<< Volver al Glosario técnico

Definición de Traducción de direcciones de red

La traducción de direcciones de red (NAT) es un proceso que permite que una dirección IP única represente a un grupo completo de equipos. En la traducción de direcciones de red, un dispositivo de red, a menudo un enrutador o firewall NAT, asigna una dirección pública a un equipo o equipos dentro de una red privada. De esta manera, la traducción de direcciones de red permite que un solo dispositivo actúe como intermediario o agente entre la red privada local y la red pública que es Internet. El objetivo principal de NAT es conservar el número de direcciones IP públicas en uso, tanto para objetivos de seguridad como económicos.

Esta imagen muestra la traducción de direcciones de red (NAT) y el proceso de sincronización de todas las direcciones de dispositivo a un servidor seguro.

Preguntas frecuentes sobre la Traducción de direcciones de red

¿Qué es la Traducción de direcciones de red?

La traducción de direcciones de red (NAT) conserva las direcciones IP al permitir que las redes IP privadas que utilizan direcciones IP no registradas se conecten en línea. Antes de que NAT reenvíe paquetes entre las redes que conecta, traduce las direcciones de red internas privadas en direcciones legales únicas a nivel mundial.

Las configuraciones NAT pueden revelar una sola dirección IP para toda una red al mundo exterior como parte de esta capacidad, ocultando efectivamente toda la red interna y proporcionando seguridad adicional. La traducción de direcciones de red generalmente se implementa en entornos de acceso remoto, ya que ofrece las funciones duales de conservación de direcciones y seguridad mejorada.

¿Cuál es el propósito de la Traducción de Direcciones de Red?

Para comunicarse con Internet, un sistema de red requiere una dirección IP única. Este número de 32 bits identifica y localiza el dispositivo de red para que un usuario pueda comunicarse con él.

El esquema de direccionamiento IPV4 de décadas pasadas técnicamente hizo que miles de millones de estas direcciones únicas estuvieran disponibles, pero no todas se podían asignar a dispositivos para la comunicación. En cambio, algunos estaban exentos y se usaban para pruebas, transmisiones y ciertos fines militares reservados. Si bien eso dejó más de 3 mil millones para la comunicación, la proliferación de Internet ha significado que las direcciones estaban casi agotadas.

Se introdujo el esquema de direccionamiento IPv6 como la solución a esta debilidad en el esquema de direccionamiento IPv4. IPv6 recrea el sistema de direccionamiento para que haya más opciones para asignar direcciones, pero ha llevado varios años modificar la infraestructura del sistema de red e implementarla. NAT fue introducido por Cisco en el ínterin y ampliamente desplegado.

Cómo funciona la traducción de direcciones de red

La traducción de direcciones de red permite que un solo dispositivo, como un firewall NAT o enrutador NAT u otro dispositivo de traducción de direcciones de red, actúe como agente entre la red pública y las redes privadas, Internet y cualquier red local. Esto permite que un grupo completo de dispositivos esté representado por una única dirección IP única cuando hacen algo fuera de su red.

NAT funciona como la recepcionista de una gran empresa, con instrucciones específicas sobre qué llamadas y visitantes deben mantenerse alejados, hacer esperar o enviar, y a dónde deben ir. Por ejemplo, puede decirle a la recepcionista que no reenvíe ningún visitante o llamada sin su solicitud hasta que esté esperando algo específico; luego puede dejar instrucciones sobre cómo permitir que la comunicación con el cliente en particular pase.

El cliente llama al número principal de la empresa, porque ese número público es el único que se conoce. Le dicen a la recepcionista que necesitan hablar con usted, y la recepcionista a) comprueba las instrucciones y sabe que desea que se reenvíe la llamada, y b) combina su extensión con una lista para enviar la información al lugar correcto. La persona que llama nunca recibe tu línea privada.

La traducción de direcciones de red funciona de manera similar. La solicitud llega a la dirección IP pública y al puerto, y las instrucciones NAT la envían a donde debe ir sin revelar las direcciones IP privadas de los destinos.

Ejemplo de traducción de direcciones de red NAT

Como ejemplo de traducción de direcciones de red NAT, es posible que un host interno desee comunicarse con una dirección de servidor web de traducción de direcciones de red de destino en el mundo exterior. Para mayor comunicación, enviará un paquete de datos al enrutador de puerta de enlace NAT de la red.

El enrutador de puerta de enlace NAT determina si el paquete cumple la condición para la traducción aprendiendo la dirección IP de origen del paquete y buscándola en la tabla. Puede localizar hosts autenticados para fines de traducción de red interna en su lista de control de acceso (ACL) y, a continuación, completar la traducción, produciendo una dirección IP global interna a partir de la dirección IP local interna.

Finalmente, el enrutador de puerta de enlace NAT enrutará el paquete al destino después de guardar la traducción en la tabla NAT. El paquete vuelve a la dirección IP global del enrutador cuando el servidor web de Internet vuelve a la solicitud. Volviendo a la tabla NAT, el enrutador puede determinar qué dirección IP traducida corresponde a qué dirección global, traducirla a la dirección local interna y entregar el paquete de datos al host en su dirección IP. El paquete de datos se descarta si no se encuentra ninguna coincidencia.

Tipos de Traducción de Direcciones de Red

Hay muchas formas de NAT y puede funcionar de varias maneras.

SNAT de traducción de direcciones de red estáticas. SNAT mapea direcciones IP no registradas utilizando la traducción de direcciones de red de 1 a 1 para que coincidan con las direcciones IP registradas. Es particularmente útil cuando un dispositivo necesita ser accesible desde fuera de la red.

Traducción dinámica de direcciones de red DNAT. Esta forma de NAT selecciona un destino de un grupo de direcciones IP registradas y asigna una dirección IP no registrada a la versión registrada.

Traducción inversa de direcciones de red RNAT. RNAT permite a los usuarios conectarse a sí mismos utilizando Internet o la red pública.

Sobrecarga de traducción de direcciones de red NAT. Esto también se conoce como sobrecarga NAT, NAT multiplexado a nivel de puerto, NAT de una sola dirección o traducción de direcciones de puerto (PAT). Esta forma de NAT dinámico utiliza diferentes puertos para asignar varias direcciones IP privadas, locales y no registradas a una única dirección IP registrada y distinguir qué tráfico pertenece a qué dirección IP NAT. En términos de traducción de direcciones de puerto vs traducción de direcciones de red, PAT a menudo es más rentable cuando muchos usuarios están conectados a Internet a través de una sola dirección IP pública.

Traducción de direcciones de red superpuestas NAT. La NAT superpuesta puede ocurrir cuando dos organizaciones cuyas redes usan direcciones IP RFC 1918 se fusionan, o cuando las direcciones IP registradas se asignan a varios dispositivos o se usan de otro modo en más de una red interna. En ambos casos, las redes necesitan comunicarse, y las organizaciones usan NAT superpuestas para lograr esto sin volver a comprimir todos los dispositivos.

El enrutador NAT intercepta direcciones y mantiene una tabla de ellas para poder reemplazarlas con direcciones IP únicas registradas. El enrutador de traducción de direcciones de red debe traducir las direcciones IP externas registradas a las únicas de la red privada y traducir las direcciones IP internas a direcciones únicas registradas. Puede lograr esto mediante el uso de DNS para implementar NAT dinámico o a través de NAT estático.

En el contexto de traducción de direcciones de red, la red interna, comúnmente conocida como el dominio stub, suele ser una red LAN de área local que utiliza direcciones IP internamente. La mayor parte del tráfico de red del dominio stub es local, permaneciendo dentro de la red interna. Un dominio stub puede incluir direcciones IP no registradas y registradas.

Configuración de traducción de direcciones de red

Una configuración NAT tradicional requiere al menos una interfaz en un enrutador (NAT fuera); otra interfaz en el enrutador (NAT dentro); y un conjunto configurado de reglas para traducir las direcciones IP en los encabezados de paquetes y posiblemente las cargas útiles.

En este ejemplo de configuración de traducción de direcciones de red, configura el enrutador NAT de la siguiente manera. Siempre que un dispositivo en el interior con una dirección IP no registrada (interna, local) necesite comunicarse con la red (externa, pública), el enrutador traduce esas direcciones no registradas que residen en la red privada (interna) a direcciones IP registradas.

  • La organización recibe un rango de direcciones IP únicas registradas asignadas por el ISP. La lista de direcciones asignada se llama dentro de direcciones globales.
  • El equipo divide las direcciones privadas no registradas en un grupo pequeño y un grupo mucho más grande. El dominio stub utilizará el grupo más grande, llamado dentro de direcciones locales. Los enrutadores NAT utilizarán el pequeño grupo, llamado direcciones locales externas, para traducir las direcciones globales externas o direcciones IP únicas de los dispositivos en la red pública.
  • La mayoría de los equipos de dominio stub se comunican entre sí utilizando direcciones locales internas. Hay direcciones globales internas para aquellos equipos de dominio stub que se comunican ampliamente fuera de la red, lo que significa que no requieren traducción.
  • Sin embargo, cuando un equipo de dominio stub típico con una dirección local interna necesita comunicarse fuera de la red, envía el paquete a un enrutador NAT.
  • El enrutador NAT comprueba la dirección de destino en la tabla de enrutamiento. Si tiene una entrada para esa dirección, el enrutador NAT traduce el paquete e introduce esa acción en la tabla de traducción de direcciones. El enrutador NAT suelta el paquete si la dirección de destino no está en la tabla de enrutamiento.
  • El enrutador envía el paquete usando una dirección global interna.
  • Un equipo de red pública envía un paquete a la red privada. La dirección de destino del paquete es una dirección global interna y su dirección de origen es una dirección global externa.
  • El enrutador NAT confirma que la dirección de destino se asigna a un equipo de dominio stub comprobando la tabla de traducción de direcciones.
  • El enrutador NAT envía el paquete al equipo de destino después de traducir la dirección global interna del paquete a la dirección local interna.

La sobrecarga NAT utiliza multiplexación, una función de pila de protocolos TCP/IP. La multiplexación permite a una computadora mantener múltiples conexiones con computadoras remotas simultáneamente utilizando diferentes puertos. El encabezado de un paquete IP contiene:

Dirección de origen. La dirección IP del equipo de origen, por ejemplo, 123.123.12.1
Puerto de origen. El número de puerto TCP o UDP asignado para este paquete, por ejemplo, Puerto 1060
Dirección de destino. La dirección IP del ordenador receptor, por ejemplo, 52.220.51.237
Puerto de destino. El número de puerto de traducción de direcciones de red TCP o UDP que el equipo de destino debe abrir, por ejemplo, el Puerto 2170

Estos cuatro números combinados representan una única conexión TCP / IP. Las direcciones aclaran los dos equipos en cada extremo, y los números de puerto proporcionan un identificador único para la conexión entre los dos equipos. Aunque hay 65.536 valores posibles aquí, ya que cada número de puerto utiliza 16 bits, los puertos diferentes se asignan de maneras ligeramente diferentes, por lo que aproximadamente 4.000 puertos disponibles es realista.

NAT dinámico y Configuración de sobrecarga de NAT

En la traducción dinámica de direcciones de red:

  • IANA (Autoridad de Números Asignados de Internet), la autoridad global que asigna direcciones IP, es la única fuente de direcciones IP únicas. Cuando se ha configurado un dominio stub o una red interna con direcciones IP que IANA no asignó específicamente para ellos, las direcciones no son únicas y, por lo tanto, no se pueden enrutar.
  • La organización configura un enrutador habilitado para NAT que contiene un rango de direcciones IP únicas de IANA.
  • Un equipo de dominio stub intenta conectarse a un equipo externo.
  • El router recibe el paquete del ordenador del dominio stub.
  • El enrutador habilitado para NAT guarda la dirección IP no enrutable del equipo de envío a una tabla de traducción de direcciones. El enrutador asigna la primera dirección IP disponible fuera de la zona de direcciones IP únicas al equipo de envío para reemplazar la dirección IP no enrutable.
  • El enrutador ahora comprueba la dirección de destino de cada paquete cuando llega desde el equipo de destino, y verifica a qué equipo de dominio stub pertenece el paquete con la tabla de traducción de direcciones. Si no encuentra ninguna coincidencia, se le cae el paquete. De lo contrario, localiza la alternativa para la dirección de destino guardada en la tabla de traducción de direcciones y la envía.
  • La computadora recibe el paquete y el proceso continúa mientras el sistema externo y la computadora se comuniquen.

En sobrecarga NAT:

  • Como en el ejemplo anterior de NAT dinámico, se ha configurado un dominio stub o una red interna con direcciones IP no enrutables y no únicas no asignadas específicamente para ellos, por lo que la organización configura un enrutador habilitado para NAT que contiene una dirección IP única de IANA.
  • Un equipo de dominio stub intenta conectarse a un equipo externo.
  • El enrutador habilitado para NAT recibe el paquete del equipo del dominio stub.
  • El enrutador NAT guarda la dirección IP no enrutable y el número de puerto del equipo de envío a una tabla de traducción de direcciones. El enrutador asigna un número de puerto y la dirección IP del enrutador a la computadora de envío para reemplazar la dirección IP y el número de puerto no enrutables.
  • El enrutador comprueba los puertos de destino de los paquetes que regresan del equipo de destino y confirma a qué equipo de dominio stub pertenece el paquete. Reemplaza el puerto y la dirección de destino con las versiones guardadas de la tabla de traducción de direcciones y las envía.
  • La computadora recibe el paquete y el proceso continúa mientras el sistema externo y la computadora se comuniquen.
  • El enrutador NAT continuará utilizando el mismo número de puerto durante toda la conexión, ya que tiene el puerto de origen y la dirección del equipo guardados en la tabla de traducción de direcciones. Si la comunicación termina sin que se vuelva a acceder a la entrada, el enrutador elimina la entrada de la tabla.

A diferencia del equipo descrito anteriormente en la configuración NAT tradicional, así es como los equipos de dominio stub pueden aparecer en redes externas:

Equipo de origen 1

Dirección IP: 192.168.24.11
Puerto del equipo: 620
Dirección IP del enrutador NAT: 215.37.32.203
Número de puerto del router NAT: 1

Ordenador de origen 2

Dirección IP: 192.168.24.12
Puerto del ordenador: 80
Dirección IP del router NAT: 215.37.32.203
Número de puerto del router NAT: 2

Ordenador de origen 3

Dirección IP: 192.168.24.13
Puerto de la computadora: 1560
Dirección IP del enrutador NAT: 215.37.32.203
Número de puerto del enrutador NAT: 3

El enrutador habilitado para NAT almacena la dirección IP y el número de puerto de cada computadora de origen. Utiliza su propia dirección IP registrada y números de puerto para reemplazar la dirección IP y el número de puerto que corresponden al equipo de origen de ese paquete en la tabla. En lugar de la información de la computadora de origen en cada paquete, cualquier red externa ve la dirección IP del enrutador NAT y el número de puerto asignado.

Algunos equipos de dominio stub utilizan direcciones IP dedicadas. En estas situaciones, sus direcciones IP pueden pasar por el enrutador NAT sin traducir si crea una lista de acceso de direcciones IP que aclare para el enrutador qué equipos de red requieren NAT.

La Memoria de Acceso Aleatorio Dinámico (DRAM) de un router es el factor principal que determina el número de traducciones simultáneas que puede admitir. Una entrada típica de la tabla de traducción de direcciones requiere aproximadamente 160 bytes, por lo que para la mayoría de las aplicaciones, un enrutador con 4 MB de DRAM es suficiente.

De acuerdo con IANA y RFC 1918, hay rangos específicos de direcciones IP para usar como direcciones de red internas que no son enrutables. Estas direcciones no están registradas, lo que significa que ninguna agencia o empresa puede usarlas en computadoras públicas o reclamar la propiedad sobre ellas. En lugar de reenviar direcciones no registradas, los enrutadores están diseñados para descartarlas. Por lo tanto, un paquete de una dirección de computadora de envío no registrada podría llegar a su destino de computadora registrada, pero el primer enrutador al que llegó la respuesta lo descartaría.

Para reducir la posibilidad de un conflicto de direcciones IP, vale la pena seguir el rango para cada una de las tres clases de direcciones IP en su red interna:

  • Rango 1: Clase A – 10.0.0.0 a 10.255.255.255
  • Rango 2: Clase B – 172.16.0.0 a 172.31.255.255
  • Rango 3: Clase C – 192.168.0.0 a través 192.168.255.255

Sin embargo, se trata de una práctica óptima, no de un requisito.

Enrutador NAT

Mediante sobrecarga NAT, un enrutador NAT crea una red de direcciones IP para una red de área local LAN y conecta la red pública que es Internet a esa red LAN. El enrutador ejecuta el NAT que permite la comunicación entre WAN o Internet y los dispositivos u ordenadores host de la red LAN. Debido a que los enrutadores NAT parecen ser un host único con una dirección IP única a Internet, se utilizan para industrias a pequeña escala y fines domésticos.

Ventajas de la Traducción de direcciones de red

Ventajas de NAT

Conservación de direcciones. NAT conserva las direcciones IP que están registradas legalmente y evita su agotamiento.

Seguridad de la traducción de direcciones de red. NAT ofrece la posibilidad de acceder a Internet con más seguridad y privacidad al ocultar la dirección IP del dispositivo de la red pública, incluso al enviar y recibir tráfico. La limitación de velocidad NAT permite a los usuarios limitar el número máximo de operaciones NAT simultáneas en un enrutador y limitar el número de traducciones NAT. Esto proporciona más control sobre el uso de direcciones NAT, pero también se puede usar para limitar los efectos de gusanos, virus y ataques de denegación de servicio (DoS). La implementación dinámica de NAT crea un cortafuegos entre la red interna e Internet automáticamente. Algunos routers NAT ofrecen registro y filtrado de tráfico.

Flexibilidad. NAT proporciona flexibilidad; por ejemplo, se puede implementar en un entorno LAN inalámbrico público. La asignación entrante o NAT estática permite que los dispositivos externos inicien conexiones con equipos en el dominio stub en algunos casos.

Simplicidad. Elimina la necesidad de renumerar direcciones cuando una red cambia o se fusiona.
La traducción de direcciones de red le permite crear un host virtual de red interna para coordinar el equilibrio de carga TCP para servidores de red internos.

Velocidad. En comparación con los servidores proxy, NAT es transparente para los equipos de destino y origen, lo que permite un trato directo más rápido. Además, los servidores proxy normalmente funcionan en la capa de transporte o en la capa 4 del Modelo de Referencia OSI o superior, lo que los hace más lentos que la traducción de direcciones de red, que es un protocolo de capa de red o de capa 3.Escalabilidad

. NAT y el protocolo de configuración dinámica de host (DHCP) funcionan bien juntos, con el servidor DHCP repartiendo direcciones IP no registradas para el dominio stub de la lista según sea necesario. El escalado es más fácil, ya que puede aumentar el rango disponible de direcciones IP que el DHCP configura para hacer espacio para computadoras de red adicionales de inmediato en lugar de solicitar más direcciones IP de IANA a medida que aumentan las necesidades.

Multi-homing. Las conexiones múltiples a Internet, llamadas multi-homing, ayudan a mantener una conexión confiable y reducen la posibilidad de un apagado en caso de una conexión fallida. Esto también permite equilibrar la carga mediante la reducción del número de equipos que utilizan una sola conexión. Las redes de varios hogares a menudo se conectan a varios ISP, cada uno de los cuales asigna un rango de direcciones IP o una sola dirección IP a la organización. Los enrutadores utilizan la traducción de direcciones de red para enrutar entre redes utilizando diferentes protocolos de traducción de direcciones de red. En una red multi-hogar, el enrutador utiliza parte del conjunto de protocolos TCP/IP, el protocolo de puerta de enlace de frontera (BGP), para comunicarse; el lado del dominio stub utiliza BGP o IBGP internos, y los enrutadores se comunican entre sí utilizando BGP o EBGP externos. Multi-homing redirige todos los datos a través de otro enrutador en caso de que una de las conexiones a un ISP falle.

Desventajas de NAT

consumo de Recursos. La traducción de direcciones de red es una tecnología que consume recursos de memoria y espacio de procesador, ya que debe traducir direcciones IPv4 para todos los datagramas IPv4 salientes y entrantes y retener los detalles de la traducción en memoria.

Retrasos. Los retrasos en la ruta son causados por los resultados de traducción en los retrasos en el cambio de ruta.
Funcionalidad. Algunas aplicaciones y tecnologías no funcionarán como se esperaba con NAT habilitado.

Trazabilidad. La traducción de direcciones de red complica los protocolos de tunelización. IPsec es el protocolo seguro recomendado para la traducción de direcciones de red.

Problema de capa. Un enrutador es un dispositivo para la capa de red, sin embargo, como dispositivo NAT, se requiere manipular la capa de transporte en forma de números de puerto.

¿Avi Ofrece una Solución de Software de Traducción de Direcciones de Red?

La plataforma Avi Vantage de Avi Networks, un tejido de servicios de aplicaciones definido por software, aplica políticas de control de acceso y captura y analiza el tráfico de aplicaciones de extremo a extremo, brindando servicios mucho más allá del equilibrio de carga.

Cuando se implementan nuevos servidores de aplicaciones, los servidores necesitan conectividad externa para poder administrarlos. En ausencia de un enrutador en las redes de servidores, el Avi SE puede usar para enrutar el tráfico de las redes de servidores utilizando la función de enrutamiento IP de los Motores de servicio. La funcionalidad NAT del Motor de servicio Avi (SE) cubre esto y sirve como puerta de enlace NAT para toda la red privada de servidores.

NAT funcionará a través de enrutamiento IP en el Motor de servicio, la función de puerta de enlace predeterminada SE, o en la fase posterior al enrutamiento de la ruta del paquete. Para usar la funcionalidad NAT de salida, es necesario habilitar el enrutamiento IP en el Motor de servicio y usar el SE como puerta de enlace.

Avi admite NAT de salida para flujos TCP / UDP e ICMP.

Hay tres opciones de casos de uso de NAT salientes:

  • Flujos NAT (mostrar información de flujo NAT)
  • Estadísticas de políticas NAT (mostrar estadísticas de políticas NAT)
  • Estadísticas NAT (mostrar estadísticas NAT)

La plataforma también permite NAT o SNAT de origen para la identificación de la aplicación. La dirección IP de origen utilizada por Avi SEs para las conexiones de back-end del servidor se puede sobrescribir a través de una dirección explícita especificada por el usuario: la dirección IP de origen NAT (SNAT). La dirección IP SNAT puede ser específica como parte de la configuración del servicio virtual.

En algunas implementaciones, para proporcionar un tratamiento diferencial basado en la aplicación, es esencial identificar el tráfico basado en la dirección IP de origen. Por ejemplo, en las implementaciones de DMZ, es posible que sea necesario validar clientes utilizando la IP de origen antes de pasar tráfico a una aplicación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.