CAP 9 - NAT IPv4 - 59 páginas

Prévia do material em texto

Capítulo 9: NAT para IPv4
Todos os endereços de IPv4 público que atravessam a Internet devem ser registrados com um Registro Regional de Internet (RIR, Regional Internet Registry). As organizações podem alugar endereços públicos de um provedor de serviços. O proprietário registrado de um endereço IP público pode atribuir esse endereço a um dispositivo de rede.
Com um máximo teórico de 4,3 bilhões de endereços, o espaço de endereço IPv4 é rigidamente limitado. Quando Bob Kahn e Vint Cerf desenvolveram o conjunto de protocolos TCP/IP incluindo IPv4 em 1981, nunca teriam imaginado o que a Internet se tornaria. Na época, o computador pessoal era principalmente uma curiosidade para algumas pessoas e a World Wide Web ainda estava a uma década de existência.
Com a proliferação da computação pessoal e o advento da Web, logo se percebeu que 4,3 bilhões de endereços IPv4 não seriam suficientes. A solução a longo prazo foi IPv6, mas uma solução mais imediata para atender a exaustão era necessária. Para curto prazo, várias soluções foram executadas pelo IETF, incluindo Network Address Translation (NAT) e os endereços IPv4 privados RFC 1918. O capítulo discute como o NAT, combinado com o uso do espaço de endereço privado, é usado para preservar e usar mais eficientemente os endereços IPv4 para fornecer a redes de todos os tamanhos o acesso à Internet . 
Este capítulo abrange:
Características do NAT, terminologia e operações gerais
Os tipos diferentes de NAT, incluindo o NAT estático, NAT dinâmico e NAT com sobrecarga
As vantagens e desvantagens do NAT
A configuração, a verificação e a análise de NAT estático, NAT dinâmico e NAT com sobrecarga
Como o encaminhamento de portas pode ser usado para acessar dispositivos internos da Internet
A solução de problemas de NAT usando os comandos show e debug
Como o NAT para IPv6 é usado para a conversão entre endereços IPv6 e IPv4
NAT conceitual
Cenário
Você trabalha para uma grande universidade ou sistema educACLonal.
Como você é o administrador de rede, muitos professores, funcionários administrativos e outros administradores de rede precisam sua ajuda com suas redes diariamente. Eles ligam para você durante todo o horário comercial e, devido ao número de chamadas telefônicas, você não pode concluir suas tarefas normais de administração de rede.
Você precisa encontrar uma forma de limitar o período que atende chamadas e a quem atender. Você também precisa mascarar seu número de telefone para que, quando alguém ligue, outro número seja exibido para o destinatário.
Esse cenário descreve uma questão muito comum para a maioria de pequenas e médias empresas. Acesse, “Como a conversão de endereço de rede funciona”, localizado aqui para ver mais informações sobre como o mundo digital lida com esses tipos de interrupções no dia de trabalho.
Use o PDF fornecido juntamente com esta atividade para refletir mais sobre a forma pela qual o processo conhecido como NAT pode ser a resposta ao desafio deste cenário.
Atividade de aula - Instruções conceituais de NAT
A figura mostra duas pessoas trabalhando em um notebook. A legenda diz "O NAT é um processo usado por muitas pequenas e médias empresas para ajudar a conservar endereços IPv4 e fornecer a privACLdade e a segurança aos usuários finais".
Espaço de endereço particular IPv4
Não há endereços IPv4 públicos o suficiente para designar um endereço exclusivo para cada dispositivo conectado à Internet. As redes são implementadas geralmente usando endereços IPv4 privados, conforme definido na RFC 1918. A Figura 1 mostra o intervalo de endereços incluídos na RFC 1918. É muito provável que o computador que você usa para este curso esteja atribuído a um endereço privado.
Esses endereços privados são usados em uma organização ou local para permitir que os dispositivos se comuniquem localmente. Entretanto, como esses endereços não identificam nenhuma empresa ou organização, os endereços IPv4 privados não podem ser roteados pela Internet. Para permitir que um dispositivo com IPv4 privado acesse dispositivos e recursos de fora da rede local, o endereço privado deve primeiro ser convertido a um endereço público.
Como mostrado na Figura 2, o NAT fornece a conversão de endereços particulares para endereços públicos. Isso permite a um dispositivo com endereço IPv4 privado acessar recursos fora de sua rede privada, como aqueles encontrados na Internet. O NAT combinado com o endereço IPv4 privado provou ser um método útil de preservar endereços IPv4 públicos. Um único IPv4 público pode ser compartilhado por centenas, mesmo milhares de dispositivos, cada um configurado com um IPv4 privado original.
Sem o NAT, o esgotamento do espaço de endereços IPv4 ocorreria bem antes do ano 2000. Entretanto, o NAT tem certas limitações, que serão exploradas mais adiante neste capítulo. A solução para a redução do espaço de endereços IPv4 e limitações do NAT é a eventual transição para IPv6.
A figura um mostra uma tabela que lista as três principais classes de endereços IPv4, seu endereçamento privado e o prefixo CIDR padrão C. A figura dois mostra um roteador NAT com uma nuvem de cada lado. 
A nuvem à esquerda está rotulada como rede interna e a nuvem à direita está rotulada como Internet. A rede interna usa o endereçamento privado e a Internet usa o endereçamento público.
 
O QUE É O NAT?
O NAT tem várias utilidades, mas seu principal uso é conservar endereços IPv4 públicos. Ele faz isso permitindo que as redes usem endereços IPv4 privados internamente e fornecendo conversão para um endereço público somente quando necessário. O NAT tem um benefício a mais de adicionar um grau de privACLdade e segurança a uma rede, porque oculta os endereços IPv4 internos de redes externas.
Os roteadores ativados para NAT podem ser configurados com um ou mais endereços IPv4 públicos válidos. Esses endereços públicos são conhecidos como o pool de NATs. Quando um dispositivo interno enviar o tráfego para fora da rede, o roteador ativado para NAT converterá o IPv4 interno do dispositivo a um endereço público do pool de NATs. Para dispositivos externos, todo o tráfego que entra e sai da rede parece ter um endereço IPv4 público do pool de endereços fornecido.
Um dispositivo ativado para NAT geralmente opera na fronteira de uma rede stub. Uma rede stub tem uma única conexão à rede vizinha, um caminho de entrada e um de saída da rede. No exemplo da figura, o R2 é um roteador de borda. Como visto do ISP, o R2 forma uma rede stub.
Quando um dispositivo dentro da rede stub quer se comunicar com um dispositivo fora de sua rede, o pacote é encaminhado para o roteador de borda. O roteador de borda realiza o processo de NAT, convertendo o endereço privado interno do dispositivo a um endereço público, externo e roteável.
Observação: a conexão com o ISP pode usar uma rede privada ou um endereço público compartilhado entre os clientes. Neste capítulo, um endereço público é exibido. A figura mostra o roteador um com duas LANs conectadas. O roteador um está conectado também ao roteador dois por meio de um link serial. O roteador dois está conectado também a um ISP. As redes conectadas ao roteador um são internas e usam o endereçamento privado. Há uma etiqueta que indica que essa é uma rede stub. 
O roteador dois tem uma etiqueta que indica que é um roteador da borda ativado para NAT.
Terminologia NAT
Na terminologia do NAT, a rede interna é o conjunto de redes sujeitas a conversão. 
A rede externa se refere a todas as outras redes.
Na utilização do NAT, os endereços IPv4 têm designações diferentes dependendo de estarem na rede privada ou na rede pública (Internet), e se o tráfego é de entrada ou saída.
O NAT inclui quatro tipos de endereço:
Endereço local interno
Endereço global interno
Endereço local externo
Endereço global externo
Na determinação de que tipo de endereço é usado, é importante lembrar que a terminologia NAT é sempre aplicada da perspectiva do dispositivo com o endereço convertido:
Endereço interno- o endereço do dispositivo que está sendo convertido pelo NAT.
Endereço externo - o endereço do dispositivo destino.
O NAT também usa o conceito de local ou global com relação aos endereços:
Endereço válido local - é qualquer endereço que aparece na parte interna da rede.
Endereço válido global - um endereço global é qualquer endereço que aparece na parte externa da rede.
Na figura, o PC1 tem um endereço válido local interno de 192.168.10.10. Da perspectiva do PC1, o Servidor web tem um endereço válido global externo de 209.165.201.1. 
Quando os pacotes são enviados do PC1 ao endereço global do Servidor web, o endereço local interno do PC1 é convertido a 209.165.200.226 (endereço global interno). O endereço do dispositivo externo geralmente não é convertido, pois esse endereço é geralmente o endereço IPv4 público.
Observe que o PC1 tem endereços locais e globais diferentes, enquanto o Servidor web tem o mesmo endereço IPv4 público para ambos. Da perspectiva do Servidor web, o tráfego originado do PC1 parece ter vindo de 209.165.200.226, o endereço global interno.
O roteador de NAT, R2 na figura, é o ponto de demarcação entre as redes internas e externas e entre endereços locais e globais. A figura mostra o roteador dois com uma rede de cada lado. A rede à esquerda é uma rede interna e a rede à direita é uma rede externa. 
A rede interna é conectada a um PC e tem um endereço local. A rede externa é um ISP e tem endereços globais.
Terminologia NAT (Cont.)
Os termos internos e externos são combinados com os termos locais e globais para se referir a endereços específicos. Na figura, o roteador R2 foi configurado para fornecer NAT. Ele tem um pool de endereços públicos a serem atribuídos aos hosts internos.
Endereço local interno - o endereço origem como visto de dentro da rede. Na figura, um endereço IPv4 192.168.10.10 é atribuído ao PC1. Esse é o endereço local interno do PC1.
Endereço global interno - o endereço origem como visto da rede externa. Na figura, quando o tráfego do PC1 é enviado ao Servidor web em 209.165.201.1, o R2 converte o endereço local interno a um endereço global interno. Nesse caso, o R2 altera o endereço origem IPv4 de 192.168.10.10 para 209.165.200.226. Na terminologia do NAT, o endereço local interno de 192.168.10.10 é convertido ao endereço global interno de 209.165.200.226.
Endereço global externo - o endereço destino conforme visto da rede externa. É um endereço IPv4 global roteável atribuído a um host na Internet. Por exemplo, o Servidor web é alcançável no endereço IPv4 209.165.201.1. Com mais frequência, os endereços local externo e global externo são os mesmos.
Endereço local externo - o endereço destino conforme visto da rede interna. Neste exemplo, o PC1 envia tráfego para o Servidor web no endereço IPv4 209.165.201.1. Apesar de incomum, este endereço pode ser diferente do endereço destino globalmente roteável.
A figura mostra como é endereçado o tráfego enviado de um PC interno para um Servidor web externo, pelo roteador ativado para NAT. Ela também mostra como o tráfego de retorno é inicialmente endereçado e convertido.
Observação: o uso do endereço local externo está fora do escopo deste curso.
A figura mostra o roteador dois com uma rede interna à esquerda com um PC e uma rede externa à direita com um ISP. Os endereços local interno, local externo, global interno e global externo são listados para o PC e o servidor da Web.
Como o NAT funciona
Neste exemplo, o PC1 com endereços privados 192.168.10.10 deseja se comunicar com um Servidor web externo com endereço público 209.165.201.1.
O PC1 envia um pacote endereçado ao Servidor web. O pacote é encaminhado de R1 para R2.
Quando o pacote chega ao R2 (o roteador ativado para NAT na rede), R2 lê o endereço IPv4 origem do pacote para determinar se corresponde aos critérios especificados para conversão.
Nesse caso, o endereço IPv4 origem corresponde aos critérios e é convertido de 192.168.10.10 (endereço local interno) para 209.165.200.226 (endereço global interno). O R2 adiciona esse mapeamento do endereço local para global à tabela NAT.
O R2 envia o pacote com um endereço origem convertido para o destino.
O Servidor web responde com um pacote endereçado ao endereço global interno do PC1 (209.165.200.226).
O R2 recebe o pacote com endereço destino 209.165.200.226. O R2 verifica a tabela NAT e localiza uma entrada para esse mapeamento. 
O R2 usa estas informações e converte o endereço global interno (209.165.200.226) ao endereço local interno (192.168.10.10), e o pacote é enviado para o PC1.
Essa animação demonstra como o endereçamento é definido á medida que um pacote trafega por um roteador da borda NAT da origem ao destino.
NAT estático - Há três tipos de conversão de NAT:
Conversão estática do endereço (NAT estático) - mapeamento de um para um entre endereços locais e globais.
Conversões dinâmicas de endereços (NAT dinâmico) - mapeamento de endereços de muitos para muitos entre endereços locais e globais. As conversões são feitas conforme estão disponíveis. 
Por exemplo, se houver 100 endereços locais internos e dez endereços globais internos, a qualquer momento, apenas dez dos 100 endereços locais internos podem ser convertidos. Essa restrição de NAT dinâmico se torna muito menos útil para redes de produção que a conversão de endereço de porta.
Port Address Translation (PAT, Conversão do endereço de porta) - mapeamento de vários para um entre endereços locais e globais. Este método também é conhecido como sobrecarga (sobrecarga de NAT). 
Por exemplo, se houver 100 endereços locais internos e dez endereços globais internos, o PAT usa portas como parâmetro adicional para fornecer um efeito multiplicador, possibilitando reutilizar qualquer um dos dez endereços globais internos até 65.536 vezes (dependendo se o fluxo está baseado em UDP, TCP ou ICMP).
NAT estático
O NAT estático usa um mapeamento de um para um de endereços locais e globais. Esses mapeamentos são configurados pelo administrador da rede e permanecem constantes.
Na figura, o R2 é configurado com mapeamentos estáticos para endereços locais internos de Svr1, do PC2 e de PC3. Quando esses dispositivos encaminham o tráfego à Internet, seus endereços locais internos são convertidos aos endereços globais internos configurados. Para as redes externas, esses dispositivos têm endereços IPv4 públicos.
O NAT estático é particularmente útil para servidores web ou dispositivos que precisam ter um endereço consistente acessíveis da Internet, como um Servidor web de uma empresa. 
Ele é útil também para os dispositivos que devem ser acessíveis por pessoal autorizado remoto, mas não pelo público geral da Internet. Por exemplo, um administrador de rede do PC4 pode realizar um SSH para o endereço global interno do Svr1 (209.165.200.226). 
O R2 converte este endereço global interno ao endereço local interno e conecta a sessão do administrador ao Svr1.
O NAT estático requer que endereços públicos suficientes estejam disponíveis para satisfazer o número total de sessões simultâneas de usuário.
A figura mostra uma rede que contém três computadores. A rede está conectada a um roteador NAT, que está conectado à Internet. 
Há uma tabela que mapeia os endereços privados internos para endereços públicos externos. Isso demonstra NAT estático.
NAT dinâmico
O NAT dinâmico usa um pool de endereços públicos e os atribui por ordem de chegada. Quando as solicitações internas de um dispositivo acessam uma rede externa, o NAT dinâmico designa um endereço IPv4 público disponível do pool.
Na figura, o PC3 acessou a Internet usando o primeiro endereço disponível no pool de NAT dinâmico. Os outros endereços ainda estão disponíveis para uso. Da mesma forma que o NAT estático, o NAT dinâmico requer que endereços públicos suficientes estejam disponíveis para satisfazer o número total de sessões simultâneas de usuário.
A figura mostra uma rede que contém três computadores. A rede está conectada a um roteador NAT,que está conectado à Internet. Há uma tabela que mostra um intervalo de endereços públicos externos disponíveis que podem ser mapeados para endereços privados internos. Isso demonstra NAT dinâmico.
 
Conversão de Endereço de Porta (PAT – Port Address Translation)
A conversão do PAT, também conhecida como sobrecarga de NAT, mapeia os endereços IPv4 privados para um único endereço IPv4 público ou para alguns endereços. É isso que a maioria dos roteadores domésticos faz. 
O ISP atribui um endereço ao roteador e, ainda assim, vários membros da família podem acessar, simultaneamente, a Internet. Esta é a forma mais comum de NAT.
Com o PAT, vários endereços podem ser mapeados para um ou para alguns endereços, pois cada endereço privado é também seguido por um número de porta. 
Quando um dispositivo inicia uma sessão TCP/IP , ele gera um valor de porta de origem TCP ou UDP ou um ID de consulta especialmente atribuído para ICMP, para identificar, de forma exclusiva, a sessão. 
Quando o roteador de NAT recebe um pacote do cliente, usa seu número de porta origem para identificar excepcionalmente a conversão do NAT específico.
O PAT garante que os dispositivos utilizem um número de porta diferente do TCP para cada sessão com um Servidor na Internet. Quando uma resposta volta do Servidor, o número de porta origem, que se torna o número de porta destino na viagem de ida e volta, determina a que dispositivos o roteador encaminha os pacotes. 
O processo de PAT também valida que os pacotes de entrada tenham sido solicitados, adicionando portanto um nível de segurança à sessão.
O PAT usa números de portas origem exclusivos no endereço IP global interno para distinguir entre conversões.
Como o R2 processa cada pacote, ele usa um número de porta (1331 e 1555, neste exemplo) para identificar o dispositivo que originou o pacote. O endereço origem (SA) é o endereço local interno com número de porta TCP/IP designado adicionado. 
O endereço destino (DA) é o endereço local externo com o número de porta de serviço adicionado. Neste exemplo, a porta de serviço é 80, que é HTTP.
Para o endereço origem, o R2 converte o endereço local interno a um endereço global interno com o número de porta adicionado. 
O endereço de destino não é alterado, mas agora é referido como o endereço IPv4 global externo. Quando o Servidor web responde, o caminho é invertido.
Essa animação mostra dois computadores conectados a um roteador NAT. Os computadores precisam acessar a Internet. 
Quando os dois tentam sair, o roteador NAT atribui aos dois o endereço do IP da interface externa, juntamente com um número de porta. Isso demonstra o processo de PAT.
Próxima porta disponível
No exemplo anterior, os números de porta do cliente, 1331 e 1555, não mudaram no roteador ativado para NAT. Este não é um cenário muito provável, pois há uma boa chance destes números de porta terem sido conectados a outras sessões ativas.
O PAT tenta preservar a porta origem. No entanto, se a porta origem estiver sendo usada atualmente, o PAT atribui o primeiro número de porta disponível a partir do início do grupo de portas apropriado 0–511, 512–1.023 ou 1.024–65.535. 
Quando não houver mais portas disponíveis e houver mais de um endereço externo no pool de endereços, o PAT passa para o próximo endereço para tentar alocar a porta origem. Esse processo continua, até que não haja mais portas ou endereços IPv4 externos disponíveis.
Neste exemplo, o PAT atribuiu a próxima porta disponível (1445) ao segundo endereço de host.
Na animação, os hosts escolheram o mesmo número de porta 1444. Isso é aceitável para o endereço interno, pois os hosts têm endereços IPv4 exclusivos. 
No entanto, no roteador de NAT, os números de porta devem ser alterados; caso contrário, os pacotes de dois hosts diferentes sairiam de R2 com o mesmo endereço origem. 
Esse exemplo considera que as primeiras 420 portas no intervalo de 1.024 a 65.535 já estão em uso e, portanto, o próximo número de porta disponível, 1445, é usado.
Essa animação mostra dois computadores conectados a um roteador NAT. Os computadores precisam acessar a Internet. Quando os dois computadores usam o mesmo número de porta interna, o roteador NAT ainda atribuirá um número de porta externa diferente.
Comparando NAT e PAT
Resumir as diferenças entre NAT e PAT ajuda você a entender cada um deles.
Como mostra a figura, o NAT converte os endereços IPv4 em uma base de 1:1 entre os endereços IPv4 privados e os endereços IPv4 públicos. Entretanto, o PAT modifica o endereço e o número de porta.
O NAT encaminha os pacotes de entrada para seu destino interno fazendo referência à origem de entrada do endereço IPv4 fornecido pelo host na rede pública. Com o PAT, há normalmente apenas um ou poucos endereços IPv4 publicamente expostos. 
Os pacotes que chegam à rede pública são roteados para os destinos da rede privada com referência a uma tabela no roteador de NAT. Esta tabela rastreia os pares de portas públicos e privados. Isso é chamado rastreamento de conexão.
Pacotes sem um segmento de Camada 4
E os pacotes IPv4 que transportam dados diferentes de um segmento TCP ou UDP? Esses pacotes não contêm um número de porta de Camada 4. O PAT converte a maioria dos protocolos comuns transportados por IPv4 que não usam TCP ou UDP como protocolo da camada de transporte. 
O mais comum deles é ICMPv4. Cada um de esses tipos de protocolos é tratado de maneira diferente pelo PAT. Por exemplo, mensagens de consulta ICMPv4, as solicitações de eco e as respostas de eco incluem um ID de consulta (Query ID). 
O ICMPv4 usa o ID de consulta para identificar um echo request com o seu echo reply correspondente. O ID de consulta é incrementada quando cada echo request é enviada. O PAT usa o ID de consulta em vez de um número de porta de Camada 4.
Observação: outras mensagens ICMPv4 não usam o ID de consulta. Essas mensagens e outros protocolos que não usam números de porta TCP ou UDP variam e estão fora do escopo deste currículo. A figura mostra duas tabelas. Uma tabela mostra como o NAT usa um pool de endereços globais dentre os quais escolher. A segunda tabela mostra como o PAT usa um único endereço, mas acrescenta um número de porta único ao mapeamento.
Packet Tracer – operação de pesquisa do NAT
Você sabe como um quadro trafegará através de uma rede, pois os endereços MAC são alterados. Mas os endereços IPv4 também podem ser alterados quando um pacote é encaminhado por um dispositivo configurado com NAT. Nessa atividade, veremos o que acontece aos endereços IPv4 durante o processo NAT.
Vantagens do NAT	Comment by xiriu: Estude Isso
O NAT oferece muitos benefícios, incluindo:
NAT mantém o esquema de endereçamento registrado legalmente, permitindo a privatização de intranets. O NAT economiza endereços por meio da aplicação de multiplexação no nível das portas. Com o NAT, os hosts internos podem compartilhar um único endereço IPv4 público para toda a comunicação externa. 
Nesse tip o de configuração, são necessários pouquíssimos endereços externos para suportar muitos hosts internos, economizando, assim, endereços IP .
O NAT aumenta a flexibilidade das conexões à rede pública. Pools múltiplos, pools de backup e pools de balanceamento de carga podem ser implementados para garantir conexões de rede pública confiáveis.
O NAT oferece consistência de esquemas de endereçamento da rede interna. Em uma rede que não usa os endereços IPv4 privados e NAT, a alteração do esquema de endereços IPv4 público requer o reendereçamento de todos os hosts na rede existente. 
Os custos de reendereçar os hosts podem ser significativos. O NAT permite que o esquema privado existente de endereços IPv4 permaneça, propiciando a alteração fácil para um novo esquema de endereçamento público. Isso significa que uma organização pode alterar os ISPs e não precisa alterar nenhum de seus clientes internos.
O NAT oculta os endereços IPv4 do usuário. Usando endereços IPv4 RFC 1918, o NAT fornece o efeito colateral de ocultar endereçosIPv4 de usuários e de outros dispositivos. 
Algumas pessoas consideram isso um recurso de segurança, mas a maioria dos especialistas concordam que o NAT não oferece segurança. Um firewall stateful é o que fornece segurança na borda da rede.
A figura lista as vantagens do NAT.
Desvantagens do NAT	Comment by xiriu: Estude Isso
O NAT tem algumas desvantagens. O fato de que os hosts na Internet pareçam se comunicar diretamente com o dispositivo ativado para NAT, em vez de com o host real dentro da rede privada, cria diversos problemas.
Uma desvantagem do uso do NAT é relACLonada ao desempenho da rede, especialmente para protocolos em tempo real, como o VoIP . 
O NAT aumenta os atrasos de encaminhamento, pois a conversão de cada endereço IPv4 dentro dos cabeçalhos do pacote leva tempo. 
O primeiro pacote sempre é comutado por processo (process-switched), portanto, passa pelo caminho mais lento. O roteador precisa analisar cada pacote para decidir se precisa de conversão. O roteador deve alterar o cabeçalho IPv4 e, possivelmente, o cabeçalho TCP ou UDP. 
O checksum do cabeçalho IPv4, juntamente com o checksum do TCP ou UDP, deve ser recalculado toda vez que uma conversão é executada. Os outros pacotes passam pelo caminho de switch rápido se uma entrada da cache existir; se não, eles atrasarão também.
Outra desvantagem de usar NAT é que o endereçamento fim a fim será perdido. Muitos protocolos e aplicativos da Internet dependem de endereçamento fim a fim da origem para o destino. 
Alguns aplicativos não trabalham com NAT. Por exemplo, alguns aplicativos de segurança, como assinaturas digitais, falham porque o endereço IPv4 origem é alterado antes de alcançar o destino. 
Os aplicativos que usam endereços físicos em vez de um nome de domínio qualificado não alcançam os destinos convertidos através do roteador NAT. Às vezes, esse problema pode ser evitado através da implementação de mapeamentos NAT estáticos.
O rastreamento de IPv4 fim a fim é perdido. Torna-se muito mais difícil rastrear pacotes que passam por diversas alterações de endereço ao longo dos vários saltos do NAT, o que desafia a solução dos problemas.
Usar o NAT também complica o uso de protocolos de encapsulamento, como IP sec (IP Security Protocol), pois o NAT modifica valores nos cabeçalhos, fazendo com que haja falha nas verificações de integridade.
Os serviços que exigem o inicio de conexões TCP da rede externa, ou protocolos stateless*, como os que usam UDP, podem ser interrompidos. A menos que o roteador de NAT esteja configurado para suportar esses protocolos, os pacotes de entrada não podem alcançar seu destino. 
Alguns protocolos podem acomodar uma instância de NAT entre hosts participantes (modo FTP passivo, por exemplo), mas falham quando ambos os sistemas forem separados da Internet pelo NAT.
A figura lista as desvantagens do NAT.
*Em computação, um protocolo sem estado (do inglês stateless) é um protocolo de comunicação que considera cada requisição como uma transação independente que não está relACLonada a qualquer requisição anterior, de forma que a comunicação consista de pares de requisição e resposta independentes.
Configurar o NAT estático
O NAT estático é um mapeamento de um para um entre um endereço interno e um endereço externo. O NAT estático permite que os dispositivos externos iniciem conexões com os dispositivos internos usando o endereço público atribuído estaticamente. 
Por exemplo, um Servidor web interno pode ser mapeado para um endereço global interno específico, de forma que fiquem acessíveis para as redes externas.
A Figura 1 mostra uma rede que contém um Servidor web com IPv4 privado. O roteador R2 é configurado com NAT estático para permitir que os dispositivos da rede externa (Internet) acessem o Servidor web. 
O cliente da rede externa acessa o Servidor web usando o endereço IPv4 público. O NAT estático converte o endereço IPv4 público ao endereço IPv4 privado.
Há duas tarefas básicas na configuração de conversões estáticas de NAT.
Passo 1. A primeira tarefa é criar um mapeamento entre o endereço local interno e endereços globais de entrada. Por exemplo, o endereço local interno 192.168.10.254 e o endereço global interno 209.165.201.5 da Figura 1 são configurados como uma conversão de NAT estático.
Passo 2. Depois que o mapeamento é configurado, as interfaces que participam da conversão são configuradas como internas ou externas com relação ao NAT. No exemplo, a interface serial 0/0/0 do R2 é uma interface interna e a serial 0/1/0 é uma interface externa.
Os pacotes que chegam à interface interna do R2 (serial 0/0/0) do endereço IPv4 local interno (192.168.10.254) são convertidos e encaminhados para a rede externa. Os pacotes que chegam à interface externa do R2 (serial 0/1/0), que são endereçados ao endereço IPv4 global interno configurado (209.165.201.5), são convertidos para o endereço local interno (192.168.10.254) e enviados à rede.
A Figura 2 detalha os comandos necessários para configurar o NAT estático.
A Figura 3 mostra os comandos necessários em R2 para criar um NAT estático que mapeia o Servidor web no exemplo de topologia. Com a configuração mostrada, R2 converte os pacotes do Servidor web com o endereço 192.168.10.254 ao endereço IPv4 IP público 209.165.201.5. 
O cliente da Internet direciona solicitações da Web ao endereço IPv4 público 209.165.201.5. O R2 encaminha o tráfego para o Servidor web em 192.168.10.254.
A figura um mostra o roteador dois com uma rede interna com um servidor da Web à esquerda e uma rede externa com um PC à direita. Uma tabela NAT estática está listada abaixo da imagem. 
A figura dois mostra uma tabela que lista os comandos e as descrições para configurar NAT estático. 
A figura três mostra a sintaxe para configurar NAT estático. A figura quatro é uma atividade interativa que permite que o aluno pratique configurar o NAT estático.
 
Análise de NAT estático
Usando a configuração anterior, a figura ilustra o processo de conversão de NAT estático entre o cliente e o Servidor web. Conversões de NAT estático são usadas geralmente quando os clientes da rede externa (Internet) precisam acessar servidores da rede interna.
1. O cliente deseja abrir uma conexão com o Servidor web. O cliente envia um pacote ao Servidor web usando o endereço IPv4 destino público 209.165.201.5. Esse é o endereço global interno do Servidor web.
2. O primeiro pacote que R2 recebe do cliente na interface externa do NAT faz com que o R2 verifique a tabela NAT. O endereço IPv4 destino está localizado na tabela NAT e foi convertido.
3. O R2 substitui o endereço global interno de 209.165.201.5 pelo endereço local interno de 192.168.10.254. O R2 depois encaminha o pacote para o Servidor web.
4. O Servidor web recebe o pacote e responde ao cliente que usa o endereço local interno, 192.168.10.254.
5a. O R2 recebe o pacote do Servidor web na interface interna do NAT com o endereço origem do endereço local interno do Servidor web, 192.168.10.254.
5b. O R2 verifica a tabela NAT para obter uma conversão para o endereço local interno. O endereço é encontrado na tabela NAT. O R2 converte o endereço de origem para o endereço global interno de 209.165.201.5 e encaminha o pacote para o cliente.
6. O cliente recebe o pacote e continua a conversação. O roteador NAT executa os passos 2 a 5b para cada pacote. (A Etapa 6 não é mostrada na figura.)
A figura mostra o roteador dois com uma rede com um servidor da Web à esquerda e uma rede externa com um PC à direita. Há pacotes indo e voltando entre o PC e o Servidor da Web. 
Existem números ao lado dos itens que indicam a ordem no processo de conversão para NAT estático. Uma tabela NAT estática está listada abaixo da imagem.
Verificação de NAT estático
Um comando útil para verificar se a operação NAT é show ip nat translations. Esse comando exibe as conversões ativas de NAT. As conversões estáticas, diferentemente das dinâmicas, sempre estão na tabela NAT. 
A Figura 1 mostraa saída desse comando usando o exemplo de configuração anterior. Como o exemplo é uma configuração de NAT estático, a conversão está sempre presente na tabela NAT, independentemente de todas as comunicações ativas. 
Se o comando for emitido durante uma sessão ativa, a saída também exibirá o endereço do dispositivo externo como mostrado na Figura 1.
Um outro comando útil é show ip nat statistics. Como mostrado na Figura 2, o comando show ip nat statistics exibe informações sobre o número total de conversões ativas, os parâmetros de configuração de NAT, o número de endereços no pool e o número de endereços que foi alocado.
Para verificar se a conversão de NAT está funcionando, é melhor limpar as estatísticas de algumas conversões do passado usando o comando clear ip nat statistics antes de testar.
Antes de todas as comunicações com o Servidor web, o comando show ip nat statisticsnão mostra nenhuma ocorrência atual. 
Depois que o cliente tiver estabelecido uma sessão com o servidor da Web, o comando show ip nat statistics mostra um aumento de cinco ocorrências na interface (Serial0/0/0) interna. Ele verifica se a conversão de NAT estático está ocorrendo no R2.
A figura um mostra o resultado do comando “show i.p. nat translations” sem sessões ativas. Os endereços externos estão vazios. Também é mostrado o resultado do comando “show i.p. nat translations” com uma sessão ativa. Os endereços externos estão presentes. 
Isso demonstra que as conversões NAT estão sempre presentes com NAT estático. A figura dois mostra o resultado do comando "clear ip nat statistics" seguido pelo comando “show i.p. nat statistics” que não mostra nenhuma ocorrência. 
Quando um PC estabelece uma sessão com o servidor da Web, o resultado do comando "show ip nat statistics" é exibido com cinco ocorrências.
Packet Tracer - Configurando o NAT estático
Nas redes IPv4 configuradas, clientes e servidores configurados usam o endereçamento privado. 
Antes que os pacotes com endereçamento privado possam atravessar a Internet, eles precisam ser convertidos em endereçamento público. 
Os servidores que são acessados de fora da organização geralmente recebem um endereço IPv4 público e um endereço IPv4 privado. Nesta atividade, você irá configurar o NAT estático de modo que os dispositivos externos possam acessar um Servidor interno em seu endereço público.
Operação do NAT dinâmico
Quando o NAT estático fornecer um mapeamento permanente entre um endereço local interno e um endereço global interno, o NAT dinâmico permitirá o mapeamento automático de endereços locais internos para endereços globais de entrada. 
Esses endereços globais internos geralmente são os endereços IPv4 públicos. O NAT dinâmico usa um grupo ou pool de endereços IPv4 público para conversão.
O NAT dinâmico, assim como o NAT estático, requer a configuração de interfaces internas e externas que particip am do NAT. No entanto, onde o NAT estático cria um mapa permanente para um único endereço, o NAT dinâmico usa um pool de endereços.
Observação: converter endereços IPv4 públicos e privados é de longe o uso mais comum do NAT. No entanto, as conversões de NAT podem ocorrer entre todos os pares de endereços.
A topologia do exemplo mostrado na figura tem uma rede interna usando endereços do espaço de endereço privado RFC 1918. Duas redes locais, 192.168.10.0/24 e 192.168.11.0/24, são conectadas ao roteador R1. O roteador de borda R2 é configurado para NAT dinâmico com um pool de endereços IPv4 públicos 209.165.200.226 a 209.165.200.240.
O pool de endereços IPv4 públicos (pool de endereços globais internos) está disponível para qualquer dispositivo na rede interna, na ordem de chegada. Com o NAT dinâmico, um único endereço interno é convertido em um único endereço externo. 
Com esse tip o de conversão, deve haver endereços suficientes no pool para acomodar todos os dispositivos internos que precisam de acesso à rede externa ao mesmo tempo. Se todos os endereços no pool tiverem sido usados, um dispositivo deverá esperar um endereço disponível antes que possa acessar a rede externa.
A figura mostra o roteador dois com uma rede interna à esquerda e uma rede externa à direita. A rede interna contém o roteador um e dois computadores. A rede externa contém um servidor. 
O pool NAT do IPv4 está listado abaixo da imagem.
Configuração do NAT dinâmico	Comment by xiriu: Estude Isso
A Figura 1 mostra as etapas e os comandos usados para configurar o NAT dinâmico.
Passo 1. Defina o pool de endereços que serão usados para conversão usando o comando ip nat pool. Esse pool de endereços é geralmente um grupo de endereços públicos. 
Os endereços são definidos pela indicação do endereço IPv4 inicial e endereço IPv4 final do pool. A palavra-chave netmask ou prefix-length indica que bits do endereço pertencem à rede e que os bits pertencem ao host para o intervalo de endereços.
Passo 2. Configure uma ACL padrão para identificar (permitir) somente os endereços a serem convertidos. Uma ACL que seja muito permissiva pode causar resultados imprevisíveis. Lembre-se de que existe uma instrução deny all implícita no final de cada ACL.
Passo 3. Vincule a ACL ao pool. O comando ip nat inside source list access-list-number grupo pool name é usado para vincular a ACL ao pool. Essa configuração é usada pelo roteador para identificar quais dispositivos (lista) receberão o endereçamento (pool).
Passo 4. Identifique quais interfaces são internas em relação ao NAT, ou seja, uma interface que se conecta à rede interna.
Passo 5. Identifique quais interfaces são externas em relação ao NAT, ou seja, uma interface que se conecta à rede externa.
A Figura 2 mostra um exemplo de topologia e configuração. Essa configuração permite a conversão de todos os hosts na rede 192.168.0.0/16, o que inclui as LANs 192.168.10.0 e 192.168.11.0, quando elas geram tráfego que entra em S0/0/0 e sai de S0/1/0. Esses hosts são convertidos para um endereço disponível no pool no intervalo 209.165.200.226 - 209.165.200.240.
A Figura 3 mostra a topologia usada para a configuração do verificador de sintaxe. Use o verificador de sintaxe na Figura 4 para configurar o NAT dinâmico em R2.
A figura um mostra uma tabela que lista as etapas para configurar NAT dinâmico. A figura dois mostra a topologia NAT. Abaixo da topologia, a sintaxe para configurar um pool NAT e a sintaxe para criar uma lista de controle de acesso para definir quais endereços internos podem ser convertidos. A figura três mostra a topologia a ser usada na próxima atividade interativa. A figura quatro é uma atividade interativa que permite que o aluno pratique configurar NAT dinâmico.
 
Análise do NAT dinâmico
Usando a configuração anterior, a figura ilustra o processo de conversão de NAT dinâmico entre dois clientes e o Servidor web:
Na Figura 1, o fluxo de tráfego de dentro para fora é mostrado:
1. Os hosts com os endereços origem (IPv4 192.168.10.10 (PC1) e 192.168.11.10 (PC2)) encaminham pacotes solicitando uma conexão com o Servidor no endereço IPv4 público (209.165.200.254).
2. O R2 recebe o primeiro pacote do host 192.168.10.10. Como este pacote foi recebido em uma interface configurada como uma interface interna do NAT, o R2 verifica a configuração de NAT para determinar se este pacote deve ser convertido. 
A ACL permite esse pacote, portanto o R2 irá converter o pacote. O R2 examina sua tabela NAT. Como não há entrada de conversão para esse endereço IPv4, o R2 determina que o endereço de origem 192.168.10.10 deve ser convertido de forma dinâmica. 
O R2 seleciona um endereço global disponível do pool de endereços dinâmicos e cria uma entrada de conversão, 209.165.200.226. 
O endereço IPv4 origem (192.168.10.10) é o endereço local interno e o endereço convertido é o endereço global interno (209.165.200.226) na tabela NAT.
Para o segundo host, 192.168.11.10, o R2 repete o procedimento, seleciona o próximo endereço global disponível do pool de endereços dinâmicos e cria uma segunda entrada de conversão,209.165.200.227.
3. O R2 substitui o endereço origem local interno do PC1, 192.168.10.10, pelo endereço global interno convertido de 209.165.200.226 e encaminha o pacote. O mesmo processo ocorre para o pacote de PC2 usando o endereço convertido para o PC2 (209.165.200.227).
Na Figura 2, o fluxo de tráfego de fora para dentro é mostrado:
4. O Servidor recebe o pacote do PC1 e atende usando o endereço IPv4 destino 209.165.200.226. Quando o Servidor recebe o segundo pacote, responde ao PC2 usando o endereço IPv4 destino 209.165.200.227.
5a. Quando o R2 receber o pacote com um endereço IPv4 destino 209.165.200.226; realizará uma pesquisa na tabela NAT. Usando o mapeamento da tabela, o R2 converte o endereço de volta ao endereço local interno (192.168.10.10) e encaminha o pacote para o PC1.
5b. Quando o R2 receber o pacote com um endereço IPv4 destino 209.165.200.227; realizará uma pesquisa na tabela NAT. Usando o mapeamento da tabela, o R2 converte o endereço de volta ao endereço local interno (192.168.11.10) e encaminha o pacote para o PC2.
6. O PC1 em 192.168.10.10 e o PC2 em 192.168.11.10 recebem os pacotes e continuam a conversação. O roteador executa as etapas 2 a 5b para cada pacote. (A Etapa 6 não é mostrada nas figuras.)
A figura um mostra o roteador dois com uma rede interna à esquerda e uma rede externa à direita. A rede interna contém o roteador um e dois computadores. A rede externa contém um servidor. 
Há pacotes que passam de dois computadores para o servidor com seus respectivos endereços interno e externo exibidos. O pool NAT em uso está listado abaixo da imagem. A figura dois mostra a mesma topologia com os pacotes que voltam para os computadores do servidor.
Verificação do NAT dinâmico
A saída do comando show ip nat translationsmostrada na Figura 1 exibe os detalhes das duas tarefas de NAT anteriores. O comando exibe todas as conversões estáticas configuradas e todas as conversões dinâmicas criadas pelo tráfego.
Adicionar a palavra-chave verbose exibe informações adicionais sobre cada conversão, inclusive há quanto tempo a entrada foi criada e usada.
Por padrão, o tempo limite das entradas de conversão expira depois de 24 horas, a menos que os temporizadores tenham sido reconfigurados com ip nat translation timeout timeout-seconds no modo de configuração global.
Para desmarcar entradas dinâmicas antes que o tempo limite tenha expirado, use o comando de modo Exec privilegiado clear ip nat translation (Figura 2). Ele é útil para limpar as entradas dinâmicas para testar a configuração do NAT. 
Como mostrado na tabela, este comando pode ser usado com palavras-chave e variáveis para controlar quais entradas serão canceladas. As entradas específicas podem ser apagadas para evitar a interrupção das sessões ativas. 
Use o comando EXEC privilegiado clear ip nat translation * para desmarcar todas as conversões da tabela.
Observação: somente as conversões dinâmicas são eliminadas da tabela. As conversões estáticas não podem ser apagadas de tabela de conversão.
Como mostrado na Figura 3, o comando show ip nat statistics exibe informações sobre o número total de conversões ativas, os parâmetros de configuração de NAT, o número de endereços no pool e o número de endereços que foi alocado.
Uma alternativa é usar o comando show running-config e procurar os comandos de NAT, lista de acesso, interface ou pool com os valores exigidos. Examine-os cuidadosamente e corrija quaisquer erros descobertos.
A figura um mostra o resultado do comando “show ip nat translations” e do comando “show ip nat translations verbose”. 
A figura dois mostra o resultado do comando “show ip nat translations” e do comando “show ip nat translations”. Não há conversões, pois acabaram de ser desmarcadas. Abaixo está uma tabela com a sintaxe para o comando "clear ip nat translations" com todas as opções. 
A figura três mostra que o resultado do comando "clear ip nat statistics". O PC1 e o PC2 estabelecem sessões com o servidor da Web. O resultado do comando "show ip statistics" é exibido. As informações do pool são realçadas.
 
 
Configuração do PAT: Pool de endereços
O PAT (também chamada sobrecarga de NAT) preserva endereços no pool de endereços globais internos, permitindo que o roteador use um endereço global interno para muitos endereços locais internos. 
Em outras palavras, um único endereço IPv4 público pode ser usado para centenas e até milhares dos endereços IPv4 privados internos. Quando esse tip o de conversão é configurado, o roteador mantém informações suficientes de protocolos de nível superior, de números de porta TCP ou UDP, por exemplo, para converter o endereço global interno ao endereço local interno correto. 
Quando vários o endereços locais internos são mapeados para um endereço global interno, os números de porta TCP ou UDP de cada host interno distinguem os endereços locais.
Nota: O número total de endereços internos que podem ser convertidos para um único endereço interno poderiam ser, teoricamente, até 65.536 por endereço IPv4. No entanto, o número de endereços internos que podem ser atribuídos a um único endereço IPv4 é de cerca de 4.000.
Há duas maneiras de configurar o PAT, dependendo de como o ISP atribua endereços IPv4 públicos. No primeiro exemplo, o ISP atribui mais de um endereço IPv4 público à organização, e no outro ele aloca um único endereço IPv4 público que é necessário para a organização fazer a conexão com o ISP.
Configuração de PAT para um pool de endereços IPv4 públicos
Se um site tiver emitido mais de um IPv4 público, esses endereços podem ser parte de um pool usado pelo PAT. Isso é semelhante ao NAT dinâmico, exceto que não existem endereços públicos suficientes para um mapeamento de um a um dos endereços internos para externos. 
O pequeno pool de endereços é compartilhado entre um número maior de dispositivos.
A Figura 1 mostra as etapas para configurar o PAT e usar um pool de endereços. A principal diferença entre esta configuração e a configuração do NAT dinâmico de um para um é que a palavra-chave overload é usada. A palavra-chave overload ativa o PAT.
A configuração de exemplo mostrada na Figura 2 estabelece uma conversão de sobrecarga para o pool NAT chamado de NAT-POOL2. O NAT-POOL2 contém endereços 209.165.200.226 a 209.165.200.240. 
Os hosts na rede 192.168.0.0/16 estão sujeitos a conversão. A interface serial0/0/0 é identificada como uma interface interna e a interface serial0/1/0 é identificada como uma interface externa.
Use o verificador de sintaxe na Figura 3 para configurar o PAT usando um pool de endereços no R2.
A figura um mostra uma tabela que lista as etapas e os comandos envolvidos na configuração da conversão de endereços de portas, também conhecido como PAT ou NAT sobrecarregado. 
A figura dois mostra a sintaxe para configurar o PAT, incluindo o pool, o ACL, o mapeamento do ACL com o pool e a definição das interfaces internas e externas. A figura Três é uma atividade interativa que permite que o aluno pratique configurar o PAT.
 
 
 
Configuração do PAT para um único endereço IPv4 público
A Figura 1 mostra a topologia da implementação do PAT para a conversão de um único endereço IPv4 público. 
No exemplo, todos os hosts da rede 192.168.0.0/16 (que correspondem à ACL1) que enviam tráfego pelo roteador R2 para a Internet serão convertidos ao endereço IPv4 209.165.200.225 (endereço IPv4 da interface serial0/1/0). 
Os fluxos de tráfego serão identificados por números de porta na tabela NAT, pois a palavra-chave overload foi usada.
A Figura 2 mostra etapas a serem seguidas para configurar o PAT com IPv4 único. Se apenas um único endereço IPv4 público estiver disponível, a configuração de sobrecarga atribui geralmente o endereço público à interface externa que se conecta ao ISP. 
Todos os endereços internos são convertidos ao único endereço IPv4 ao deixar a interface externa.
Passo 1. Definir uma ACL para permitir o tráfego a ser convertido
Passo 2. Configurar a conversão da origemusando as palavras-chave interface e overload. A palavra-chave interface identifica qual endereço IPv4 da interface deve ser usado ao converter endereços internos. 
A palavra-chave overload direciona o roteador para controlar números de porta com cada entrada de NAT.
Passo 3. Identificar quais interfaces são internas em relação ao NAT. Qualquer interface que se conecte à rede interna.
Passo 4. Identificar qual interface está fora em relação ao NAT. Deve ser a mesma interface identificada na instrução da conversão origem da Etapa 2.
A configuração é similar ao NAT dinâmico, exceto que em vez de um pool de endereços, a palavra-chave interface é usada para identificar o endereço IPv4 externo. Portanto, nenhum pool de NAT é definido.
Use o verificador de sintaxe na Figura 3 para configurar o PAT usando um único endereço em R2.
A figura um mostra o roteador dois com uma rede interna à esquerda e uma rede externa à direita. A rede interna contém o roteador um e dois computadores. A rede externa contém um servidor. Veja a seguir uma tabela NAT que mostra as conversões. 
A figura dois mostra uma tabela que lista as etapas e os comandos envolvidos na configuração do PAT. A figura três é uma atividade interativa que permite que o aluno pratique configurar o P
 
Análise do PAT
O processo de sobrecarga de NAT é o mesmo se um pool de endereços for usado ou um único endereço for usado. Continuando com o exemplo anterior do PAT, usando um único endereço IPv4 público, o PC1 quer se comunicar com o Servidor web, Svr1. Ao mesmo tempo, outro cliente, o PC2, deseja estabelecer uma sessão semelhante com o Servidor web Svr2. O PC1 e o PC2 são configurados com endereços IPv4 privados, com R2 ativados para o PAT.
Processo do PC para o Servidor
1. A Figura 1 mostra o PC1 e o PC2 que enviam pacotes a Svr1 e a Svr2, respectivamente. O PC1 tem endereço IPv4 origem 192.168.10.10 e está usando a porta origem TCP 1444. 
O PC2 tem endereço IPv4 origem 192.168.10.11 e coincidentemente é atribuído à mesma porta origem de 1444.
2. O pacote do PC1 acessa primeiro o R2. Usando o PAT, o R2 modifica o endereço IPv4 origem para a 209.165.200.225 (endereço global interno). 
Não há nenhum outro dispositivo na tabela NAT usando a porta 1444, portanto o PAT mantém o mesmo número de porta. O pacote é encaminhado para Svr1 em 209.165.201.1.
3. Em seguida, o pacote de PC2 chega ao R2. O PAT é configurada para usar um único endereço IPv4 global interno para todas as conversões, 209.165.200.225. 
Semelhante ao processo de conversão para PC1, o PAT altera o endereço IPv4 origem do PC2 para o endereço global interno 209.165.200.225. No entanto, o PC2 tem o mesmo número de porta origem que uma entrada atual do PAT, a conversão para o PC1. 
O PAT aumenta o número da porta origem até que ele seja um valor único em sua tabela. Nesse caso, a entrada de porta origem na tabela NAT e o pacote para o PC2 recebem 1445.
Embora o PC1 e o PC2 estejam usando o mesmo endereço convertido, o endereço global interno de 209.165.200.225, e o mesmo número da porta origem de 1444, o número de porta modificado para o PC2 (1445) tornará única cada entrada na tabela NAT Isso será evidente com os pacotes enviados dos servidores de volta para os clientes.
Processo de Servidor para o PC
4. Como mostrado na Figura 2, em uma troca típica de cliente-Servidor, Svr1 e Svr2 respondem às solicitações de entrada do PC1 e PC2, respectivamente. 
Os servidores usam a porta origem do pacote recebido como a porta destino, e o endereço origem como o endereço destino para o tráfego de retorno. Os servidores parecem estar se comunicando com o mesmo host em 209.165.200.225; no entanto, não é esse o caso.
5. Quando os pacotes chegam, R2 encontra a entrada única em sua tabela NAT usando o endereço destino e a porta destino de cada pacote. No caso do pacote de Svr1, o endereço IPv4 destino 209.165.200.225 tem várias entradas, mas apenas uma com a porta destino 1444. 
Usando a entrada em sua tabela, o R2 altera o endereço IPv4 destino do pacote a 192.168.10.10, sem alteração necessária para a porta destino. O pacote é encaminhado para o PC1.
6. Quando o pacote do Svr2 chega, o R2 executa uma conversão semelhante. O endereço IPv4 destino 209.165.200.225 é localizado, novamente com várias entradas. 
Entretanto, usando a porta destino de 1445, o R2 pode identificar excepcionalmente a entrada de conversão. O endereço IPv4 destino é alterado para 192.168.10.11. Nesse caso, a porta destino também deve ser modificada e voltar ao valor original de 1444, que é armazenado na tabela NAT. O pacote é encaminhado para o PC2.
A figura um mostra um diagrama com os endereços de origem e de destino e as portas para comunicação entre os dispositivos nas redes internas e externas. Os números de porta de origem são os mesmos na rede interna, mas não são os mesmos na externa. 
A tabela NAT é listada abaixo de imagem. A figura dois mostra o mesmo diagrama. Entretanto, desta vez ele contém as informações de retorno.
 As portas de origem externas são diferentes, embora as portas de destino internas sejam as mesmas.
 
Verificação do PAT
O roteador R2 foi configurado para fornecer o PAT aos clientes de 192.168.0.0/16. 
Quando os hosts internos saem do roteador R2 para a Internet, são convertidos para o endereço IPv4 do pool de PAT com um número de porta origem exclusivo.
Os mesmos comandos usados para verificar o NAT estático e dinâmico são usados para verificar o PAT, como mostrado na Figura 1. 
O comando show ip nat translations exibe as conversões de dois hosts diferentes para servidores web diferentes. 
Observe que dois hosts internos diferentes são atribuídos ao mesmo endereço IPv4 de 209.165.200.226 (endereço global interno). Os números de porta origem na tabela NAT diferenciam as duas transações.
Como mostrado na Figura 2, o comando show ip nat statistics verifica se NAT-POOL2 foi alocado para um único endereço para ambas as conversões. 
A saída inclui informações sobre o número e o tip o de conversões ativas, parâmetros de configuração de NAT, o número de endereços do pool e quantos foram atribuídos.
A figura um mostra o resultado do comando “show ip nat translations”. A figura dois mostra o resultado dos comandos "clear ip nat statistics" e “show ip nat statistics”.
 
Encaminhamento de portas
O encaminhamento de porta é o ato de encaminhar o tráfego endereçado a uma porta de rede específica de um nó de rede para outro. 
Essa técnica permite que um usuário externo acesse uma porta no endereço IPv4 privado (dentro de uma LAN) externo, com um roteador ativado para NAT.
Normalmente, os programas de compartilhamento de arquivos de ponto a ponto, como o serviço da Web e FTP de saída, exigem que as portas do roteador sejam encaminhadas ou abertas para permitir que esses aplicativos funcionem, como mostrado na Figura 1. 
Como o NAT oculta os endereços internos, o ponto a ponto funcionará somente de dentro para fora, onde o NAT poderá mapear solicitações contra respostas de entrada.
O problema é que o NAT não permite solicitações iniciadas externamente. Essa situação pode ser resolvida com intervenção manual. 
O encaminhamento de portas pode ser configurado para identificar as portas específicas que podem ser encaminhadas aos hosts internos.
Lembre-se de que os aplicativos de software da Internet interagem com as portas de usuários que precisam estar abertas ou disponíveis para esses aplicativos. Diferentes aplicativos usam diferentes portas. 
Isso torna previsível para aplicativos e os roteadores a identificação de serviços de rede. Por exemplo, HTTP opera através da conhecida porta 80. Quando alguém insere o endereço http://cisco.com, o navegador exibe o site da Cisco Systems, Inc. 
Observe que eles não têm que especificar o número da porta HTTP para a solicitação de página, porque o aplicativo supõe a porta 80.
Se um número de porta diferente for necessário, ele pode ser adicionado ao URL separado por dois-pontos (:).Por exemplo, se o Servidor web aguardar na porta 8080, o usuário digitará http://www.example.com:8080.
O encaminhamento de portas permite que os usuários na Internet acessem servidores internos usando o endereço de porta WAN do roteador e do número da porta externa correspondente. 
Os servidores internos são normalmente configurados com endereços IPv4 privados de RFC 1918. Quando uma solicitação é enviada ao endereço IPv4 da porta WAN via Internet, o roteador encaminha a solicitação ao Servidor adequado na LAN. 
Por motivo de segurança, os roteadores de banda larga não permitem por padrão o encaminhamento de nenhuma solicitação externa de rede para a um host interno.
A Figura 2 mostra um proprietário de uma pequena empresa que usa um Servidor de (PoS) de ponto de Vendas para controlar as Vendas e o estoque da loja. O Servidor pode ser acessado na loja, mas como tem um endereço IPv4 privado, não é publicamente acessível da Internet. 
Ativar o roteador local para o encaminhamento de portas permite que o proprietário acesse o Servidor do ponto de venda em qualquer lugar da Internet. 
O encaminhamento de portas no roteador é configurado usando o número de porta destino e o endereço IPv4 privado do Servidor do ponto de venda. Para acessar o Servidor, o software cliente usaria o endereço IPv4 público do roteador e da porta destino do Servidor.
A figura um mostra uma nuvem com três servidores à esquerda e um PC à direita. Há três setas que vão do PC para cada servidor. O servidor superior é um telnet, o servidor do meio é um FTP e o servidor inferior é a Web.
A figura dois mostra o roteador SOHO com uma rede interna à esquerda e uma rede externa à direita. A figura mostra um usuário enviando dados pela rede externa, pelo roteador SOHO e pela rede interna para um servidor POS.
Exemplo de roteador sem fio
A figura mostra a única janela de configuração de encaminhamento de porta de um roteador sem fio do Packet Tracer. Por padrão, o encaminhamento de portas não está ativado no roteador.
O encaminhamento de portas pode ser ativado para aplicativos especificando o endereço local interno para os quais as solicitações devem ser enviadas. Na figura, as solicitações de serviço HTTP, que entram no roteador sem fio, são encaminhadas para o servidor da Web com o endereço local interno de 192.168.1.254. 
Se o endereço IPv4 externo da WAN do roteador sem fio for 209.165.200.225, o usuário externo poderá inserir:
http://www.example.com e o roteador sem fio redirecionará a solicitação HTTP para o servidor da Web interno no endereço IPv4 192.168.1.254, usando o número de porta padrão 80.
Uma porta diferente da porta 80 padrão pode ser especificada. Contudo, o usuário externo precisaria conhecer o número de porta específico para usar. Para especificar um número de porta diferente, o valor de porta externa na janela Single Port Forwarding seria modificado.
A abordagem feita para configurar o encaminhamento de portas depende da marca e do modelo do roteador de banda larga na rede. 
No entanto, há algumas etapas genéricas a seguir. Se as instruções fornecidas pelo ISP, ou as que vieram com o roteador, não fornecerem orientação adequada, o site http://www.portforward.com fornecerá guias para vários roteadores de banda larga. 
Você pode seguir as instruções para adicionar ou excluir conforme necessário, para atender às necessidades de todos os aplicativos que deseja permitir ou negar.
A figura mostra um roteador sem fio com uma rede interna à esquerda e uma rede externa à direita. Há uma captura de tela, a GUI do Packet Tracer que configura o encaminhamento da porta.
Configuração do encaminhamento de porta com IOS
Implementar o encaminhamento de portas com comandos IOS é semelhante ao uso dos comandos para configurar o NAT estático. O encaminhamento de portas é essencialmente uma conversão de NAT estático com número de porta TCP ou UDP especificada.
A Figura 1 mostra o comando de NAT estático usado para configurar o encaminhamento de portas com o IOS.
A Figura 2 mostra um exemplo de configuração do encaminhamento de portas utilizando comandos do IOS no roteador R2. 192.168.10.254 é o endereço IPv4 local interior do Servidor web que aguarda na porta 80. 
Os usuários acessarão esse servidor interno da Web usando o endereço IPv4 global 209.165.200.225, um endereço IPv4 público globalmente exclusivo. Neste caso, é o endereço da interface serial 0/1/0 do R2. A porta global é configurada como 8080. 
Esta será a porta destino usada juntamente com um endereço IPv4 global de 209.165.200.225 para acessar o Servidor web interno. Observe na configuração de NAT, os seguintes parâmetros de comando:
local-ip  = 192.168.10.254
porta local = 80
global-ip  = 209.165.200.225
porta global = 8080
Quando um número de porta conhecido não estiver sendo usado, o cliente deve especificar o número da porta no aplicativo.
Como outros tipos de NAT, o encaminhamento de portas exige uma configuração das interfaces internas e externas de NAT.
Assim como o NAT estático, o comando show ip nat translations pode ser utilizado para verificar o encaminhamento de portas, como mostrado na Figura 3.
No exemplo, quando o roteador recebe o pacote com um endereço IPv4 global interno de 209.165.200.225 e uma porta destino TCP 8080, o roteador executa uma pesquisa na tabela NAT usando o endereço IPv4 destino e a porta destino como a senha. 
O roteador converte o endereço para o endereço local interno do host 192.168.10.254 e para a porta destino 80. O R2 depois encaminha o pacote para o Servidor web. Para os pacotes de retorno do Servidor web para o cliente, este processo é revertido.
A figura um mostra a sintaxe para configurar um encaminhamento de portas usando o Cisco IOS. Há uma tabela que descreve as opções de comando. A figura dois mostra um roteador com uma rede interna à esquerda e uma rede externa à direita. Isso é obtido usando NAT estático. Os comandos para configurar o encaminhamento de portas são listados abaixo da imagem. A figura três mostra um roteador SOHO com uma rede interna à esquerda e uma rede externa à direita. O resultado do comando “show ip nat translations” está listado abaixo da imagem.
 
 
 
NAT para IPv6?
Desde o início dos anos de 1990, a preocupação com a redução do espaço de endereço IPv4 era uma prioridade do IETF. A combinação dos endereços IPv4 privados RFC 1918 e NAT foi fundamental para desacelerar essa redução. 
O NAT tem desvantagens significativas e em janeiro de 2011 a IANA atribuiu o último dos endereços IPv4 a RIRs.
Os benefícios não intencionais do NAT para IPv4 é que ele oculta a rede privada da internet pública. O NAT tem a vantagem de fornecer um nível de segurança percebido ao negar aos computadores da internet pública o acesso a hosts internos. 
No entanto, ele não deve ser considerado um substituto para a segurança de rede adequada, como as fornecidas por um firewall.
No RFC 5902, a Internet Architecture Board (IAB) faz a seguinte afirmação com relação à conversão de endereço de rede IPv6:
Percebe-se que geralmente uma caixa NAT fornece um nível de proteção, pois os hosts externos não podem iniciar diretamente a comunicação com os hosts por trás de um NAT. No entanto, não se deve confundir caixas do NAT com firewalls. 
Como discutido em RFC4864, Seção 2.2, o ato de conversão não oferece segurança em si. A função de filtragem stateful pode fornecer o mesmo nível de proteção sem exigir uma função de conversão".
O IPv6 com um endereço de 128 bits fornece 340 endereços de undecilhão. Portanto, o espaço de endereço não é um problema. O IPv6 foi projetado com a intenção de fazer o NAT para IPv4 com a conversão entre os endereços IPv4 públicos e privados desnecessários. 
Contudo, o IPv6 implementa uma forma de NAT. O IPv6 inclui seu próprio espaço de endereço privado IPv6 e NAT, que são implementados de forma diferente que a de IPv4.
A figura mostra uma nuvem rotulada Internet. A nuvem está conectada a três redes privadas diferentes usando diferentesclasses de endereçamento privado. 
Um usa uma rede privada de classe A, outro usa a rede privada de classe B e o terceiro usa a rede privada de classe C. Todas as redes privadas estão usando NAT nos roteadores de borda.
Endereços unique local IPv6
Os endereços unique local (ULA) IPv6 são semelhantes aos endereços privados RFC 1918 no IPv4, mas há diferenças significativas também. 
A intenção do ULA é fornecer o espaço de endereço IPv6 para comunicações dentro de uma instalação local; ele não tem o objetivo de fornecer espaço de endereço adicional ao IPv6, nem fornecer um nível de segurança.
Como mostrado na figura, os ULA têm o prefixo FC00:: /7, o que resulta em um primeiro intervalo de hexteto de FC00 a FDFF. O próximo bit 1 será definido como 1 se o prefixo for atribuído localmente. 
A definição como 0 pode ser definida no futuro. Os 40 bits seguir são um ID global seguido de um ID de 16 bits de sub-rede. Esses primeiros 64 bits são combinados para formar o prefixo de ULA. 
Isso deixa os 64 bits restantes para o ID da interface, ou nos termos de IPv4, a porção de host do endereço.
Os endereços unique local são definidos no RFC 4193. Os ULAs também são conhecidos como endereços locais IPv6 (não confundir com os endereços link-local IPv6) e têm várias características, incluindo:
Permitem aos sites ser combinados ou interconectados em particular, sem criar alguns conflitos de endereço ou exigir renumeração das interfaces que usam esses prefixos.
Independente de qualquer ISP e pode ser usado para comunicações dentro de um site, sem ter nenhuma conectividade com a internet.
Não roteável via Internet, no entanto, se vazado ACLdentalmente pelo roteamento ou DNS, não haverá conflito com outros endereços.
O ULA não é tão simples quanto endereços RFC 1918. Diferentemente dos endereços IPv4 privados, não foi a intenção do IETF usar uma forma de NAT para converter endereços unique local a endereços IPv6 unicast globais.
A implementação e os usos possíveis de endereços unique local de IPv6 ainda estão sendo pesquisados pela comunidade da Internet. 
Por exemplo, o IETF está considerando permitir a opção de ter o ID global de 40 bits atribuído centralmente ao usar o prefixo FC00::/8 ULA e o ID global de 40 bits gerado aleatoriamente ou talvez atribuído manualmente, ao usar o prefixo ULA FD00::/8. 
O restante do endereço permanece o mesmo. Ainda usamos 16 bits para o ID da sub-rede e 64 bits para o ID da interface.
Observação: a especificação do IPv6 original atribuía o espaço de endereço para endereços site-local, definidos em RFC 3513. Os endereços site local se tornaram obsoletos pelo IETF em RFC 3879, pois o termo "site" era um pouco ambíguo. 
Os endereços site-local tinham o intervalo do prefixo de FEC0:: /10 e ainda podem ser encontrados em documentação mais antiga de IPv6.
A figura mostra como um endereço unique local IPv6 é formado. Os campos de endereço exibidos são o prefixo, o ID global, o ID de sub-rede., e o ID da interface.
NAT para IPv6
O NAT para IPv6 é usado em um contexto muito diferente do NAT para IPv4. As variedades de NAT para IPv6 são usadas para providenciar acesso transparente entre redes somente IPv6 e IPv4. Ele não é usado como uma forma de IPv6 privado para conversão global de IPv6.
O ideal é executar o IPv6 nativamente sempre que possível. Isso significa dispositivos IPv6 que se comunicam através de redes IPv6.
 Entretanto, para auxiliar na movimentação de IPv4 para IPv6, o IETF desenvolveu várias técnicas de transição para acomodar uma variedade de cenários IPv4-to-IPv6, incluindo a pilha dupla, túnel e conversão. A pilha dupla ocorre quando os dispositivos estão executando protocolos associados com IPv4 e IPv6. 
O túnel para IPv6 é o processo de encapsulamento de um pacote IPv6 dentro de um pacote IPv4. Isso permite que o pacote IPv6 seja transmitido por uma rede somente IPv4.
O NAT para IPv6 não deve ser usado como uma estratégia de longo prazo, mas como um mecanismo temporário para ajudar na migração de IPv4 para IPv6. 
Ao longo dos anos, vários tipos de NAT para IPv6 foram criados, incluindo Network Address Translation-Protocol Translation (NAT-PT). A NAT-PT se tornou obsoleta pelo IETF, que defendeu sua troca pelo NAT64. O NAT64 está além do escopo deste currículo.
A figura mostra três nuvens. Duas são rotuladas IPv6 e uma está rotulada como IPv4. Os pacotes que passam entre as duas redes IPv6 são pacotes IPv6 nativos. Os pacotes que passam entre o IPv4 e o IPv6 são convertidos.
Os comandos show ip nat
A Figura 1 mostra o R2 ativado para o PAT, usando o intervalo de endereços 209.165.200.226 a 209.165.200.240.
Quando há problemas de conectividade IPv4 em um ambiente de NAT, geralmente é difícil determinar suas causas. A primeira etapa na solução do problema é eliminar o NAT como causa. Siga estas etapas para verificar se o NAT está operando conforme o esperado:
Passo 1. Com base na configuração, defina claramente o que a NAT deve realizar. Isso pode revelar um problema de configuração.
Passo 2. Verifique se as conversões corretas estão presentes na tabela de conversão usando o comando show ip nat translations.
Passo 3. Use o comando clear e debug para verificar se o NAT está operando conforme o esperado. Verifique se as entradas dinâmicas foram recriadas depois de canceladas.
Passo 4. Examine em detalhe o que está ocorrendo com o pacote e verifique se os roteadores têm as informações corretas de roteamento para levar o pacote adiante.
A Figura 2 mostra a saída dos comandos show ip nat statistics e show ip nat translations. Antes de usar os comandos show, as estatísticas e as entradas de NAT na tabela NAT são eliminadas com os comandos clear ip nat statistics e clear ip nat translation *. 
Depois que o host em 192.168.10.10 envia telnet para o Servidor em 209.165.201.1, as estatísticas de NAT e a tabela NAT são exibidas para verificar se o NAT está funcionando conforme esperado.
Em um ambiente de rede simples, é útil monitorar as estatísticas do NAT com o comando show ip nat statistics. O comando show ip nat statistics exibe informações sobre o número total de conversões ativas, os parâmetros de configuração de NAT, o número de endereços no pool e o número que foi alocado. 
No entanto, em um ambiente de NAT mais complexo, com várias conversões que ocorrem, esse comando talvez não identifique claramente o problema. Pode ser necessário executar comandos debug no roteador.
A figura um mostra o roteador 2 com uma rede interna à esquerda e uma rede externa à direita. A rede interna contém dois computadores e um roteador. A rede externa contém dois servidores. 
O roteador dois está usando PAT. A figura dois mostra o resultado de vários comandos. Primeiro, o comando "clear ip nat statistics", depois o comando "clear ip nat translations star". 
Agora um host faz telnet para um servidor e o comando “show ip nat statistics” é exibidos e depois é exibido o comando "show ip nat translations".
O comando debug ip nat
Use o comando debug ip nat para verificar a operação do recurso NAT, exibindo informações sobre cada pacote que está sendo convertido pelo roteador. 
O comando debug ip nat detailed gera uma descrição de cada pacote considerado para conversão. 
Esse comando também exibe informações sobre certos erros ou condições de exceção, tais como a impossibilidade de alocar um endereço global. 
O comando debug ip nat detailed gera mais sobrecarga do que o comando debug ip nat, mas pode fornecer mais detalhes necessários para solucionar o problema de NAT. Sempre desative a depuração ao terminar.
A Figura 1 mostra um exemplo da saída do comando debug ip nat. A saída mostra que o host interno (192.168.10.10) iniciou o tráfego para o host externo (209.165.201.1) e o endereço origem foi convertido ao endereço 209.165.200.226. Para decodificar a saída da depuração, observe o que os seguintes símbolos e valores indicam:
* (Asterisco) - O asterisco ao lado do NAT indica que a conversão está ocorrendono caminho fast-switched. O primeiro pacote de uma conversa é sempre process-switched, o que é mais lento. Os outros pacotes passam pelo caminho fast-switched se houver uma entrada na cache.
s= - Este símbolo se refere ao endereço IPv4 de origem.
a.b.c.d--->w.x.y.z - Esse valor indica que o endereço origem a.b.c.d é convertido a w.x.y.z.
d= - Este símbolo se refere ao endereço IPv4 de destino.
[xxxx] - O valor entre parêntesis é o número de identificação do IPv4. Essas informações podem ser úteis para depuração, pois permitem correlação com outros rastreamentos de pacotes de analisadores de protocolos.
Nota: Verifique se a ACL referenciada no comando NAT está permitindo todas as redes necessárias. Na figura 2, apenas os endereços 192.168.0.0/16 podem ser convertidos. 
Os pacotes da rede destinados à Internet com endereços origem que não são permitidos explicitamente pela ACL 1 não são convertido por R2.
A figura um mostra o resultado do comando "debug ip nat". A figura dois mostra o roteador 2 com uma rede interna à esquerda e uma rede externa à direita. A rede interna contém dois computadores e um roteador.
 A rede externa contém dois servidores. O roteador dois está usando PAT. O resultado do comando “show access dash lists” também é mostrada.
 
Cenário de solução de problemas de NAT
Estudo de caso
A Figura 1 mostra que os hosts das LANs 192.168.0.0/16, PC1 e PC2 não podem efetuar ping nos servidores da rede externa, Svr1 e Svr2.
Para começar a solucionar o problema, use o comando show ip nat translations para verificar se há alguma conversão na tabela NAT. A saída na Figura 1 mostra que não há nenhuma conversão na tabela.
O comando show ip nat statistics é usado para determinar se alguma conversão ocorreu. Ele também identifica as interfaces entre as quais a conversão deve estar ocorrendo. 
Conforme mostrado na saída da Figura 2, os contadores de NAT estão em 0, verificando que não ocorreu nenhuma conversão. Comparando a saída com a topologia mostrada na Figura 1, observe que as interfaces do roteador estão definidas incorretamente como o NAT interno ou NAT externo. A configuração incorreta também pode ser verificada usando-se o comando show running-config .
A configuração atual da interface de NAT deve ser excluída das interfaces antes da aplicação da configuração correta.
Após a definição correta das interfaces internas e externas de NAT, outro ping do PC1 a Svr1 falha. O uso dos comandos show ip nat translations e show ip nat statistics novamente verifica as conversões que ainda não estão ocorrendo.
Como mostrado na Figura 3, o comando show access-lists é usado para determinar se a ACL referenciada pelas referências de comandos do NAT está permitindo todas as redes necessárias. Examinar a saída indica que a máscara curinga de bits incorreta foi usada na ACL que define os endereços que precisam ser convertidos. 
A máscara curinga permite somente a sub-rede 192.168.0.0/24. A lista de acesso é removida primeiro e reconfigurada com o uso da máscara curinga correta.
Depois que as configurações são corrigidas, outro ping é gerado do PC1 ao Svr1, desta vez com êxito. 
Como mostrado na Figura 4, os comandos show ip nat translations e show ip nat statistics são usados verificar se a conversão de NAT está ocorrendo.
A figura um mostra o roteador 2 com uma rede interna à esquerda e uma rede externa à direita. 
A rede interna contém dois computadores e um roteador. A rede externa contém dois servidores. O roteador dois está usando PAT. Um ping enviado do PC1 para o servidor falha. 
O resultado do comando "show ip nat translations" revela que não houve conversão. A figura dois mostra o resultado do comando “show ip nat statistics”. O resultado revela que as interfaces internas e externas são incompatíveis. 
A sintaxe para corrigir esse problema está listada abaixo. A figura três mostra o resultado do comando "show access-list". A sintaxe para remover a lista e recriá-la também está listada. 
A figura quatro mostra o resultado do comando "show ip nat statistics" e do comando "show ip nat translations".
 
Packet Tracer - Verificando e solucionando problemas de configurações de NAT
Um contratante restaurou uma configuração antiga para um novo roteador que executa o NAT. Mas a rede mudou e uma nova sub-rede foi adicionada após o backup da configuração antiga. Seu trabalho é fazer com que a rede volte a funcionar.
Verificação de NAT - Cenário
A conversão de endereço de rede não está incluída no projeto de rede da sua empresa no momento. Decidiu-se configurar alguns dispositivos para usar serviços NAT para conexão com o Servidor de correio.
Antes da implantação do NAT ao vivo na rede, você cria um protótip o dele no programa de simulação de rede.
Para obter informações adicionais, consulte o PDF que acompanha esta atividade.
Atividade de aula - Instruções de verificação do NAT
A figura mostra um homem usando um notebook. A legenda mostra "mudar de IPv4 para IPv6 NAT requer um planejamento cuidadoso”.
Packet Tracer – Desafio de Integração de Habilidades - Cenário
Esta atividade final inclui muitas das habilidades que você adquiriu durante este curso. Primeiro, você irá preencher a documentação da rede. Portanto, certifique-se de ter uma versão impressa das instruções. 
Durante a implementação, você irá configurar VLANs, tronco, segurança de porta e acesso remoto SSH em um switch. Em seguida, você implementará o roteamento entre VLANs e o NAT em um roteador. 
Finalmente, você usará sua documentação para verificar a implementação testando a conectividade fim a fim.
RESUMO - Capítulo 9: NAT para IPv4
Este capítulo descreveu como o NAT é usado para ajudar a aliviar a redução do espaço de endereços IPv4. O NAT para IPv4 permite que os administradores de rede usem a RFC 1918 de espaço de endereço privado para fornecer conectividade à Internet usando um número de endereços públicos único ou limitado.
O NAT mantém o espaço de endereço público e poupa uma sobrecarga administrativa considerável no gerenciamento de anúncios, movimentações e alterações. NAT e PAT podem ser implementados para conversar o espaço de endereço público sem afetar a conexão com o ISP. 
No entanto, o NAT tem problemas em termos de seus efeitos negativos no desempenho, na mobilidade e na conectividade ponto a ponto do dispositivo e deve-se considerar uma implementação no curto prazo para exaustão de endereço com a solução no longo prazo sendo o IPv6.
Este capítulo discutiu o NAT para IPv4, incluindo:
Características do NAT, terminologia e operações gerais
Os tipos diferentes de NAT, incluindo o NAT estático, NAT dinâmico e PAT.
As vantagens e desvantagens do NAT
A configuração, a verificação e a análise de NAT estático, NAT dinâmico e PAT.
Como o encaminhamento de portas pode ser usado para acessar um dispositivo interno da Internet
Por que o NAT está disponível, mas não totalmente, à rede IPv6
A solução de problemas de NAT usando os comandos show e debug
A figura mostra o roteador um com duas LANs conectadas. O roteador um está conectado também ao roteador dois por meio de um link serial. O roteador dois está conectado também a um ISP. 
As redes conectadas ao roteador um são internas e usam o endereçamento privado. Há uma etiqueta que indica que essa é uma rede stub. O roteador dois tem um aviso que indica que é um roteador da borda ativado para NAT.