Tabla de Contenido
NAT estático
Agora que você aprendeu sobre o NAT e como ele funciona, este tópico discutirá as muitas versões de NAT disponíveis para você.
O NAT estático usa um mapeamento um-para-um de endereços locais e globais. Esses mapeamentos são configurados pelo administrador da rede e permanecem constantes.
Na figura, R2 está configurado com mapeamentos estáticos para os endereços locais internos de Svr1, PC2 e PC3. Quando esses dispositivos enviam tráfego para a Internet, seus endereços locais internos são traduzidos para os endereços globais internos configurados. Para redes externas, esses dispositivos parecem ter endereços IPv4 públicos.
O NAT estático é particularmente útil para servidores ou dispositivos da Web que devem ter um endereço consistente acessível a partir da Internet, como um servidor da Web da empresa. Também é útil para dispositivos que devem ser acessíveis por pessoal autorizado fora do local, mas não pelo público em geral na Internet. Por exemplo, um administrador de rede do PC4 pode usar SSH para obter acesso ao endereço global interno do Svr1 (209.165.200.226). R2 traduz este endereço global interno para o endereço local interno 192.168.10.10 e conecta a sessão ao Svr1.
O NAT estático requer que endereços públicos suficientes estejam disponíveis para satisfazer o número total de sessões de usuário simultâneas.
NAT dinâmico
O NAT dinâmico usa um pool de endereços públicos e os atribui por ordem de chegada. Quando um dispositivo interno solicita acesso a uma rede externa, o NAT dinâmico atribui um endereço IPv4 público disponível do pool.
Na figura, o PC3 acessou a Internet usando o primeiro endereço disponível no pool de NAT dinâmico. Os outros endereços ainda estão disponíveis para uso. Semelhante ao NAT estático, o NAT dinâmico requer que endereços públicos suficientes estejam disponíveis para satisfazer o número total de sessões de usuário simultâneas.
Tradução de endereço de porta
A tradução de endereço de porta (PAT), também conhecida como sobrecarga de NAT, mapeia vários endereços IPv4 privados para um único endereço IPv4 público ou alguns endereços. Isso é o que a maioria dos roteadores domésticos faz. O ISP atribui um endereço ao roteador, mas vários membros da família podem acessar a Internet simultaneamente. Esta é a forma mais comum de NAT tanto em casa quanto na empresa.
Com o PAT, vários endereços podem ser mapeados para um ou alguns endereços, porque cada endereço privado também é rastreado por um número de porta. Quando um dispositivo inicia uma sessão TCP / IP, ele gera um valor de porta de origem TCP ou UDP, ou um ID de consulta especialmente atribuído para ICMP, para identificar exclusivamente a sessão. Quando o roteador NAT recebe um pacote do cliente, ele usa seu número de porta de origem para identificar exclusivamente a tradução NAT específica.
O PAT garante que os dispositivos usem um número de porta TCP diferente para cada sessão com um servidor na Internet. Quando uma resposta retorna do servidor, o número da porta de origem, que se torna o número da porta de destino na viagem de retorno, determina para qual dispositivo o roteador encaminha os pacotes. O processo PAT também valida se os pacotes recebidos foram solicitados, adicionando assim um certo grau de segurança à sessão.
Clique em Reproduzir na figura para ver uma animação do processo PAT. O PAT adiciona números de porta de origem exclusivos ao endereço global interno para distinguir entre as traduções.
À medida que R2 processa cada pacote, ele usa um número de porta (1331 e 1555, neste exemplo) para identificar o dispositivo do qual o pacote se originou. O endereço de origem (SA) é o endereço local interno com o número de porta atribuído TCP / UDP adicionado. O endereço de destino (DA) é o endereço global externo com o número da porta de serviço adicionado. Neste exemplo, a porta de serviço é 80, que é HTTP.
Para o endereço de origem, R2 converte o endereço local interno em um endereço global interno com o número da porta adicionado. O endereço de destino não é alterado, mas agora é referido como endereço IPv4 global externo. Quando o servidor da web responde, o caminho é invertido.
Próxima porta disponível
No exemplo anterior, os números da porta do cliente, 1331 e 1555, não mudaram no roteador habilitado para NAT. Este não é um cenário muito provável, porque há uma boa chance de que esses números de porta já tenham sido anexados a outras sessões ativas.
PAT tenta preservar a porta de origem original. No entanto, se a porta de origem original já for usada, o PAT atribui o primeiro número de porta disponível, começando do início do grupo de portas apropriado 0-511, 512-1,023 ou 1.024-65.535. Quando não há mais portas disponíveis e há mais de um endereço externo no pool de endereços, o PAT passa para o próximo endereço para tentar alocar a porta de origem original. Esse processo continua até que não haja mais portas disponíveis ou endereços IPv4 externos.
Clique em Play na figura para ver uma animação da operação PAT. Neste exemplo, o PAT atribuiu a próxima porta disponível (1445) ao segundo endereço de host.
Na animação, os hosts escolheram o mesmo número de porta de 1444. Isso é aceitável para o endereço interno, porque os hosts têm endereços IPv4 privados exclusivos. No entanto, no roteador NAT, os números das portas devem ser alterados; caso contrário, os pacotes de dois hosts diferentes sairiam de R2 com o mesmo endereço de origem. Este exemplo assume que as primeiras 420 portas no intervalo 1.024 – 65.535 já estão em uso, portanto, o próximo número de porta disponível, 1445, é usado.
Quando os pacotes são devolvidos de fora da rede, se o número da porta de origem foi modificado anteriormente pelo roteador habilitado para NAT, o número da porta de destino será alterado de volta para o número da porta original pelo roteador habilitado para NAT.
Comparação de NAT e PAT
A tabela fornece um resumo das diferenças entre NAT e PAT.
NAT | PAT |
---|---|
Mapeamento um-para-um entre endereços Inside Local e Inside Global. | O endereço One Inside Global pode ser mapeado para muitos endereços Inside Local. |
Usa apenas endereços IPv4 no processo de tradução. | Usa endereços IPv4 e números de porta de origem TCP ou UDP no processo de tradução. |
Um endereço global interno exclusivo é necessário para cada host interno que acessa a rede externa. | Um único endereço global interno exclusivo pode ser compartilhado por muitos hosts internos que acessam a rede externa. |
Clique em cada botão para obter um exemplo e uma explicação das diferenças entre NAT e PAT.
Pacotes sem um segmento de camada 4
E quanto aos pacotes IPv4 que transportam dados diferentes de um segmento TCP ou UDP? Esses pacotes não contêm um número de porta da Camada 4. O PAT traduz os protocolos mais comuns transportados pelo IPv4 que não usam TCP ou UDP como protocolo da camada de transporte. O mais comum deles é o ICMPv4. Cada um desses tipos de protocolos é tratado de forma diferente pelo PAT. Por exemplo, mensagens de consulta ICMPv4, solicitações de eco e respostas de eco incluem um ID de consulta. ICMPv4 usa o ID de consulta para identificar uma solicitação de eco com sua resposta de eco correspondente. O ID da consulta é incrementado com cada solicitação de eco enviada. O PAT usa o Query ID em vez de um número de porta da Camada 4.
Nota: Outras mensagens ICMPv4 não usam o ID de consulta. Essas mensagens e outros protocolos que não usam números de porta TCP ou UDP variam e estão além do escopo deste currículo.
Packet Tracer – Investigue as operações NAT
Você sabe que, à medida que um quadro viaja pela rede, os endereços MAC mudam. Mas os endereços IPv4 também podem mudar quando um pacote é encaminhado por um dispositivo configurado com NAT. Nesta atividade, veremos o que acontece com os endereços IPv4 durante o processo de NAT.
Nesta atividade do Packet Tracer, você irá:
- Investigue a operação de NAT na intranet
- Investigue a operação de NAT na Internet
- Conduzir mais investigações
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.