M5 · Serviços de Rede

NAT — Network Address Translation

O que é

NAT (Network Address Translation) é o mecanismo que permite a um roteador modificar o endereço IP de origem e/ou destino de um pacote enquanto ele transita entre redes. Na prática, é o que torna possível que dezenas de dispositivos de um escritório ou de uma casa brasileira acessem a internet usando um único endereço IP público.

A existência do NAT está diretamente ligada a um problema estrutural do IPv4: o protocolo foi projetado nos anos 1970 com um espaço de endereçamento de 32 bits — cerca de 4,3 bilhões de endereços. Com a explosão de dispositivos conectados, esse espaço se esgotou. A solução de longo prazo é o IPv6, mas a migração global é lenta. Enquanto isso, duas medidas paliativas sustentam o IPv4 até hoje: o CIDR (que eliminou o desperdício das classes de endereçamento) e o NAT.

Endereços privados — RFC 1918

O documento RFC 1918 reservou três blocos de endereços IPv4 para uso interno, sem necessidade de registro. Qualquer organização pode usá-los livremente em sua rede:

Bloco Faixa
10.0.0.0/8 10.0.0.0 – 10.255.255.255
172.16.0.0/12 172.16.0.0 – 172.31.255.255
192.168.0.0/16 192.168.0.0 – 192.168.255.255

Provedores de internet (ISPs) descartam pacotes cujo endereço de origem ou destino pertença a essas faixas. Por isso, nenhum dispositivo com IP privado consegue se comunicar diretamente com a internet — é aí que o NAT entra.

Como funciona

O NAT opera no roteador que faz a fronteira entre a rede interna (inside) e a rede externa (outside). Antes de entender os tipos de NAT, é fundamental dominar a terminologia:

Termo Definição
Inside local Endereço IP real do host interno (geralmente privado), visto de dentro da rede
Inside global Endereço IP do host interno após a tradução (geralmente público), visto de fora
Outside local Endereço IP do host externo visto de dentro da rede
Outside global Endereço IP real do host externo (sem tradução de destino, igual ao outside local)

A lógica é: inside/outside indica onde o host está; local/global indica a perspectiva de quem observa.

NAT estático

Mapeamento manual e permanente de um endereço privado para um endereço público, na proporção 1:1. Enquanto o mapeamento existe, o roteador sempre traduz aquele IP específico, em ambas as direções — ou seja, hosts externos podem iniciar conexões com o host interno usando o endereço público mapeado.

Exemplo: A empresa Tecnet Soluções tem um servidor de e-mail interno com IP 10.0.0.10. O administrador configura o NAT estático para que esse servidor seja acessível externamente pelo IP 200.150.10.5. Qualquer cliente da internet que se conectar a 200.150.10.5 será redirecionado para 10.0.0.10.

Limitação: como é 1:1, não economiza endereços públicos.

NAT dinâmico

O roteador mantém um pool de endereços públicos disponíveis e faz os mapeamentos automaticamente conforme a demanda. Quando um host interno inicia uma conexão, o roteador atribui um IP público do pool. Quando a sessão encerra, o endereço volta ao pool para outro host usar.

Também é 1:1 — mas temporário. Se o pool tiver 10 endereços e houver 11 hosts tentando acessar a internet ao mesmo tempo, o 11º pacote é descartado. Esse estado é chamado de NAT pool exhaustion.

PAT — Port Address Translation (NAT overload)

PAT é o tipo mais comum de NAT no mundo real. Em vez de alocar um IP público por host, o roteador usa um único IP público para todos os hosts internos ao mesmo tempo, diferenciando os fluxos pelo número de porta da camada 4 (TCP/UDP).

Como funciona:

  1. PC-1 (10.1.1.10, porta origem 50001) e PC-2 (10.1.1.11, porta origem 50001) enviam requisições ao servidor.
  2. O roteador traduz ambos para o mesmo IP público (ex.: 200.150.10.1), mas altera a porta de origem do PC-2 para 50002 para evitar conflito.
  3. Quando as respostas chegam, o roteador usa a porta de destino para saber para qual PC interno reencaminhar.

Portas TCP/UDP têm 16 bits, o que permite mais de 65.000 fluxos simultâneos por endereço IP público. Por isso, o PAT é a razão pela qual uma residência inteira acessa a internet com um único IP público da operadora.

Na prática

Configuração do NAT estático no IOS

R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip nat inside

R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip nat outside

! Mapeamento: servidor interno 10.0.0.10 → IP público 200.150.10.5
R1(config)# ip nat inside source static 10.0.0.10 200.150.10.5

Configuração do NAT dinâmico

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255

R1(config)# ip nat pool POOL-CORP 200.150.10.1 200.150.10.10 netmask 255.255.255.0

R1(config)# ip nat inside source list 1 pool POOL-CORP

Configuração do PAT (overload) usando IP da interface

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255

! O roteador usa o próprio IP da interface externa — sem necessidade de pool
R1(config)# ip nat inside source list 1 interface GigabitEthernet0/0 overload

Verificação

R1# show ip nat translations
! Exibe a tabela NAT com inside local, inside global, outside local, outside global

R1# show ip nat statistics
! Resumo: total de traduções ativas, interfaces inside/outside, hits e misses

R1# clear ip nat translation *
! Remove entradas dinâmicas (entradas estáticas permanecem)

Saída típica de show ip nat translations com PAT:

Pro  Inside global        Inside local         Outside local        Outside global
udp  200.150.10.1:50001   192.168.1.10:50001   8.8.8.8:53           8.8.8.8:53
udp  200.150.10.1:50002   192.168.1.11:50001   8.8.8.8:53           8.8.8.8:53

Perceba: dois hosts internos com a mesma porta de origem são diferenciados pela porta do inside global.

Por que cai no exame

O CCNA cobra NAT com frequência porque envolve tanto conceito quanto configuração e troubleshooting. Os pontos mais testados são:

  1. Identificar os quatro termos (inside local, inside global, outside local, outside global) a partir de um diagrama de fluxo de pacotes. É o erro mais comum: confundir "local" com "privado" — nem sempre são sinônimos.
  1. Diferença entre NAT estático, dinâmico e PAT: o exame apresenta cenários e pede qual tipo é mais adequado. PAT é a resposta certa quando o objetivo é economizar IPs públicos.
  1. NAT pool exhaustion: quando o pool dinâmico está cheio, o roteador descarta o pacote — não redireciona, não enfileira.
  1. ACL em NAT dinâmico/PAT: a ACL identifica o tráfego a ser traduzido. Um endereço negado pela ACL não é traduzido, mas também não é descartado pelo NAT — apenas passa sem tradução. Isso é diferente de aplicar a ACL com ip access-group em uma interface.
  1. Keyword overload: sem ela, ip nat inside source list … pool … é NAT dinâmico 1:1. Com overload, é PAT. O exame testa se o candidato nota a presença ou ausência dessa palavra.
  1. NAT não é firewall: o NAT cria uma separação entre redes, mas não inspeciona nem filtra tráfego por si só. Questões recentes exploram esse equívoco.
  1. show ip nat translations vs show ip nat statistics: saber interpretar a saída de ambos é exigido.

Resumo em uma linha

NAT permite que hosts com endereços privados acessem a internet traduzindo seus IPs (e, no caso do PAT, também as portas) para endereços públicos — sendo o PAT a variante mais usada no mundo real por permitir que centenas de dispositivos compartilhem um único IP público simultaneamente.