De acuerdo

Seguridad y acceso a la red: introducción a NAT Destacado

Última respuesta oct. 13, 2021 21:40:57 241 2 8 0 0

En la práctica, debido a las direcciones IPv4 limitadas, las direcciones IP privadas se utilizan generalmente en las redes LAN. El rango de direcciones privadas por clase se muestran a continuación.

 

l  Clase A: 10.0.0.0 - 10.255.255.255

l  Clase B: 172.16.0.0 - 172.31.255.255

l  Clase C: 192.168.0.0 -192.168.255.255

 

Una red privada no puede conectarse a Internet porque usa una dirección IP privada. Impulsadas por los requisitos, muchas redes privadas también necesitan conectarse a Internet para implementar la comunicación entre redes privadas e Internet y entre redes privadas a través de Internet. La interconexión entre la red privada e Internet debe implementarse utilizando la tecnología NAT.

 

La traducción de direcciones de red (NAT) traduce la dirección IP en un encabezado de datagrama IP a otra dirección IP, lo que permite a los usuarios de redes privadas acceder a redes públicas.

 

g1

 

Figura 1. Esquema básico de NAT.


NAT estática

NAT estática: una dirección IP privada se asigna a una dirección IP pública fija.

 

1. Acceso bidireccional: cuando un host interno con una dirección IP privada accede a Internet, el dispositivo NAT de salida traduce la dirección IP privada en una dirección IP pública. De manera similar, cuando un dispositivo de red externo envía paquetes para acceder a una red interna, el dispositivo NAT traduce la dirección pública (dirección de destino) contenida en los paquetes en una dirección privada.

 

2. La NAT estática asigna direcciones estrictamente en modo uno a uno. Como resultado, incluso si un host interno está fuera de línea durante mucho tiempo o no envía datos, la dirección pública sigue ocupada por el host.

 

g2


Figura 2. Ejemplo de NAT estática


NAT dinámica (NO-PAT)

NAT dinámica: una dirección IP privada se asigna a una dirección IP pública de un grupo de direcciones NAT que contiene un grupo de direcciones IP públicas.


Cuando un host interno accede a una red externa, una dirección IP disponible en un grupo de NAT se asigna temporalmente al host y se marca como En uso. Cuando el host ya no accede a la red externa, la dirección IP asignada se recupera y se marca como No usar.

 

Como se muestra en la siguiente figura, el proceso de NAT dinámica es el siguiente:

 

1. El router recibe un paquete de solicitud enviado desde el host en la red privada para acceder al servidor en la red pública. La dirección IP de origen del paquete es 192.168.1.1.

 

2. El router selecciona una dirección IP pública inactiva (122.1.22.2) del grupo de direcciones IP y configura entradas NAT directas e inversas que especifican la asignación entre la dirección IP de origen del paquete y la dirección IP pública. El enrutador traduce la dirección IP de origen del paquete a la dirección IP pública según la entrada de NAT de reenvío y envía el paquete al servidor en la red pública. Después de la traducción, la dirección IP de origen del paquete es 122.1.22.2 y su dirección IP de destino es 200.1.2.3.

 

g3


Figura 3. Ejemplo NAT dinámico (No-PAT)


3. Después de recibir un paquete de respuesta del servidor en la red pública, el enrutador consulta la entrada de NAT inversa según la dirección IP de destino del paquete. El enrutador traduce la dirección IP de destino del paquete a la dirección IP privada del host en la red privada según la entrada de NAT inversa y envía el paquete al host. Después de la traducción, la dirección IP de origen del paquete es 200.1.2.3 y su dirección IP de destino es 192.168.1.1.

 

g4

 

Figura 4. Ejemplo de proceso de NAT dinámico


NATP

Además de la traducción de direcciones uno a uno, la traducción de direcciones de red y puertos (NAPT) permite asignar varias direcciones IP privadas a la misma dirección IP pública. También se denomina traducción de direcciones de varios a uno o reutilización de direcciones.

 

NAPT traduce la dirección IP y el número de puerto de un paquete para que varios usuarios de una red privada puedan utilizar la misma dirección IP pública para acceder a la red pública.


El proceso NAPT es el siguiente:

 

1. El router recibe un paquete de solicitud enviado desde el host en la red privada para acceder al servidor en la red pública. Por ejemplo, el paquete se envía desde el host A al enrutador, su dirección IP de origen es 192.168.1.1 y su número de puerto es 10321.

 

2. El router selecciona una dirección IP pública inactiva y un número de puerto inactivo del grupo de direcciones IP, y configura entradas NAPT directas e inversas que especifican la asignación entre la dirección IP de origen y el número de puerto del paquete y la dirección IP pública y número de puerto. El router traduce la dirección IP de origen del paquete y el número de puerto a la dirección IP pública y el número de puerto según la entrada NAPT de reenvío y envía el paquete al servidor en la red pública. Por ejemplo, después de realizar la traducción en el paquete del Host A, la dirección IP de origen del paquete es 122.1.2.2 y su número de puerto es 1025.

 

g5


Figura 5. Ejemplo de proceso NAPT


3. Después de recibir un paquete de respuesta del servidor en la red pública, el router consulta la entrada NAPT inversa según la dirección IP de destino del paquete y el número de puerto. El router traduce la dirección IP de destino del paquete y el número de puerto a la dirección IP privada y el número de puerto del host en la red privada según la entrada NAPT inversa y envía el paquete al host. Por ejemplo, después de que se realiza la traducción en el paquete enviado desde el servidor al Host A, la dirección IP de destino del paquete es 192.168.1.1 y su número de puerto de destino es 10321.

 

g6

Figura 6. Ejemplo de proceso NAPT

 

Easy IP

Easy IP: traduce tanto las direcciones IP como los números de puerto de la capa de transporte. La implementación de Easy IP es la misma que la de NAPT. La diferencia es que Easy IP no incluye grupos de direcciones. Utiliza una dirección de interfaz como dirección pública para NAT.

 

Easy IP se aplica a escenarios donde las direcciones IP públicas no son fijas, como escenarios donde las direcciones IP públicas se obtienen dinámicamente mediante dispositivos de salida en redes privadas a través de acceso telefónico DHCP o PPPoE.

 

g7


Figura 7. Ejemplo de proceso Easy IP


Servidor NAT

Por motivos de seguridad, la mayoría de los hosts de redes privadas no esperan el acceso de los usuarios de la red pública. Sin embargo, en algunas aplicaciones, los usuarios de redes públicas necesitan acceder a un servidor de red privada, por ejemplo, un servidor WWW o un servidor FTP de red privada. En nat dinámica o NAPT, las entradas NAT no se pueden crear dinámicamente para el acceso iniciado por los usuarios de la red pública. Como resultado, los usuarios de la red pública no pueden acceder a los hosts de la red privada.

 

Para solucionar este problema, se puede configurar la función del servidor NAT (también llamado servidor interno NAT). Esta función crea asignaciones entre direcciones IP privadas + números de puerto y direcciones IP públicas + números de puerto en un dispositivo NAT. Con esta función, el dispositivo NAT puede traducir de forma inversa direcciones IP públicas a direcciones IP privadas para que los usuarios de una red pública puedan acceder a los servidores internos.

 

Por ejemplo, como se muestra en la siguiente figura, la función del servidor NAT está habilitada en un dispositivo NAT, y la dirección IP de un servidor de red privada + número de puerto (192.168.1.10:80) se asigna a una dirección IP de red pública + número de puerto ( 122.1.1.1:80). Cuando un host de red pública requiere acceder al servidor 192.168.1.10, el dispositivo NAT convierte 122.1.1.1:80 a 192.168.1.10:80, de modo que la solicitud de servicio pueda llegar al servidor 192.168.1.10 en la red privada.

 

g8

 

Figura 8. Servidor NAT.


Saludos.

 

FIN.

 

También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS

  

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 

  • x
  • Opciones:

Gilo88
Publicado 2021-9-7 14:13:52
Excelente post.
Ver más
  • x
  • Opciones:

salomon_diego81
Publicado 2021-10-13 21:40:57
#EncuentraComunidadEnterprise2021
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.