Escolar Documentos
Profissional Documentos
Cultura Documentos
Todos os endereços de IPv4 público que atravessam a Internet devem ser registrados com um
Registro Regional de Internet (RIR, Regional Internet Registry). As organizações podem
adquirir endereços públicos com um provedor de serviços, mas somente o proprietário
registrado de um endereço de internet pode atribuir esse endereço a um dispositivo de rede. No
entanto, com um máximo teórico de 4,3 bilhões de endereços, o espaço de endereço IPv4 é
rigidamente limitado. Quando Bob Kahn e Vint Cerf desenvolveram o conjunto de protocolos
TCP / IP incluindo IPv4 em 1981, nunca teriam imaginado o que a Internet se tornaria. Na
época, o computador pessoal era principalmente uma curiosidade para algumas pessoas e a
World Wide Web ainda estava a uma década de existência.
Com a proliferação da computação pessoal e o advento da Web, logo se percebeu que 4,3
bilhões de endereços IPv4 não seriam suficientes. A solução a longo prazo foi IPv6, mas uma
solução mais imediata para atender a exaustão era necessária. Para curto prazo, várias soluções
foram executadas pelo IETF, incluindo Network Address Translation (NAT) e os endereços
IPv4 privados RFC 1918. O capítulo discute como o NAT, combinado com o uso do espaço de
endereço privado, é usado para preservar e usar mais eficientemente os endereços IPv4 para
fornecer a redes de todos os tamanhos o acesso à Internet . Este capítulo abrange:
NAT conceitual
Você precisa encontrar uma forma de limitar o período que atende chamadas e a quem atender.
Você também precisa mascarar seu número de telefone para que, quando alguém ligue, outro
número seja exibido para o destinatário.
Esse cenário descreve uma questão muito comum para a maioria de pequenas e médias
empresas. Acesse “How Network Address Translation Works" ("Como funciona a conversão
de endereço de rede"), aqui, para ver mais informações sobre a forma pela qual o mundo digital
lida com esses tipos de interrupções no dia de trabalho.
Não há endereços IPv4 públicos o suficiente para designar um endereço exclusivo para cada
dispositivo conectado à Internet. As redes são implementadas geralmente usando endereços
IPv4 privados, conforme definido na RFC 1918. A Figura 1 mostra o intervalo de endereços
incluídos na RFC 1918. É muito provável que o computador que você usa para este curso esteja
atribuído a um endereço privado.
Esses endereços privados são usados em uma organização ou local para permitir que os
dispositivos se comuniquem localmente. Entretanto, como esses endereços não identificam
nenhuma empresa ou organização, os endereços IPv4 privados não podem ser roteados pela
Internet. Para permitir que um dispositivo com IPv4 privado acesse dispositivos e recursos de
fora da rede local, o endereço privado deve primeiro ser convertido a um endereço público.
Sem o NAT, o esgotamento do espaço de endereços IPv4 ocorreria bem antes do ano 2000.
Entretanto, o NAT tem certas limitações, que serão exploradas mais adiante neste capítulo. A
solução para a redução do espaço de endereços IPv4 e limitações do NAT é a eventual transição
para IPv6.
O que é o NAT?
O NAT tem várias utilidades, mas seu principal uso é conservar endereços IPv4 públicos. Ele
faz isso permitindo que as redes usem endereços IPv4 privados internamente e fornecendo
conversão para um endereço público somente quando necessário. O NAT tem um benefício a
mais de adicionar um grau de privacidade e segurança a uma rede, porque oculta os endereços
IPv4 internos de redes externas.
Os roteadores ativados para NAT podem ser configurados com um ou mais endereços IPv4
públicos válidos. Esses endereços públicos são conhecidos como o pool de NATs. Quando um
dispositivo interno enviar o tráfego para fora da rede, o roteador ativado para NAT converterá
o IPv4 interno do dispositivo a um endereço público do pool de NATs. Para dispositivos
externos, todo o tráfego que entra e sai da rede parece ter um endereço IPv4 público do pool
de endereços fornecido.
Um dispositivo ativado para NAT geralmente opera na fronteira de uma rede stub. Uma rede
stub tem uma única conexão à rede vizinha, um caminho de entrada e um de saída da rede. No
exemplo da figura, o R2 é um roteador de borda. Como visto do ISP, o R2 forma uma rede
stub.
Quando um dispositivo dentro da rede stub quer se comunicar com um dispositivo fora de sua
rede, o pacote é encaminhado para o roteador de borda. O roteador de borda realiza o processo
de NAT, convertendo o endereço privado interno do dispositivo a um endereço público, externo
e roteável.
Observação: a conexão com o ISP pode usar uma rede privada ou um endereço público
compartilhado entre os clientes. Neste capítulo, um endereço público é exibido.
Terminologia NAT
Endereço interno - o endereço do dispositivo que está sendo convertido pelo NAT.
O NAT também usa o conceito de local ou global com relação aos endereços:
Endereço local - endereço local é qualquer endereço que aparece na parte interna da rede.
Endereço global - endereço global é qualquer endereço que aparece na parte externa da rede.
Observe que o PC1 tem endereços locais e globais diferentes, enquanto o Servidor web tem o
mesmo endereço IPv4 público para ambos. Da perspectiva do Servidor web, o tráfego
originado do PC1 parece ter vindo de 209.165.200.226, o endereço global interno.
Os termos internos e externos são combinados com os termos locais e globais para se referir a
endereços específicos. Na figura, o roteador R2 foi configurado para fornecer NAT. Ele tem
um pool de endereços públicos a serem atribuídos aos hosts internos.
Endereço local interno - o endereço origem conforme visto de dentro da rede. Na
figura, um endereço IPv4 192.168.10.10 é atribuído ao PC1. Esse é o endereço local
interno do PC1.
Endereço local externo - o endereço destino conforme visto da rede interna. Neste
exemplo, o PC1 envia tráfego para o Servidor web no endereço IPv4 209.165.201.1.
Apesar de incomum, este endereço pode ser diferente do endereço destino globalmente
roteável.
A figura mostra como é endereçado o tráfego enviado de um PC interno para um Servidor web
externo, pelo roteador ativado para NAT. Ela também mostra como o tráfego de retorno é
inicialmente endereçado e convertido.
Observação: o uso do endereço local externo está fora do escopo deste curso.
Como o NAT funciona
Neste exemplo, o PC1 com endereços privados 192.168.10.10 deseja se comunicar com um
Servidor web externo com endereço público 209.165.201.1.
O PC1 envia um pacote endereçado ao Servidor web. O pacote é encaminhado de R1 para R2.
Quando o pacote chega ao R2 (o roteador ativado para NAT na rede), R2 lê o endereço IPv4
origem do pacote para determinar se corresponde aos critérios especificados para conversão.
Nesse caso, o endereço IPv4 origem corresponde aos critérios e é convertido de 192.168.10.10
(endereço local interno) para 209.165.200.226 (endereço global interno). O R2 adiciona esse
mapeamento do endereço local para global à tabela NAT.
O Servidor web responde com um pacote endereçado ao endereço global interno do PC1
(209.165.200.226).
NAT estático
NAT estático
O NAT estático é particularmente útil para servidores web ou dispositivos que precisam ter um
endereço consistente acessíveis da Internet, como um Servidor web de uma empresa. Ele é útil
também para os dispositivos que devem ser acessíveis por pessoal autorizado remoto, mas não
pelo público geral da Internet. Por exemplo, um administrador de rede do PC4 pode realizar
um SSH para o endereço global interno do Svr 1 (209.165.200.226). O R2 converte este
endereço global interno ao endereço local interno e conecta a sessão do administrador ao Svr1.
O NAT estático requer que endereços públicos suficientes estejam disponíveis para satisfazer
o número total de sessões simultâneas de usuário.
Dynamic NAT
O NAT dinâmico usa um pool de endereços públicos e os atribui por ordem de chegada.
Quando as solicitações internas de um dispositivo acessam uma rede externa, o NAT dinâmico
designa um endereço IPv4 público disponível do pool.
Na figura, o PC3 acessou a Internet usando o primeiro endereço disponível no pool de NAT
dinâmico. Os outros endereços ainda estão disponíveis para uso. Da mesma forma que o NAT
estático, o NAT dinâmico requer que endereços públicos suficientes estejam disponíveis para
satisfazer o número total de sessões simultâneas de usuário.
Conversão de Endereço de Porta (PAT – Port Address
Translation)
A conversão do PAT, também conhecida como sobrecarga de NAT, mapeia os endereços IPv4
privados para um único endereço IPv4 público ou para alguns endereços. Isso é o que a maioria
dos roteadores residenciais fazem. O ISP atribui um endereço ao roteador, mas vários membros
da casa podem acessar simultaneamente a Internet. Esta é a forma mais comum de NAT.
Com o PAT, vários endereços podem ser mapeados para um ou para alguns endereços, pois
cada endereço privado é também seguido por um número de porta. Quando um dispositivo
inicia uma sessão TCP/IP, ele gera um valor de porta origem TCP ou UDP para identificar
unicamente uma sessão. Quando o roteador de NAT recebe um pacote do cliente, usa seu
número de porta origem para identificar excepcionalmente a conversão do NAT específico.
O PAT garante que os dispositivos utilizem um número de porta diferente do TCP para cada
sessão com um Servidor na Internet. Quando uma resposta volta do Servidor, o número de
porta origem, que se torna o número de porta destino na viagem de ida e volta, determina a que
dispositivos o roteador encaminha os pacotes. O processo de PAT também valida que os
pacotes de entrada tenham sido solicitados, adicionando portanto um nível de segurança à
sessão.
A animação ilustra o processo de PAT. O PAT usa números de portas origem exclusivos no
endereço IP global interno para distinguir entre conversões.
Como o R2 processa cada pacote, ele usa um número de porta (1331 e 1555, neste exemplo)
para identificar o dispositivo que originou o pacote. O endereço origem (SA) é o endereço local
interno com número de porta TCP/IP designado adicionado. O endereço destino (DA) é o
endereço local externo com o número de porta de serviço adicionado. Neste exemplo, a porta
de serviço é 80, que é HTTP.
Para o endereço origem, o R2 converte o endereço local interno a um endereço global interno
com o número de porta adicionado. O endereço destino não é alterado, mas agora é conhecido
como endereço IP global externo. Quando o Servidor web responde, o caminho é invertido.
Próxima porta disponível
No exemplo anterior, os números de porta do cliente, 1331 e 1555, não mudaram no roteador
ativado para NAT. Este não é um cenário muito provável, pois há uma boa chance destes
números de porta terem sido conectados a outras sessões ativas.
O PAT tenta preservar a porta origem. No entanto, se a porta origem estiver sendo usada
atualmente, o PAT atribui o primeiro número de porta disponível a partir do início do grupo de
portas apropriado 0–511, 512–1.023 ou 1.024–65.535. Quando não houver mais portas
disponíveis e houver mais de um endereço externo no pool de endereços, o PAT passa para o
próximo endereço para tentar alocar a porta origem. Esse processo continua até que não haja
mais portas disponíveis ou endereços IP externos.
Na animação, os hosts escolheram o mesmo número de porta 1444. Isso é aceitável para o
endereço interno, pois os hosts têm endereços IP privados exclusivos. No entanto, no roteador
de NAT, os números de porta devem ser alterados; caso contrário, os pacotes de dois hosts
diferentes sairiam de R2 com o mesmo endereço origem. Neste exemplo, o PAT atribuiu a
próxima porta disponível (1445) ao segundo endereço de host.
Comparando NAT e PAT
Resumir as diferenças entre NAT e PAT ajuda você a entender cada um deles.
Como mostra a figura, o NAT converte os endereços IPv4 em uma base de 1:1 entre os
endereços IPv4 privados e os endereços IPv4 públicos. Entretanto, o PAT modifica o endereço
e o número de porta.
O NAT encaminha os pacotes de entrada para seu destino interno fazendo referência à origem
de entrada do endereço IPv4 fornecido pelo host na rede pública. Com o PAT, há normalmente
apenas um ou poucos endereços IPv4 publicamente expostos. Os pacotes que chegam à rede
pública são roteados para os destinos da rede privada com referência a uma tabela no roteador
de NAT. Esta tabela rastreia os pares de portas públicos e privados. Isso é chamado
rastreamento de conexão.
E os pacotes IPv4 que transportam dados diferentes de um segmento TCP ou UDP? Esses
pacotes não contêm um número de porta de Camada 4. O PAT converte a maioria dos
protocolos comuns transportados por IPv4 que não usam TCP ou UDP como protocolo da
camada de transporte. O mais comum deles é ICMPv4. Cada um de esses tipos de protocolos
é tratado de maneira diferente pelo PAT. Por exemplo, mensagens de consulta ICMPv4, as
solicitações de eco e as respostas de eco incluem um ID de consulta (Query ID). O ICMPv4
usa o ID de consulta para identificar um echo request com o seu echo reply correspondente. O
ID de consulta é incrementada quando cada echo request é enviada. O PAT usa o ID de consulta
em vez de um número de porta de Camada 4.
Observação: outras mensagens ICMPv4 não usam o ID de consulta. Essas mensagens e outros
protocolos que não usam números de porta TCP ou UDP variam e estão fora do escopo deste currículo.
Packet Tracer – operação de pesquisa do NAT
Histórico /cenário
À medida que um quadro trafega por uma rede, os endereços MAC podem mudar. Os endereços
IP também podem mudar, quando um pacote é enviado por um dispositivo configurado com
NAT. Nesta atividade, investigaremos o que acontece com os endereços IP durante o processo
NAT.
Vantagens do NAT
O NAT aumenta a flexibilidade das conexões à rede pública. Pools múltiplos, pools de
backup e pools de balanceamento de carga podem ser implementados para garantir
conexões de rede pública confiáveis.
O NAT oferece consistência de esquemas de endereçamento da rede interna. Em uma
rede que não usa os endereços IPv4 privados e NAT, a alteração do esquema de
endereços IPv4 público requer o reendereçamento de todos os hosts na rede existente.
Os custos de reendereçar os hosts podem ser significativos. O NAT permite que o
esquema privado existente de endereços IPv4 permaneça, propiciando a alteração fácil
para um novo esquema de endereçamento público. Isso significa que uma organização
pode alterar os ISPs e não precisa alterar nenhum de seus clientes internos.
O NAT fornece segurança de rede. Como as redes privadas não anunciam seus
endereços nem sua topologia interna, elas permanecem razoavelmente seguras quando
usadas em conjunto com o NAT para obter acesso externo controlado. Entretanto, o
NAT não substitui firewalls.
Desvantagens do NAT
Conforme destacado pela figura, o NAT tem muitas desvantagens. O fato de que os hosts na
Internet pareçam se comunicar diretamente com o dispositivo ativado para NAT, em vez de
com o host real dentro da rede privada, cria diversos problemas.
O rastreamento de IPv4 fim a fim é perdido. Torna-se muito mais difícil rastrear pacotes que
passam por diversas alterações de endereço ao longo dos vários saltos do NAT, o que desafia
a solução dos problemas.
O uso do NAT também complica protocolos de túnel, como IPsec, porque o NAT altera valores
nos cabeçalhos que interferem nas verificações de integridade feitas pelo IPsec e por outros
protocolos de túnel.
Os serviços que exigem o inicio de conexões TCP da rede externa, ou protocolos stateless,
como os que usam UDP, podem ser interrompidos. A menos que o roteador de NAT esteja
configurado para suportar esses protocolos, os pacotes de entrada não podem alcançar seu
destino. Alguns protocolos podem acomodar uma instância de NAT entre hosts participantes
(modo FTP passivo, por exemplo), mas falham quando ambos os sistemas forem separados da
Internet pelo NAT.
Etapa 1. A primeira tarefa é criar um mapeamento entre o endereço local interno e endereços
globais de entrada. Por exemplo, o endereço local interno 192.168.10.254 e o endereço global
interno 209.165.201.5 da Figura 1 são configurados como uma conversão de NAT estático.
Os pacotes que chegam à interface interna do R2 (serial 0/0/0) do endereço IPv4 local interno
(192.168.10.254) são convertidos e encaminhados para a rede externa. Os pacotes que chegam
à interface externa do R2 (serial 0/1/0), que são endereçados ao endereço IPv4 global interno
configurado (209.165.201.5), são convertidos para o endereço local interno (192.168.10.254)
e enviados à rede.
A Figura 3 mostra os comandos necessários em R2 para criar um NAT estático que mapeia o
Servidor web no exemplo de topologia. Com a configuração mostrada, R2 converte os pacotes
do Servidor web com o endereço 192.168.10.254 ao endereço IPv4 IP público 209.165.201.5.
O cliente da Internet direciona solicitações da Web ao endereço IPv4 público 209.165.201.5.
O R2 encaminha o tráfego para o Servidor web em 192.168.10.254.
Use o verificador de sintaxe na Figura 4 para configurar uma entrada de NAT estático adicional
em R2.
Análise de NAT estático
Usando a configuração anterior, a figura ilustra o processo de conversão de NAT estático entre
o cliente e o Servidor web. Conversões de NAT estático são usadas geralmente quando os
clientes da rede externa (Internet) precisam acessar servidores da rede interna.
1. O cliente deseja abrir uma conexão com o Servidor web. O cliente envia um pacote ao
Servidor web usando o endereço IPv4 destino público 209.165.201.5. Esse é o endereço global
interno do Servidor web.
2. O primeiro pacote que R2 recebe do cliente na interface externa do NAT faz com que o R2 verifique
a tabela NAT. O endereço IPv4 destino está localizado na tabela NAT e foi convertido.
4. O Servidor web recebe o pacote e responde ao cliente que usa o endereço local interno, 192.168.10.254.
5a. O R2 recebe o pacote do Servidor web na interface interna do NAT com o endereço origem
do endereço local interno do Servidor web, 192.168.10.254.
5b. O R2 verifica a tabela NAT para obter uma conversão para o endereço local interno. O
endereço é encontrado na tabela NAT. O R2 converte o endereço origem ao endereço global
interno de 209.165.201.5 e encaminha o pacote para fora da interface serial 0/1/0 para o cliente.
Um comando útil para verificar a operação do NAT é show ip nat translations. Esse comando
exibe as conversões ativas de NAT. As conversões estáticas, diferentemente das dinâmicas,
sempre estão na tabela NAT. A Figura 1 mostra a saída desse comando usando o exemplo de
configuração anterior. Como o exemplo é uma configuração de NAT estático, a conversão está
sempre presente na tabela NAT, independentemente de todas as comunicações ativas. Se o
comando for emitido durante uma sessão ativa, a saída também exibirá o endereço do
dispositivo externo como mostrado na Figura 1.
Outro comando útil é show ip nat statistics. Como mostrado na Figura 2, o comando show ip
nat statistics exibe informações sobre o número total de conversões ativas, os parâmetros de
configuração de NAT, o número de endereços no pool e o número de endereços que foi alocado.
Antes de todas as comunicações com o Servidor web, o comando show ip nat statistics não
mostra nenhuma ocorrência atual. Depois que o cliente estabelece uma sessão com o Servidor
web, o comando show ip nat statistics teve um acréscimo de cinco ocorrências. Ele verifica
se a conversão de NAT estático está ocorrendo no R2.
Packet Tracer - Configurando o NAT estático
Histórico /cenário
Quando o NAT estático fornecer um mapeamento permanente entre um endereço local interno
e um endereço global interno, o NAT dinâmico permitirá o mapeamento automático de
endereços locais internos para endereços globais de entrada. Esses endereços globais internos
geralmente são os endereços IPv4 públicos. O NAT dinâmico usa um grupo ou pool de
endereços IPv4 público para conversão.
O NAT dinâmico, assim como o NAT estático, requer a configuração de interfaces internas e
externas que participam do NAT. No entanto, onde o NAT estático cria um mapa permanente
para um único endereço, o NAT dinâmico usa um pool de endereços.
Observação: converter endereços IPv4 públicos e privados é de longe o uso mais comum do
NAT. No entanto, as conversões de NAT podem ocorrer entre todos os pares de endereços.
A topologia do exemplo mostrado na figura tem uma rede interna usando endereços do espaço
de endereço privado RFC 1918. Duas redes locais, 192.168.10.0/24 e 192.168.11.0/24, são
conectadas ao roteador R1. O roteador de borda R2 é configurado para NAT dinâmico com um
pool de endereços IPv4 públicos 209.165.200.226 a 209.165.200.240.
O pool de endereços IPv4 públicos (pool de endereços globais internos) está disponível para
qualquer dispositivo na rede interna, na ordem de chegada. Com o NAT dinâmico, um único
endereço interno é convertido em um único endereço externo. Com esse tipo de conversão,
deve haver endereços suficientes no pool para acomodar todos os dispositivos internos que
precisam de acesso à rede externa ao mesmo tempo. Se todos os endereços no pool tiverem
sido usados, um dispositivo deverá esperar um endereço disponível antes que possa acessar a
rede externa.
Configuração do NAT dinâmico
Etapa 1. Defina o pool de endereços que serão usados para conversão usando o comando ip
nat pool. Esse pool de endereços é geralmente um grupo de endereços públicos. Os endereços
são definidos indicando o endereço IP inicial e final do pool. A palavra-chave netmask ou
prefix-length indica que bits do endereço pertencem à rede e que os bits pertencem ao host
para o intervalo de endereços.
Etapa 2. Configure uma ACL padrão para identificar (permitir) somente os endereços a serem
convertidos. Uma ACL que seja muito permissiva pode causar resultados imprevisíveis.
Lembre-se de que existe uma instrução deny all implícita no final de cada ACL.
Etapa 3. Vincule a ACL ao pool. O comando ip nat inside source list access-list-number pool
pool name é usado para vincular a ACL ao pool. Essa configuração é usada pelo roteador para
identificar quais dispositivos (lista) receberão o endereçamento (pool).
Etapa 4. Identifique quais interfaces são internas em relação ao NAT, ou seja, uma interface
que se conecta à rede interna.
Etapa 5. Identifique quais interfaces são externas em relação ao NAT, ou seja, uma interface
que se conecta à rede externa.
2. O R2 recebe o primeiro pacote do host 192.168.10.10. Como este pacote foi recebido em
uma interface configurada como uma interface interna do NAT, o R2 verifica a configuração
de NAT para determinar se este pacote deve ser convertido. A ACL permite esse pacote,
portanto o R2 irá converter o pacote. O R2 examina sua tabela NAT. Como não há entrada de
conversão para esse endereço IP, o R2 determina que o endereço origem 192.168.10.10 seja
convertido dinamicamente. O R2 seleciona um endereço global disponível do pool de
endereços dinâmicos e cria uma entrada de conversão, 209.165.200.226. O endereço IPv4
origem (192.168.10.10) é o endereço local interno e o endereço convertido é o endereço global
interno (209.165.200.226) na tabela NAT.
5a. Quando o R2 receber o pacote com um endereço IPv4 destino 209.165.200.226; realizará
uma pesquisa na tabela NAT. Usando o mapeamento da tabela, o R2 converte o endereço de
volta ao endereço local interno (192.168.10.10) e encaminha o pacote para o PC1.
5b. Quando o R2 receber o pacote com um endereço IPv4 destino 209.165.200.227; realizará
uma pesquisa na tabela NAT. Usando o mapeamento da tabela, o R2 converte o endereço de
volta ao endereço local interno (192.168.11.10) e encaminha o pacote para o PC2.
A saída do comando show ip nat translations mostrada na Figura 1 exibe os detalhes das duas
tarefas de NAT anteriores. O comando exibe todas as conversões estáticas configuradas e todas
as conversões dinâmicas criadas pelo tráfego.
Por padrão, as entradas de conversão são expiradas após 24 horas, a menos que os
temporizadores sejam reconfigurados com o comando ip nat translation timeout timeout-
seconds no modo de configuração global.
Para limpar entradas dinâmicas antes que o tempo limite expire, use o comando do modo de
configuração global clear ip nat translation (Figura 2). Ele é útil para limpar as entradas
dinâmicas para testar a configuração do NAT. Como mostrado na tabela, este comando pode
ser usado com palavras-chave e variáveis para controlar quais entradas serão canceladas. As
entradas específicas podem ser apagadas para evitar a interrupção das sessões ativas. Use o
comando de configuração global clear ip nat translation * para cancelar todas as conversões
da tabela.
Como mostrado na Figura 3, o comando show ip nat statistics exibe informações sobre o
número total de conversões ativas, os parâmetros de configuração de NAT, o número de
endereços no pool e o número de endereços que foi alocado.
Uma alternativa é usar o comando show running-config e procurar os comandos de NAT, lista
de acesso, interface ou pool com os valores exigidos. Examine-os cuidadosamente e corrija
quaisquer erros descobertos.
Packet Tracer - Configurando o NAT dinâmico
Observação: o número total de endereços internos que podem ser convertidos para um
endereço externo pode ser, teoricamente, até 65.536 por endereço IP. Na realidade, a
quantidade de portas que podem receber um único endereço IP fica em torno de 4.000.
Há duas maneiras de configurar o PAT, dependendo de como o ISP atribua endereços IPv4
públicos. No primeiro exemplo, o ISP atribui mais de um endereço IPv4 público à organização,
e no outro ele aloca um único endereço IPv4 público que é necessário para a organização fazer
a conexão com o ISP.
Se um site tiver emitido mais de um IPv4 público, esses endereços podem ser parte de um pool
usado pelo PAT. Isso é semelhante ao NAT dinâmico, exceto que não existem endereços
públicos suficientes para um mapeamento de um a um dos endereços internos para externos. O
pequeno pool de endereços é compartilhado entre um número maior de dispositivos.
A Figura 1 mostra as etapas para configurar o PAT e usar um pool de endereços. A principal
diferença entre esta configuração e a configuração do NAT dinâmico de um para um é que a
palavra-chave overload é usada. A palavra-chave overload ativa o PAT.
Use o verificador de sintaxe na Figura 3 para configurar o PAT usando um pool de endereços
no R2.
Configuração do PAT: Endereço único
A Figura 2 mostra etapas a serem seguidas para configurar o PAT com IPv4 único. Se apenas
um único endereço IPv4 público estiver disponível, a configuração de sobrecarga atribui
geralmente o endereço público à interface externa que se conecta ao ISP. Todos os endereços
internos são convertidos ao único endereço IPv4 ao deixar a interface externa.
Etapa 3. Identificar quais interfaces são internas em relação ao NAT. Qualquer interface que
se conecte à rede interna.
Etapa 4. Identificar qual interface está fora em relação ao NAT. Deve ser a mesma interface
identificada na instrução da conversão origem da Etapa 2.
Use o verificador de sintaxe na Figura 3 para configurar o PAT usando um único endereço em
R2.
Análise do PAT
1. A Figura 1 mostra o PC1 e o PC2 que enviam pacotes a Svr1 e a Svr2, respectivamente. O
PC1 tem endereço IPv4 origem 192.168.10.10 e está usando a porta origem TCP 1444. O PC2
tem endereço IPv4 origem 192.168.10.11 e coincidentemente é atribuído à mesma porta origem
de 1444.
2. O pacote do PC1 acessa primeiro o R2. Usando o PAT, o R2 modifica o endereço IPv4
origem para a 209.165.200.225 (endereço global interno). Não há nenhum outro dispositivo na
tabela NAT usando a porta 1444, portanto o PAT mantém o mesmo número de porta. O pacote
é encaminhado para Svr1 em 209.165.201.1.
3. Em seguida, o pacote de PC2 chega ao R2. O PAT é configurada para usar um único
endereço IPv4 global interno para todas as conversões, 209.165.200.225. Semelhante ao
processo de conversão para PC1, o PAT altera o endereço IPv4 origem do PC2 para o endereço
global interno 209.165.200.225. No entanto, o PC2 tem o mesmo número de porta origem que
uma entrada atual do PAT, a conversão para o PC1. O PAT aumenta o número da porta origem
até que ele seja um valor único em sua tabela. Nesse caso, a entrada de porta origem na tabela
NAT e o pacote para o PC2 recebem 1445.
Embora o PC1 e o PC2 estejam usando o mesmo endereço convertido, o endereço global
interno de 209.165.200.225, e o mesmo número da porta origem de 1444, o número de porta
modificado para o PC2 (1445) tornará única cada entrada na tabela NAT Isso será evidente
com os pacotes enviados dos servidores de volta para os clientes.
4. Como mostrado na Figura 2, em uma troca típica de cliente-Servidor, Svr1 e Svr2 respondem
às solicitações de entrada do PC1 e PC2, respectivamente. Os servidores usam a porta origem
do pacote recebido como a porta destino, e o endereço origem como o endereço destino para o
tráfego de retorno. Os servidores parecem estar se comunicando com o mesmo host em
209.165.200.225; no entanto, não é esse o caso.
5. Quando os pacotes chegam, R2 encontra a entrada única em sua tabela NAT usando o
endereço destino e a porta destino de cada pacote. No caso do pacote de Svr1, o endereço IPv4
destino 209.165.200.225 tem várias entradas, mas apenas uma com a porta destino 1444.
Usando a entrada em sua tabela, o R2 altera o endereço IPv4 destino do pacote a 192.168.10.10,
sem alteração necessária para a porta destino. O pacote é encaminhado para o PC1.
6. Quando o pacote do Svr2 chega, o R2 executa uma conversão semelhante. O endereço IPv4
destino 209.165.200.225 é localizado, novamente com várias entradas. Entretanto, usando a
porta destino de 1445, o R2 pode identificar excepcionalmente a entrada de conversão. O
endereço IPv4 destino é alterado para 192.168.10.11. Nesse caso, a porta destino também deve
ser modificada e voltar ao valor original de 1444, que é armazenado na tabela NAT. O pacote
é encaminhado para o PC2.
Verificação do PAT
O roteador R2 foi configurado para fornecer o PAT aos clientes de 192.168.0.0/16. Quando os
hosts internos saem do roteador R2 para a Internet, são convertidos para o endereço IPv4 do
pool de PAT com um número de porta origem exclusivo.
Os mesmos comandos usados para verificar o NAT estático e dinâmico são usados para
verificar o PAT, como mostrado na Figura 1. O comando show ip nat translations exibe as
conversões de dois hosts diferentes para servidores web diferentes. Observe que dois hosts
internos diferentes são atribuídos ao mesmo endereço IPv4 de 209.165.200.226 (endereço
global interno). Os números de porta origem na tabela NAT diferenciam as duas transações.
Como mostrado na Figura 2, o comando show ip nat statistics verifica se NAT-POOL2 foi
alocado para um único endereço para ambas as conversões. A saída inclui informações sobre
o número e o tipo de conversões ativas, parâmetros de configuração de NAT, o número de
endereços do pool e quantos foram atribuídos.
Packet Tracer - Implementando o NAT estático e dinâmico
Encaminhamento de portas
O problema é que o NAT não permite solicitações iniciadas externamente. Essa situação pode
ser resolvida com intervenção manual. O encaminhamento de portas pode ser configurado para
identificar as portas específicas que podem ser encaminhadas aos hosts internos.
A Figura 2 mostra um proprietário de uma pequena empresa que usa um Servidor de (PoS) de
ponto de Vendas para controlar as Vendas e o estoque da loja. O Servidor pode ser acessado
na loja, mas como tem um endereço IPv4 privado, não é publicamente acessível da Internet.
Ativar o roteador local para o encaminhamento de portas permite que o proprietário acesse o
Servidor do ponto de venda em qualquer lugar da Internet. O encaminhamento de portas no
roteador é configurado usando o número de porta destino e o endereço IPv4 privado do
Servidor do ponto de venda. Para acessar o Servidor, o software cliente usaria o endereço IPv4
público do roteador e da porta destino do Servidor.
Exemplo SOHO
O encaminhamento de portas pode ser ativado para aplicativos especificando o endereço local
interno para os quais as solicitações devem ser enviadas. Na figura, as solicitações de serviço
HTTP, definidas neste roteador Linksys, são enviadas ao Servidor web com o endereço local
interno de 192.168.1.254. Se o endereço IPv4 externo da WAN do roteador SOHO for
209.165.200.225, o usuário externo poderá entrar emhttp://www.example.com e o roteador
Linksys redirecionará a solicitação HTTP ao Servidor web interno no endereço IPv4
192.168.1.254, usando a porta número 80 padrão.
Uma porta diferente da porta 80 padrão pode ser especificada. Contudo, o usuário externo
precisaria conhecer o número de porta específico para usar. Para especificar um número de
porta diferente, o valor de porta externa na janela Single Port Forwarding seria modificado.
Quando um número de porta conhecido não estiver sendo usado, o cliente deve especificar o
número da porta no aplicativo.
Como outros tipos de NAT, o encaminhamento de portas exige uma configuração das
interfaces internas e externas de NAT.
Assim como o NAT estático, o comando show ip nat translations pode ser utilizado para
verificar o encaminhamento de portas, como mostrado na Figura 3.
No exemplo, quando o roteador recebe o pacote com um endereço IPv4 global interno de
209.165.200.225 e uma porta destino TCP 8080, o roteador executa uma pesquisa na tabela
NAT usando o endereço IPv4 destino e a porta destino como a senha. O roteador converte o
endereço para o endereço local interno do host 192.168.10.254 e para a porta destino 80. O R2
depois encaminha o pacote para o Servidor web. Para os pacotes de retorno do Servidor web
para o cliente, este processo é revertido.
Packet Tracer – configuração do encaminhamento em um roteador Linksys
Histórico /cenário
O seu amigo quer jogar com você no seu Servidor. Você dois estão em suas casas, conectados
à Internet. Você precisa configurar o roteador SOHO (Small Office, Home Office) para
encaminhar solicitações HTTP para o seu Servidor, de modo que o seu amigo possa acessar a
página inicial do jogo na web.
Desde o início dos anos de 1990, a preocupação com a redução do espaço de endereço IPv4
era uma prioridade do IETF. A combinação dos endereços IPv4 privados RFC 1918 e NAT foi
fundamental para desacelerar essa redução. O NAT tem desvantagens significativas e em
janeiro de 2011 a IANA atribuiu o último dos endereços IPv4 a RIRs.
Um dos benefícios não intencionais do NAT para IPv4 é que ele oculta a rede privada da
internet pública, conforme mostrado na figura. O NAT tem a vantagem de fornecer um nível
de segurança percebido ao negar aos computadores da internet pública o acesso a hosts
internos. No entanto, ele não deve ser considerado um substituto para a segurança de rede
adequada, como as fornecidas por um firewall.
No RFC 5902, a Internet Architecture Board (IAB) faz a seguinte afirmação com relação à
conversão de endereço de rede IPv6:
“Percebe-se que geralmente uma caixa NAT fornece um nível de proteção, pois os hosts
externos não podem iniciar diretamente a comunicação com os hosts por trás de um NAT. No
entanto, não se deve confundir caixas do NAT com firewalls. Como discutido em RFC4864,
Seção 2.2, o ato de conversão não oferece segurança em si. A função de filtragem stateful pode
fornecer o mesmo nível de proteção sem exigir uma função de conversão".
O IPv6 com um endereço de 128 bits fornece 340 endereços de undecilhão. Portanto, o espaço
de endereço não é um problema. O IPv6 foi projetado com a intenção de fazer o NAT para
IPv4 com a conversão entre os endereços IPv4 públicos e privados desnecessários. Contudo, o
IPv6 implementa uma forma de NAT. O IPv6 inclui seu próprio espaço de endereço privado
IPv6 e NAT, que são implementados de forma diferente que a de IPv4.
Endereços unique local IPv6
Os endereços unique local (ULA) IPv6 são semelhantes aos endereços privados RFC 1918 no
IPv4, mas há diferenças significativas também. A intenção do ULA é fornecer o espaço de
endereço IPv6 para comunicações dentro de uma instalação local; ele não tem o objetivo de
fornecer espaço de endereço adicional ao IPv6, nem fornecer um nível de segurança.
Como mostrado na figura, os ULA têm o prefixo FC00:: /7, o que resulta em um primeiro
intervalo de hexteto de FC00 a FDFF. O próximo bit 1 será definido como 1 se o prefixo for
atribuído localmente. A definição como 0 pode ser definida no futuro. Os 40 bits seguir são um
ID global seguido de um ID de 16 bits de sub-rede. Esses primeiros 64 bits são combinados
para formar o prefixo de ULA. Isso deixa os 64 bits restantes para o ID da interface, ou nos
termos de IPv4, a porção de host do endereço.
Os endereços unique local são definidos no RFC 4193. Os ULAs também são conhecidos como
endereços locais IPv6 (não confundir com os endereços link-local IPv6) e têm várias
características, incluindo:
Permitem aos sites ser combinados ou interconectados em particular, sem criar alguns
conflitos de endereço ou exigir renumeração das interfaces que usam esses prefixos.
Independente de qualquer ISP e pode ser usado para comunicações dentro de um site,
sem ter nenhuma conectividade com a internet.
O ULA não é tão simples quanto endereços RFC 1918. Diferentemente dos endereços IPv4
privados, não foi a intenção do IETF usar uma forma de NAT para converter endereços unique
local a endereços IPv6 unicast globais.
A implementação e os usos possíveis de endereços unique local de IPv6 ainda estão sendo
pesquisados pela comunidade da Internet. Por exemplo, o IETF está considerando permitir que
a opção tenha o prefixo de ULA criado localmente por FC00:: /8, ou que ele seja atribuído
automaticamente por um início de terceiros com FD00:: /8.
Observação: a especificação do IPv6 original atribuía o espaço de endereço para endereços
site-local, definidos em RFC 3513. Os endereços site local se tornaram obsoletos pelo IETF
em RFC 3879, pois o termo "site" era um pouco ambíguo. Os endereços site-local tinham o
intervalo do prefixo de FEC0:: /10 e ainda podem ser encontrados em documentação mais
antiga de IPv6.
O NAT para IPv6 é usado em um contexto muito diferente do NAT para IPv4, conforme
mostrado na figura. As variedades de NAT para IPv6 são usadas para providenciar acesso
transparente entre redes somente IPv6 e IPv4. Ele não é usado como uma forma de IPv6 privado
para conversão global de IPv6.
O ideal é executar o IPv6 nativamente sempre que possível. Isso significa dispositivos IPv6
que se comunicam através de redes IPv6. Entretanto, para auxiliar na movimentação de IPv4
para IPv6, o IETF desenvolveu várias técnicas de transição para acomodar uma variedade de
cenários IPv4-to-IPv6, incluindo a pilha dupla, túnel e conversão.
A pilha dupla ocorre quando os dispositivos estão executando protocolos associados com IPv4
e IPv6. O túnel para IPV6 é o processo de encapsulamento de um pacote IPv6 dentro de um
pacote IPv4. Isso permite que o pacote IPv6 seja transmitido por uma rede somente IPv4.
O NAT para IPv6 não deve ser usado como uma estratégia de longo prazo, mas como um
mecanismo temporário para ajudar na migração de IPv4 para IPv6. Ao longo dos anos, vários
tipos de NAT para IPv6 foram criados, incluindo Network Address Translation-Protocol
Translation (NAT-PT). A NAT-PT se tornou obsoleta pelo IETF, que defendeu sua troca pelo
NAT64. O NAT64 está além do escopo deste currículo.
Identificação e solução de problemas de NAT: comandos show
Etapa 1. Com base na configuração, defina claramente o que o NAT deve realizar. Isso pode
revelar um problema de configuração.
Etapa 3. Use o comando clear e debug para verificar se o NAT está operando conforme o
esperado. Verifique se as entradas dinâmicas foram recriadas depois de canceladas.
Etapa 4. Examine em detalhe o que está ocorrendo com o pacote e verifique se os roteadores
têm as informações corretas de roteamento para levar o pacote adiante.
A Figura 2 mostra a saída dos comandos show ip nat statistics e show ip nat translations.
Antes de usar os comandos show, as estatísticas e as entradas de NAT na tabela NAT são
eliminadas com os comandos clear ip nat statistics e clear ip nat translation *. Depois que
o host em 192.168.10.10 envia telnet para o Servidor em 209.165.201.1, as estatísticas de NAT
e a tabela NAT são exibidas para verificar se o NAT está funcionando conforme esperado.
Em um ambiente de rede simples, é útil monitorar as estatísticas do NAT com o comando show
ip nat statistics. O comando show ip nat statistics exibe informações sobre o número total de
conversões ativas, os parâmetros de configuração de NAT, o número de endereços no pool e o
número que foi alocado. No entanto, em um ambiente de NAT mais complexo, com várias
conversões que ocorrem, esse comando talvez não identifique claramente o problema. Pode ser
necessário executar comandos debug no roteador.
Identificação e solução de problemas de NAT: o comando debug
Use o comando debug ip nat para verificar a operação do recurso NAT, exibindo informações
sobre cada pacote que está sendo convertido pelo roteador. O comando debug ip nat detailed
gera uma descrição de cada pacote considerado para conversão. Esse comando também exibe
informações sobre certos erros ou condições de exceção, tais como a impossibilidade de alocar
um endereço global. O comando debug ip nat detailed gera mais sobrecarga do que o
comando debug ip nat , mas pode fornecer mais detalhes necessários para solucionar o
problema de NAT. Sempre desative a depuração ao terminar.
A Figura 1 mostra um exemplo da saída do comando debug ip nat. A saída mostra que o host
interno (192.168.10.10) iniciou o tráfego para o host externo (209.165.201.1) e o endereço
origem foi convertido ao endereço 209.165.200.226.
Para decodificar a saída da depuração, observe o que os seguintes símbolos e valores indicam:
* (asterisco) - O asterisco ao lado do NAT indica que a conversão está ocorrendo no caminho
de comutação rápida. O primeiro pacote de uma conversa é sempre process-switched, o que é
mais lento. Os outros pacotes passam pelo caminho fast-switched se houver uma entrada na
cache.
a.b.c.d--->w.x.y.z - Esse valor indica que o endereço origem a.b.c.d é convertido em w.x.y.z.
[xxxx] - O valor entre parênteses é o número de identificação de IP. Essas informações podem
ser úteis para depuração, pois permitem correlação com outros rastreamentos de pacotes de
analisadores de protocolos.
Estudo de caso
A Figura 1 mostra que os hosts das LANs 192.168.0.0/16, PC1 e PC2 não podem efetuar ping
nos servidores da rede externa, Svr1 e Svr2.
Para começar a solucionar o problema, use o comando show ip nat translations para verificar
se há alguma conversão na tabela NAT. A saída na Figura 1 mostra que não há nenhuma
conversão na tabela.
O comando show ip nat statistics é usado para determinar se alguma conversão ocorreu. Ele
também identifica as interfaces entre as quais a conversão deve estar ocorrendo. Conforme
mostrado na saída da Figura 2, os contadores de NAT estão em 0, verificando que não ocorreu
nenhuma conversão. Comparando a saída com a topologia mostrada na Figura 1, observe que
as interfaces do roteador estão definidas incorretamente como o NAT interno ou NAT externo.
A configuração incorreta também pode ser verificada usando-se o comando show running-
config .
A configuração atual da interface de NAT deve ser excluída das interfaces antes da aplicação
da configuração correta.
Após a definição correta das interfaces internas e externas de NAT, outro ping do PC1 a Svr1
falha. O uso dos comandos show ip nat translations e show ip nat statistics novamente
verifica as conversões que ainda não estão ocorrendo.
Como mostrado na Figura 3, o comando show access-lists é usado para determinar se a ACL
referenciada pelas referências de comandos do NAT está permitindo todas as redes necessárias.
Examinar a saída indica que a máscara curinga de bits incorreta foi usada na ACL que define
os endereços que precisam ser convertidos. A máscara curinga permite somente a sub-rede
192.168.0.0/24. A lista de acesso é removida primeiro e reconfigurada com o uso da máscara
curinga correta.
Depois que as configurações são corrigidas, outro ping é gerado do PC1 ao Svr1, desta vez
com êxito. Como mostrado na Figura 4, os comandos show ip nat translations e show ip nat
statistics são usados verificar se a conversão de NAT está ocorrendo.
Packet Tracer - Verificando e solucionando problemas de
configurações de NAT
Histórico /cenário
Um contratante restaurou uma configuração antiga para um novo roteador que executa o NAT.
Mas a rede mudou e uma nova sub-rede foi adicionada após o backup da configuração antiga.
Seu trabalho é fazer com que a rede volte a funcionar.
Verificação de NAT
A conversão de endereço de rede não está incluída no projeto de rede da sua empresa no
momento. Decidiu-se configurar alguns dispositivos para usar serviços NAT para conexão com
o Servidor de correio.
Antes da implantação do NAT ao vivo na rede, você cria um protótipo dele no programa de
simulação de rede.
Atividade em aula - Verificação de NAT
Histórico /cenário
Esta atividade final inclui muitas das habilidades que você adquiriu durante este curso.
Primeiro, você irá preencher a documentação da rede. Portanto, certifique-se de ter uma versão
impressa das instruções. Durante a implementação, você irá configurar VLANs, tronco,
segurança de porta e acesso remoto SSH em um switch. Em seguida, você implementará o
roteamento entre VLANs e o NAT em um roteador. Finalmente, você usará sua documentação
para verificar a implementação testando a conectividade fim a fim.
Este capítulo descreveu como o NAT é usado para ajudar a aliviar a redução do espaço de
endereços IPv4. O NAT para IPv4 permite que os administradores de rede usem a RFC 1918
de espaço de endereço privado para fornecer conectividade à Internet usando um número de
endereços públicos único ou limitado.
Como o encaminhamento de portas pode ser usado para acessar dispositivos internos
da Internet