El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo entender y configurar la Traducción de direcciones de red (NAT).
Cisco recomienda que tenga conocimiento sobre estos temas:
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
NAT64 es un mecanismo para la transición de IPv4 a IPv6 y la coexistencia de IPv4 y IPv6. Junto con DNS64, el objetivo principal de NAT64 es permitir que un cliente solo de IPv6 inicie las comunicaciones con un servidor solo de IPv4. NAT64 también se puede utilizar para clientes sólo de IPv4 que inicien comunicaciones con servidores sólo de IPv6 mediante enlaces estáticos o manuales. Ambos escenarios se explican en este documento.
Dado que IPv6 no es compatible con IPv4, queda la necesidad de contar con mecanismos de transición, que se dividen en una de estas tres clases:
#Like otros métodos de transición, la traducción no es una estrategia a largo plazo y el objetivo final puede ser IPv6 nativo. Sin embargo, la traducción ofrece dos ventajas importantes sobre la tunelización:
En NAT64 sin estado, el estado no se conserva, lo que significa que para cada usuario de IPv6 se requiere una dirección IPv4 dedicada. Como estamos en la fase de agotamiento de IPv4, es muy difícil adoptar este modo de NAT64. La única ventaja de utilizar NAT64 sin estado cuando tiene pocos números de direcciones IPv6 (NAT46).
En NAT64 con estado, los estados se mantienen. Una sola dirección IP se utiliza para todos los usuarios privados con números de puerto diferentes. En el diagrama anterior, se utiliza una única dirección IPv4 con números de puerto diferentes para que todos los usuarios de IPv6 que se encuentren en esa LAN accedan a un servidor IPv4 público.
Aquí hay más detalles sobre la diferencia entre la traducción NAT64 stateful y stateless:
NAT64 sin estado |
NAT64 con estado |
Traducción 1:1 |
Traducción 1:N |
Sin conservación de la dirección IPv4 |
Conserva la dirección IPv4 |
Garantiza la escalabilidad y la transparencia de las direcciones de extremo a extremo. |
Utiliza la sobrecarga de direcciones, por lo que carece de transparencia de dirección de extremo a extremo |
No se han creado estados ni enlaces en la traducción |
El estado o los enlaces se crean en cada traducción única |
Requiere asignación de direcciones IPv6 traducibles a IPv4 (requisito obligatorio) |
Sin necesidad de conocer la naturaleza de la asignación de direcciones IPv6 |
Requiere una asignación de dirección manual o basada en DHCPv6 para hosts IPv6 |
Libre para elegir cualquier modo de asignación de direcciones IPv6 a través de manual, DHCPv6, SLAAC |
NAT64 tiene tres componentes principales.
1. Supongamos que, en la imagen anterior, el host presente en la red IPv6 desea comunicarse con el servidor web www.example.com (10.1.113.2) que es el servidor IPv4 solamente.
2. Para que esta comunicación sea posible, debe tener el servidor DNS64 instalado en la red IPv6 que pueda entender y resolver DNS para solicitudes ipv4.
3. El servidor DNS64 funciona como un servidor DNS normal para los registros AAAA IPv6, pero también puede intentar localizar un registro A IPv4 cuando un registro AAAA no está disponible. Si se encuentra un registro A, DNS64 convierte el registro A de IPv4 en un registro AAAA de IPv6 mediante el prefijo NAT64. Esto da la impresión al host solo de IPv6 de que puede comunicarse con un servidor mediante IPv6.
4. Ahora la solicitud de resolución DNS para www.example.com se envía al servidor DNS64. Primero busca en su tabla de registro AAAA IPv6 pero no encuentra ningún registro AAAA IPv6 porque este servidor de sitio web pertenece a la dirección IPv4. Después de eso, busca en su base de datos IPv4 y encuentra la dirección IPv4 coincidente con este sitio web. Ahora, el servidor DNS64 puede convertir esta dirección IPv4 en dirección IPv6 convirtiendo esta dirección IPv4 en hexadecimal y anteponiéndola al prefijo NAT64. Al hacerlo, esto puede dar la impresión al host IPv6 únicamente de que puede comunicarse con el servidor web mediante IPv6.
5. Los paquetes se rutean en la red IPv6 solamente hacia el dispositivo que hace NAT64 con la ayuda del prefijo NAT64 que fue antepuesto al valor hexadecimal de la dirección IPv4.
6. El router NAT64 anuncia el prefijo NAT64 en la red solo de IPv6 junto con la traducción entre las redes solo de IPv6 y solo de IPv4.
7. Una vez que el paquete llega al dispositivo haciendo la traducción NAT64, los paquetes se pueden comparar con la ACL que ha configurado para Nat64. Si los paquetes coinciden con esta ACL, el paquete se puede traducir usando NAT64 más adelante. Si el paquete no coincide con la ACL configurada, se puede rutear utilizando el ruteo IPv6 normal hacia su destino.
8. La NAT64 stateful utiliza listas de control de acceso (ACL) configuradas y listas de prefijos para filtrar los flujos de tráfico iniciados por IPv6 que pueden crear el estado NAT64. El filtrado de paquetes IPv6 se realiza en la dirección IPv6 a IPv4, ya que la asignación dinámica entre un host IPv6 y una dirección IPv4 solo se puede realizar en esta dirección. La NAT64 con estado admite el filtrado dependiente del terminal para el flujo de paquetes de IPv4 a IPv6 con configuración PAT.
9. En una configuración PAT NAT64 con estado, el flujo de paquetes debe haberse originado desde el rango IPv6 y creado la información de estado en las tablas de estado NAT64. Los paquetes del lado IPv4 que no tienen un estado creado previamente se descartan. El filtrado independiente del terminal es compatible con la traducción de direcciones de red (NAT) estática y las configuraciones que no son PAT.
El primer paquete IPv6 se enruta a la interfaz virtual (NVI) de NAT en función de la configuración de enrutamiento automática configurada para el prefijo con estado. La NAT64 con estado realiza una serie de búsquedas para determinar si el paquete IPv6 coincide con alguna de las asignaciones configuradas basándose en una búsqueda de lista de control de acceso (ACL). Según la asignación, una dirección IPv4 (y un puerto) se asocia a la dirección de destino IPv6.
El paquete IPv6 se traduce y el paquete IPv4 se forma utilizando estos métodos:
10. Se crea una nueva traducción NAT64 en la base de datos de sesión y en la base de datos de enlace. Las bases de datos de puertos y agrupamientos se actualizan en función de la configuración.
11. El tráfico de retorno y el tráfico subsiguiente del flujo de paquetes IPv6 pueden utilizar esta entrada de la base de datos de sesión para la traducción.
Paso 1. El host A es un host solo de IPv6 que desea comunicarse con el servidor www.example.com. Esto activa una consulta DNS (AAAA: www.example.com) al servidor DNS64. El DNS64 es un componente clave de este proceso. Un servidor DNS64 es un servidor DNS para IPv6 e IPv4. Crea la ilusión para el cliente de que se puede llegar a los servidores IPv4 mediante una dirección IPv6.
El host A envía una consulta DNS (AAAA: www.example.com) al servidor DNS64. En cuanto al host A, se trata de una consulta AAAA de DNS normal para un servidor IPv6.
Paso 2. El servidor DNS64 recibe la consulta DNS AAAA del host A. En un intento de resolver el nombre de dominio, el servidor DNS64 envía una consulta al servidor DNS AAAA autoritativo para www.example.com.
Paso 3. El servidor autoritativo AAAA de DNS IPv6 devuelve una respuesta que indica que no tiene un registro de recursos AAAA para www.example.com.
Paso 4. Al recibir una respuesta vacía (error de nombre) a la consulta AAAA, esto activa al servidor DNS64 para enviar una consulta A (A: www.example.com) al servidor autoritativo IPv4 DNS A.
Paso 5. El servidor autoritativo DNS A IPv4 tiene un registro de recursos A para www.example.com y devuelve una respuesta con la dirección IPv4 del servidor (A: www.example.com 10.1.113.2).
Paso 6. El servidor DNS64 recibe la dirección IPv4 del servidor autoritativo DNS A y sintetiza un registro AAAA prefijando la dirección con su prefijo NAT64, 2800:1503:2000:1:1::/96, y convierte la dirección IPv4 en hexadecimal, 0a01:7102. El host A puede utilizar esta dirección como dirección IPv6 de destino para alcanzar el servidor www.example.com.
Paso 7. El registro AAAA sintetizado es completamente transparente para el host A. Para alojar A, parece como si www.example.com fuera accesible a través de la red IPv6 e Internet. El Host A ahora tiene la información de direccionamiento necesaria para transmitir paquetes IPv6 a www.example.com con estos datos:
Paso 8. El router NAT64 recibe el paquete IPv6 enviado por el host A en su interfaz habilitada para NAT64. Coincide con los paquetes entrantes en la ACL configurada. Si no se encuentra una coincidencia, el paquete se reenvía sin traducir mediante el ruteo IPv6 normal. Si se encuentra una coincidencia, el paquete se somete a esta traducción:
Paso 9. Después de la traducción NAT64, el paquete IPv4 traducido se reenvía mediante el proceso normal de búsqueda de rutas IPv4. En esta situación, la dirección de destino IPv4 10.1.113.2 se utiliza para reenviar el paquete.
Paso 10. El servidor www.example.com en 10.1.113.2 responde, que es recibido finalmente por el router NAT64.
Paso 11. El router NAT64 recibe el paquete IPv4 del servidor www.example.com en una de sus interfaces habilitadas para NAT64. El router examina el paquete IPv4 para determinar si existe un estado de traducción NAT64 para la dirección de destino IPv4. Si no existe un estado de traducción, el paquete se descarta. Si existe un estado de traducción para la dirección de destino IPv4, el router NAT64 realiza estas tareas:
Paso 12. Después de la traducción, el paquete IPv6 se reenvía utilizando el proceso normal de búsqueda de rutas IPv6.
1. Interfaz IPv6:
2. Interfaz IPv4:
3. Cree una ACL que coincida con el tráfico ipv6.
4. Habilite la asignación de direcciones IPv6 a IPv4 de NAT64:
El prefijo #nat64 stateful 2800:1503:2000:1:1::/96 ---------------> IP de servidor se puede asignar a esta dirección IP ipv6. Aquí puede configurar cualquier dirección de red ipv6, pero esta dirección de red ipv6 puede estar accesible desde la red ipv6. Además, el servidor DNS64 debe tener una asignación de esta dirección de red ipv6 a la dirección ipv4 del servidor.
#ping 2800:1503:2000:1:1:0a01:7102
#show nat64 translation
#show nat64 statistics
Paso 1. El primer paso es configurar la asignación estática de IPv6 a IPv4 en el router NAT46 para proporcionar acceso al servidor IPv6 2001:DB8:3001::9/64 desde la dirección IPv4 10.1.113.2. Además, la dirección IPv4 10.50.50.50 debe registrarse como un registro de recursos DNS para www.examplev6.com en el servidor DNS. La asignación NAT64 estática se crea mediante este comando:
NAT64-Router(config)# nat64 v6v4 static 2001:DB8:3001::9 10.50.50.50
Paso 2. PC A es un host solo de IPv4 que desea comunicarse con el servidor www.examplev6.com. Esto activa una consulta DNS (A: www.examplev6.com) a su servidor DNS autoritativo IPv4.
Paso 3. El servidor DNS responde con un registro de recursos A para www.examplev6.com, 10.50.50.50.
Paso 4. El host A ahora tiene la información de direccionamiento necesaria para transmitir paquetes IPv4 a www.examplev6.com con
Paso 5. El router NAT64 recibe el paquete IPv4 en su interfaz habilitada para NAT64 y realiza estas tareas:
Paso 6. Después de la traducción, el paquete IPv6 se enruta utilizando el proceso de ruteo IPv6 normal. El paquete se rutea finalmente al servidor www.examplev6.com en 2001:DB8:3001::9 .
Paso 7. El servidor www.examplev6.com responde con un paquete destinado al host A.
Paso 8. El router NAT64 recibe el paquete IPv6 enviado por el servidor IPv6 en su interfaz habilitada para NAT64 y realiza estas tareas:
Paso 9. Después de la traducción, el router NAT64 reenvía el paquete a 10.1.113.2 utilizando el proceso de ruteo IPv4 normal.
Una vez que la configuración se haya realizado correctamente, haga ping a 10.50.50.50 desde el host IPv4.
#ping 10.50.50.50
Verificación de NAT46
#show nat64 traducciones
#show nat46 statistics
Escenarios para la traducción de IPv6/IPv4 |
Aplicabilidad |
Ejemplo: |
Situación 1: una red IPv6 a Internet IPv4 |
· Red exclusivamente IPv6 que desea acceder de forma transparente al contenido IPv6 y al contenido IPv4 existente. · Iniciado desde hosts y redes IPv6. |
· Los ISP lanzan nuevos servicios y redes para smartphones solo con IPv6 (teléfonos de tercera generación [3G], Long-Term Evolution [LTE], etc.). · Empresas que implementen redes solo de IPv6. |
Situación 2: Internet IPv4 en una red IPv6 |
· Servidores en redes solo IPv6 que deseen prestar servicio de forma transparente a usuarios tanto de IPv4 como de IPv6. · Iniciado desde hosts y redes IPv4. |
Proveedores de contenido nuevos o existentes que despliegan servicios en un entorno solo de IPv6. |
Situación 3: Internet IPv6 en una red IPv4 |
· Servidores en una red existente solo de IPv4 que deseen prestar servicio a usuarios de Internet IPV6. · Iniciado desde hosts y redes IPv6. |
Proveedores de contenido existentes que migran a IPv6 y, por tanto, desean ofrecer servicios a usuarios de Internet IPv6 como parte de una estrategia de coexistencia. |
Situación 4: una red IPv4 a Internet IPv6 |
No es un caso viable en un futuro próximo; es probable que este escenario se produzca solo un tiempo después de la fase inicial de la transición de IPv6/IPv4. |
Ninguno |
Situación 5: una red IPv6 a una red IPv4 |
Tanto una red IPv4 como una red IPv6 están dentro de la misma organización. |
Similar a la situación 1, atender a Intranet en lugar de a Internet. |
Situación 6: una red IPv4 a una red IPv6 |
Tanto una red IPv4 como una red IPv6 están dentro de la misma organización. |
Similar a la situación 2, atender a la intranet en lugar de a Internet. |
Situación 7: de Internet IPv6 a Internet IPv4 |
Sufriría un rendimiento deficiente. |
Ninguno |
Situación 8: de Internet IPv4 a Internet IPv6 |
No existe ninguna técnica de traducción viable para gestionar la traducción de direcciones IPv6 ilimitada. |
Ninguno |
#show platform hardware qfp active statistics drop (para ver si hay alguna caída de NAT64)
#show running-config | incluir nat64 (para ver si todo está configurado en Cisco IOS®)
#show platform hardware qfp active feature nat64 datapath statistics (para comprobar el motivo del contador de caídas)
#show platform hardware qfp active feature nat64 datapath pool (para comprobar que el conjunto está configurado correctamente)
#show platform hardware qfp active feature nat64 datapath map (para verificar y ver que la configuración de conjunto a asignación se realiza correctamente)
#show platform software object-manager F0 pending-ack-update (para comprobar si hay objetos pendientes)
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
02-Nov-2023 |
PII eliminado.
Texto alternativo agregado.
Título actualizado, Introducción, Marca, Descripción del artículo, Requisitos de estilo, Traducción automática y formato. |
1.0 |
23-Jun-2021 |
Versión inicial |