Traducción de direcciones de red (NAT)

Para acceder a Internet, se necesita una dirección IP pública, pero podemos usar una dirección IP privada en nuestra red privada. La idea de NAT es permitir que múltiples dispositivos accedan a Internet a través de una sola dirección pública. Para lograr esto, se requiere la traducción de una dirección IP privada a una dirección IP pública. La traducción de direcciones de red (NAT) es un proceso en el que una o más direcciones IP locales se traducen en una o más direcciones IP globales y viceversa para proporcionar acceso a Internet a los hosts locales. Además, hace la traducción de los números de puerto, es decir, enmascara el número de puerto del host con otro número de puerto, en el paquete que se enrutará al destino. Luego realiza las entradas correspondientes de dirección IP y número de puerto en la tabla NAT. NAT generalmente opera en un enrutador o firewall. 

Funcionamiento de la traducción de direcciones de red (NAT): 
generalmente, el enrutador de borde está configurado para NAT, es decir, el enrutador que tiene una interfaz en la red local (interna) y una interfaz en la red global (externa). Cuando un paquete atraviesa fuera de la red local (interna), NAT convierte esa dirección IP local (privada) en una dirección IP global (pública). Cuando un paquete ingresa a la red local, la dirección IP global (pública) se convierte en una dirección IP local (privada). 

Si NAT se queda sin direcciones, es decir, no queda ninguna dirección en el conjunto configurado, los paquetes se descartarán y se enviará un paquete de host inalcanzable del protocolo de mensajes de control de Internet (ICMP) al destino. 

¿Por qué enmascarar los números de puerto?   
Supongamos que, en una red, dos hosts A y B están conectados. Ahora, ambos solicitan el mismo destino, en el mismo número de puerto, digamos 1000, en el lado del host, al mismo tiempo. Si NAT solo traduce direcciones IP, entonces, cuando sus paquetes lleguen a NAT, ambas direcciones IP se enmascararán con la dirección IP pública de la red y se enviarán al destino. El destino enviará respuestas a la dirección IP pública del enrutador. Por lo tanto, al recibir una respuesta, NAT no tendrá claro qué respuesta pertenece a qué host (porque los números de puerto de origen para A y B son los mismos). Por lo tanto, para evitar este problema, NAT también enmascara el número de puerto de origen y realiza una entrada en la tabla NAT. 

Direcciones internas y externas de NAT: 
el interior se refiere a las direcciones que deben traducirse. Afuera se refiere a las direcciones que no están bajo el control de una organización. Estas son las direcciones de red en las que se realizará la traducción de las direcciones.

• Dirección local interna: una dirección IP que se asigna a un host en la red interna (local). La dirección probablemente no sea una dirección IP asignada por el proveedor de servicios, es decir, estas son direcciones IP privadas. Este es el host interno visto desde la red interna. 
   
• Dirección global interna: dirección IP que representa una o más direcciones IP locales internas para el mundo exterior. Este es el host interno visto desde la red externa. 
   
• Dirección local externa: esta es la dirección IP real del host de destino en la red local después de la traducción. 
   
• Dirección global externa: este es el host externo visto desde la red externa. Es la dirección IP del host de destino externo antes de la traducción. 
   

Tipos de traducción de direcciones de red (NAT): 
hay 3 formas de configurar NAT: 
 

1. NAT estática: en este caso, una única dirección IP no registrada (privada) se asigna a una dirección IP (pública) registrada legalmente, es decir, la asignación uno a uno entre direcciones locales y globales. Esto se usa generalmente para alojamiento web. Estos no se utilizan en las organizaciones, ya que hay muchos dispositivos que necesitarán acceso a Internet y, para proporcionar acceso a Internet, se necesita una dirección IP pública. 

   Supongamos que si hay 3000 dispositivos que necesitan acceso a Internet, la organización tiene que comprar 3000 direcciones públicas que serán muy costosas. 
    

2. NAT dinámica: en este tipo de NAT, una dirección IP no registrada se traduce en una dirección IP registrada (pública) de un grupo de direcciones IP públicas. Si la dirección IP del grupo no está libre, el paquete se descartará, ya que solo se puede traducir una cantidad fija de direcciones IP privadas a direcciones públicas. 

   Supongamos que si hay un grupo de 2 direcciones IP públicas, solo se pueden traducir 2 direcciones IP privadas en un momento dado. Si la tercera dirección IP privada quiere acceder a Internet, el paquete se descartará, por lo que muchas direcciones IP privadas se asignan a un grupo de direcciones IP públicas. NAT se utiliza cuando la cantidad de usuarios que desean acceder a Internet es fija. Esto también es muy costoso ya que la organización tiene que comprar muchas direcciones IP globales para hacer un grupo. 
    

3. Traducción de dirección de puerto (PAT): esto también se conoce como sobrecarga de NAT. En esto, muchas direcciones IP locales (privadas) se pueden traducir a una sola dirección IP registrada. Los números de puerto se utilizan para distinguir el tráfico, es decir, qué tráfico pertenece a qué dirección IP. Esto se usa con mayor frecuencia ya que es rentable ya que miles de usuarios pueden conectarse a Internet utilizando solo una dirección IP global (pública) real. 
    

Ventajas de NAT – 
 

• NAT conserva las direcciones IP registradas legalmente. 
   
• Proporciona privacidad ya que se ocultará la dirección IP del dispositivo, el envío y la recepción del tráfico. 
   
• Elimina la renumeración de direcciones cuando una red evoluciona. 
   

Desventaja de NAT – 
 

• La traducción da como resultado retrasos en la ruta de conmutación. 
   
• Ciertas aplicaciones no funcionarán mientras NAT esté habilitado. 
   
• Complica los protocolos de tunelización como IPsec. 
   
• Además, el enrutador, al ser un dispositivo de capa de red, no debe alterar los números de puerto (capa de transporte), pero tiene que hacerlo debido a NAT.