Si bien esto es fácil, o por lo menos lo parece, recién luego de 3 años de estar trabajando con estos comandos puedo decir que realmente los sé usar. ¿De cuáles les hablo? De la inseparable pareja ip nat inside y ip nat outside.
Empecemos definiendo NAT (RCF 1631). Network Address Translation es el mecanismo utilizado por algunos equipos de comunicación de capa 3, tales como routers y firewalls, que permite enmascarar una dirección IP cualquiera en otra. ¿Qué razones pueden haber para hacer esto? Puede ser por seguridad, administración de segmentos, y desde luego para que varios equipos puedan hacer uso de una misma conexión a Internet. Este asunto es muy largo así que no voy a explayarme en él ahora. Mi objetivo es explicar con claridad como debemos hacer uso de estos comandos de interfaz, asociándolos con los de nivel de configuración global. Se requiere además que el lector cuente por lo menos con la noción de conceptos tales como IP o Segmento Público, IP o Segmento Privado, Subnetting y Enrutamiento Básico.
Aún así es necesario que primero definamos algunos conceptos importantes, y que no suelen ser bien entendidos:
Aún así es necesario que primero definamos algunos conceptos importantes, y que no suelen ser bien entendidos:
- Local Address: Una dirección local es toda aquella dirección que encontramos en un paquete mientras este aún esté transitando en la parte o porción interna -inside- de la red.
- Global Address: Una dirección global es toda aquella dirección que encontramos en un paquete mientras este aún esté transitando en la parte o porción externa -outside- de la red.
Con esto en mente, resulta más fácil comprender estos conceptos:
- Inside local address: Es la dirección de origen de los paquetes provenientes de la parte interna de la red.
- Outside local address: Es la dirección de destino de los paquetes provenientes de la parte interna de la red.
- Inside global address: Es la dirección de origen de los paquetes, luego de que hayan sido switcheados desde la parte interna de la red hacia la externa, a través del equipo de capa 3.
- Outside global address: Es la dirección de destino de los paquetes, luego de que hayan sido switcheados desde la parte interna de la red hacia la externa, a través del equipo de capa 3.
Siendo así podemos claramente entender que, en el camino de vuelta, es decir, cuando el paquete se origina en la parte externa de la red la situación no cambia. Mientras aun reside en la parte externa, la dirección de destino del paquete corresponde con el inside global address, mientras que la de origen es la outside global address. Una vez que el paquete fue switcheado desde la parte externa a la parte interna, la dirección de destino corresponde al inside local address, mientras que la de origen la outside local address. En el siguiente gráfico se aclaran estas ideas:
De todo lo anterior se desprende la necesidad de que cuando vayamos a configurar correctamente el NAT, definamos claramente que parte de la red es la que será la porción Interna, y cual será la porción externa. Noten por favor que aún no hablamos de la traducción de una IP a otra, o que IP o rangos de IPs vamos a usar para el enmascaramiento. Solo deseamos resaltar que tiene que quedar muy claro cuál es el segmento de red que debe comportarse como la parte interna y cual debe ser el segmento de la parte externa.
Continuá leyendo la Parte II
No hay comentarios:
Publicar un comentario