Solucionar problemas de traducción de direcciones de red con preguntas frecuentes

Introducción

Este documento describe cómo funciona el proceso del router de traducción de direcciones de red (NAT) y proporciona respuestas a algunas de las preguntas más comunes. 

NAT genérica

P. ¿Qué es NAT?

R. La traducción de direcciones de red (NAT) está diseñada para la conservación de direcciones IP. Permite que se conecten a Internet las redes de IP privada que emplean direcciones IP no registradas. NAT funciona en un router, generalmente cuando se conectan dos redes juntas, y traduce las direcciones privadas (no globalmente únicas) en la red interna a direcciones legales, antes de que los paquetes se reenvíen a otra red.

Se puede configurar NAT para que difunda al mundo exterior solo una dirección para toda la red. Esto oculta de forma eficaz toda la red interna detrás de esa dirección, lo que proporciona seguridad adicional. NAT ofrece la doble función de seguridad y conservación de direcciones, y suele implementarse en entornos de acceso remoto.

P. ¿Cómo funciona NAT?

R.Básicamente, NAT permite que un solo dispositivo, como un router, actúe como un agente entre Internet (o red pública) y una red local (o red privada), lo que significa que solo se requiere una única dirección IP única para representar un grupo completo de equipos a cualquier cosa fuera de su red.

P. ¿Cómo configuro NAT?

R.Para configurar la NAT tradicional, debe crear al menos una interfaz en un router (NAT externa) y otra interfaz en el router (NAT interna) y un conjunto de reglas de traducción para las direcciones IP en los encabezados de paquetes (y cargas útiles si se desea) y deben configurarse. Para configurar la interfaz virtual de NAT (NVI), necesita al menos una interfaz configurada con NAT activada y con el mismo conjunto de reglas antes mencionado.

Para obtener más información, consulte Guía de Configuración de IP Addressing Services de Cisco IOS o su sección Configuración de la Interfaz Virtual NAT.

P. ¿Cuáles son las diferencias principales entre las implementaciones de NAT del software Cisco IOS^® y del dispositivo de seguridad adaptable (ASA) de Cisco?

R.La NAT basada en el software Cisco IOS no es fundamentalmente diferente de la función NAT en Cisco ASA. Las principales diferencias incluyen los diferentes tipos de tráfico admitidos en las implementaciones y los requisitos de diseño. Consulte Ejemplos de Configuración de NAT para obtener más información sobre la configuración de NAT en dispositivos Cisco ASA (incluye los tipos de tráfico admitidos).

P. ¿En qué hardware de routing de Cisco está disponible la NAT de Cisco IOS? ¿Cómo se puede comprar el hardware?

R.La herramienta Cisco Feature Navigator permite a los clientes identificar una función (NAT) y averiguar en qué versión de versión y hardware está disponible esta función del software Cisco IOS. Consulte Cisco Feature Navigator para utilizar esta herramienta.

P. ¿La NAT ocurre antes o después del ruteo?

R.El orden en que NAT procesa las transacciones se basa en si un paquete viaja de la red interna a la red externa o de la red externa a la red interna. La traducción del interior al exterior se realiza tras el routing, mientras que la inversa se realiza antes. Consulte Orden de Funcionamiento de NAT para obtener más información.

P. ¿Puede NAT implementarse en un entorno de LAN inalámbrica pública?

R.Sí. La función NAT - Static IP Support proporciona soporte para usuarios con direcciones IP estáticas y permite a esos usuarios establecer una sesión IP en un entorno de LAN inalámbrica pública.

P. ¿NAT hace el balanceo de carga TCP para los servidores en la red interna?

R.Sí. con NAT, puede establecer un host virtual en la red interna que coordine los balances de carga entre los hosts reales.

P. ¿Puedo limitar el número de traducciones NAT?

R.Sí. La función de limitación de traducciones NAT permite establecer el máximo de operaciones de NAT simultáneas en un router. Esto proporciona a los usuarios más control sobre cómo se utilizan las direcciones NAT, la función Rate-Limiting NAT Translation se puede utilizar para limitar los efectos de virus, gusanos y ataques de denegación de servicio.

P. ¿Cómo se aprende o se propaga el ruteo para las subredes o direcciones IP que utiliza NAT?

A.El ruteo para las direcciones IP creadas por NAT se aprende si:

• El grupo de direcciones globales internas se obtiene de la subred de un router del siguiente salto.

• La entrada de ruta estática se configura en el router del siguiente salto y se redistribuye dentro de la red de routing.

Cuando la dirección global interna coincide con la interfaz local, NAT instala un alias IP y una entrada ARP, en cuyo caso el router puede proxy-arp para estas direcciones. Si no desea este comportamiento, utilice la palabra clave eno-aliaskeyword.

Al configurar un grupo de NAT, se puede usar la opción add-route para la inyección de rutas automática.

P. ¿Cuantas sesiones NAT concurrentes admite Cisco IOS NAT?

A.El límite de sesión NAT está limitado por la cantidad de DRAM disponible en el router. Cada traducción NAT consume alrededor de 312 bytes de DRAM. Por ende, 10 000 traducciones (más de lo habitual en un router) consumen alrededor de 3 MB. Es decir que el hardware de routing típico posee memoria más que suficiente para miles de traducciones NAT. Sin embargo, también se recomienda verificar las especificaciones de la plataforma. 

P. ¿Qué tipo de rendimiento de ruteo se puede esperar con NAT de Cisco IOS?

R.Cisco IOS NAT admite switching Cisco Express Forwarding (CEF), fast switching y process switching. En la versión 12.4T y las posteriores, ya no se ofrece la ruta de switching rápido. Para la plataforma Cat6k, el orden de switching es Netflow (ruta de switching de HW), CEF y ruta de proceso.

El rendimiento depende de varios factores:

• El tipo de aplicación y su tipo de tráfico

• Si las direcciones IP están integradas

• El intercambio y la inspección de varios mensajes

• El puerto de origen requerido

• La cantidad de traducciones

• Otras aplicaciones que se ejecutan en ese momento

• El tipo de hardware y de procesador

P. ¿Se puede aplicar NAT de Cisco IOS a las subinterfaces?

R.Sí. Las traducciones NAT de origen y/o destino se pueden aplicar a cualquier interfaz o subinterfaces que tengan una dirección IP (incluye interfaces de marcador). NAT no puede configurarse con la interfaz virtual inalámbrica. La interfaz virtual inalámbrica no existe en el momento en que escribe en la NVRAM. Por lo tanto, después del reinicio, el router pierde la configuración de NAT en la interfaz virtual inalámbrica.

P. ¿Se puede utilizar la NAT de Cisco IOS con el protocolo de router en espera en caliente (HSRP) para proporcionar enlaces redundantes a un ISP?

R.Sí. NAT ofrece redundancia de HSRP. Sin embargo, es diferente a la SNAT (NAT con estado). La NAT con HSRP es un sistema sin información de estado. La sesión actual no se mantiene ante las fallas. Durante la configuración de NAT estática (cuando un paquete no coincide con ninguna configuración de regla ESTÁTICA), el paquete se envía sin traducción.

P. ¿La NAT de Cisco IOS admite traducciones entrantes en una interfaz Frame Relay? ¿Es compatible con las traducciones de salida en el lado Ethernet?

R.Sí. El encapsulamiento no es relevante para NAT. Se puede emplear NAT cuando hay una dirección IP en una interfaz y la interfaz es de NAT interna o externa. Debe haber un interior y un exterior para que funcione NAT. Si emplea NVI, debe haber al menos una interfaz con NAT activada. Consulte la pregunta anterior, ¿Cómo se configura NAT?para obtener más información.

P. ¿Puede un único router con NAT habilitada permitir que algunos usuarios utilicen NAT y otros usuarios en la misma interfaz Ethernet para continuar utilizando sus propias direcciones IP?

R.Sí. Esto se puede lograr mediante el uso de una lista de acceso que describe el conjunto de hosts o redes que requieren NAT. Todas las sesiones en el mismo host pueden traducirse o pueden pasar a través del router y no traducirse.

Las listas de acceso, las listas de acceso ampliadas y los mapas de ruta se pueden utilizar para definir reglas según las cuales se traducirán los dispositivos IP. Siempre deben especificarse la dirección de red y la máscara de subred apropiada. La palabra clave anyno se debe utilizar en lugar de la dirección de red o la máscara de subred. Con la configuración de NAT estática, cuando el paquete no coincide con ninguna configuración de regla ESTÁTICA, el paquete se puede enviar sin ninguna traducción.

P. Cuando se configura PAT (sobrecarga), ¿cuál es el número máximo de traducciones que se pueden crear por dirección IP global interna?

A.PAT (sobrecarga) divide los puertos disponibles por dirección IP global en tres intervalos: 0-511, 512-1023 y 1024-65535. PAT asigna un puerto de origen exclusivo para cada sesión de TCP o UDP. Intenta asignar el mismo valor de puerto de la solicitud original, pero si el puerto de origen original ya se ha utilizado, comienza a explorar desde el principio del intervalo de puertos concreto para encontrar el primer puerto disponible y lo asigna a la conversación.

P. ¿Cómo funciona PAT?

A.PAT funciona con una o varias direcciones IP globales.

PAT con una tabla de direcciones IP

Condición	Descripción
1	NAT/PAT inspecciona el tráfico y lo evalúa según una regla de traducción.
2	La regla representa una configuración de PAT.
3	Si PAT conoce el tipo de tráfico y si ese tipo de tráfico tiene "un conjunto de puertos específicos o puertos que negocia" que puede utilizar, PAT los aparta y no los asigna como identificadores únicos.
4	Si una sesión sin requisitos de puertos especiales intenta conectarse con el exterior, PAT traduce la dirección IP de origen y verifica la disponibilidad del puerto de origen (433, por ejemplo). Consulte la nota.
5	Si el puerto de origen solicitado está disponible, PAT lo asigna y la sesión continúa.
6	Si el puerto de origen solicitado no está disponible, PAT comienza a buscar desde el principio del grupo relevante (comienza en 1 para las aplicaciones TCP o UDP y en 0 para ICMP).
7	Al hallar un puerto disponible, lo asigna y la sesión continúa.
8	Si no hay puertos disponibles, el paquete se pierde.

Nota: para el protocolo de control de transmisión (TCP) y el protocolo de datagramas de usuario (UDP), los intervalos son: 1-511, 512-1023, 1024-65535. Para el protocolo de mensajería de control de Internet (ICMP), el primer grupo comienza con el número 0.

PAT con varias direcciones IP

Condición	Descripción
1-7	Las primeras siete condiciones son las mismas que para cuando hay una sola dirección IP.
8	Si no hay puertos disponibles en el mismo grupo en la primera dirección IP, NAT pasa a la siguiente dirección IP del grupo e intenta asignar el puerto de origen solicitado.
9	Si el puerto de origen solicitado está disponible, NAT asigna el puerto de origen y la sesión continúa.
10	Si el puerto de origen solicitado no está disponible, NAT comienza a buscar desde el principio del grupo relevante (comienza en 1 para las aplicaciones TCP o UDP y en 0 para ICMP).
11	Si un puerto está disponible, se asigna y la sesión continúa.
12	Si no hay puertos disponibles, el paquete se rechaza, a menos que haya disponible otra dirección IP en el grupo.

P. ¿Qué son los agrupamientos IP de NAT?

A.Los grupos de IP NAT son un rango de direcciones IP que se asignan para la traducción NAT según sea necesario. Para definir un grupo, se emplea el comando de configuración:

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

Ejemplo 1

El siguiente ejemplo traduce entre hosts internos dirigidos desde la red 192.168.1.0 o 192.168.2.0 a la red global única 10.69.233.208/28:

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
 ip address 10.69.232.182 255.255.255.240
 ip nat outside
!
interface ethernet 1
 ip address 192.168.1.94 255.255.255.0
 ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

Ejemplo 2

En el siguiente ejemplo, el objetivo es definir una dirección virtual, cuyas conexiones se distribuyen entre un conjunto de hosts reales. El grupo define las direcciones de los hosts reales. La lista de acceso define la dirección virtual. Si aún no existe una traducción, los paquetes de TCP de la interfaz de serie 0 (la interfaz externa) cuyos destinos figuren en la lista de acceso se convierten en una dirección del grupo.

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
 ip address 192.168.15.129 255.255.255.240
 ip nat outside
!
interface ethernet 0
 ip address 192.168.15.17 255.255.255.240
 ip nat inside
!
access-list 2 permit 192.168.15.1

P. ¿Cuál es el número máximo de agrupaciones IP de NAT configurables (ip nat pool "name")?

R.En la práctica, el número máximo de agrupaciones IP configurables está limitado por la cantidad de DRAM disponible en el router en particular. (Cisco recomienda configurar 255 grupos). Cada conjunto no debe tener más de 16 bits. En 12.4(11)T y posteriores, Cisco IOS introdujo CCE (Common Classification Engine). Esto marca un límite de 255 grupos para NAT.

P. ¿Cuál es la ventaja de route-map frente a ACL en un conjunto NAT?

A.Un route-map protege a los usuarios externos no deseados para llegar a los usuarios/servidores internos. También puede establecer una correspondencia entre una dirección IP interna y diferentes direcciones globales internas según la regla. Consulte Soporte NAT para Grupos Múltiples Usando Route Maps para obtener más información.

P. ¿Qué es la "superposición" de direcciones IP en el contexto de NAT?

La superposición de direcciones IP se refiere a una situación en la que dos ubicaciones que desean interconectarse utilizan el mismo esquema de direcciones IP. No se trata de algo inusual, sino que suele suceder cuando las empresas se fusionan o adquieren. Sin un soporte especial, las dos ubicaciones no pueden conectar y establecer sesiones. La dirección IP superpuesta puede ser una dirección pública asignada a otra empresa, una dirección privada asignada a otra empresa o puede provenir del intervalo de direcciones privadas definido en RFC 1918.

Las direcciones IP privadas no se pueden enrutar y requieren traducciones NAT para permitir conexiones con el mundo exterior. La solución implica la intercepción de las respuestas de consultas de nombres del sistema de nombres de dominio (DNS) desde el exterior hacia el interior, una configuración de traducción para la dirección exterior y la respuesta DNS debe corregirse antes de reenviarla al host interior. Se requiere la participación de un servidor DNS en ambos lados del dispositivo NAT para resolver los usuarios que desean tener conexión entre ambas redes.

NAT puede inspeccionar y realizar la traducción de direcciones en el contenido de los registros DNSAandPTR, como se muestra en Uso de NAT en redes superpuestas.

P. ¿Qué son las traducciones NAT estáticas?

R. Las traducciones NAT estáticas tienen mapeo uno a uno entre direcciones locales y globales. Los usuarios también pueden configurar traducciones de direcciones estáticas al nivel de puerto y utilizar el resto de la dirección IP para otras traducciones. Esto suele ocurrir cuando se realiza la traducción de direcciones de puerto (PAT).

El siguiente ejemplo muestra cómo configurar route-map para permitir la traducción de afuera hacia adentro para NAT estática:

ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
 permit ip any 10.1.10.1 0.0.0.127
route-map R1 permit 10
 match ip address ACL-A

P. ¿Qué se entiende por el término sobrecarga NAT; es PAT?

R.Sí. La sobrecarga NAT es PAT, que implica el uso de un conjunto con un rango de una o más direcciones o el uso de una dirección IP de interfaz en combinación con el puerto. Al sobrecargar, se crea una traducción totalmente ampliada. Se trata de una entrada de la tabla de traducción que contiene la dirección IP y la información del puerto de origen/destino, lo que se suele denominar PAT o sobrecarga.

PAT (o sobrecarga) es una función de Cisco IOS NAT que se utiliza para traducir direcciones privadas internas (dentro de locales) a una o más direcciones IP externas (dentro de globales, normalmente registradas). Para distinguir las conversaciones, se utilizan números de puerto de origen únicos en cada traducción.

P. ¿Qué son las traducciones NAT dinámicas?

A. En estas traducciones, los usuarios pueden establecer una correspondencia dinámica entre direcciones locales y globales. La asignación dinámica se logra cuando se definen las direcciones locales que se van a traducir y el conjunto de direcciones o la dirección IP de la interfaz desde la que se van a asignar direcciones globales, y cuando se asocian ambas.

P. ¿Qué es ALG?

A.ALG es una puerta de enlace de capa de aplicación (ALG). NAT presta el servicio de traducción para todo tráfico de protocolo de control de transmisión/protocolo de datagramas de usuarios (TCP/UDP) que no lleve direcciones IP de origen o destino en el flujo de datos de aplicación.

Estos protocolos son FTP, HTTP, SKINNY, H232, DNS, RAS, SIP ,TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh y rcp. Los protocolos específicos que integran información de direcciones IP en la carga útil deben admitir un gateway de nivel de aplicación (ALG).

Consulte Uso de Gateways de Nivel de Aplicación con NAT para obtener más información.

P. ¿Es posible crear una configuración con traducciones NAT estáticas y dinámicas?

R.Sí. Sin embargo, no se puede emplear la misma dirección IP para la configuración estática de NAT ni en el grupo para configuración dinámica de NAT. Todas las direcciones IP públicas deben ser exclusivas. Observe que las direcciones globales utilizadas en las traducciones estáticas no se excluyen automáticamente con los agrupamientos dinámicos que contienen esas mismas direcciones globales. Deben crearse grupos dinámicos para excluir las direcciones asignadas a entradas estáticas. Para obtener más información, consulte Configuración simultánea de NAT estática y dinámica.

P. Cuando un traceroute se realiza a través de un router NAT, ¿debe traceroute mostrar la dirección NAT-Global o debe filtrar la dirección NAT-Local?

A.Traceroute desde el exterior siempre debe devolver la dirección global.

P. ¿Cómo PAT asigna el puerto?

A.NAT introduce funciones de puerto adicionales: rango completo y mapa de puerto.

• La primera permite que NAT use todos los puertos, más allá de su rango predeterminado.

• La segunda permite que NAT reserve un rango de puertos definido por el usuario para aplicaciones específicas.

Consulte Rangos de puertos de origen definidos por el usuario para PATpara obtener más información.

Desde la versión 12.4(20)T2 en adelante, NAT presenta aleatorización de puertos para puertos simétricos y L3/L4.

• La aleatorización permite que NAT seleccione al azar cualquier puerto global para la solicitud de puerto de origen.

• El puerto simétrico permite que NAT admita independiente del punto de soporte.

P. ¿Cuál es la diferencia entre la fragmentación de IP y la segmentación de TCP?

A.La fragmentación de IP se produce en la capa 3 (IP); la segmentación de TCP se produce en la capa 4 (TCP). La fragmentación de IP sucede cuando desde una interfaz se envían paquetes más grandes que la unidad máxima de transmisión (MTU) de la interfaz. Estos paquetes deben fragmentarse o descartarse cuando se envían por la interfaz. Si Don't Fragment (DF) no está configurado en el encabezado IP del paquete, el paquete puede fragmentarse. Si el bit DF está configurado en el encabezado IP del paquete, el paquete se descarta y un mensaje de error ICMP indica el valor de MTU de siguiente salto que se devuelve al remitente. Todos los fragmentos de un paquete de IP llevan la misma identificación en el encabezado de IP, lo cual permite al receptor final armar con los fragmentos el paquete de IP original. Consulte Resolución de Problemas de Fragmentación IP, MTU, MSS y PMTUD con GRE e IPsec para obtener más información.

La segmentación de TCP tiene lugar cuando una aplicación de una estación final envía datos. Los datos de la aplicación se dividen en partes del tamaño que TCP considere ideal para el envío. Estas unidades de datos que pasan de TCP a IP se denominan segmentos. Los segmentos de TCP se envían en datagramas de IP. Estos datagramas de IP luego pueden convertirse en fragmentos de IP al avanzar por la red y encontrar enlaces de MTU más bajos de lo que necesitan para pasar.

TCP puede primero segmentar estos datos en segmentos TCP (según el valor TCP MSS) y puede agregar el encabezado TCP y pasar este segmento TCP a IP. Entonces IP puede agregar un encabezado IP para enviar el paquete al host extremo remoto. Si el paquete IP con el segmento TCP es mayor que la MTU IP en una interfaz saliente en el trayecto entre los hosts TCP, IP puede fragmentar el paquete IP/TCP para que encaje. La capa IP puede reensamblar estos fragmentos de paquete IP en el host remoto y el segmento TCP completo (que se envió originalmente) se puede entregar a la capa TCP. La capa de TCP no tiene idea de que IP había fragmentado el paquete en tránsito.

NAT admite fragmentos de IP, pero no admite segmentos de TCP.

P. ¿NAT soporta la fragmentación de IP y la segmentación de TCP fuera de orden?

A.NAT soporta solamente los fragmentos IP fuera de orden porque ofip virtual-reassembly.

P. ¿Cómo depurar la fragmentación IP y la segmentación TCP?

A.NAT utiliza la misma CLI de depuración para la fragmentación de IP y la segmentación de TCP:debug ip nat frag.

P. ¿Hay alguna MIB de NAT soportada?

R.No. No hay MIB NAT soportado ni CISCO-IETF-NAT-MIB soportado.

P. ¿Qué es el tiempo de espera de TCP y cómo se relaciona con el temporizador de TCP de NAT?

R.Si el protocolo de enlace de tres vías no se completa y NAT ve un paquete TCP, NAT puede iniciar un temporizador de 60 segundos. Tras completarse el protocolo de enlace triple, NAT emplea de forma predeterminada un temporizador de 24 horas para una entrada de NAT. Si un host final envía un RESET, NAT cambia el temporizador predeterminado de 24 horas a 60 segundos. En el caso de FIN, NAT cambia el temporizador predeterminado de 24 horas a 60 segundos cuando recibe FIN y FIN-ACK.

P. ¿Puedo cambiar la cantidad de tiempo que tarda una traducción NAT en agotar el tiempo de espera de la tabla de traducción NAT?

R.Sí. Puede cambiar los valores de tiempo de espera de NAT para todas las entradas o para diferentes tipos de traducciones de NAT (como udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout y arp-ping-timeout).

P. ¿Cómo detengo el protocolo ligero de acceso a directorios (LDAP) cuando adjunta bytes adicionales a cada paquete de respuesta LDAP?

A.El LDAP está configurado para agregar bytes adicionales (resultados de búsqueda LDAP) mientras procesa mensajes de tipo Search-Res-Entry. LDAP adjunta 10 bytes de resultados de búsquedas en cada paquete de respuesta de LDAP. En el caso de que estos 10 bytes adicionales de datos resulten en el paquete y excedan la unidad de transmisión máxima (MTU) en una red, el paquete se descarta. En este caso, Cisco recomienda que desactive este comportamiento LDAP con el comando CLIno ip nat service append-ldap-search-rescommand para que los paquetes se envíen y reciban.

P. ¿Cuál es la recomendación de ruta para la dirección IP local interna/externa en el cuadro NAT?

A.Se debe especificar una ruta en el cuadro NAT configurado para la dirección IP global interna para funciones como NAT-NVI. De manera similar, también se debe especificar una ruta en el cuadro NAT para la dirección IP local externa. En este caso, cualquier paquete de una dirección de entrada a salida con la regla estática externa requiere este tipo de ruta. En tales escenarios, aunque proporciona la ruta para IG/OL, también se debe configurar la dirección IP del salto siguiente. Si no se encuentra la configuración del siguiente salto, esto se considera un error de configuración y da como resultado un comportamiento no definido.

NVI-NAT solo está presente en la ruta de la función de salida. Si tiene una subred conectada directamente con NAT-NVI o tiene la regla de traducción NAT externa configurada en la caja, en esos escenarios debe indicar una dirección IP del siguiente salto falsa y también un ARP asociado para el siguiente salto. Esto es necesario para que la infraestructura subyacente entregue el paquete a NAT para la traducción.

P. ¿Cisco IOS NAT soporta ACL con una palabra clave log?

R.Cuando configura la NAT de Cisco IOS para la traducción NAT dinámica, se utiliza una ACL para identificar los paquetes que se pueden traducir. La arquitectura NAT actual no admite ACL con una palabra clave log.

NAT de voz

P. ¿NAT admite el protocolo de control de clientes skinny (SCCP) v17 que se suministra con Cisco Unified Communications Manager (CUCM) V7?

A.CUCM 7 y todas las cargas telefónicas predeterminadas para CUCM 7 admiten SCCPv17. La versión de SCCP empleada es la versión más reciente que tengan tanto CUCM como el teléfono al registrarse el teléfono.

NAT aún no admite SCCP v17. Hasta que se implemente el soporte NAT para SCCP v17, el firmware se debe degradar a la versión 8-3-5 o inferior para que se negocie SCCP v16. CUCM6 no puede encontrar el problema de NAT con ninguna carga de teléfono mientras utilice SCCP v16. Cisco IOS no admite por el momento la versión 17 de SCCP.

P. ¿Qué versiones de carga de CUCM /SCCP/firmware son compatibles con NAT?

A.NAT admite la versión 6.x de CUCM y versiones anteriores. Estas versiones de CUCM se lanzan con la carga de firmware telefónico predeterminada 8.3.x (o anteriores) que admite SCCP v15 (o anteriores).

NAT no admite las versiones de CUCM 7.x o posteriores. Estas versiones de CUCM se lanzan con la carga de firmware telefónico predeterminada 8.4.x que admite SCCP v17 (o posteriores).

Si se emplea CUCM 7.x o posteriores, debe instalarse una carga de firmware anterior en el servidor TFTP de CUCM, para que los teléfonos usen una carga de firmware con SCCP v15 o anterior y sean compatibles con NAT.

P. ¿Qué es la mejora de la asignación de puertos PAT del proveedor de servicios para RTP y RTCP?

R. La función de mejora de la asignación de puertos PAT para RTP y RTCP del proveedor de servicios garantiza la compatibilidad con SIP, H.323 y llamadas de voz Skinny. Los números de puerto empleados para flujos RTP sean pares, mientras que para los flujos RTCP sean el siguiente número impar. El número de puerto se traduce a un número dentro del rango especificado y que cumple con RFC-1889. Una llamada con un número de puerto dentro del intervalo puede dar lugar a una traducción de PAT a otro número de puerto dentro de dicho intervalo. Del mismo modo, una traducción PAT para un número de puerto fuera de este rango no puede resultar en una traducción a un número dentro del rango dado.

P. ¿Qué es el protocolo de inicio de sesión (SIP) y se pueden enrutar los paquetes SIP con NAT?

A.Session Initiation Protocol (SIP) es un protocolo de control de capa de aplicación basado en ASCII que se puede utilizar para establecer, mantener y finalizar llamadas entre dos o más extremos. Fue desarrollado por el Grupo de Trabajo de Ingeniería de Internet (IETF) para conferencias multimedia por IP. La implementación de SIP de Cisco permite que las plataformas Cisco compatibles envíen la configuración de llamadas de voz y multimedia por redes IP. Se puede usar NAT con los paquetes SIP.

P. ¿Qué es el soporte transversal de NAT alojada para el controlador de límite de sesión (SBC)?

R.La función NAT transversal alojada de Cisco IOS para SBC permite que un router de gateway de nivel de aplicación (ALG) SIP NAT de Cisco IOS actúe como SBC en una gateway IP a IP multiservicio de Cisco, lo que ayuda a garantizar una entrega fluida de servicios de voz sobre IP (VoIP).

Consulte Configuración de NAT Traversal Alojada de Cisco IOS para Session Border Controller para obtener más información.

P. ¿Cuántas llamadas SIP, Skinny y H323 puede gestionar una CPU y una memoria del router con NAT?

R.El número de llamadas manejadas por un router NAT depende de la cantidad de memoria disponible en la caja y de la potencia de procesamiento de la CPU.

P. ¿Un router NAT soporta la segmentación TCP de paquetes Skinny y H323?

A.Cisco IOS-NAT soporta segmentación TCP para H323 y soporte de segmentación TCP para SKINNY.

P. ¿Hay que tener en cuenta alguna advertencia cuando se utiliza una configuración de sobrecarga de NAT en una implementación de voz?

R.Sí. En esos casos, necesita el mensaje de registro para hacer NAT y crear una asociación de afuera hacia adentro a fin de llegar a este dispositivo interno. El dispositivo interno envía este registro de manera periódica y NAT actualiza este agujero de clavija/asociación a partir de la información como en el mensaje de señalización.

P. ¿Se conocen problemas causados cuando utiliza el comando clear ip nat trans *o el comando clear ip nat trans forcedcommand en una implementación de voz?

R.En las implementaciones de voz cuando ejecuta el comando aclear ip nat trans *o el comando aclear ip nat trans forcedcommand y tiene NAT dinámica, elimina el agujero de clavija/asociación y debe esperar el siguiente ciclo de registro desde el dispositivo interno para establecer esto nuevamente. Cisco recomienda no utilizar estos comandos en las implementaciones de voz.

P. ¿NAT admite la solución de coubicación de voz?

R.No. Por el momento no se admite. La siguiente implementación con NAT (en el mismo equipo) se considera una solución de ubicación compartida: CME/DSP-Farm/SCCP/H323.

P. ¿NVI admite Skinny ALG, H323 ALG y TCP SIP ALG?

R.No. Tenga en cuenta que UDP SIP ALG (utilizado en la mayoría de las implementaciones) no se ve afectado.

NAT con VRF/MPLS

P. ¿Puede un router NAT soportarse en el mismo espacio de direcciones en un VRF y en un espacio de direcciones global? Actualmente, recibo esta advertencia:"% similar static entry (10.1.1.1 —> 10.2.2.2) already exists"cuando intento configurar el this: 

Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 
Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED 

A.La NAT heredada admite la configuración de direcciones superpuestas en diferentes VRF. Tendría que configurar la superposición en la regla con la opción match-in-vrf y establecer upip nat inside/outside en el mismo VRF para el tráfico sobre ese VRF específico. La compatibilidad con superposición no incluye la tabla de routing global.

Debe agregar la palabra clave match-in-vrf para las entradas de NAT estática de VRF superpuestas para diferentes VRF. Sin embargo, no se puede superponer direcciones de NAT de vrf y globales.

Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED match-in-vrf
Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf BLUE match-in-vrf

P. ¿La NAT heredada soporta VRF-Lite (la ruta de un VRF a un VRF diferente)?

R.No. Debe utilizar NVI para NAT entre diferentes VRF. Puede utilizar NAT heredada para hacer NAT de VRF a global o NAT dentro del mismo VRF.

NAT NVI

P. ¿Qué es NAT NVI?

A.NVI significa interfaz virtual NAT. Permite que NAT traduzca entre dos VRF. Esta solución debe utilizarse en lugar de la traducción de direcciones de red en un solo dispositivo.

P. ¿Se debe utilizar NAT NVI para rutear entre una interfaz en global y una interfaz en un VRF?

R.Cisco recomienda utilizar NAT heredada para VRF a NAT global (ip nat inside/out) y entre interfaces en el mismo VRF. NVI se usa para NAT entre diferentes VRF.

P. ¿Se admite la segmentación TCP para NAT-NVI?

R.No hay soporte para la segmentación TCP para NAT-NVI.

P. ¿NVI admite Skinny ALG, H323 ALG y TCP SIP ALG?

R.No. Tenga en cuenta que UDP SIP ALG (utilizado en la mayoría de las implementaciones) no se ve afectado.

P. ¿La segmentación TCP es compatible con SNAT?

A.SNAT no admite ningún ALG de TCP (como, por ejemplo, SIP, SKINNY, H323 o DNS). Por ende, no se admite la segmentación de TCP. Pero sí se admiten UDP SIP y DNS.

SNAT

P. ¿Qué es la NAT stateful (SNAT)?

A.SNAT permite que dos o más traductores de direcciones de red funcionen como un grupo de traducción. Un miembro del grupo de traducción gestiona el tráfico que requiere la traducción de la información de la dirección IP. Además, informa al traductor de respaldo sobre los flujos activos en el momento. El traductor de respaldo luego puede usar dicha información para preparar duplicados de las entradas de la tabla de traducción. Por ende, si el traductor activo se ve afectado por una falla crítica, el tráfico se puede pasar rápidamente al traductor de respaldo. El flujo de tráfico continúa porque se usan las mismas traducciones de direcciones de redes y ya se había definido el estado de las traducciones.

P. ¿Se soporta la segmentación TCP con SNAT?

A.SNAT no admite ningún ALG de TCP (como, por ejemplo, SIP, SKINNY, H323 o DNS). Por ende, no se admite la segmentación de TCP. Pero sí se admiten UDP SIP y DNS.

P. ¿Es SNAT compatible con el ruteo asimétrico?

A. El ruteo asimétrico soporta NAT cuando habilita as-queuing . De forma predeterminada, las colas están activadas. Sin embargo, a partir del punto 12.4(24)T, as-queuing ya no es compatible. Los clientes deben asegurarse de que los paquetes se envíen correctamente y de que se agregue la demora adecuada para que el routing asimétrico funcione bien.

NAT-PT (v6 a v4)

P. ¿Qué es NAT-PT?

A.NAT-PT es la traducción de v4 a v6 para NAT. La traducción de protocolo (NAT-PT) es un mecanismo de traducción IPv6-IPv4, tal y como se define en RFC 2765y RFC 2766, y permite que los dispositivos solo IPv6 se comuniquen con los dispositivos solo IPv4 y viceversa.

P. ¿Se admite NAT-PT en la ruta de Cisco Express Forwarding (CEF)?

A.NAT-PT no se soporta en la trayectoria CEF.

P. ¿Qué ALG se soportan en NAT-PT?

A.NAT-PT admite TFTP/FTP y DNS. No se admite voz ni SNAT en NAT-PT.

P. ¿Admite ASR 1004 NAT-PT?

A.Aggregation Services Routers (ASR) utiliza NAT64.

Cisco 7600/6k dependiente de la plataforma

P. ¿Está disponible la NAT stateful (SNAT) en Catalyst 6500 en el tren SX?

A.SNAT no está disponible en Catalyst 6500 en el tren SX.

P. ¿Se soporta NAT con reconocimiento de VRF en el hardware en el 6k?

A.El hardware de esta plataforma no admite NAT que reconozca VRF.

P. ¿El 7600 y el Cat6000 soportan NAT que reconoce VRF?

R.En la plataforma 65xx/76xx, no se admite NAT que reconozca VRF y se bloquean las CLI.

Nota: Puede implementar un diseño si aprovecha un FWSM que se ejecuta en modo transparente de contexto virtual.

Plataforma Cisco 850

P. ¿El Cisco 850 soporta el Skinny NAT ALG en la versión 12.4T?

R.No. No se admite en la serie 850.

Implementación de NAT

P. ¿Cómo implemento NAT?

A.NAT permite que las redes IP privadas que utilizan direcciones IP no registradas se conecten a Internet. NAT convierte la dirección privada (RFC1918) de la red interna en direcciones que permiten routing de forma legal antes del reenvío de los paquetes a otra red.

P. ¿Cómo implemento NAT con voz?

R.La función NAT support for voice permite que los mensajes SIP incorporados que pasan a través de un router configurado con la traducción de direcciones de red (NAT) sean traducidos de nuevo al paquete. Se emplea un gateway de capa de aplicación (ALG) con NAT para traducir los paquetes de voz.

P. ¿Cómo integro NAT con VPNs MPLS?

R.La integración de NAT con la función MPLS VPNs permite configurar varias VPNs MPLS en un único dispositivo para que funcionen juntas. NAT puede distinguir de qué VPN recibe el tráfico IP aunque todas usen el mismo esquema de direccionamiento IP. Esta mejora permite que varios clientes de VPN MPLS compartan servicios, a la vez que garantiza que cada VPN MPLS sea completamente independiente de la otra.

P. ¿La asignación estática NAT admite HSRP para alta disponibilidad?

R.Cuando se activa una consulta de protocolo de resolución de direcciones (ARP) para una dirección configurada con asignación estática de traducción de direcciones de red (NAT) y propiedad del router, NAT responde con la dirección MAC de BIA en la interfaz a la que apunta el ARP. Dos routers hacen de HSRP activo y en espera. Sus interfaces de NAT interna deben estar activadas y configuradas para pertenecer a un grupo.

P. ¿Cómo se implementa NAT NVI?

R.La función de interfaz virtual (NVI) de NAT elimina el requisito de configurar una interfaz como NAT interna o NAT externa.

P. ¿Cómo implemento el balanceo de carga con NAT?

R.Hay dos tipos de balanceo de carga que se pueden hacer con NAT: puede equilibrar la carga entrante a un conjunto de servidores para distribuir la carga en los servidores, y puede equilibrar la carga del tráfico de usuario a Internet a través de dos o más ISP.

Para obtener más información sobre el balanceo de carga saliente, consulte Balanceo de Carga NAT de Cisco IOS para Dos Conexiones ISP.

P. ¿Cómo implemento NAT junto con IPSec?

A.Existe soporte para IP Security (IPSec) Encapsulating Security Payload (ESP) through NAT e IPSec NAT Transparency.

La función de ESP de IPSec mediante NAT permite admitir varios túneles o conexiones de ESP de IPSec simultáneos, mediante un dispositivo de NAT de Cisco IOS configurado en el modo de sobrecarga o traducción de direcciones de puertos (PAT). La función de transparencia IPSec NAT introduce el soporte para que el tráfico IPSec viaje a través de puntos NAT o PAT en la red cuando se trata de muchas incompatibilidades conocidas entre NAT e IPSec.

P. ¿Cómo implemento NAT-PT?

A.NAT-PT (traducción de direcciones de red: traducción de protocolo) es un mecanismo de traducción IPv6-IPv4, como se define en RFC 2765y RFC 2766, que permite que los dispositivos sólo IPv6 se comuniquen con dispositivos sólo IPv4 y viceversa.

P. ¿Cómo implemento NAT de multidifusión?

R.Es posible NAT de la IP de origen para una secuencia de multidifusión. No se puede utilizar un route-map cuando se realiza una NAT dinámica para multidifusión, sólo se admite una lista de acceso para esto.

Para obtener más información, consulte Cómo Funciona Multicast NAT en los Routers Cisco. El grupo de multidifusión de destino utiliza NAT con una solución Multicast Service Reflection.

P. ¿Cómo implemento la NAT stateful (SNAT)?

A.SNAT habilita el servicio continuo para las sesiones NAT asignadas dinámicamente. Las sesiones de definición estática reciben el beneficio de la redundancia sin necesidad de SNAT. Ante la ausencia de SNAT, las sesiones que emplean correspondencias de NAT dinámica finalizarían en caso de una falla crítica y deberían restablecerse. Solo se admite la configuración de SNAT mínima. Las implementaciones futuras solo se deben realizar después de hablar con el equipo de cuentas de Cisco para validar el diseño en relación con las restricciones actuales.

SNAT se recomienda para los siguientes escenarios:

• El modo primario/de respaldo no es recomendado ya que hay algunas funciones ausentes en comparación con HSRP.

• Para escenarios de conmutación por falla y para configuraciones de 2 routers. Es decir, si falla un router, el otro se hace cargo de inmediato (la arquitectura de SNAT no está diseñada para manejar flapeo de interfaces).

• Se admite el escenario de routing no asimétrico. El routing asimétrico solo se puede hacer si la latencia en el paquete de respuesta es superior a la existente entre 2 routers SNAT para intercambiar los mensajes de SNAT.

Actualmente, la arquitectura SNAT no está diseñada para administrar la robustez; por lo tanto, no se espera que estas pruebas tengan éxito:

• Cuando se borran las entradas de NAT mientras hay tráfico.

• Cuando los parámetros de la interfaz (como el cambio de dirección IP, shut/no-shut, etc.) se modifican mientras hay tráfico.

• No se espera que los comandos SNAT specific clearorshowse ejecuten correctamente y no se recomiendan.

  Algunos de los comandos SNAT relatedclearandshowson los siguientes:

  clear ip snat sessions *
  clear ip snat sessions 
           
           
  clear ip snat translation distributed *
  clear ip snat translation peer < IP address of SNAT peer>
  sh ip snat distributed verbose
  sh ip snat peer < IP address of peer>
  

• Si el usuario desea borrar las entradas, se pueden utilizar los comandos clear ip nat trans forcedorclear ip nat trans *.

  Si el usuario desea ver las entradas, se pueden utilizar los comandos show ip nat translation, show ip nat translations verbose y show ip nat stats. Si se configura service internalis, también puede mostrar información específica de SNAT.

• No se recomienda borrar las traducciones NAT en el router de respaldo. Siempre elimine las entradas de NAT en el router SNAT principal.

• SNAT no es HA; por lo tanto, las configuraciones en ambos routers deben ser las mismas. Ambos routers deben ejecutar la misma imagen. Además, asegúrese de que la plataforma subyacente utilizada para ambos routers SNAT sea la misma.

Mejores prácticas para NAT

P. ¿Existen prácticas recomendadas de NAT?

R.Sí. Estas son las mejores prácticas para NAT:

1. Cuando utiliza NAT dinámica y estática, la ACL que establece la regla para NAT dinámica debe excluir los hosts locales estáticos para que no se superpongan.

2. Si utiliza ACL para NAT con permit ip any any puede obtener resultados impredecibles. Después de 12.4(20)T, NAT puede traducir paquetes de protocolo de ruteo y HSRP generados localmente si se envían por la interfaz externa, así como paquetes cifrados localmente que coinciden con la regla NAT.

3. Cuando tenga redes superpuestas para NAT, utilice la palabra clave match-in-vrf.

   Debe agregar la palabra clave match-in-vrf para las entradas de NAT estática de VRF superpuestas para diferentes VRF, pero no es posible superponer direcciones NAT globales y VRF.

   Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED match-in-vrf
   

   Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf BLUE match-in-vrf
   

4. Los grupos NAT con el mismo rango de direcciones no se pueden utilizar en diferentes VRF a menos que se utilice la palabra clave match-in-vrf. Por ejemplo:

     ip nat pool poolA 172.31.1.1 172.31.1.10 prefix-length 24
     ip nat pool poolB 172.31.1.1 172.31.1.10 prefix-length 24
     ip nat inside source list 1 poolA vrf A match-in-vrf
     ip nat inside source list 2 poolB vrf B match-in-vrf 
   

   Nota: Aunque la configuración de CLI es válida, sin la palabra clave match-in-vrf no se admite la configuración.

5. Cuando implemente el balanceo de carga de los ISP con la sobrecarga de la interfaz NAT, la práctica recomendada es utilizar route-map con coincidencia de interfaz sobre coincidencia de ACL.

6. Cuando utiliza la asignación de grupos, no debe utilizar dos asignaciones diferentes (ACL o route-map) para compartir la misma dirección de grupo NAT.

7. Cuando implementa las mismas reglas NAT en dos routers diferentes en el escenario de failover, debe utilizar la redundancia HSRP.

8. No defina una misma dirección global interna en NAT estática y en un grupo dinámico. Esto puede generar resultados no deseados.

Información Relacionada

• Soporte Técnico y Documentación - Cisco Systems