Configuração de PAT
O que é PAT
PAT (Port Address Translation), também chamado de NAT Overload, é uma variante do NAT que mapeia múltiplos endereços IP privados para um único endereço IP público, diferenciando as sessões pelo número de porta TCP/UDP. É o mecanismo mais utilizado em redes domésticas e corporativas para economizar endereços IPv4.
Terminologia NAT/PAT
| Termo | Descrição |
|---|---|
| Inside Local | IP privado do host interno |
| Inside Global | IP público que representa o host interno |
| Outside Local | IP do destino visto de dentro |
| Outside Global | IP real do destino |
No PAT, múltiplos Inside Local compartilham um único Inside Global, distinguidos pela porta de origem.
Configuração de PAT no Cisco IOS
PAT com endereço da interface (mais comum)
Usado quando o ISP atribui um IP dinâmico à interface WAN.
! Definir ACL identificando a rede interna
ip access-list standard ACL_INTERNA
permit 192.168.1.0 0.0.0.255
! Configurar PAT usando o IP da interface de saída
ip nat inside source list ACL_INTERNA interface GigabitEthernet0/0 overload
! Marcar interface interna
interface GigabitEthernet0/1
ip nat inside
! Marcar interface externa
interface GigabitEthernet0/0
ip nat outsidePAT com pool de endereços
Usado quando há um bloco de IPs públicos, mas ainda com overload.
ip nat pool POOL_PAT 203.0.113.1 203.0.113.1 netmask 255.255.255.252
ip nat inside source list ACL_INTERNA pool POOL_PAT overloadVerificação
! Ver traduções ativas
show ip nat translations
! Ver estatísticas
show ip nat statistics
! Limpar tabela NAT (útil em troubleshooting)
clear ip nat translation *Saída típica do show ip nat translations:
Pro Inside global Inside local Outside local Outside global
tcp 203.0.113.1:1025 192.168.1.10:49152 8.8.8.8:53 8.8.8.8:53
tcp 203.0.113.1:1026 192.168.1.20:49200 8.8.8.8:53 8.8.8.8:53Note que dois hosts internos diferentes usam o mesmo IP global, diferenciados pela porta.
PAT vs NAT Estático vs NAT Dinâmico
| Tipo | Mapeamento | Overload |
|---|---|---|
| NAT Estático | 1 privado → 1 público fixo | Não |
| NAT Dinâmico | 1 privado → 1 público do pool | Não |
| PAT | N privados → 1 público | Sim |
Pontos críticos para o exame
- O comando
overloadno final deip nat inside sourceé o que ativa o PAT - Sem
overload, o IOS tenta NAT dinâmico 1:1 e falha quando o pool se esgota - A ACL referenciada no comando NAT deve ser standard, não extended
- As interfaces devem ter
ip nat insideouip nat outsideconfigurado — sem isso, o NAT não funciona - PAT traduz TCP, UDP e ICMP (ICMP usa o campo query ID no lugar da porta)
- O roteador mantém uma tabela de tradução; entradas expiram após timeout de inatividade
Troubleshooting rápido
! Ativar debug (usar com cautela em produção)
debug ip nat
! Verificar se ACL está permitindo o tráfego correto
show access-lists
! Confirmar quais interfaces estão marcadas
show ip nat statisticsSe show ip nat translations não mostrar entradas, verifique: ACL incorreta, interface sem ip nat inside/outside, ou rota de retorno ausente.