Conceito sobre NAT(network address translation)

Configuração de Nat em equipamentos cisco, juniper e Huawei

NAT (Network Address Translation) é um método que permite a tradução (modificação) de endereços IP enquanto
pacotes / datagramas estão atravessando a rede. O NAT dinâmico permite o acesso de vários hosts internos à Internet,
atribuindo a cada host um endereço IP real (Público) exclusivo durante a duração da sessão.

ele permite que um único dispositivo atue como um gateway de Internet para clientes de rede local interna traduzindo
os endereços IP da rede interna dos clientes para o endereço IP no dispositivo de gateway habilitado para NAT.

Em outras palavras, o NAT é executado no dispositivo que está conectado à Internet e oculta o restante da rede do
público, fazendo com que toda a sua rede apareça como um único dispositivo (ou computador, se quiser) para o resto do
mundo.

O NAT é transparente para a sua rede, o que significa que todos os dispositivos de rede internos não precisam ser
reconfigurados para acessar a Internet. Tudo o que é necessário é permitir que seus dispositivos de rede saibam que o
dispositivo NAT é o gateway padrão da Internet.

O NAT é seguro, pois oculta sua rede da Internet. Todas as comunicações da sua rede privada são tratadas pelo
dispositivo NAT, o que garantirá que todas as traduções apropriadas sejam realizadas e fornecerão uma conexão
perfeita entre seus dispositivos e a Internet.
 Ip route 0.0.0.0 0.0.0.0 41.51.61.1

IP-192. 168. 1. 2/24

GW-192. 168. 1. 1

41. 51. 61. 1/30

INTERNET
192. 168. 1. 1/24 41. 51. 61. 2/30

IP-192. 168. 1. 3/24

GW-192. 168. 1. 1
IP-192. 168. 1. 4/24
Rede privada Rede publica
GW-192. 168. 1. 1
Como você pode ver, temos uma rede simples de 3 hosts (computadores) e um roteador que conecta essa rede à
Internet. Todos os hosts em nossa rede têm um endereço IP privado de classe C, incluindo a interface privada do
roteador (192.168.1.1), enquanto a interface pública que está conectada à Internet tem um endereço IP real
(40.51.61.2).

Ip route 0.0.0.0 0.0.0.0 41.51.61.1

4 1. 5 1. 6 1. 1/3 0
INTERNET
1 92 . 1 68 . 1. 1/2 4 4 1. 5 1. 6 1. 2/3 0
1 00 . 2 00 . 2 00 . 1
IP-1 92 . 1 68 . 1. 2/2 4
GW-1 92 . 1 68 . 1. 1
1 00 . 2 00 . 2 00 . 1
Rede privada Source ip
destination

Source ip
Destination ip
Na ilustração acima, uma estação de trabalho de nossa rede gerou um pacote com um endereço IP de destino
100.200.200.1 Logicamente, este pacote é primeiro enviado para o gateway, que realiza NAT neste pacote e, em
seguida, envia-o para a Internet para finalmente chegar ao host destinado.

Observando mais de perto o gateway (roteador) durante a operação inicial do NAT, o IP de origem do pacote
original é alterado de 192.168.1.2 para o da interface pública do roteador, que é 41.51.61.2, e o roteador
armazena essas informações em um endereço especial dentro de sua memória (também chamada de NAT Table),
então, quando a resposta esperada chegar, ela saberá a qual estação de trabalho em sua rede precisa encaminhá-
la.
NAT ESTATICO

O NAT estático mapeia o tráfego de rede de um endereço IP externo estático para um endereço IP interno ou rede.
Cria uma tradução estática de endereços reais para endereços mapeados. O NAT estático fornece conectividade à
Internet para dispositivos de rede por meio de uma LAN privada com um endereço IP privado não registrado.

O NAT estático define um mapeamento um-para-um de uma sub-rede IP para outra sub-rede IP. O mapeamento
inclui tradução de endereços IP de destino em uma direção e tradução de endereços IP de origem na direção inversa.
A partir do dispositivo NAT, o endereço de destino original é o endereço IP do host virtual, enquanto o endereço
mapeado é o endereço IP do host real.

O NAT estático permite que as conexões sejam originadas de ambos os lados da rede, mas a tradução é limitada a
um-para-um ou entre blocos de endereços do mesmo tamanho. Para cada endereço privado, um endereço público
deve ser alocado. Nenhum pool de endereços é necessário.
O NAT estático também suporta os seguintes tipos de tradução:

Para mapear vários endereços IP e intervalos especificados de portas para um mesmo endereço IP e intervalo de
portas diferente

Para mapear um endereço IP e uma porta específicos para um endereço IP e uma porta diferentes

A conversão de endereço de porta (PAT) também é suportada, fornecendo um mapeamento estático entre a porta de
destino (intervalo) e a porta mapeada (intervalo).
NAT DIMANICO

O NAT dinâmico é o segundo modo NAT sobre o qual vamos falar. O NAT dinâmico, como o NAT Estático, não é tão
comum em redes menores, mas você o encontrará em grandes corporações com redes complexas.

A forma como o NAT Dinâmico se diferencia do NAT Estático é aquele em que o NAT Estático fornece um
mapeamento IP interno público para o um, o NAT Dinâmico faz o mesmo, mas sem tornar o mapeamento para o IP
público estático e geralmente usa um grupo de públicos disponíveis IPs

192.168.10.1/ 24

41.42.43.2 REDE_PUBLICA
REDE_PRIVADA
41.42.43.1/ 29
INTERNET
41.42.43.3 41.42.43.0/ 29
192.168.10.3/ 24 NAT_ROUTER
41.42.43.4

192.168.10.2/ 24
 NAT_ESTATICO

INTERNET

Ip nat inside

2 10.0.0.0/30 1 2 41.222.236.0/29 1
fast0/0 fast0/0
fast0/0 fast0/1 INTERNET
HOST_RTR NAT_RTR
Ip nat outside
Dada a topologia acima, será usada para a pratica do NAT estático em
roteadores cisco, a onde o roteador INTERNET será usado para gerar uma
routa estática default de internet ao roteador NAT_RTR na rede publica
41.222.236.0/29. No roteador NAT_RTR será configurado nat estático de forma
a rede privada 10.0.0.0/30 seja visto no roteador RT_INTERNET e por sua vez
ser accessada via telnet.

Apos terminar a configuração testa o acesso telnet ao roteador HOST_RTR

 Configuração do roteador INTERNET

INTERNET(config)#interface fastEthernet 0/0

INTERNET(config-if)#ip address 41.222.236.1 255.255.255.248

Configuração do NAT na interface wan/lan do roteador NAT_RTR

NAT_RTR(config)#interface fastEthernet 0/0

NAT_RTR(config-if)#ip address 41.222.236.2 255.255.255.248
NAT_RTR(config-if)#ip nat outside

NAT_RTR(config)#interface fastEthernet 0/1

NAT_RTR(config-if)#ip address 10.0.0.1 255.255.255.252
NAT_RTR(config-if)#ip nat inside
Configuração da routa default para internet no roteador NAT_RTR

NAT_RTR(config)#ip route 0.0.0.0 0.0.0.0 41.222.236.1

Configuração do roteador HOST_RTR

HOST_RTR(config)#username cisco password cisco

...
HOST_RTR(config)#enable password cisco

HOST_RTR(config)#interface fastEthernet 0/0

HOST_RTR(config-if)#ip address 10.0.0.2 255.255.255.252

HOST_RTR(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

HOST_RTR(config)#line vty 0 4
HOST_RTR(config-line)#password cisco
HOST_RTR(config-line)#login local
TESTE NO ROTEADOR NAT ANTES DA TRADUÇÃO

NAT_RTR#sh ip nat translations

NAT_RTR#

Não tendo ainda configurado o nat podemos ver

através do resultado do comando que não existe
nenhum resultado, poderemos no final ver o efeito apos
a configuração do NAT no roteador NAT_RTR
CONFIGURAÇAO DO NAT ESTATICO NO NAT ROUTER
NAT_RTR(config)#ip nat inside source static tcp 10.0.0.2 23
41.222.236.2 23 extendable

TESTE NO ROTEADOR NAT_RTR APOS A TRADUÇÃO

NAT_RTR# sh ip nat translations
Pro Inside global Inside local Outside local
Outside global
tcp 41.222.236.2:23 10.0.0.2:23 --- ---

NAT_RTR#sh ip nat translations

Pro Inside global Inside local Outside local
Outside global
tcp 41.222.236.2:23 10.0.0.2:23 41.222.236.1:60252
41.222.236.1:60252
tcp 41.222.236.2:23 10.0.0.2:23 --- ---
TESTE TELNET DO ROTEADOR INTERNET
INTERNET# telnet 41.222.236.2
Trying 41.222.236.2 ... Open

User Access Verification

Username: cisco
Password:
HOST_RTR>en
Password:
HOST_RTR#
 NAT_DINAMICO

INTERNET

Ip nat inside

2 10.0.0.0/30 1 2 41.222.236.0/29 1
fast0/0 fast0/0
fast0/0 fast0/1 INTERNET
HOST_RTR NAT_RTR

Lo1-192.168.1.1/24 Ip nat outside

Dada a topologia acima, utilizar para configuração e teste de nat dinâmico em roteadores cisco, A
mesma assemelha-se a topologia anterior, para efeito iremos apenas adicionar uma loopback1 no
roteador HOST_RTR de forma a simularmos uma rede interna a ser permitida no NAT.

1-Devera ser feito um teste de conectividade a rede publica antes de tradução e apos a tradução.

Configuração do roteador NAT_RTR

NAT_RTR(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.2

Teste efectuado antes da tradução

HOST_RTR# ping 41.222.236.1 source loopback 1

Type escape sequence to abort. E notável que antes da

tradução a rede interna
Sending 5, 100-byte ICMP Echos to 41.222.236.1,
192.168.1.0/24 não conheça a
timeout is 2 seconds: rede 41.222.236.0/29 na
Packet sent with a source address of 192.168.1.1 internet
..... neste contexto não poderemos
Success rate is 0 percent (0/5) pingar.
Configuração de nat dinâmico no roteador NAT_RTR

NAT_RTR(config)# ip nat inside source list 1 interface fastEthernet 0/0

overload
NAT_RTR(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Teste efectuado após tradução
HOST_RTR#ping 41.222.236.1 source loopback 1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 41.222.236.1, timeout is
2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
44/58/76 ms

Nota: É de salientar que partimos do principio que as interfaces fast0/0 e fast0/1 no roteador
NAT_RTR ja encontra-se configurado com os comandos

ip nat outside e ip nat inside respectivamente

 TOPOLOGIA-PARA-NAT-JUNIPER

197.168.169.0/29
2 172.40.0.0/30 1 2-5 1

Fast0/0 Ge-0/0/1 Ge-0/0/0 Fast0/0

HOST_RTR ISP_RTR
NAT_RTR
LOOPBACK1-192.168.1.1/24
Configuração de NAT em equipamentos Huawei
Configuração de NAT estático em equipamentos Huawei
 TOP OLOGI A P AR A P R ATI CA NAT
ESTATI CO EM H UAW EI

1 9 2 .1 6 8 .1 .0 / 2 4
2 1 2 4 1 .2 2 0 .0 .0 / 2 9 1

Ge0 / 0 / 1 Ge0 / 0 / 1 Ge0 / 0 / 0 Ge0 / 0 / 0

NAT_R TR I SP _R TR
R M T_R TR
Objectivo:

Dada a topologia acima configurar nat estático em roteadores Huawei,

conforme a topologia o roteador NAT_RT devera ser configurado a fim de que
o roteador RMT_RT seja accessado pelo o roteador ISP_RT via telnet. O ip
41.220.0.3 do pool de ips publico devera ser apontado ao IP interno
192.168.1.2 do roteador RMT_RT a ser accessado de fora. deveram configurar
uma access-list 3001 a fim de ser associado ao nat estático por motivos de
segurança.
1-Configuração do roteador
ISP_RT
[ISP_RTR]interface GigabitEthernet 0/0/0
[ISP_RTR-GigabitEthernet0/0/0]ip address 41.220.0.1 255.255.255.248
[ISP_RTR-GigabitEthernet0/0/0]

2-Configuração do roteador NAT_RT

2.1-Configuração de IP nas interfaces do roteador NAT_RT
[NAT_RTR]interface GigabitEthernet 0/0/0
[NAT_RTR-GigabitEthernet0/0/0]ip address 41.220.0.2 255.255.255.248
[NAT_RTR-GigabitEthernet0/0/0]

[NAT_RTR]interface GigabitEthernet 0/0/1

[NAT_RTR-GigabitEthernet0/0/1]ip address 192.168.1.1 255.255.255.0
[NAT_RTR-GigabitEthernet0/0/1]
2.3-Configuração da routa default apontada para o roteador ISP_RT

[NAT_RTR]ip route-static 0.0.0.0 0.0.0.0 41.220.0.1

2.4-Configuração da access-list a ser associada ao NAT

[NAT_RTR]acl 3001
[NAT_RTR-acl-adv-3001]rule 1 permit tcp source 41.220.0.3 0 destination
192.168.1.2 0 destination-port eq telnet

2.5-Configuração do nat na interface de WAN

[NAT_RTR]interface GigabitEthernet 0/0/0

[NAT_RTR-GigabitEthernet0/0/0]nat static global 41.220.0.3 inside
192.168.1.2 netmask 255.255.255.255 acl 3001
3-Configuração do roteador RMT_RT
3.1-Configuração de interface do roteador RMT_RT
[RMT_RT]interface GigabitEthernet 0/0/1
[RMT_RT-GigabitEthernet0/0/1]ip address 192.168.1.2 255.255.255.0
[RMT_RT-GigabitEthernet0/0/1]

3.2-Configuração de acesso telnet no roteador RMT_RT

[RMT_RT]telnet server enable

[RMT_RT]aaa
[RMT_RT-aaa]local-user fcoc password cipher fcoc1
[RMT_RT-aaa]local-user fcoc privilege level 3
[RMT_RT-aaa]local-user fcoc service-type telnet

[RMT_RT]user-interface vty 0 4
[RMT_RT-ui-vty0-4]authentication-mode aaa
TESTE PARA VISUALIZARMOS A EFECTIVIDADE DO NAT ESTATICO

<NAT_RTR>display nat static

Static Nat Information:
Interface : GigabitEthernet0/0/0
Global IP/Port : 41.220.0.3/----
Inside IP/Port : 192.168.1.2/----
Protocol : ----
VPN instance-name : ----

Acl number : 3001

Netmask : 255.255.255.255
Description : ----

Total : 1
Configuração de NAT dinâmico em equipamentos Huawei
 TOP OLOGI A P AR A P R ATI CA NAT
D I NAMI CO EM HUAW EI

Loop0-8.8.8.8/24
Loop1-4.2.2.2/24
1 9 2 .1 6 8 .2 .0 / 2 4 4 1 .2 2 0 .0 .0 / 2 9
Ge0 / 0 / 3 1Ge0 / 0 / 2 1 2 1
Ge0 / 0 / 0 Ge0 / 0 / 0
Ge0 / 0 / 2
1 9 2 .1 6 8 .2 .3 / 2 4 NAT_R TR I SP _R TR
H W _SW 1
Ge0 / 0 / 4

1 9 2 .1 6 8 .2 .4 / 2 4
Objectivo:

Dada a topologia configurar nat dinâmico de forma que a rede interna

192.168.2.0/24 accesse a Internet usando o pool publico
41.220.0.0/29, para simulação de trafego na internet devemos configurar os IP
de loop0 e 1 no roteador ISP_RT 8.8.8.8/24;4.2.2.2/24 respectivamente. E de
salientar que a configuração inicial e idêntica ao laboratório anterior, nesta
ordem de ideia ira apenas mudar a rede interna e interfaces de ligação entre o
roteador NAT_RTR e o switches que conecta a lan.

Apos configurar o nat dinâmico a rede interna devera enxergar a rede publica
através da tradução.

Testar acesso aos prefixos 8.8.8.8 e 4.2.2.2 através de ping e tracert

1-Configuração do roteador ISP_RT
1.1-Configuração de IP nas interfaces loopback do roteador ISP_RT

[ISP_RT]interface LoopBack 0
[ISP_RT-LoopBack0]ip address 8.8.8.8 24

[ISP_RT]interface LoopBack 1
[ISP_RT-LoopBack1]ip address 4.2.2.2 24
2-Configuração do roteador NAT_RT
2.1-Configuração de IP na interface ge0/0/2 do roteador NAT_RT
[NAT_RTR]interface GigabitEthernet 0/0/2
[NAT_RTR-GigabitEthernet0/0/2]ip address 192.168.2.1 255.255.255.0

3-CRIAÇAO DO POOL DE ENDEREÇOS PUBLICOS NO ROTEADOR NAT_RTR

[NAT_RTR] nat address-group 1 41.220.0.3 41.220.0.6

4-CRIAÇAO DA ACCESS-LIST ASSOCIAR AO NAT

[NAT_RTR]acl 2001
NAT_RTR-acl-basic-2001]rule 1 permit source 192.168.2.0 0.0.0.255
5-Aplicação da regra de NAT na interface gig0/0/0

[NAT_RTR]interface GigabitEthernet 0/0/0

[NAT_RTR-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 no-pat
[NAT_RTR-GigabitEthernet0/0/0]

Nota: O comando abaixo e importante a quando a configuração de

nat em roteadores huawei pois o mesmo permite a passagem de
pacotes icmp (ping)

[NAT_RTR]ip soft-forward enhance enable

**TESTE DE EFECTIVIDADE DO NAT

<NAT_RTR>display nat outbound

NAT Outbound Information:

-----------------------------------------------------------------------
---
Interface Acl Address-group/IP/Interface
Type

-----------------------------------------------------------------------
---
GigabitEthernet0/0/0 2001 1
pat

-----------------------------------------------------------------------
---
Total : 1
**TESTE DE EFECTIVIDADE DO NAT