Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 3, Número 34, Noviembre de 2004
La videoconferencia en las redes de datos
Traductor de direcciones de red: NAT

José Fabián Romo Zamudio

 

Día con día, la cantidad de usuarios que acceden a Internet por medio de conexiones con mayor ancho de banda (ADSL, cable módems, etc.) crece junto con la robustez de las aplicaciones. Ya no se trata solamente del correo electrónico o visitar sitios www, sino de audioconferencias, webcast y videoconferencias. Estas últimas, por la naturaleza de los estándares en los que se apoyan, implican una configuración especial de los equipos para establecer las conexiones a través de los sistemas de acceso citados, particularmente cuando la computadora del usuario se encuentra detrás de un Traductor de Direcciones de Red, popularmente conocido como NAT.

¿Por qué existen los NAT?

Toda computadora o dispositivo que se comunica con otros equipos vía Internet requiere de una dirección IP, esto es, un número único de 32 bits que permite ubicar al equipo en la red de redes. El protocolo de IP actual más usado, IPV4, posee 232 direcciones IP distintas (4,294,967,296 para ser exactos). Aunque pareciera un monto suficiente para la cantidad de computadoras y otros aparatos que necesitarían una dirección IP, el hecho es que estas direcciones han sido repartidas en diversas clases, dominios y usos, lo cual reduce las posibilidades de que cualquier persona pueda asignar una dirección IP pública y homologada, es decir, identificada en el resto de Internet, a su equipo de cómputo en casa u oficina. Ya es una realidad el protocolo de nueva generación: IPv6, que otorga mucho mayor cantidad de direcciones, pero aún deberá pasar cierto tiempo para que se hagan las modificaciones necesarias en las redes y aparatos de cómputo de manera que sean compatibles con esta norma.

NAT es una alternativa previa al uso universal de IPV6. Un dispositivo NAT genera una serie de direcciones IP hacia la red interna, dividiendo un solo puerto en múltiples puertos internos. Generalmente, un NAT es un solo dispositivo que establece la comunicación entre Internet y la red local. De esta manera, sólo una dirección IP pública es necesaria para representar al grupo local de computadoras. Los proveedores de acceso a Internet (ISPs) vía ADSL, módems y cable módems usan la tecnología de NAT para que las computadoras de los usuarios posean una dirección IP, que generalmente se denomina como “privada” o “no homologada”, ya que sólo es válida para identificar a la computadora dentro del servicio de acceso, no directamente hacia el resto de Internet.

NAT puede operar de cuatro maneras distintas:

1. NAT estático. Se asigna una dirección IP pública a cada dirección IP privada, por ello se recomienda para equipos y/o aplicaciones que necesitan de direcciones IP públicas, como es el caso de la videoconferencia, pero no es una forma de operar viable cuando se ha asignado sólo una dirección IP pública a un equipo NAT y su red, como sucede en gran parte de los servicios ADSL de las casas y oficinas.

2. NAT dinámico. Muy similar al anterior, sólo que la asignación de las direcciones internas hacia las externas depende del momento en el que los equipos de la red local se dan de alta en el sistema NAT, tomando la primera disponible. Por ende la única diferencia es que la dirección pública no siempre es la misma.

3. NAT por registro de dominios. Se emplea para garantizar la comunicación entre una red local e Internet cuando las direcciones IP de la red local son iguales a direcciones públicas. Para evitar conflictos, el equipo NAT guarda un registro de qué dirección privada asignar a una comunicación entrante y de igual manera, qué dirección pública asignar a una comunicación saliente. Como es claro, se necesita un rango de direcciones públicas para hacer esta doble asignación.

4. NAT por asignación de puertos. En este esquema, sólo se dispone de una dirección IP pública, misma que conserva el equipo NAT. Cuando un equipo de la red local desea comunicarse con el exterior, para los equipos remotos se estará recibiendo una solicitud de la dirección del NAT con un número de puerto específico. Por ejemplo, teniendo la dirección pública 202.248.225.15 y siendo la IP privada o local de una computadora detrás de ese NAT la 192.168.1.1, el equipo NAT la mostrará al resto de Internet como la dirección 202.248.225.15:101. Esta es la forma de operación más popular en servicios ADSL y cable módems.

Los primeros tres tipos de NAT son poco complicados para el servicio de videoconferencia, dado que vinculan direcciones privadas con públicas de forma transparente al usuario. El cuarto método usa una característica especial del protocolo TCP/IP llamada multiplexado, donde un equipo puede mantener conexiones con uno o más sistemas de forma simultánea a través de los puertos TCP o UDP. Mientras la dirección IP permite el enlace entre los sistemas, los puertos facilitan que cada enlace tenga una identificación exclusiva. Cada puerto usa 16 bits para identificarse, lo que significa un total de 65 mil 536 puertos posibles. Un servidor de páginas www usa el puerto 80 para establecer la conexión con los solicitantes, y la transferencia de archivos FTP emplea el puerto 21 de TCP, por citar unos ejemplos.

La norma H.323 define la manera en que se establece una comunicación bidireccional entre dos puntos asociados a una red conmutada por paquetes (IP). El estándar tiene una característica muy especial: emplea de forma dinámica los puertos del protocolo de comunicación, además de usar un espacio considerable del ancho de banda disponible. En una videoconferencia H.323 se realizan conexiones paralelas en TCP y UDP con selección variable de puertos, esta información de cómo está realizándose el enlace, se incluye en los paquetes de datos con los que se hace la negociación de inicio de llamada. Para los casos en donde los ruteadores están operando en su manera más pura, con direcciones públicas, el tráfico de H.323 no tiene mayor problema en migrar de una red a otra.

Soluciones para la videoconferencia con NAT

Zonas desmilitarizadas. Establecer un NAT implica, en cierta medida, colocar un firewall que protege a la red local, ya que al no saber los equipos externos la dirección privada de los sistemas internos, no solicita la conexión. Todo enlace hacia Internet debe generarse bajo petición de los equipos locales. En videoconferencia detrás de un NAT, es el equipo local el que debe iniciar la llamada: cuando el sistema remoto contesta, es el equipo NAT quien le responde, y al no tener capacidades de negociación H.323, la llamada se termina. Una solución que permiten algunos dispositivos NAT es la ubicación de un sistema en un apartado denominado Zona Desmilitarizada (DMZ) y que, generalmente, corresponde al sistema que responderá a todas las peticiones entrantes. En esa DMZ se debe dar de alta al equipo de videoconferencia.

Direccionamiento de puertos. Usar la DMZ parece una solución práctica, pero puede comprometer la seguridad de la red local y del equipo de videoconferencia, al quedar totalmente expuesto a ataques externos. Varios sistemas NAT incluyen redireccionamiento de puertos. En este modelo, un equipo externo hace una petición hacia la dirección IP pública; el NAT revisa el puerto que se solicita y lo compara con su tabla de redireccionamiento, enviando la solicitud hacia el equipo local cuya IP privada está definida como quien atiende a las solicitudes en ese puerto.

Desafortunadamente H.323 usa más de un puerto y no siempre los mismos, salvo contadas excepciones. Para solucionar la comunicación por videoconferencia mediante la ubicación de puertos, se deben efectuar dos procedimientos:

a) Configurar el equipo NAT para enviar las peticiones entrantes en ciertos puertos hacia la IP privada del equipo de videoconferencia. Los puertos fundamentales son

1720. Inicio de llamada H.323.

1719. Registro en gatekeeper H.323.

1503. Datos compartidos T.120.

3230 al 3235. Audio, video y control de llamada H.323.

Importante: los puertos deberán asignarse tanto en TCP como en UDP.

b) Configurar el equipo de videoconferencia indicándole que está detrás de un NAT, y cuál será el margen de puertos en donde deberá hacer las transferencias de audio, video y control de llamada.

La mayoría de los sistemas de videoconferencia tienen menús u opciones para definir estos puertos. Los sistemas más simples, como aquellos basados sólo en software y webcams, tienen menos opciones y generalmente no se pueden configurar detrás de un NAT para marcación por IP.

Servidores duales H.323/NAT. Esta solución, más sofisticada que las anteriores, involucra a otro sistema en la conexión de los servicios de videoconferencia. También conocidos como gatekeepers duales, registran la dirección IP privada de el o los sistemas de videoconferencia en la red local y los homologan con otro gatekeeper con IP pública. La ventaja es una comunicación más transparente entre los puntos terminales, pero se debe hacer la inversión en al menos dos gatekeepers.

Recientemente, algunos fabricantes de dispositivos NAT han agregado funciones de compatibilidad con H.323, de conformidad con lo estipulado en el documento RFC 3103, para la presencia en la red global de sistemas dentro de una zona NAT.

Solucionar los problemas de la videoconferencia que se ubican detrás de un dispositivo NAT requiere configurar el sistema de audio y video interactivo, y el equipo que genera las direcciones IP privadas. No todos los usuarios tienen la facilidad de hacer esto, menos aún cuando están no detrás de una, sino varias traducciones de dirección IP. Otra alternativa que poco a poco gana terreno, consiste en el uso de servidores del Protocolo de Inicio de Sesión (SIP), donde la marcación de videoconferencia no es indispensable realizarla por medio de la dirección IP del equipo remoto, sino a través de la identificación del usuario. Los servicios de mensajería instantánea usan extensivamente SIP, y la aplicación de este protocolo a la ubicación no sólo de equipos, sino de personas, hará más omnipresente el servicio de videoconferencia.

Para mayor información:

http://www.fags.org/rfcs/rfc3103.html

http://www.openh323.org/

http://www.itu.int

Inicio | Contacto |