de qualquer ISP e pode ser usado para comunicações dentro de um site,
sem ter nenhuma conectividade com a internet.

 Não roteável via Internet, no entanto, se vazado acidentalmente pelo roteamento ou

DNS, não haverá conflito com outros endereços.

O ULA não é tão simples quanto endereços RFC 1918. Diferentemente dos endereços IPv4
privados, não foi a intenção do IETF usar uma forma de NAT para converter endereços unique
local a endereços IPv6 unicast globais.

A implementação e os usos possíveis de endereços unique local de IPv6 ainda estão sendo
pesquisados pela comunidade da Internet. Por exemplo, o IETF está considerando permitir que
a opção tenha o prefixo de ULA criado localmente por FC00:: /8, ou que ele seja atribuído
automaticamente por um início de terceiros com FD00:: /8.
Observação: a especificação do IPv6 original atribuía o espaço de endereço para endereços
site-local, definidos em RFC 3513. Os endereços site local se tornaram obsoletos pelo IETF
em RFC 3879, pois o termo "site" era um pouco ambíguo. Os endereços site-local tinham o
intervalo do prefixo de FEC0:: /10 e ainda podem ser encontrados em documentação mais
antiga de IPv6.

NAT para IPv6

O NAT para IPv6 é usado em um contexto muito diferente do NAT para IPv4, conforme
mostrado na figura. As variedades de NAT para IPv6 são usadas para providenciar acesso
transparente entre redes somente IPv6 e IPv4. Ele não é usado como uma forma de IPv6 privado
para conversão global de IPv6.

O ideal é executar o IPv6 nativamente sempre que possível. Isso significa dispositivos IPv6
que se comunicam através de redes IPv6. Entretanto, para auxiliar na movimentação de IPv4
para IPv6, o IETF desenvolveu várias técnicas de transição para acomodar uma variedade de
cenários IPv4-to-IPv6, incluindo a pilha dupla, túnel e conversão.

A pilha dupla ocorre quando os dispositivos estão executando protocolos associados com IPv4
e IPv6. O túnel para IPV6 é o processo de encapsulamento de um pacote IPv6 dentro de um
pacote IPv4. Isso permite que o pacote IPv6 seja transmitido por uma rede somente IPv4.

O NAT para IPv6 não deve ser usado como uma estratégia de longo prazo, mas como um
mecanismo temporário para ajudar na migração de IPv4 para IPv6. Ao longo dos anos, vários
tipos de NAT para IPv6 foram criados, incluindo Network Address Translation-Protocol
Translation (NAT-PT). A NAT-PT se tornou obsoleta pelo IETF, que defendeu sua troca pelo
NAT64. O NAT64 está além do escopo deste currículo.
Identificação e solução de problemas de NAT: comandos show

A Figura 1 mostra o R2 ativado para o PAT, usando o intervalo de endereços 209.165.200.226

a 209.165.200.240.

Quando há problemas de conectividade IPv4 em um ambiente de NAT, geralmente é difícil

determinar suas causas. A primeira etapa na solução do problema é eliminar o NAT como
causa. Siga estas etapas para verificar se o NAT está operando conforme o esperado:

Etapa 1. Com base na configuração, defina claramente o que o NAT deve realizar. Isso pode
revelar um problema de configuração.

Etapa 2. Verifique se as conversões corretas estão presentes na tabela de conversão usando o

comando show ip nat translations.

Etapa 3. Use o comando clear e debug para verificar se o NAT está operando conforme o
esperado. Verifique se as entradas dinâmicas foram recriadas depois de canceladas.

Etapa 4. Examine em detalhe o que está ocorrendo com o pacote e verifique se os roteadores
têm as informações corretas de roteamento para levar o pacote adiante.
A Figura 2 mostra a saída dos comandos show ip nat statistics e show ip nat translations.
Antes de usar os comandos show, as estatísticas e as entradas de NAT na tabela NAT são
eliminadas com os comandos clear ip nat statistics e clear ip nat translation *. Depois que
o host em 192.168.10.10 envia telnet para o Servidor em 209.165.201.1, as estatísticas de NAT
e a tabela NAT são exibidas para verificar se o NAT está funcionando conforme esperado.

Em um ambiente de rede simples, é útil monitorar as estatísticas do NAT com o comando show
ip nat statistics. O comando show ip nat statistics exibe informações sobre o número total de
conversões ativas, os parâmetros de configuração de NAT, o número de endereços no pool e o
número que foi alocado. No entanto, em um ambiente de NAT mais complexo, com várias
conversões que ocorrem, esse comando talvez não identifique claramente o problema. Pode ser
necessário executar comandos debug no roteador.
Identificação e solução de problemas de NAT: o comando debug

Use o comando debug ip nat para verificar a operação do recurso NAT, exibindo informações
sobre cada pacote que está sendo convertido pelo roteador. O comando debug ip nat detailed
gera uma descrição de cada pacote considerado para conversão. Esse comando também exibe
informações sobre certos erros ou condições de exceção, tais como a impossibilidade de alocar
um endereço global. O comando debug ip nat detailed gera mais sobrecarga do que o
comando debug ip nat , mas pode fornecer mais detalhes necessários para solucionar o
problema de NAT. Sempre desative a depuração ao terminar.

A Figura 1 mostra um exemplo da saída do comando debug ip nat. A saída mostra que o host
interno (192.168.10.10) iniciou o tráfego para o host externo (209.165.201.1) e o endereço
origem foi convertido ao endereço 209.165.200.226.
Para decodificar a saída da depuração, observe o que os seguintes símbolos e valores indicam:

 * (asterisco) - O asterisco ao lado do NAT indica que a conversão está ocorrendo no caminho
de comutação rápida. O primeiro pacote de uma conversa é sempre process-switched, o que é
mais lento. Os outros pacotes passam pelo caminho fast-switched se houver uma entrada na
cache.

 s= - Este símbolo se refere ao endereço IP origem.

 a.b.c.d--->w.x.y.z - Esse valor indica que o endereço origem a.b.c.d é convertido em w.x.y.z.

 d = - Este símbolo se refere ao endereço IP destino.

 [xxxx] - O valor entre parênteses é o número de identificação de IP. Essas informações podem
ser úteis para depuração, pois permitem correlação com outros rastreamentos de pacotes de
analisadores de protocolos.

Observação: verifique se a ACL citada na referência do comando de NAT permite todas as

redes necessárias. Na figura 2, apenas os endereços 192.168.0.0/16 podem ser convertidos. Os
pacotes da rede destinados à Internet com endereços origem que não são permitidos
explicitamente pela ACL 1 não são convertido por R2.
Estudo de caso

Estudo de caso

A Figura 1 mostra que os hosts das LANs 192.168.0.0/16, PC1 e PC2 não podem efetuar ping
nos servidores da rede externa, Svr1 e Svr2.

Para começar a solucionar o problema, use o comando show ip nat translations para verificar
se há alguma conversão na tabela NAT. A saída na Figura 1 mostra que não há nenhuma
conversão na tabela.

O comando show ip nat statistics é usado para determinar se alguma conversão ocorreu. Ele
também identifica as interfaces entre as quais a conversão deve estar ocorrendo. Conforme
mostrado na saída da Figura 2, os contadores de NAT estão em 0, verificando que não ocorreu
nenhuma conversão. Comparando a saída com a topologia mostrada na Figura 1, observe que
as interfaces do roteador estão definidas incorretamente como o NAT interno ou NAT externo.
A configuração incorreta também pode ser verificada usando-se o comando show running-
config .
A configuração atual da interface de NAT deve ser excluída das interfaces antes da aplicação
da configuração correta.

Após a definição correta das interfaces internas e externas de NAT, outro ping do PC1 a Svr1
falha. O uso dos comandos show ip nat translations e show ip nat statistics novamente
verifica as conversões que ainda não estão ocorrendo.

Como mostrado na Figura 3, o comando show access-lists é usado para determinar se a ACL
referenciada pelas referências de comandos do NAT está permitindo todas as redes necessárias.
Examinar a saída indica que a máscara curinga de bits incorreta foi usada na ACL que define
os endereços que precisam ser convertidos. A máscara curinga permite somente a sub-rede
192.168.0.0/24. A lista de acesso é removida primeiro e reconfigurada com o uso da máscara
curinga correta.

Depois que as configurações são corrigidas, outro ping é gerado do PC1 ao Svr1, desta vez
com êxito. Como mostrado na Figura 4, os comandos show ip nat translations e show ip nat
statistics são usados verificar se a conversão de NAT está ocorrendo.
Packet Tracer - Verificando e solucionando problemas de
configurações de NAT

Histórico /cenário

Um contratante restaurou uma configuração antiga para um novo roteador que executa o NAT.
Mas a rede mudou e uma nova sub-rede foi adicionada após o backup da configuração antiga.
Seu trabalho é fazer com que a rede volte a funcionar.

Packet Tracer - instruções de verificação solução de problemas de configurações de NAT

Packet Tracer - instruções de verificação solução de problemas de configurações de NAT -

PKA

Laboratório - Solucionando problemas de configurações de NAT

Nesse laboratório, você atingirá os seguintes objetivos:

 Parte 1: Construir a rede e definir as configurações básicas do dispositivo

 Parte 2: Solução de problemas de NAT estático

 Parte 3: Solucionar problemas de NAT dinâmico

Laboratório - Solucionando problemas de configurações de NAT

Atividade em aula - Verificação de NAT

Verificação de NAT

A conversão de endereço de rede não está incluída no projeto de rede da sua empresa no
momento. Decidiu-se configurar alguns dispositivos para usar serviços NAT para conexão com
o Servidor de correio.

Antes da implantação do NAT ao vivo na rede, você cria um protótipo dele no programa de
simulação de rede.
Atividade em aula - Verificação de NAT

Packet Tracer – Desafio de integração de habilidades

Histórico /cenário

Esta atividade final inclui muitas das habilidades que você adquiriu durante este curso.
Primeiro, você irá preencher a documentação da rede. Portanto, certifique-se de ter uma versão
impressa das instruções. Durante a implementação, você irá configurar VLANs, tronco,
segurança de porta e acesso remoto SSH em um switch. Em seguida, você implementará o
roteamento entre VLANs e o NAT em um roteador. Finalmente, você usará sua documentação
para verificar a implementação testando a conectividade fim a fim.

Packet Tracer – Instruções do desafio de integração de habilidade

Packet Tracer – Desafio de integração de habilidade – PKA

Resumo

Este capítulo descreveu como o NAT é usado para ajudar a aliviar a redução do espaço de
endereços IPv4. O NAT para IPv4 permite que os administradores de rede usem a RFC 1918
de espaço de endereço privado para fornecer conectividade à Internet usando um número de
endereços públicos único ou limitado.

O NAT mantém o espaço de endereço público e poupa uma sobrecarga administrativa

considerável no gerenciamento de anúncios, movimentações e alterações. O NAT e o PAT
podem ser implementados para conservar espaço de endereço público e criar intranets privadas
protegidas sem afetar a conexão do ISP. Entretanto, o NAT tem desvantagens em termos de
seus efeitos negativos no desempenho do dispositivo, segurança, mobilidade e conectividade
fim a fim e deve ser considerado uma implementação de curto prazo para o esgotamento de
endereço, sendo o IPv6 a solução de longo prazo.

Este capítulo discutiu o NAT para IPv4, incluindo:

 Características do NAT, terminologia e operações gerais

 Os tipos diferentes de NAT, incluindo o NAT estático, NAT dinâmico e PAT.

 As vantagens e desvantagens do NAT

 A configuração, a verificação e a análise de NAT estático, NAT dinâmico e PAT.

 Como o encaminhamento de portas pode ser usado para acessar dispositivos internos
da Internet

 A solução de problemas de NAT usando os comandos show e debug