Con la traducción de direcciones de puerto (PAT), se utiliza una única dirección IP pública para todas las direcciones IP privadas internas, pero se asigna un puerto diferente a cada dirección IP privada. Este tipo de NAT también se conoce como sobrecarga de NAT y es la forma típica de NAT utilizada en las redes actuales. Incluso es compatible con la mayoría de los enrutadores de nivel de consumidor.
PAT le permite admitir muchos hosts con solo unas pocas direcciones IP públicas. Funciona mediante la creación de una asignación NAT dinámica, en la que se selecciona una dirección IP global (pública) y un número de puerto único. El enrutador mantiene una entrada de tabla NAT para cada combinación única de la dirección IP privada y el puerto, con traducción a la dirección global y un número de puerto único.
Usaremos la siguiente red de ejemplo para explicar los beneficios de usar PAT:
Como puede ver en la imagen de arriba, PAT utiliza números de puerto de origen únicos en la dirección IP global interna (pública) para distinguir entre traducciones. Por ejemplo, si el host tiene la dirección IP de 10.0.0.101 desea acceder al servidor S1 en Internet, la dirección IP privada del host se traducirá por R1 a 155.4.12.1: 1056 y la solicitud se enviará a S1. S1 responderá a 155.4.12.1: 1056. R1 recibirá esa respuesta, buscará en su tabla de traducción NAT y reenviará la solicitud al host.
Para configurar PAT, se requieren los siguientes comandos:
- configure la interfaz interna del enrutador utilizando el comando ip nat inside.
- configure la interfaz externa del enrutador utilizando el comando ip nat outside.
- configure una lista de acceso que incluya una lista de las direcciones de origen internas que deben traducirse.
- habilite PAT con el comando de configuración global de sobrecarga de tipo de interfaz ACL_NUMBER de ip nat inside source list.
Así es como configuraríamos PAT para la imagen de red de arriba.
Primero, definiremos las interfaces externas e internas en R1:
R1(config)#int Gi0/0 R1(config-if)#ip nat inside R1(config-if)#int Gi0/1 R1(config-if)#ip nat outside
A continuación, definiremos una lista de acceso que incluirá todas las direcciones IP privadas que nos gustaría traducir:
R1(config-if)#access-list 1 permit 10.0.0.0 0.0.0.255
La lista de acceso definida anteriormente incluye todas las direcciones IP del rango 10.0.0.0 – 10.0.0.255.
Ahora necesitamos habilitar NAT y referirnos a la ACL creada en el paso anterior y a la interfaz cuya dirección IP se utilizará para las traducciones:
R1(config)#ip nat inside source list 1 interface Gi0/1 overload
Para verificar las traducciones NAT, podemos usar el comando show ip nat translations después de que los hosts soliciten un recurso web desde S1:
R1#show ip nat translations Pro Inside global Inside local Outside local Outside globaltcp 155.4.12.1:1024 10.0.0.100:1025 155.4.12.5:80 155.4.12.5:80tcp 155.4.12.1:1025 10.0.0.101:1025 155.4.12.5:80 155.4.12.5:80tcp 155.4.12.1:1026 10.0.0.102:1025 155.4.12.5:80 155.4.12.5:80