En la práctica, debido a las direcciones IPv4 limitadas, las direcciones IP privadas se utilizan generalmente en las redes LAN. El rango de direcciones privadas por clase se muestran a continuación.
l Clase A: 10.0.0.0 - 10.255.255.255
l Clase B: 172.16.0.0 - 172.31.255.255
l Clase C: 192.168.0.0 -192.168.255.255
Una red privada no puede conectarse a Internet porque usa una dirección IP privada. Impulsadas por los requisitos, muchas redes privadas también necesitan conectarse a Internet para implementar la comunicación entre redes privadas e Internet y entre redes privadas a través de Internet. La interconexión entre la red privada e Internet debe implementarse utilizando la tecnología NAT.
La traducción de direcciones de red (NAT) traduce la dirección IP en un encabezado de datagrama IP a otra dirección IP, lo que permite a los usuarios de redes privadas acceder a redes públicas.
Figura 1. Esquema básico de NAT.
NAT estática
NAT estática: una dirección IP privada se asigna a una dirección IP pública fija.
1. Acceso bidireccional: cuando un host interno con una dirección IP privada accede a Internet, el dispositivo NAT de salida traduce la dirección IP privada en una dirección IP pública. De manera similar, cuando un dispositivo de red externo envía paquetes para acceder a una red interna, el dispositivo NAT traduce la dirección pública (dirección de destino) contenida en los paquetes en una dirección privada.
2. La NAT estática asigna direcciones estrictamente en modo uno a uno. Como resultado, incluso si un host interno está fuera de línea durante mucho tiempo o no envía datos, la dirección pública sigue ocupada por el host.
Figura 2. Ejemplo de NAT estática
NAT dinámica (NO-PAT)
NAT dinámica: una dirección IP privada se asigna a una dirección IP pública de un grupo de direcciones NAT que contiene un grupo de direcciones IP públicas.
Cuando un host interno accede a una red externa, una dirección IP disponible en un grupo de NAT se asigna temporalmente al host y se marca como En uso. Cuando el host ya no accede a la red externa, la dirección IP asignada se recupera y se marca como No usar.
Como se muestra en la siguiente figura, el proceso de NAT dinámica es el siguiente:
1. El router recibe un paquete de solicitud enviado desde el host en la red privada para acceder al servidor en la red pública. La dirección IP de origen del paquete es 192.168.1.1.
2. El router selecciona una dirección IP pública inactiva (122.1.22.2) del grupo de direcciones IP y configura entradas NAT directas e inversas que especifican la asignación entre la dirección IP de origen del paquete y la dirección IP pública. El enrutador traduce la dirección IP de origen del paquete a la dirección IP pública según la entrada de NAT de reenvío y envía el paquete al servidor en la red pública. Después de la traducción, la dirección IP de origen del paquete es 122.1.22.2 y su dirección IP de destino es 200.1.2.3.
Figura 3. Ejemplo NAT dinámico (No-PAT)
3. Después de recibir un paquete de respuesta del servidor en la red pública, el enrutador consulta la entrada de NAT inversa según la dirección IP de destino del paquete. El enrutador traduce la dirección IP de destino del paquete a la dirección IP privada del host en la red privada según la entrada de NAT inversa y envía el paquete al host. Después de la traducción, la dirección IP de origen del paquete es 200.1.2.3 y su dirección IP de destino es 192.168.1.1.
Figura 4. Ejemplo de proceso de NAT dinámico
NATP
Además de la traducción de direcciones uno a uno, la traducción de direcciones de red y puertos (NAPT) permite asignar varias direcciones IP privadas a la misma dirección IP pública. También se denomina traducción de direcciones de varios a uno o reutilización de direcciones.
NAPT traduce la dirección IP y el número de puerto de un paquete para que varios usuarios de una red privada puedan utilizar la misma dirección IP pública para acceder a la red pública.
El proceso NAPT es el siguiente:
1. El router recibe un paquete de solicitud enviado desde el host en la red privada para acceder al servidor en la red pública. Por ejemplo, el paquete se envía desde el host A al enrutador, su dirección IP de origen es 192.168.1.1 y su número de puerto es 10321.
2. El router selecciona una dirección IP pública inactiva y un número de puerto inactivo del grupo de direcciones IP, y configura entradas NAPT directas e inversas que especifican la asignación entre la dirección IP de origen y el número de puerto del paquete y la dirección IP pública y número de puerto. El router traduce la dirección IP de origen del paquete y el número de puerto a la dirección IP pública y el número de puerto según la entrada NAPT de reenvío y envía el paquete al servidor en la red pública. Por ejemplo, después de realizar la traducción en el paquete del Host A, la dirección IP de origen del paquete es 122.1.2.2 y su número de puerto es 1025.
Figura 5. Ejemplo de proceso NAPT
3. Después de recibir un paquete de respuesta del servidor en la red pública, el router consulta la entrada NAPT inversa según la dirección IP de destino del paquete y el número de puerto. El router traduce la dirección IP de destino del paquete y el número de puerto a la dirección IP privada y el número de puerto del host en la red privada según la entrada NAPT inversa y envía el paquete al host. Por ejemplo, después de que se realiza la traducción en el paquete enviado desde el servidor al Host A, la dirección IP de destino del paquete es 192.168.1.1 y su número de puerto de destino es 10321.
Figura 6. Ejemplo de proceso NAPT
Easy IP
Easy IP: traduce tanto las direcciones IP como los números de puerto de la capa de transporte. La implementación de Easy IP es la misma que la de NAPT. La diferencia es que Easy IP no incluye grupos de direcciones. Utiliza una dirección de interfaz como dirección pública para NAT.
Easy IP se aplica a escenarios donde las direcciones IP públicas no son fijas, como escenarios donde las direcciones IP públicas se obtienen dinámicamente mediante dispositivos de salida en redes privadas a través de acceso telefónico DHCP o PPPoE.
Figura 7. Ejemplo de proceso Easy IP
Servidor NAT
Por motivos de seguridad, la mayoría de los hosts de redes privadas no esperan el acceso de los usuarios de la red pública. Sin embargo, en algunas aplicaciones, los usuarios de redes públicas necesitan acceder a un servidor de red privada, por ejemplo, un servidor WWW o un servidor FTP de red privada. En nat dinámica o NAPT, las entradas NAT no se pueden crear dinámicamente para el acceso iniciado por los usuarios de la red pública. Como resultado, los usuarios de la red pública no pueden acceder a los hosts de la red privada.
Para solucionar este problema, se puede configurar la función del servidor NAT (también llamado servidor interno NAT). Esta función crea asignaciones entre direcciones IP privadas + números de puerto y direcciones IP públicas + números de puerto en un dispositivo NAT. Con esta función, el dispositivo NAT puede traducir de forma inversa direcciones IP públicas a direcciones IP privadas para que los usuarios de una red pública puedan acceder a los servidores internos.
Por ejemplo, como se muestra en la siguiente figura, la función del servidor NAT está habilitada en un dispositivo NAT, y la dirección IP de un servidor de red privada + número de puerto (192.168.1.10:80) se asigna a una dirección IP de red pública + número de puerto ( 122.1.1.1:80). Cuando un host de red pública requiere acceder al servidor 192.168.1.10, el dispositivo NAT convierte 122.1.1.1:80 a 192.168.1.10:80, de modo que la solicitud de servicio pueda llegar al servidor 192.168.1.10 en la red privada.
Figura 8. Servidor NAT.
Saludos.
FIN.
También te puede interesar:
Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática
Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei
Escenario de aplicación típica del firewall como cliente DNS
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente