Introducción:
El uso de redes de computadoras en las empresas ha crecido y continúa creciendo drásticamente, en la mayoría de estos casos estas redes son de uso exclusivo interno, requiriendo que una mínima cantidad de terminales tengan acceso a redes externas. Además, el rápido agotamiento de las direcciones IP públicas hace que adquirirlas sea costoso razón por lo cual las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas que son inválidas para su uso fuera de la red interna.
Para que estas empresas puedan tener un acceso a redes externas o a Internet se requiere de una traducción de direcciones que permita que con una sola conexión a la red de redes y unas cuantas direcciones IP válidas, de esta manera se puede tener un buen control sobre la seguridad de la red y sobre el tipo de información intercambiada con redes externas.
La topología de red fuera de un dominio local puede cambiar de muchas maneras. Los clientes pueden cambiar proveedores, los backbones (conexiones de Internet con gran ancho de banda) de las compañías pueden ser reorganizados o los proveedores pueden unirse o separarse. Siempre que la topología externa cambie, la asignación de dirección para nodos en el dominio local puede también cambiar para reflejar los cambios externos. Este tipo de cambios deben ser implementados en el router de acceso a Internet y de esta manera, pueden ser ocultados a los usuarios de la rede interna de la organización.
La "Traducción de Direcciones de Red", Network Address Translation (NAT), es un método mediante el que las direcciones IP son mapeadas desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a las máquinas finales. Existen muchas variantes de traducción de direcciones que se prestan a distintas aplicaciones. Sin embargo todas las variantes de dispositivos NAT debería compartir las siguientes características:
· Asignación transparente de direcciones.
· Encaminamiento transparente mediante la traducción de direcciones (aquí el encaminamiento se refiere al reenvío de paquetes, no al intercambio de información de encaminamiento).
· Traducción de la carga útil de los paquetes de error ICMP
Como se explicó en el anterior punto, la traducción de la dirección de red, se aplica en redes que fueron implementadas con direcciones IP privadas y necesitan tener un acceso a Internet, se debe solicitar a un proveedor un rango de direcciones válidas para poder asociar dichas direcciones válidas con los hosts que tengan direcciones inválidas y necesiten salida a Internet.
Esta situación ocurre frecuentemente en las empresas que tienen redes internas grandes, también puede darse el caso que el proveedor sólo asigne una dirección válida a la empresa, en esta situación se configura a NAT para que diferentes hosts dentro de la empresa puedan acceder a Internet mediante esta única IP válida asignada por el proveedor, en este caso la configuración del router con NAT asocia además de la dirección IP, un puerto para direccionar correctamente los paquetes a los diferentes hosts (estas dos situaciones serán explicadas más ampliamente en la siguiente sección). Estos problemas también pueden presentarse en redes caseras más pequeñas y son una solución factible para habilitar una conexión a Internet sin tener que hacer una reconfiguración de la red interna, además que el proceso de traducción de direcciones IP es transparente al usuario final que no se da cuenta de lo que pasa.
Para que una red privada tenga acceso a Internet, el acceso debe ser por medio de un dispositivo ubicado en la frontera de las dos redes que tenga configurado NAT para la traducción de direcciones, en estos casos lo más conveniente es poner a un router para que los paquetes sean enviados hacia él. Existen dos tipos de asignación de direcciones:
·
Figura 1: NAT estático: cuando el host 192.168.0.2 envía un paquete al servidor 207.28.194.84 tiene en la cabecera de sus paquetes los datos mostrados en "A", al pasar estos paquetes por elrouter NAT, los datos son modificados y llegan al servidor con los datos mostrados en "B". Lasrelaciones de direcciones de la tabla del router son puestas estáticamente
· Asignación dinámica de direcciones, en este caso, las direcciones externas son asignadas a las máquinas de la red privada, o viceversa, de manera dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT determine heurísticamente. Cuando la última de las sesiones que use una dirección asociada termine, NAT liberará la asociación para que la dirección global pueda ser reciclada para su posterior uso. La naturaleza exacta de la asignación de direcciones es específica de cada implementación de NAT.
La operación de Traducción de Dirección a analizar se denomina "NAT Tradicional", existen otras variantes de NAT que no serán exploradas. En un NAT tradicional, las sesiones son unidireccionales, salientes de la red privada. Las sesiones en la dirección opuesta pueden ser permitidas en una base excepcional usando mapeos de dirección estáticos para hosts preseleccionados. Existen dos variantes del NAT Tradicional: NAT Básico y NAPT (Network eAddress Port Translation).
La operación de NAT Básico es como se describe a continuación: una zona con un conjunto de direcciones de red privadas puede ser habilitada para comunicarse con una red externa mapeando dinámicamente el conjunto de direcciones privadas a un conjunto de direcciones de red válidas globalmente, cada dirección tiene garantizada una dirección global para ser mapeada a ella. De lo contrario, los nodos habilitados para tener acceso simultáneo a la red externa son limitados por el número de direcciones en el conjunto global.
Direcciones locales individuales pueden ser estáticamente mapeadas a direcciones globales específicas para asegurarse acceso garantizado hacia fuera o para permitir acceso al host local desde hosts externos mediante una dirección pública fija. Sesiones múltiples simultáneas pueden ser iniciadas desde un nodo local, usando el mismo mapeo de dirección.
Las direcciones dentro de la zona son locales para este dominio y no son válidas fuera de él. De este modo, las direcciones dentro de la zona pueden ser reusadas por alguna otra. Por ejemplo, una sola dirección de clase A puede ser usada por muchas zonas. En cada punto de salida entre una zona y el backbone, NAT está instalado. Si hay más de un punto de salida es de gran importancia que cada NAT tenga la misma tabla de traducción.
No hay comentarios:
Publicar un comentario