Com o crescimento dos usuários da internet a partir dos anos ’90, tudo indicava que o range de endereços que o IPv4 disponibiliza não seria suficiente para todos os usuários e organizações; então, sentiu-se a necessidade de aumentar o espaço de endereçamento. Partindo desta idéia, duas soluções principais foram criadas: IPv6, e o NAT (obs.: o IPv5 foi apenas uma idéia experimental de otimização do IPv4, mas não chegou a ser implementado).

NAT e endereçamento privado, são dois padrões que trabalham juntos. O NAT provê acesso a internet para qualquer endereço inválido dentro de uma organização. Faz com que os usuários internos acessem a internet representados por endereços roteáveis, ou válidos. Mas também pode ter aplicações dentro das organizações, para proteger servidores, DMZ’s, acesso a ranges de IP sobrepostos, VPN, e etc.

O processo de Tradução

O NAT lê os campos de destino ou origem do cabeçalho IP e os altera (traduz) para o endereço válido, quando o pacote sai ou chega na organização, e faz o devido encaminhamento ao host de destino.

Tipos de NAT

Exemplo: temos um range com 6 endereços válidos – 200.20.20.0/29, e temos 254 endereços inválidos: 10.10.10.0/24. Os 6 primeiros a tentarem acessar a internet terão sucesso ao passar pelo NAT:

Mas a partir daí, a tabela do NAT fica completamente preenchida, e não há mais espaços para qualquer um que queira se conectar.

Exemplo:

NAT Overload, ou PAT – Port Address Translation: um único endereço pode representar diversos internos. Cada um deles é representado por uma PORTA diferente, associado a este endereço global.

Exemplo: temos 3 endereços locais – 10.10.10.1, 10.10.10.2 e 10.10.10.3. Suponha que o IP do gateway para internet é 200.20.20.1. Ao passar por esta interface, o NAT traduzirá estes endereços da seguinte forma:

E assim por diante, com qualquer endereço interno. Quando vierem os pacotes de volta, o NAT irá ler a porta, e encaminhará ao seu respectivo endereço interno.

Representação das Redes

Inside: todo o range de IP’s que pertence à organização, inclusive seu IP válido na internet.

Outside: na perspectiva da rede interna, os IP’s válidos que serão acessados. Como por exemplo, a internet, um servidor remoto, etc.

Representação dos Endereços

Considere a seguinte topologia na perspectiva do usuário dentro da organização:

Inside Local: endereço original – e inválido – do host, que o representa dentro da organização.

Inside Global: endereço traduzido do host interno, que o representa na internet.

Outside Local: endereço que representa um host remoto dentro da organização; aquele que o usuário da rede local realmente enxerga. Observer que, neste caso, este endereço não precisa ser alterado para alcançar a rede interna.

Outside Global: endereço válido que representa o host na internet, para qualquer um que o queira acessar.

Fique atento, que nos próximos dias estaremos postando mais sobre NAT.

Espero que tenha ajudado. Até breve!

4 Comentários em “NAT – Network Address Translation: Parte 1 – Conceitos”

1. Roberto   says:

   30/08/2009 at 12:03

   Cara muito bom suas publicações, já copiei vários, estou salvando todos para usar como consulta. Se tiver mais materiais sobre segurança Cisco, será muito bem vindo!.. (-;

   Abraços
2. Roberto   says:

   30/08/2009 at 12:32

   Ah estou ansioso para a 2ª parte deste post.. valeu!
3. André Ortega   says:

   30/08/2009 at 18:16

   Ficou muito bom. Bem explicado.
   Aguardemos os próximos capítulos.
4. NAT Parte 2: Configuração de NAT Estático | brainwork's blog   says:

   11/09/2009 at 08:13

   [...] verifique o primeiro post sobre NAT. Logo mais a parte 3! [...]