EXEMPLE de CONFIGURATION du NAT sur ROUTEUR CISCO

EXEMPLE de CONFIGURATION du NAT sur ROUTEUR CISCO
Configuration du NAT
On peut :
Créer un NAT statique entre deux adresses :
Exemple :
Routeur(config)# ip nat inside source static 192.168.0.1 200.100.40.1
Il faut indiquer pour qui s’appliquera la règle NAT, en définissant l’interface du routeur « inside » et
« outside »
NB : Rappelons que la traduction peut se faire sur n’importe quelle adresse. Même si elle est généralement
utilisée pour permettre à des adresses privées de communiquer avec Internet, la translation peut être aussi
utilisée pour masquer les véritables adresses du réseau local, même si elles sont publiques.
Pour définir les interfaces inside et outside :
Exemple :
Routeur(config)# interface fastethernet 0/1
Routeur(config-if)# ip nat inside
Routeur(config-if)# interface serial s0/0/0
Routeur(config-if)# ip nat outside
Définir un pool d’adresses (correspondance entre une plage d’adresses privées et une plage d’adresses
publiques dans laquelle les adresses privées seront traduites)
Exemple :
Routeur(config)# ip nat pool p1 200.100.40.10 20.100.40.50 netmask 255.255.255.0
Une fois le pool d’adresses défini, il faut indiquer quelles adresses sont autorisées à utiliser la traduction
d’adresses, à l’aide d’une access-list.
Exemple :
Routeur(config)# access-list 1 permit 192.168.1.0 0.0.0.255
// Créer une access-list autorisant le réseau 192.168.1.0 / 24
// Attention, masque inversé : les bits à 1 sont les bits que l’on ne vérifie pas
Routeur (config)# ip nat inside source list 1 pool p1
// Association entre l’access-list et la règle nat
// On indique quelle source en interne est autorisé à utiliser le pool d’adresses
En général, c’est la 3ème option qui est utilisée, à savoir le NAT/PAT, pour permettre à des adresses privées
d’utiliser une adresse publique unique vers Internet, moyennant un port associé à cette adresse.
Définir une règle de NAPT ou masquage d’adresse
Exemple :
Routeur(config)# ip nat inside source list 10 interface fastethernet 0/1 overload
// Masquage par l’adresse de l’interface 0/1 c'est du "masquerading"
// On note l’utilisation du mot-clé list au lieu de static utilisé dans le 1er cas ci-dessus.
Routeur(config)# access-list 10 permit 192.168.1.0 0.0.0.255
// Définition de l’access-list indiquant le réseau interne qui utilisera le nat
// lors de communications passant par l’interface fa0/1 du routeur
Pour le NAPT, il faut également définir la ou les interfaces inside et outside, comme montré dans le 1er cas
de figure.
Par exemple si on a un LAN sur l’interface fa0/0 en 192.168.1.0 et une DMZ sur l’interface fa0/1 en
192.168.2.0, et une interface publique se0/0/0 en 200.20.2.0, il faudra taper les commandes suivantes :
Exemple :
Routeur(config)# interface fastethernet 0/0
Routeur(config-if)# ip nat inside
Routeur(config-if)# interface fastethernet 0/1
Routeur(config-if)# ip nat inside
Routeur(config-if)# interface serial s0/0/0
Routeur(config-if)# ip nat outside
Pour consulter les traductions mises en place :
Routeur# show ip nat translations
Configuration d’une redirection
Lorsque l’on souhaite atteindre un serveur, par exemple dans une DMZ, alors qu’il possède une adresse
privée, il est nécessaire de mettre en place une redirection (règle de mapping) :
Exemple :
Routeur(config)# ip nat inside source static tcp 192.168.0.1 80 200.100.40.10 80
Adresse interne vers laquelle sera
redirigée la requête « entrante ».
Port utilisé sur la machine interne pour
le service requis.
Adresse externe (publique en général)
sur laquelle arriveront les requêtes à
rediriger.
Port externe (public) qui sera utilisé
depuis l’extérieur pour requérir le
service redirigé.
NB : Le port n’est pas forcément identique en externe et en interne. Si par exemple on souhaite rediriger
des requêtes vers plusieurs serveurs internes HTTP, on pourra utiliser plusieurs ports externes, tous
redirigés en interne sur le port 80, mais sur des machines différentes.
Exemple :
Routeur(config)# ip nat inside source static tcp 192.168.0.1 80 200.100.40.10 8180
Routeur(config)# ip nat inside source static tcp 192.168.0.2 80 200.100.40.10 8280
Routeur(config)# ip nat inside source static tcp 192.168.0.3 80 200.100.40.10 8380
Visualisation de la table NAT sur Packet Tracer
Sur PACKET TRACER, on peut afficher simplement le contenu du cache NAT d’un routeur, en utilisant la
loupe. On peut voir alors évoluer la table à chaque utilisation de la translation d’adresse. Une
temporisation permet de voir pendant quelque temps les correspondances pendant quelques secondes.
3. La table NAT s’affiche
ici
4. Le lancement de commandes
ping alimente automatiquement
la table NAT
1. Cliquer sur
la loupe ici.
2. Cliquer sur le routeur
et sélectionner « NAT
Table ».
Exemple de table NAT
Inside Global = IP de
l’interface publique utilisée
pour sortir sur Internet
On note ici une suite
de requêtes ping
Inside Local = IP locale
(ici privée) effectuant la
demande
Les lignes n’ayant pas de valeur
pour Outside sont en fait des lignes
de redirection (ou mapping)
permanentes.
Outside = IP distante
en communication
On note ici des
requêtes DNS