M5 · Serviços de Rede

Configuração de NAT dinâmico

O que é NAT dinâmico

NAT dinâmico (Dynamic NAT) mapeia endereços IP privados para endereços IP públicos de um pool predefinido. Diferente do NAT estático, o mapeamento não é fixo: o roteador atribui um endereço público disponível no momento em que o host interno inicia a comunicação.

Quando todos os endereços do pool estão em uso, novas conexões são descartadas até que um endereço seja liberado.

Componentes principais

  • Inside local: endereço IP privado do host interno
  • Inside global: endereço IP público atribuído pelo pool
  • Outside local: endereço do destino externo visto de dentro
  • Outside global: endereço real do destino externo

Configuração no Cisco IOS

1. Definir o pool de endereços públicos

R1(config)# ip nat pool POOL_PUBLICO 203.0.113.1 203.0.113.10 netmask 255.255.255.240

2. Criar uma ACL para identificar os hosts internos

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255

3. Vincular a ACL ao pool

R1(config)# ip nat inside source list 1 pool POOL_PUBLICO

4. Marcar as interfaces

R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip nat inside

R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip nat outside

Verificação

R1# show ip nat translations
R1# show ip nat statistics

show ip nat translations exibe a tabela de mapeamentos ativos. Cada entrada mostra os quatro endereços (inside local/global, outside local/global).

R1# clear ip nat translation *

Limpa todas as entradas dinâmicas da tabela — útil em troubleshooting.

NAT dinâmico vs PAT

Característica NAT dinâmico PAT (NAT Overload)
Mapeamento 1 privado → 1 público Muitos privados → 1 público
Usa porta TCP/UDP Não Sim
Escalabilidade Limitada ao pool Alta
Uso no mercado Raro Predominante

O CCNA cobra principalmente PAT no dia a dia, mas NAT dinâmico é cobrado conceitualmente e em questões de troubleshooting.

Pontos críticos para o exame

  • Se o pool estiver esgotado, o tráfego é descartado silenciosamente
  • A interface ip nat inside deve estar no lado da rede privada; ip nat outside no lado da internet
  • A ACL no comando ip nat inside source list define quem será traduzido, não qual o destino
  • Entradas dinâmicas expiram automaticamente após o timeout (padrão: 24 horas para TCP)
  • show ip nat statistics mostra hits, misses e quantas traduções estão ativas — útil para identificar pool esgotado