¿Qué es NAT?
NAT (traducción de direcciones de red) es una tecnología para traducir direcciones de red en una red NAT. Un enrutador reemplaza las direcciones IP locales de los dispositivos con direcciones globales y viceversa, garantizando que todos los dispositivos de una oficina o casa se conecten a internet a través de una única dirección pública del proveedor. El enrutador logra esto manteniendo una tabla de entradas para garantizar la entrega correcta de la respuesta. Esto permite que miles de dispositivos se conecten simultáneamente.
El problema del agotamiento de direcciones surgió debido a la penetración generalizada de internet en la vida de las personas y al aumento exponencial del número de dispositivos conectados, lo que llevó a que se asignaran prácticamente todas las direcciones IPv4 disponibles.
Tipos de NAT
NAT funciona de diferentes maneras. El router selecciona los tipos de NAT según las necesidades de la red: fijando direcciones para mayor estabilidad o compartiendo una entre puertos para ahorrar ancho de banda. Veamos algunos ejemplos:
NAT estática (BiNAT, NAT 1:1)
El administrador vincula una dirección local a una dirección global para garantizar un acceso estable. Un servidor de base de datos en 10.0.0.50 aparece externamente como 203.0.113.50: los empleados de la sucursal se conectan mediante RDP y los clientes acceden a la aplicación web con una IP fija. La empresa desperdicia una dirección pública para cada dispositivo, pero recibe una conexión fiable e ininterrumpida.
NAT dinámica
El router asigna una dirección global de un conjunto de direcciones durante la sesión y luego la devuelve para su reutilización. Supongamos que una oficina con 50 estaciones de trabajo crea un conjunto de 10 direcciones (203.0.113.1–203.0.113.10): un gerente abre el CRM en un navegador, ocupando así una dirección libre y, al cerrar la pestaña, finaliza la sesión y libera la dirección para un compañero. Cuando las 10 direcciones están ocupadas, el undécimo empleado espera a que alguien cierre el navegador. La oficina opera con un conjunto limitado de direcciones IP públicas en lugar de adquirir 50 direcciones independientes.
PAT (Traducción de Direcciones de Puerto)
El enrutador disfraza varias direcciones locales como una única dirección global, diferenciando el tráfico por puertos TCP/UDP. En un espacio de coworking con 200 inquilinos, el router usa 203.0.113.1: una laptop (192.168.1.10:49152) aparece como 203.0.113.1:60000, y una tablet (192.168.1.20:49153) aparece como 203.0.113.1:60001. El router revisa la tabla y entrega las respuestas correctamente, una sola dirección admite miles de sesiones, el proveedor conecta todo el centro de negocios a una única IP y los clientes descargan archivos o realizan llamadas sin conflictos.
Cómo funciona NAT
Veamos cómo funciona NAT. El proceso consta de varios pasos:
- Un dispositivo envía una solicitud. Un smartphone con la dirección local 192.168.0.3 crea un paquete para el servidor 208.135.15.7. El paquete contiene la dirección de origen, el puerto (p. ej., 49152) y los datos. El router lo recoge al salir de la red.
- El router cambia la dirección de origen. Reemplaza la dirección local (dentro de la local) por una dirección global (dentro de la global), por ejemplo, 203.0.113.1. Con PAT (Traducción de Dirección de Puerto), añade un puerto único, por ejemplo, 60000. Almacena este par de puertos en la tabla NAT para la ruta de retorno.
- El paquete se envía a internet. El servidor recibe la solicitud de 203.0.113.1:60000. La procesa y envía una respuesta a esta dirección y puerto.
- El router recibe la respuesta y compara la dirección de destino con la tabla NAT. Busca un registro por dirección global y puerto. Lo reemplaza con el local 192.168.0.3:49152.
- La respuesta se envía al dispositivo. El smartphone recibe los datos sin detectar la sustitución. La tabla NAT borra el registro al finalizar la sesión.
| Dirección local (inside local) | Dirección global (inside global) | Dirección global externa (outside global) |
| 192.168.0.3:49152 | 203.0.113.1:60000 | 208.135.15.7:443 |
En esta tabla:
- Dirección local interna: la dirección IP local (privada) de un dispositivo, como una computadora portátil, en su red;
- Dirección global interna: la dirección pública del mismo dispositivo, utilizada por el enrutador para comunicarse con internet como parte de una traducción NAT;
- Dirección global externa: la dirección pública del servidor o dispositivo en internet al que se está conectando.
En una red real, un enrutador procesa miles de estas entradas simultáneamente. La tecnología NAT se utiliza para reemplazar direcciones en los encabezados de los paquetes, y el enrutador realiza esto para cada solicitud. Si se agotan los puertos o las direcciones, se bloquean las nuevas conexiones hasta que se liberen recursos.
Configuración de NAT
Configurar NAT en un router doméstico generalmente implica habilitar esta opción en la interfaz web del dispositivo.
La configuración de NAT de nivel de operador (CG NAT) para escalar conexiones a millones de suscriptores es una tarea a cargo de ingenieros específicos del proveedor. La configuración consta de varios pasos:
- Se crea un perfil con direcciones IP públicas en la pasarela de servicio Stingray, se distribuyen los puertos entre los usuarios y se configuran los tiempos de espera de las sesiones.
- El perfil creado se conecta a un conjunto de direcciones IP privadas.
- El ingeniero de implementación, junto con el cliente (proveedor de internet), verifica el correcto funcionamiento de CG-NAT.
Los especialistas técnicos de VAS Experts le ayudarán a seleccionar e implementar una solución basada en la arquitectura de red y los requisitos de rendimiento del proveedor.
Ejemplos de aplicaciones NAT
Las redes NAT se adaptan a escenarios que abarcan desde Wi-Fi doméstico hasta infraestructuras corporativas con sucursales.
Redes privadas
Un proveedor de NAT asigna una única dirección IP pública y un router con PAT enmascara las direcciones locales 192.168.1.x para que un smartphone, un portátil y un televisor puedan acceder a internet simultáneamente. Una familia conecta 10 dispositivos: los niños ven vídeos en una tableta, los padres consultan el correo electrónico en un ordenador y el router diferencia todo el tráfico por puerto. Los dispositivos intercambian archivos dentro de la red sin acceso a internet, lo que ahorra direcciones IP adicionales. Los usuarios reinician manualmente el router solo en casos excepcionales de fallo.
Redes corporativas
Una empresa distribuye traducción de direcciones de red (NAT) para un acceso seguro a internet y conecta sucursales mediante traducción dinámica de direcciones (NAT) o PAT. Una oficina con 200 empleados crea un grupo de 50 direcciones: los directivos abren el CRM, los desarrolladores cargan el código y NAT oculta la dirección 10.0.0.x de los ataques. Al fusionarse, cambian de proveedor sin redirigir PC, configuran el acceso remoto y escalan sin miles de direcciones IP.
Reenvío de puertos para servidores internos
Los administradores abren puertos mediante NAT para conectar a los clientes a los servicios internos. La empresa aloja un servidor web en 192.168.0.100: la regla reenvía la IP externa 80 a la dirección IP interna, y los clientes acceden al sitio web a través de la dirección IP pública.
NAT de nivel de operador (Carrier-Grade NAT o Large Scale NAT)
Los proveedores utilizan NAT de nivel de operador para atender a millones de suscriptores cuando las direcciones IPv4 públicas son escasas. VAS Experts desarrolla soluciones CG-NAT que distribuyen una única dirección IP externa entre cientos de usuarios mediante la asignación dinámica de puertos. El sistema gestiona automáticamente los grupos de direcciones, registra las sesiones para cumplir con los requisitos de SORM y escala sin interrupciones. CG-NAT de VAS Experts procesa hasta 100 Gbps de tráfico en un solo servidor, se integra con la facturación y mantiene el rendimiento de la red a medida que crece la base de clientes.
Ventajas de usar NAT
Consideremos las ventajas de NAT:
- Guarda direcciones IP públicas. Una única dirección global da servicio a miles de dispositivos en la oficina, eliminando la necesidad de adquirir direcciones IP adicionales del proveedor y reduciendo los costos de infraestructura.
- Oculta las direcciones internas. Solo el enrutador es visible para el exterior, lo que evita que los hackers escaneen los dispositivos locales de la sucursal y reduce el riesgo de ataques.
- Aumenta la flexibilidad de la red. Se pueden agregar nuevas máquinas al centro de datos sin necesidad de direcciones IP adicionales; una startup puede escalar 50 servidores automáticamente.
- Proporciona seguridad básica. Las conexiones entrantes se bloquean por defecto; el firewall del enrutador filtra el tráfico para 200 empleados sin un dispositivo independiente.
- Reduce los costos de administración. Administra una dirección IP externa en lugar de miles; un integrador de sistemas puede configurar reglas para el cliente en minutos.
Desventajas de usar NAT
Consideremos las desventajas de NAT en escenarios reales:
- Aumenta la latencia del tráfico. El enrutador procesa cada paquete, reemplazando direcciones, lo que ralentiza las llamadas VoIP en el centro de llamadas entre 50 y 100 ms.
- Esto dificulta el rendimiento de las aplicaciones. El FTP o SIP se interrumpe debido a la suplantación de puertos; los desarrolladores pasan horas configurando ALG en el chat corporativo.
- Se pierde el rastreo de extremo a extremo. Los administradores no rastrean las rutas de los paquetes a través de múltiples NAT, y la depuración de fallos en la nube tarda tres veces más.
- Interfiere con la tunelización. Las VPN IPsec se interrumpen debido a cambios en el encabezado, lo que obliga a los empleados remotos a reconectarse manualmente cada 10 minutos.
- Limita las sesiones simultáneas. Una sola dirección IP pública no puede transmitir más de 65 000 sesiones para conexiones UDP y TCP. Las nuevas solicitudes se bloquean hasta que se cierran las sesiones existentes.
