M5 · Serviços de Rede

PAT — Tradução de porta e endereço

O que é PAT

PAT (Port Address Translation) é uma variação do NAT dinâmico que mapeia múltiplos endereços IP privados para um único endereço IP público, diferenciando cada sessão pelo número de porta TCP/UDP. Também chamado de NAT Overload, é o mecanismo padrão em redes domésticas e corporativas pequenas.

Sem PAT, cada host interno precisaria de um IP público exclusivo. Com PAT, centenas de hosts compartilham um único IP público.

Como funciona

Quando um host interno inicia uma conexão:

  1. O roteador recebe o pacote com IP privado de origem (ex: 192.168.1.10:1234)
  2. Substitui o IP privado pelo IP público da interface WAN (ex: 203.0.113.1)
  3. Atribui uma porta de origem única para rastrear a sessão (ex: 203.0.113.1:40001)
  4. Armazena a tradução na tabela NAT
  5. Na resposta, reverte o processo usando a porta como chave de identificação

A tabela NAT registra: IP/porta privado ↔ IP/porta público.

Configuração no Cisco IOS

PAT com IP fixo na interface WAN

! Definir a ACL que identifica o tráfego interno
ip access-list standard ACL-PAT
 permit 192.168.0.0 0.0.255.255

! Criar o pool (no caso de PAT com pool, opcional)
! Para interface única, usa-se "overload" direto

! Aplicar NAT com overload na interface
ip nat inside source list ACL-PAT interface GigabitEthernet0/1 overload

! Marcar interfaces
interface GigabitEthernet0/0
 ip nat inside

interface GigabitEthernet0/1
 ip nat outside

PAT com pool de IPs públicos

ip nat pool POOL-PAT 203.0.113.10 203.0.113.20 netmask 255.255.255.0

ip nat inside source list ACL-PAT pool POOL-PAT overload

A palavra-chave overload é o que ativa o PAT — sem ela, o comando configura NAT dinâmico padrão (1:1).

Verificação

show ip nat translations
show ip nat statistics

Exemplo de saída do show ip nat translations:

Pro  Inside global       Inside local        Outside local       Outside global
tcp  203.0.113.1:40001   192.168.1.10:1234   8.8.8.8:53          8.8.8.8:53
tcp  203.0.113.1:40002   192.168.1.11:5678   8.8.8.8:53          8.8.8.8:53

Dois hosts diferentes → mesmo IP público → portas distintas.

clear ip nat translation *

Limpa todas as entradas da tabela NAT (útil em troubleshooting).

NAT estático vs dinâmico vs PAT

Tipo Mapeamento Uso típico
NAT estático 1 privado : 1 público (fixo) Servidores internos expostos
NAT dinâmico 1 privado : 1 público (pool) Vários hosts, IPs suficientes
PAT N privados : 1 público Maioria das redes reais

Pontos críticos para o exame

  • overload no comando ip nat inside source é o que define PAT
  • Interfaces devem estar marcadas como ip nat inside ou ip nat outside
  • PAT usa portas TCP/UDP — não funciona com protocolos sem porta (ex: GRE puro)
  • A tabela NAT pode ser verificada com show ip nat translations
  • ip nat inside source list referencia uma ACL, não um prefixo direto
  • PAT é stateful: o roteador mantém estado da sessão na tabela de tradução