El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
En este documento se brindan las respuestas para las preguntas frecuentes sobre la Traducción de direcciones de red (NAT).
R. La traducción de direcciones de red (NAT) está diseñada para conservar direcciones IP. Permite que se conecten a Internet las redes de IP privada que emplean direcciones IP no registradas. NAT opera en routers, que en general conectan dos redes, y convierte las direcciones privadas (no exclusivas globalmente) de la red interna en direcciones legales, antes de que se reenvíen los paquetes a otra red.
Se puede configurar NAT para que difunda al mundo exterior solo una dirección para toda la red. Esto brinda más seguridad, al ocultar de hecho detrás de esa dirección toda la red interna. NAT ofrece la doble función de seguridad y conservación de direcciones, y suele implementarse en entornos de acceso remoto.
R. Básicamente, permite que un dispositivo, como un router, haga de agente entre Internet (o la red pública) y una red local (o red privada), lo cual significa que solo se necesita una dirección IP exclusiva para representar a todo un grupo de computadoras fuera de una red.
R. Para la configuración de la NAT tradicional, hay que crear al menos dos interfaces en un router (una es la NAT externa y otra la NAT interna) y un conjunto de reglas para la traducción de las direcciones IP de los encabezados (y las cargas útiles, si se desea) de los paquetes. Para configurar la interfaz virtual de NAT (NVI), necesita al menos una interfaz configurada con NAT activada y con el mismo conjunto de reglas antes mencionado.
Para obtener más información, consulte la Guía de Configuración de IP Addressing Services de Cisco IOS® o Configuración de la Interfaz Virtual NAT.
R. La NAT del software Cisco IOS no tiene grandes diferencias respecto de la función de NAT del dispositivo de seguridad Cisco PIX. Una de las principales tiene que ver con los diferentes tipos de tráfico admitidos por cada implementación. Consulte Ejemplos de configuración de la NAT para ver más información sobre la configuración de la NAT en los dispositivos Cisco PIX (incluye los tipos de tráfico admitidos).
R.La herramienta Cisco Feature Navigator permite a los clientes identificar una función (NAT) y averiguar en qué versión de versión y hardware está disponible esta función del software Cisco IOS. Consulte Buscador de funciones de Cisco para ver cómo usar esta herramienta.
Nota: solo los usuarios registrados de Cisco pueden acceder a la información y las herramientas internas de Cisco.
R. El orden en que se procesan las transacciones con la NAT depende de si los paquetes van de la red interna a la red externa o de la red externa a la red interna. La traducción del interior al exterior se realiza tras el routing, mientras que la inversa se realiza antes. Consulte Orden de operación de NAT para ver más información.
R. Sí. La función de compatibilidad de NAT con direcciones IP estáticas permite que los usuarios de dichas direcciones establezcan una sesión IP en un entorno de LAN inalámbrica pública.
R. Sí. Con NAT, puede establecer un host virtual en la red interna que coordine la compartición de cargas entre hosts reales.
R. Sí. La función de limitación de traducciones NAT permite establecer el máximo de operaciones de NAT simultáneas en un router. Además de brindar a los usuarios más control sobre el modo de uso de las direcciones de NAT, esta función se puede emplear para limitar los efectos de virus, gusanos y ataques de denegación de servicio.
A.Se aprende el ruteo para las direcciones IP creadas por NAT si:
El grupo de direcciones globales internas se obtiene de la subred de un router del siguiente salto.
La entrada de ruta estática se configura en el router del siguiente salto y se redistribuye dentro de la red de routing.
Cuando la dirección global interna coincide con la interfaz local, NAT instala un alias IP y una entrada ARP, en cuyo caso el router puede proxy-arp para estas direcciones. Si no desea este comportamiento, use la palabra clave no-alias.
Al configurar un grupo de NAT, se puede usar la opción add-route para la inyección de rutas automática.
R. El límite de sesiones de NAT depende de la cantidad de DRAM disponible en el router. Cada traducción NAT consume alrededor de 312 bytes de DRAM. Por ende, 10 000 traducciones (más de lo habitual en un router) consumen alrededor de 3 MB. Es decir que el hardware de routing típico posee memoria más que suficiente para miles de traducciones NAT.
R. La NAT de Cisco IOS ofrece switching de Cisco Express Forwarding, switching rápido y switching por proceso. En la versión 12.4T y las posteriores, ya no se ofrece la ruta de switching rápido. Para la plataforma Cat6k, el orden de switching es Netflow (ruta de switching de HW), CEF y ruta de proceso.
El rendimiento depende de varios factores:
El tipo de aplicación y su tipo de tráfico
Si las direcciones IP están integradas
El intercambio y la inspección de varios mensajes
El puerto de origen requerido
La cantidad de traducciones
Las otras aplicaciones que se ejecuten en el momento
El tipo de hardware y de procesador
R. Sí. Las traducciones NAT de origen o destino pueden aplicarse en cualquier interfaz o subinterfaz que tenga una dirección IP (incluso interfaces de marcadores). NAT no puede configurarse con la interfaz virtual inalámbrica. La interfaz virtual inalámbrica no existe al momento de escribir en NVRAM. Por ende, el router pierde la configuración de NAT en la interfaz virtual inalámbrica.
R. Sí. NAT ofrece redundancia de HSRP. Sin embargo, es diferente a la SNAT (NAT con estado). La NAT con HSRP es un sistema sin información de estado. La sesión actual no se mantiene ante las fallas. Durante la configuración de NAT estática (cuando un paquete no coincide con ninguna configuración de regla ESTÁTICA), el paquete se envía sin traducción.
R. Sí. El encapsulamiento no es relevante para NAT. Se puede emplear NAT cuando hay una dirección IP en una interfaz y la interfaz es de NAT interna o externa. Debe haber un interior y un exterior para que funcione NAT. Si emplea NVI, debe haber al menos una interfaz con NAT activada. Consulte ¿Cómo configuro NAT? para obtener más detalles.
R. Sí. Esto se puede hacer mediante una lista de acceso donde se describan los grupos de hosts o redes que requieren NAT.
Para definir las reglas que determinan la traducción de los dispositivos IP, se pueden emplear listas de acceso, listas de acceso ampliadas y mapas de rutas. Siempre deben especificarse la dirección de red y la máscara de subred apropiada. La palabra clave any no se debe utilizar en lugar de la dirección de red o la máscara de subred. Con la NAT estática, cuando el paquete no coincide con ninguna configuración de regla ESTÁTICA, el paquete se envía sin ninguna traducción.
A.PAT (sobrecarga) divide los puertos disponibles por dirección IP global en tres intervalos: 0-511, 512-1023 y 1024-65535. PAT asigna un puerto de origen exclusivo para cada sesión de TCP o UDP. Intenta asignar el mismo valor de puerto de la solicitud original, pero, si el puerto ya está ocupado, comienza a buscar desde el comienzo de ese rango de puertos hasta hallar uno disponible para asignarlo a la conversación. Existe una excepción para la base de códigos 12.2S. La base de códigos 12.2S emplea una lógica de puerto diferente y no ofrece reserva de puertos.
R. La PAT trabaja con una dirección IP global o con varias direcciones.
PAT con una dirección IP
Condición Descripción 1 NAT/PAT inspecciona el tráfico y lo evalúa según una regla de traducción. 2 La regla representa una configuración de PAT. 3 Si PAT conoce el tipo de tráfico y si ese tipo de tráfico tiene "un conjunto de puertos específicos o puertos que negocia" que utiliza, PAT los aparta y no los asigna como identificadores únicos. 4 Si una sesión sin requisitos de puertos especiales intenta conectarse con el exterior, PAT traduce la dirección IP de origen y verifica la disponibilidad del puerto de origen (433, por ejemplo). Nota: Para el protocolo de control de transmisión (TCP) y el protocolo de datagramas de usuario (UDP), los intervalos son: 1-511, 512-1023, 1024-65535. Para el protocolo de mensajería de control de Internet (ICMP), el primer grupo comienza con el número 0.
5 Si el puerto de origen solicitado está disponible, PAT lo asigna y la sesión continúa. 6 Si no está disponible, PAT comienza a buscar desde el comienzo del mismo grupo (desde 1 para aplicaciones de UDP o TCP, y desde 0 para ICMP). 7 Al hallar un puerto disponible, lo asigna y la sesión continúa. 8 Si no hay puertos disponibles, el paquete se pierde. PAT con varias direcciones IP
Condición Descripción 1-7 Las primeras siete condiciones son las mismas que para cuando hay una sola dirección IP. 8 Si no hay puertos disponibles en el mismo grupo en la primera dirección IP, NAT pasa a la siguiente dirección IP del grupo e intenta asignar el puerto de origen solicitado. 9 Si el puerto de origen solicitado está disponible, NAT lo asigna y la sesión continúa. 10 Si no está disponible, NAT comienza a buscar desde el comienzo del mismo grupo (desde 1 para aplicaciones de UDP o TCP, y desde 0 para ICMP). 11 Si existe un puerto disponible, éste es asignado y la sesión prosigue. 12 Si no hay puertos disponibles, el paquete se rechaza, a menos que haya disponible otra dirección IP en el grupo.
R. Los grupos de IP de la NAT son un rango de direcciones IP asignadas para NAT según sea necesario. Para definir un grupo, se emplea el comando de configuración:
ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>} [type {rotary}]Ejemplo 1
El siguiente ejemplo traduce entre hosts internos dirigidos desde la red 192.168.1.0 o 192.168.2.0 a la red global única 10.69.233.208/28:
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 ip nat inside source list 1 pool net-208 ! interface ethernet 0 ip address 10.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255Ejemplo 2
En este ejemplo, el objetivo es definir una dirección virtual, cuyas conexiones se distribuyen entre un conjunto de hosts reales. El grupo define las direcciones de los hosts reales. La lista de acceso define la dirección virtual. Si aún no existe una traducción, los paquetes de TCP de la interfaz de serie 0 (la interfaz externa) cuyos destinos figuren en la lista de acceso se convierten en una dirección del grupo.
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary ip nat inside destination list 2 pool real-hosts ! interface serial 0 ip address 192.168.15.129 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.15.17 255.255.255.240 ip nat inside ! access-list 2 permit 192.168.15.1
R. En la práctica, la cantidad máxima de grupos de IP configurables depende de la cantidad de DRAM disponible en un router en particular. (Cisco recomienda configurar 255 grupos). Cada conjunto no debe tener más de 16 bits. En la versión 12.4(11)T y posteriores, Cisco IOS introduce CCE (Common Classification Engine). Esto marca un límite de 255 grupos para NAT. En la base de códigos 12.2S, no hay restricciones para la cantidad de grupos.
R. Un mapa de rutas impide que usuarios externos no deseados lleguen a los servidores/usuarios internos. También puede establecer una correspondencia entre una dirección IP interna y diferentes direcciones globales internas según la regla. Para ver más información, consulte Uso de NAT con varios grupos mediante mapas de rutas.
R. Se trata de una situación donde dos ubicaciones que quieren conectarse emplean el mismo esquema de direccionamiento IP. No se trata de algo inusual, sino que suele suceder cuando las empresas se fusionan o adquieren. Sin un soporte especial, las dos ubicaciones no pueden conectarse y establecer sesiones. La dirección IP superpuesta puede ser una dirección pública asignada a otra empresa, una dirección privada asignada a otra empresa o puede provenir del intervalo de direcciones privadas definido en RFC 1918
Las direcciones IP privadas no permiten routing y exigen traducciones NAT para permitir conexiones con el mundo exterior. La solución supone interceptar las respuestas de consultas de nombres del sistema de nombres de dominio (DNS) que van del exterior al interior, configurar una traducción para la dirección externa y preparar la respuesta de DNS antes de reenviar al host interno. Se necesita un servidor DNS de ambos lados del dispositivo de NAT para determinar qué usuarios quieren tener una conexión entre las dos redes.
NAT puede inspeccionar y traducir direcciones presentes en los registros de DNS A y PTR, como se indica en Uso de NAT en redes superpuestas.
R. Las NAT estáticas ofrecen correspondencia una a una entre direcciones locales y globales. Los usuarios también pueden configurar traducciones de direcciones estáticas en el nivel del puerto, y emplear el resto de la dirección IP para otras traducciones. Esto suele suceder al realizar traducciones de direcciones de puertos (PAT).
El siguiente ejemplo muestra cómo configurar el mapa de ruta para permitir la traducción de afuera hacia adentro para NAT estática:
ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible ! ip access-list extended ACL-A permit ip any 10.1.10.128 0.0.0.127' route-map R1 permit 10 match ip address ACL-A
R. Sí. La sobrecarga de NAT es PAT, que supone el uso de un grupo con un rango de una o más direcciones, o el uso de una dirección IP de interfaz en combinación con el puerto. Al sobrecargar, se crea una traducción totalmente ampliada. Se trata de una entrada de tabla de traducción que contiene la dirección IP y el puerto de origen/destino, y se suele denominar PAT o sobrecarga.
PAT (o sobrecarga) es una función de la NAT de Cisco IOS empleada para convertir direcciones privadas internas (locales internas) en una o más direcciones IP externas (globales internas, generalmente registradas). Para distinguir las conversaciones, se utilizan números de puerto de origen únicos en cada traducción.
R. En las NAT dinámicas, los usuarios pueden establecer una correspondencia dinámica entre direcciones locales y globales. La correspondencia dinámica se logra al definir las direcciones locales que se van a traducir y el grupo de direcciones o la dirección IP de interfaz desde donde se asignarán direcciones globales, y asociar las dos partes.
R. ALG significa gateway de capa de aplicación. NAT presta el servicio de traducción para todo tráfico de protocolo de control de transmisión/protocolo de datagramas de usuarios (TCP/UDP) que no lleve direcciones IP de origen o destino en el flujo de datos de aplicación.
Estos protocolos son FTP, HTTP, SKINNY, H232, DNS, RAS, SIP ,TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh y rcp. Los protocolos específicos que integran información de direcciones IP en la carga útil deben admitir un gateway de nivel de aplicación (ALG).
Para ver más información, consulte Uso de gateways de nivel de aplicación con NAT.
R. Sí. Sin embargo, no se puede emplear la misma dirección IP para la configuración estática de NAT ni en el grupo para configuración dinámica de NAT. Todas las direcciones IP públicas deben ser exclusivas. Tenga en cuenta que las direcciones globales empleadas en traducciones estáticas no se excluyen automáticamente en los grupos dinámicos que contienen esas mismas direcciones globales. Deben crearse grupos dinámicos para excluir las direcciones asignadas a entradas estáticas. Para ver más información, consulte Configuración de NAT estática y dinámica en simultáneo.
R. Traceroute desde el exterior siempre debe devolver la dirección global.
R. NAT introduce características adicionales de puerto: rango completo y mapa de puerto.
La primera permite que NAT use todos los puertos, más allá de su rango predeterminado.
La segunda permite que NAT reserve un rango de puertos definido por el usuario para aplicaciones específicas.
Para ver más información, consulte Rangos de puertos de origen definidos por el usuario para PAT.
Desde la versión 12.4(20)T2 en adelante, NAT presenta aleatorización de puertos para puertos simétricos y L3/L4.
La aleatorización permite que NAT seleccione al azar cualquier puerto global para la solicitud de puerto de origen.
El puerto simétrico permite que NAT admita independiente del punto de soporte.
R. La fragmentación de IP se produce en la capa 3 (IP); la segmentación de TCP se produce en la capa 4 (TCP). La fragmentación de IP sucede cuando desde una interfaz se envían paquetes más grandes que la unidad máxima de transmisión (MTU) de la interfaz. Estos paquetes deben fragmentarse o descartarse cuando se envían por la interfaz. Si el bit Do not Fragment (DF) no está configurado en el encabezado IP del paquete, el paquete se fragmenta. Si el bit DF está configurado en el encabezado IP del paquete, el paquete se descarta y se devuelve al remitente un mensaje de error ICMP que indica el valor de MTU de salto siguiente. Todos los fragmentos de un paquete de IP llevan la misma identificación en el encabezado de IP, lo cual permite al receptor final armar con los fragmentos el paquete de IP original. Para ver más información, consulte Resuelva problemas de fragmentación de IP, MTU, MSS y PMTUD con GRE e IPsec.
La segmentación de TCP sucede cuando una aplicación de una estación final está enviando datos. Los datos de la aplicación se dividen en partes del tamaño que TCP considere ideal para el envío. Estas unidades de datos que pasan de TCP a IP se denominan segmentos. Los segmentos de TCP se envían en datagramas de IP. Estos datagramas de IP luego pueden convertirse en fragmentos de IP al avanzar por la red y encontrar enlaces de MTU más bajos de lo que necesitan para pasar.
TCP primero segmenta estos datos en segmentos TCP (según el valor TCP MSS) y agrega el encabezado TCP y pasa este segmento TCP a IP. Luego, el protocolo IP agrega un encabezado IP para enviar el paquete al host extremo remoto. Si el paquete IP con el segmento TCP es mayor que la MTU IP en una interfaz saliente en la trayectoria entre los hosts TCP, IP fragmenta el paquete IP/TCP para que encaje. La capa IP reensambla estos fragmentos de paquete IP en el host remoto y el segmento TCP completo (que se envió originalmente) se entrega a la capa TCP. La capa TCP no tiene idea de que IP ha fragmentado el paquete durante el tránsito. NAT admite fragmentos IP, pero no admite segmentos TCP.
R. La NAT solo admite fragmentos de IP fuera de orden debido a ip virtual-reassembly.
R. NAT utiliza la misma CLI de depuración para la fragmentación de IP y la segmentación de TCP: debug ip nat frag.
R. No. No hay ninguna MIB de NAT compatible, incluida CISCO-IETF-NAT-MIB.
R. Si el intercambio de señales de tres vías no se completa y NAT ve un paquete TCP, NAT inicia un temporizador de 60 segundos. Tras completarse el protocolo de enlace triple, NAT emplea de forma predeterminada un temporizador de 24 horas para una entrada de NAT. Si un host final envía un RESET, NAT cambia el temporizador predeterminado de 24 horas a 60 segundos. En el caso de FIN, NAT cambia el temporizador predeterminado de 24 horas a 60 segundos cuando recibe FIN y FIN-ACK.
R. Sí. Puede cambiar los valores de tiempo de espera de NAT para todas las entradas o para diferentes tipos de traducciones de NAT (como udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout y arp-ping-timeout).
R. La configuración del protocolo LDAP suma los bytes adicionales (resultados de búsquedas del protocolo LDAP) cuando procesa mensajes del tipo Search-Res-Entry. LDAP adjunta 10 bytes de resultados de búsquedas en cada paquete de respuesta de LDAP. Si por estos 10 bytes adicionales el paquete supera la unidad máxima de transmisión (MTU) de una red, el paquete se rechaza. En ese caso, Cisco recomienda desactivar este comportamiento de LDAP mediante el comando de CLI no ip nat service append-ldap-search-res para que los paquetes se puedan enviar y recibir.
R. En la caja de NAT configurada debe especificarse una ruta para la dirección IP global interna para funciones tales como NAT-NVI. De manera similar, también se debe especificar una ruta en el cuadro NAT para la dirección IP local externa. En este caso, cualquier paquete de una dirección de entrada a salida que utilice la regla estática externa requiere este tipo de ruta. En tales escenarios, al tiempo que se proporciona la ruta para IG/OL, también se debe configurar la dirección IP del salto siguiente. Si falta la configuración del siguiente salto, esto se considera un error de configuración y da como resultado un comportamiento indefinido.
NVI-NAT solo está presente en la ruta de la función de salida. Si tiene una subred conectada directamente con NAT-NVI o tiene la regla de traducción NAT externa configurada en la caja, en esos escenarios debe indicar una dirección IP del siguiente salto falsa y también un ARP asociado para el siguiente salto. Esto es necesario para que la infraestructura subyacente entregue el paquete a NAT para la traducción.
R. Al configurar la NAT de Cisco IOS como NAT dinámica, se emplea una ACL para identificar los paquetes que pueden traducirse. La arquitectura NAT actual no admite ACL con una palabra clave log.
R. CUCM 7 y todas las cargas telefónicas predeterminadas para CUCM 7 admiten SCCPv17. La versión de SCCP empleada es la versión más reciente que tengan tanto CUCM como el teléfono al registrarse el teléfono.
En el momento en que se creó este documento, NAT todavía no es compatible con SCCP v17. Hasta que se implemente el soporte NAT para SCCP v17, el firmware se debe degradar a la versión 8-3-5 o anterior para que se negocie SCCP v16. CUCM6 no encuentra el problema de NAT con ninguna carga telefónica, siempre y cuando utilice SCCP v16. Cisco IOS no admite por el momento la versión 17 de SCCP.
R. La NAT admite las versiones de CUCM 6.x y anteriores. Estas versiones de CUCM se lanzan con la carga de firmware telefónico predeterminada 8.3.x (o anteriores) que admite SCCP v15 (o anteriores).
NAT no admite las versiones de CUCM 7.x o posteriores. Estas versiones de CUCM se lanzan con la carga de firmware telefónico predeterminada 8.4.x que admite SCCP v17 (o posteriores).
Si se emplea CUCM 7.x o posteriores, debe instalarse una carga de firmware anterior en el servidor TFTP de CUCM, para que los teléfonos usen una carga de firmware con SCCP v15 o anterior y sean compatibles con NAT.
R. La función de mejora de asignación de puertos de la PAT de proveedores de servicios para los protocolos RTP y RTCP garantiza que para las llamadas de voz de Skinny, H.323 y SIP: Los números de puerto empleados para flujos RTP sean pares, mientras que para los flujos RTCP sean el siguiente número impar. El número de puerto se convierta en un número dentro del rango especificado en conformidad con RFC-1889. Una llamada con un número de puerto dentro del rango da como resultado una traducción PAT a otro número de puerto dentro de este rango. Del mismo modo, una traducción PAT para un número de puerto fuera de este rango no resulta en una traducción a un número dentro del rango dado.
R. El protocolo de inicio de sesión (SIP) es un protocolo de control de capa de aplicación ASCII que puede utilizarse para establecer, mantener y terminar llamadas entre dos o más terminales. Fue desarrollado por el Grupo de Trabajo de Ingeniería de Internet (IETF) para conferencias multimedia por IP. La implementación de SIP de Cisco permite que las plataformas Cisco compatibles envíen la configuración de llamadas de voz y multimedia por redes IP.
Se puede usar NAT con los paquetes SIP.
R. Esta función de Cisco IOS permite que un router de gateway de nivel de aplicación (ALG) del protocolo SIP de la NAT de Cisco IOS funcione como SBC en un gateway IP a IP multiservicio de Cisco, lo cual contribuye a la buena transmisión de los servicios de voz por IP (VoIP).
Para ver más información, consulte Configuración de la NAT transversal en host de Cisco IOS para controladores de límites de sesión.
R. La cantidad de llamadas admitidas por el router de NAT depende de la cantidad de memoria disponible en la caja y el poder de procesamiento de la CPU.
R. Cisco IOS-NAT soporta la segmentación TCP para H323 en la línea principal 12.4 y la segmentación TCP para SKINNY a partir de 12.4(6)T.
R. Sí. En esos casos, necesita el mensaje de registro para hacer NAT y crear una asociación de afuera hacia adentro a fin de llegar a este dispositivo interno. El dispositivo interno envía este registro de forma periódica y actualiza por NAT este puerto desprotegido/esta asociación a partir de la información del mensaje de la señal.
R. En las implementaciones de voz cuando ejecuta un comando clear ip nat trans * o un comando clear ip nat trans forced y tiene NAT dinámica, borra el agujero de clavija/asociación y debe esperar el siguiente ciclo de registro desde el dispositivo interno para restablecer esto. Cisco recomienda no utilizar estos comandos en las implementaciones de voz.
R. No. Por el momento no se admite la solución de coubicación. La siguiente implementación con NAT (en el mismo equipo) se considera una solución de ubicación compartida: CME/DSP-Farm/SCCP/H323.
R. No. Tenga en cuenta que el ALG del protocolo UDP SIP (empleado en la mayoría de las implementaciones) no se ve afectado.
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED
R. La NAT heredada soporta la configuración de dirección superpuesta sobre diferentes VRFs. Debería configurar la superposición por regla con la opción match-in-vrf y configurar ip nat inside/outside en el mismo VRF para tráfico de ese VRF específico. La compatibilidad con superposición no incluye la tabla de routing global.
Debe agregar la palabra clave match-in-vrfpara las entradas de NAT estática de VRF superpuestos para diferentes VRF. Sin embargo, no se puede superponer direcciones de NAT de vrf y globales.
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf 72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf
R. No. Para eso hay que utilizar la NVI. Puede utilizar NAT heredada para hacer NAT de VRF a global o NAT dentro del mismo VRF.
R. NVI es la sigla en inglés de “interfaz virtual de NAT”. Permite que NAT traduzca entre dos VRF. Esta solución debe utilizarse en lugar de la traducción de direcciones de red en un solo dispositivo.
R. Cisco recomienda usar la NAT heredada para la NAT global de VRF (ip nat inside/out) y entre interfaces del mismo VRF. NVI se usa para NAT entre diferentes VRF.
R. No se admite la segmentación del protocolo TCP para NAT-NVI.
R. No. Tenga en cuenta que el ALG del protocolo UDP SIP (empleado en la mayoría de las implementaciones) no se ve afectado.
R. La SNAT no admite ningún ALG del protocolo TCP (como SIP, SKINNY, H323 o DNS). Por ende, no se admite la segmentación de TCP. Pero sí se admiten UDP SIP y DNS.
R. La SNAT permite que dos o más traductores de direcciones de redes funcionen como un grupo de traducción. Un miembro del grupo se encarga de tráfico que exige la traducción de la información de direcciones IP. Además, informa al traductor de respaldo sobre los flujos activos en el momento. El traductor de respaldo luego puede usar dicha información para preparar duplicados de las entradas de la tabla de traducción. Por ende, si el traductor activo se ve afectado por una falla crítica, el tráfico se puede pasar rápidamente al traductor de respaldo. El flujo de tráfico continúa porque se usan las mismas traducciones de direcciones de redes y ya se había definido el estado de las traducciones.
R. La SNAT no admite ningún ALG del protocolo TCP (como SIP, SKINNY, H323 o DNS). Por ende, no se admite la segmentación de TCP. Pero sí se admiten UDP SIP y DNS.
R. El ruteo asimétrico soporta NAT habilitando como colocación en cola. De forma predeterminada, las colas están activadas. Sin embargo, de 12.4(24)T en adelante, no se admiten las colas. Los clientes deben asegurarse de que los paquetes se envíen correctamente y de que se agregue la demora adecuada para que el routing asimétrico funcione bien.
R. La NAT-PT es la traducción de v4 a v6 para la NAT. La traducción de protocolo (NAT-PT) es un mecanismo de traducción IPv6-IPv4, como se define en RFC 2765 y RFC 2766 , que permite que los dispositivos solo IPv6 se comuniquen con dispositivos solo IPv4 y viceversa.
R. No, no se admite la NAT-PT en la ruta de CEF.
R. La NAT-PT admite los protocolos TFTP/FTP y el DNS. No se admite voz ni SNAT en NAT-PT.
R. Los routers de servicios de agregación (ASR) emplean NAT64.
R. La SNAT no está disponible en Catalyst 6500 en la serie SX.
R. No se admite la NAT consciente del VRF en el hardware de esta plataforma.
R. En la plataforma 65xx/76xx no se admite la NAT consciente del VRF y se bloquean las CLI.
Nota: Puede implementar un diseño empleando un FWSM que funcione en modo de contexto virtual transparente.
R. No. No se admite el ALG en la NAT de Skinny en la versión 12.4T en la serie 850.
A. NAT habilita redes IP privadas entre sí que utilizan direcciones IP no registradas para conectarse a Internet. NAT convierte la dirección privada (RFC1918) de la red interna en direcciones que permiten routing de forma legal antes del reenvío de los paquetes a otra red.
R. La función de compatibilidad de NAT con voz permite que los mensajes integrados en el protocolo SIP que pasan por un router configurado con NAT se vuelvan a convertir en un paquete. Se emplea un gateway de capa de aplicación (ALG) con NAT para traducir los paquetes de voz.
R. Esta función de integración permite configurar varias VPN de MPLS en un mismo dispositivo para que funcionen en conjunto. NAT puede distinguir de qué VPN recibe el tráfico IP aunque todas usen el mismo esquema de direccionamiento IP. Esta mejora permite que varios clientes de VPN de MPLS compartan servicios y garantiza que todas las VPN estén totalmente separadas entre sí.
R. Cuando se dispara una consulta de protocolo de resolución de direcciones (ARP) para una dirección configurada con correspondencia estática de NAT y perteneciente al router, la NAT responde con la dirección MAC de BIA en la interfaz que apunta el protocolo ARP. Dos routers hacen de HSRP activo y en espera. Sus interfaces de NAT interna deben estar activadas y configuradas para pertenecer a un grupo.
R. La interfaz virtual de NAT (NVI) hace innecesario configurar una interfaz como de NAT interna o externa.
R. Hay dos tipos de balanceo de carga que se pueden hacer con NAT: puede equilibrar la carga entrante a un conjunto de servidores para distribuir la carga en los servidores, y puede equilibrar la carga del tráfico de usuario a Internet a través de dos o más ISP.
Para obtener más información sobre el balanceo de carga saliente, consulte Balanceo de Carga NAT de Cisco IOS para Dos Conexiones ISP.
R. Existe compatibilidad con la carga útil de seguridad de encapsulamiento (ESP) de seguridad IP (IPSec) mediante la NAT y compatibilidad con la transparencia de la NAT de IPSec.
La función de ESP de IPSec mediante NAT permite admitir varios túneles o conexiones de ESP de IPSec simultáneos, mediante un dispositivo de NAT de Cisco IOS configurado en el modo de sobrecarga o traducción de direcciones de puertos (PAT).
La función de transparencia de NAT de IPSec ofrece compatibilidad para que el tráfico de IPSec pase por puntos de NAT o PAT de la red ocupándose de las incompatibilidades conocidas entre NAT e IPSec.
R. NAT-PT (traducción de direcciones de red: traducción de protocolo) es un mecanismo de traducción IPv6-IPv4, como se define en RFC 2765 y RFC 2766, que permite que los dispositivos sólo IPv6 se comuniquen con dispositivos sólo IPv4 y viceversa.
R. Se puede hacer una NAT de IP de origen de flujos multidifusión. No se puede usar mapas de rutas al hacer NAT dinámica para multidifusión; para esto solo se admiten listas de acceso.
Para ver más información, consulte Cómo funciona NAT multidifusión en los routers Cisco. En los grupos multidifusión de destino se hace NAT mediante una solución de reflejo de servicio multidifusión.
R. La SNAT ofrece servicio continuo para sesiones de NAT de correspondencia dinámica. Las sesiones de definición estática reciben el beneficio de la redundancia sin necesidad de SNAT. Ante la ausencia de SNAT, las sesiones que emplean correspondencias de NAT dinámica finalizarían en caso de una falla crítica y deberían restablecerse. Solo se admite la configuración de SNAT mínima. Las implementaciones futuras solo se deben realizar después de hablar con el equipo de cuentas de Cisco para validar el diseño en relación con las restricciones actuales.
SNAT se recomienda para los siguientes escenarios:
El modo principal/respaldo no se recomienda, ya que le faltan algunas funciones que sí tiene HSRP.
Para escenarios de conmutación por falla y para configuraciones de 2 routers. Es decir, si falla un router, el otro se hace cargo de inmediato (la arquitectura de SNAT no está diseñada para manejar flapeo de interfaces).
Se admite el escenario de routing no asimétrico. El routing asimétrico solo se puede hacer si la latencia en el paquete de respuesta es superior a la existente entre 2 routers SNAT para intercambiar los mensajes de SNAT.
Actualmente, la arquitectura SNAT no está diseñada para administrar la robustez; por lo tanto, no se espera que estas pruebas tengan éxito:
Eliminación de entradas de NAT mientras hay tráfico.
Cambio de los parámetros de la interfaz (como el cambio de la dirección IP, el cierre/no cierre, etc.) mientras hay tráfico.
No se espera que los comandos específicos de SNAT clear o show se ejecuten bien; no se recomiendan.
Algunos de los comandos relacionados con SNAT clear< /strong>y show son los siguientes:
clear ip snat sessions * clear ip snat sessions <ip address of the peer> clear ip snat translation distributed * clear ip snat translation peer < IP address of SNAT peer> sh ip snat distributed verbose sh ip snat peer < IP address of peer>Si el usuario desea borrar entradas, se pueden utilizar los comandos clear ip nat trans forced< /strong> o clear ip nat trans *.
- Si el usuario desea ver las entradas, se pueden utilizar los comandos show ip nat translation , show ip nat translations verbose y show ip nat stats. Si se configura service internal, también muestra información específica de SNAT.
No se recomienda eliminar traducciones NAT en el router de respaldo. Siempre elimine las entradas de NAT en el router SNAT principal.
SNAT no es HA; por lo tanto, las configuraciones en ambos routers deben ser las mismas. Ambos routers deben tener la misma imagen en ejecución. También asegúrese de que la plataforma subyacente empleada para los dos routers SNAT sea la misma.
R. Sí. Estas son las mejores prácticas para NAT:
Al utilizar NAT dinámica y estática, la ACL que establece la regla para NAT dinámica debe excluir los hosts locales estáticos para que no se superpongan.
Trate de no usar ACL para NAT con permit ip any any, porque los resultados pueden ser imprevisibles. Después de 12.4(20)T, NAT traduce los paquetes de protocolo de ruteo y HSRP generados localmente si se envían fuera de la interfaz externa, así como los paquetes cifrados localmente que coinciden con la regla NAT.
Cuando tenga redes superpuestas para NAT, use la palabra clave match-in-vrf.
Debe agregar la palabra clave match-in-vrf en las entradas de NAT estática de VRF superpuestas para diferentes VRF, pero no se puede superponer direcciones de NAT de vrf y globales.
Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrfRouter(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrfLos grupos de NAT con el mismo rango de direcciones no pueden usarse en VRF diferentes, a menos que se emplee la palabra clave match-in-vrf.
Por ejemplo:
ip nat pool poolA 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat pool poolB 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat inside source list 1 poolA vrf A match-in-vrf ip nat inside source list 2 poolB vrf B match-in-vrfNota: Aunque la configuración de CLI es válida, sin la palabra clave match-in-vrf la configuración no es compatible.
Al implementar equilibrio de carga de proveedores de servicios de Internet con sobrecarga de interfaz de NAT, la mejor práctica es usar un mapa de rutas con coincidencia en interfaz en lugar de coincidencia en ACL.
Al utilizar la asignación de grupo, no debe utilizar dos asignaciones diferentes (ACL o route-map) para compartir la misma dirección de grupo NAT.
Al implementar las mismas reglas NAT en dos routers diferentes en el escenario de failover, debe utilizar la redundancia HSRP.
No defina una misma dirección global interna en NAT estática y en un grupo dinámico. Esto puede generar resultados no deseados.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
21-Aug-2023 |
Recertificación |
1.0 |
29-Aug-2002 |
Versión inicial |