Você está lendo esse post de um dispositivo com IP privado. O roteador da sua casa ou do seu trabalho tem um IP público. O NAT está no meio fazendo a tradução.
Isso acontece bilhões de vezes por segundo na internet. A maioria dos profissionais de redes sabe que o NAT existe. Poucos sabem explicar o que acontece quando um pacote passa por ele.
O problema que o NAT resolve
O IPv4 tem 4,3 bilhões de endereços. Parecia muito em 1981. Não é.
O Brasil sozinho tem mais de 160 milhões de dispositivos conectados. Se cada um precisasse de um IP público único, a internet teria colapsado nos anos 90.
A solução foi dividir o endereçamento em dois mundos: IPs públicos, únicos e roteáveis na internet, e IPs privados, repetíveis em qualquer rede local sem conflito global.
Os ranges privados reservados pela RFC 1918:
| Range | Classe | Uso típico |
|---|---|---|
| 10.0.0.0/8 | A | Redes corporativas grandes |
| 172.16.0.0/12 | B | Redes médias |
| 192.168.0.0/16 | C | Redes domésticas e pequenas |
O problema: dispositivo com IP privado não roteia na internet. Um pacote saindo de 192.168.1.10 com destino ao Google não volta. A internet não sabe como chegar em 192.168.1.10. Esse endereço existe em milhões de redes ao mesmo tempo.
O NAT resolve isso.
O que o NAT faz na prática
NAT significa Network Address Translation. Tradução de endereço de rede.
Quando um pacote sai da rede com IP privado, o roteador substitui o IP de origem pelo IP público dele. Quando a resposta chega, faz o caminho inverso. O servidor de destino nunca viu seu IP privado. Só viu o IP público do roteador.
Exemplo real:
Seu notebook: 192.168.1.10:52341 → google.com:443
Roteador (NAT): 200.100.50.25:52341 → google.com:443
Google responde: google.com:443 → 200.100.50.25:52341
Roteador (NAT): google.com:443 → 192.168.1.10:52341
O roteador mantém uma tabela de tradução com cada conexão ativa. Quando a resposta chega, consulta essa tabela e sabe para qual dispositivo interno encaminhar.
Os três tipos de NAT
NAT Estático
Um IP privado mapeado permanentemente para um IP público. Um para um.
Usado quando um servidor interno precisa ser acessível pela internet: servidor web, servidor de email, câmera de segurança. O IP público é sempre o mesmo para aquele dispositivo.
ip nat inside source static 192.168.1.100 200.100.50.30
Desvantagem: consome um IP público por dispositivo. Não resolve o problema de escassez.
NAT Dinâmico
Um pool de IPs públicos compartilhado por dispositivos internos. Quando um dispositivo quer acessar a internet, o roteador aloca um IP público disponível do pool. Quando a sessão termina, o IP volta para o pool.
ip nat pool POOL-PUBLICO 200.100.50.20 200.100.50.29 netmask 255.255.255.0
ip nat inside source list 1 pool POOL-PUBLICO
access-list 1 permit 192.168.1.0 0.0.0.255
Ainda consome um IP público por sessão simultânea. Resolve parcialmente o problema.
PAT: Port Address Translation
É o que roda na sua casa agora.
PAT é NAT dinâmico onde múltiplos dispositivos compartilham o mesmo IP público, diferenciados pela porta de origem. Também chamado de NAT overload.
Mil dispositivos podem usar o mesmo IP público ao mesmo tempo. O roteador distingue cada sessão pela combinação de IP privado e porta de origem.
ip nat inside source list 1 interface GigabitEthernet0/0 overload
access-list 1 permit 192.168.1.0 0.0.0.255
A tabela de tradução fica assim:
| IP Privado | Porta Privada | IP Público | Porta Pública |
|---|---|---|---|
| 192.168.1.10 | 52341 | 200.100.50.25 | 10001 |
| 192.168.1.11 | 49122 | 200.100.50.25 | 10002 |
| 192.168.1.12 | 55891 | 200.100.50.25 | 10003 |
Três dispositivos. Um IP público. Três portas distintas. O roteador sabe exatamente para quem entregar cada resposta.
PAT é o motivo pelo qual a internet ainda funciona com IPv4 em 2026.
Verificando o NAT no Cisco IOS
Ver a tabela de tradução ativa:
R1# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 200.100.50.25:10001 192.168.1.10:52341 172.217.29.78:443 172.217.29.78:443
tcp 200.100.50.25:10002 192.168.1.11:49122 172.217.29.78:443 172.217.29.78:443
Ver estatísticas:
R1# show ip nat statistics
Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Outside interfaces: GigabitEthernet0/0
Inside interfaces: GigabitEthernet0/1
Hits: 847 Misses: 0
Limpar a tabela quando precisar troubleshoot:
R1# clear ip nat translation *
Como o NAT aparece no troubleshooting real
Cliente sem acesso à internet. Você começa a investigar.
Tem rota padrão:
R1# show ip route
Gateway of last resort is 200.100.50.1 to network 0.0.0.0
Verifica se o NAT está traduzindo:
R1# show ip nat translations
Tabela vazia. O NAT não está funcionando. Verifica as interfaces:
R1# show ip nat statistics
Outside interfaces: (none configured)
Inside interfaces: GigabitEthernet0/1
Problema encontrado. A interface outside não está configurada. Alguém trocou a interface WAN e esqueceu o ip nat outside.
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip nat outside
Resolvido.
Esse é o erro mais comum em NAT. Inverter inside e outside, ou esquecer de aplicar numa interface depois de uma mudança de hardware, derruba o NAT completamente e não gera nenhum log de erro óbvio.
O que o CCNA cobra sobre NAT
Cenário com diagrama de rede mostrando IPs internos e externos: o candidato identifica o tipo de NAT e o que aparece na tabela de tradução.
Questão de configuração: dado um requisito, qual o comando correto para implementar PAT numa interface específica.
Troubleshooting: dado um output de show ip nat translations ou show ip nat statistics, identificar o problema.
O que mais derruba candidatos é a direção das interfaces. ip nat inside vai na interface voltada para a rede interna. ip nat outside vai na interface voltada para a internet. Inverter os dois derruba o NAT completamente.
NAT e IPv6
Com IPv6 o problema de escassez some. São 340 undecilhões de endereços. NAT não é necessário.
Na prática, a migração completa para IPv6 ainda está em andamento. Enquanto IPv4 e IPv6 coexistem, NAT continua sendo um dos protocolos mais relevantes para quem opera redes hoje.