Your Next Hop
Deshabilitar preloader

NAT Estático en Cisco ASA y Router

NAT Estático en Cisco ASA y Router

Autor: Julio Moisa - 2xCCIE R&S / SP #52536

Email: instructores@yournexthop.com


Network Address Translation o mejor conocido como NAT, es un metodo que permite a un host o red alcanzar destinos u obtener ciertos privilegios, a través de una 'traducción' a una dirección IP o red que posee acceso a los servicios o permisos requeridos. El término NAT nació debido a la escasez de direcciones públicas IPv4, como todos sabemos, hoy en día las direcciones públicas IPv4 están agotadas. Si deseamos que todos nuestros usuarios dentro de una compañáa tengan acceso a Internet configurándoles direcciones IPv4 públicas a sus computadoras, se nos convierte un método sin escalabilidad, costoso e inseguro.

Todo este tema de agotamiento ya no es observado en el direccionamiento IPv6, pero mientras sigamos utilizando direccionamiento IPv4 NAT seguirá siendo una solución para nuestros hogares y compañías.

Aunque NAT es ampliamente utilizado para proveer acceso a Internet a los usuarios, también puede ser utilizado para proveer accesos entre redes privadas, un ejemplo puede ser la fusión de 2 compañías que utilizan direccionamiento IP similar, o si deseamos obtener acceso a servicios que solo ciertas redes poseen.

El NAT tiene 3 sabores:

- Estático
- Dinámico
- PAT (Port Address Translation)

Cada uno de estos métodos mantiene una sintaxis, y los cuales pueden también ser ajustados para intereses específicos.

NAT en muchas ocasiones puede llegar a ser confuso al momento de saber cómo el flujo o traducciones trabajan, en nuestro artículo aprenderemos la configuración básica del NAT estático y la diferencia de sintaxis entre un Router y un ASA firewall.

Antes de iniciar conoceremos algunos términos que nos ayudaran durante el desarrollo de la implementación:

Durante un proceso de NAT se utilizan 4 términos:

Inside local: Representa la dirección IP o red interna, esa dirección IP que obtendrá el permiso o acceso, en nuestro caso sería la IP 2.2.2.2.

Inside global: Representa a la dirección IP vista desde el exterior, la cual es utilizada para la traducción a nuestra red interna, aunque en muchas situaciones es representada por la dirección IP configurada en la interface conectada al exterior (Fa0/0 de R1 - 200.0.0.14), pero en nuestro caso será la dirección IP 7.7.7.7/32.

Outside global: Es la dirección externa, desde la perspectiva del exterior. En nuestro caso será la dirección IP 172.25.1.100

Outside local: Es la dirección externa vista desde la perspectiva de la red interna. En nuestro caso será la dirección IP 172.25.1.100

A continuación, una breve descripción de los comandos a utilizar:

IP nat inside: Se configurar a nivel de interface para indicar los Inside local, básicamente son las direcciones IP o redes que obtendrán acceso en el exterior.

IP nat outside: Indica la interfaz de salida de las traducciones.

IP nat inside source static <local inside> <global inside>: Sintaxis para indicar un NAT Estático en routers o switches capa 3 que soporten NAT como la serie 6500, 6800 y la nueva serie 9000 en modelo específicos.

nat (<interface de origen>,<interface de salida>) static <object> : Dicha sintaxis es configurada en los Cisco ASA y es la contra parte del 'ip nat inside source static' en los routers. La sección en azul mencionada como interface origen representa el nombre de la interfaec (nameif) por donde se conocen las redes u host a ser traducidos, esto es nuestra red interna. Ahora la sección en rojo mencionada como interface de salida, representa el nombre de la interface (nameif) por donde se realizar la traducción. El object, representa la dirección Global Inside, utilizada para la traducción.


Siempre debe haber una o más interfaces que representen las redes internas a traducir y las interfaces de salida. En los firewalls se trabaja de igual manera pero utilizando los nombres de las interfaces (nameif).

Una vez aprendidos los términos utilizados en NAT procederemos con la configuración, cabe mencionar que se utilizara un router (R2) para representar al Servidor Web y al router R3 para representar la computadora de un usuario.

La topología se encuentra previamente configurada con el direccionamiento IP, enrutamiento (R1 y R3) y ruta por defecto (R1).




Las configuraciones de los NAT pueden realizarse en cualquier equipo siempre y cuando se haya realizado un estudio adecuado del flujo de datos, ahora bien, por lo general se realiza en los equipos de borde, los que se conectan con un ISP, el router de un cliente, etc.

Aplicamos nuestra configuración en R1 para que la IP 192.168.3.3 puede alcanzar el destino 2.2.2.2 pero de una forma enmascarada para el destino, con esto quiero decir que el destino no debe conocer nuestra IP interna, por eso utilizaremos la dirección IP 7.7.7.7. Una vez finalizada la configuración el Servidor Web (R2) podrá hacerle ping a la IP 192.168.3.3 a través de la IP 7.7.7.7


Una vez configurado R1, tenemos que notar que no estamos usando la interface FastEthernet0/0 para realizar el NAT sino que la dirección IP 7.7.7.7 de la Loopback7, por ende, tenemos que configurar a R2 para que sepa como conocer dicha IP, para esto utilizamos una ruta estática en R2.


Verifiquemos el funcionamiento haciendo un ping desde R3 con origen la loopback0 y habilitemos un debug ip nat en R1 para ver que sucede:



Efectivamente podemos observar las traducciones desde el origen 192.168.3.3 (s) -> 7.7.7.7 hacia el destino 2.2.2.2 (d), y como el ping es reciproco támbien se observan las traducciones de la respuesta, con esto de reciproco quiero decir que si hay una solicitud debe haber una respuesta para que sea satisfactorio.



Interpretando: Todo usuario externo que quiera alcanzar la dirección IP 192.168.3.3 utilizara la IP 7.7.7.7 en lugar.

Ahora que hemos aprendido a como configurar una NAT Estático en un router, movámonos hacia un Firewall ASA.

La configuración de R2 y R3 se mantiene igual, quitemos a R1 y reemplacémoslo por un ASA. Cabe mencionar que desde el IOS versión 8.3 muchos comandos cambiaron en los ASA. En nuestro equipo utilizaremos la versión 9.

Configuración inicial NAT Estático en ASA


Paso 1) En nuestro router se creo una loopback con la direccion IP 7.7.7.7, en el firewall ASA no utilizaremos una loopback sino un objeto, utilizando el sintaxis object network <nombre para identificar>.


Paso 2) Crear otro objeto pero este incluirá nuestra Global-Inside IP, el host configurado dentro del objeto representa el origen real y en este mismo objeto se creara la sentencia de NAT Estático:


Paso 3) Crear una ACL con su respectivo Access-group para permitir la comunicación hacia el destino, cabe mencionar que por niveles de seguridad en las interfaces (Interior 100 y Exterior 0) debemos habilitar los permisos de ICMP en ambos sentidos de lo contrario se descartaran los paquetes ICMP:


Verificación:





A través del comando show conn podemos observar las conexiones que se realizan desde el origen hacia el destino y con el comando show nat podemos observar las políticas de NAT y sus contadores.

Podemos observar que desde la perspectiva externa no logramos hacer ping a la IP 192.168.3.3, solo utilizando la IP 7.7.7.7, el debug nos muestra las traducciones que se están realizando.

Podemos concluir que nuestra configuración es satisfactoria.