Le service DHCP qui signifie Dynamic host configuration protocole, permet aux périphériques sur un réseau d'obtenir automatiquement des adresses IP et d'autres informations à partir d'un serveur DHCP. Ce service automatise l'affectation des adresses IP, des masques de sous-réseau , des passerelles et d'autres paramètres de réseau IP.
Un fournisseur de services internet qui se nomme aussi FAI, fournit parfois une adresse statique à configurer sur une interface connectée à Internet. Dans d'autres cas, l'adresse est fournie par le DHCP. Sur les grands réseaux locaux ou lorsque les utilisateurs changent fréquemment, le DHCP est conseillé. Des nouveaux utilisateurs peuvent arriver avec des ordinateurs portables et pourrais avoir besoin d’une connexion internet ou bien si une migration des postes informatique a lieu, l'administrateur réseau devra refaire la configuration sur chacun des postes. Il est donc plus efficace d'avoir des adresses IP attribuées automatiquement à l'aide de DHCP.
utilise son propre DHCP pour fournir une IP à l'interface, aucune configuration manuelle d’adresse n’est à faire. Au lieu de cela, l'interface est configurée pour fonctionner comme un client DHCP. Cette configuration signifie que le routeur étant connecté à un modem demandera lui-même une adresse IP au Fournisseur d’accès internet.
Les adresses qui sont attribuées par le fournisseur en statique (sans DHCP) peuvent parfois être plus utiles que les adresses dynamiques. Par exemple une adresse IP statique peut être liées à un nom de domaine ou bien si des serveurs publics ou privés sont exploités par des utilisateurs externes.
Dans ce cas, si le fournisseur fournit une adresse IP statique sans DHCP derrière tout cela, il faut la configurer soit même sur le routeur. :
Par exemple, Le FAI nous attribue une adresse IP statique qui est 209.165.200.225/27. Il y’a 2 choses à faire.
la première est de configurer l'adresse IP statique sur l'interface externe du routeur. Ici c’est la gi0/0
et la deuxième chose a faire est de configurée une route par défaut qui transmettra tout le trafic destiné à Internet vers l'interface externe.
La gestion d'un réseau peut prendre beaucoup de temps. Les utilisateurs du réseau se déplacent régulièrement, de nouveau arrivent et d’autre partent. À chaque changement d’utilisateurs, cela demande du travail, à la personne qui s’occupe de l’informatique. Selon le nombre d'hôtes IP, la configuration manuelle des adresses IP pour chaque périphérique sur le réseau est pratiquement impossible.
Le DHCP diminue considérablement la charge de travail, car il attribue automatiquement une adresse IP à partir d'un pool d'adresses IP défini. Mais il ne fait pas que ça, il automatise également le paramétrage, des masques de sous-réseau, des passerelles et aussi d'autres paramètres du réseau.
DHCP est construit sur un modèle client / serveur. Le serveur DHCP attribue des adresses IP et des paramètres réseau, dynamiquement aux clients. Le terme «client» désigne un hôte qui demande des paramètres d'initialisation à partir d'un serveur DHCP. Plusieurs périphériques peuvent être des clients DHCP, comme des téléphones IP, des ordinateurs de bureau, des pc portables, des imprimantes et même des lecteurs Blu-Ray. À peu près n'importe quel appareil ou il est possible de lui mettre une IP, à la possibilité d'utiliser DHCP pour obtenir sa propre configuration IP.
Un FAI fournit parfois une adresse statique pour une interface connectée à Internet. Dans d'autres cas, une adresse est fournie avec DHCP. Si le FAI utilise un DHCP pour fournir l’adressage à l'interface, alors aucune adresse ne pourra être configurée manuellement. L'interface connectée à internet sera configurée pour fonctionner comme un client DHCP.
La commande IP address dhcp, faite sur l’interface de sortie, effectuera sa demande d’IP au FAI via DHCP
Les Adresses publiques sont utilisées pour se connecter à Internet, tant dit que les adresses privées sont utilisées en interne à l’entreprise. Généralement dans le cours, comme exemple, on voit plutôt des adresses privées.
Les adresses IP privées sont utilisées en interne dans l’entreprise. Chaque hôte nécessite une adresse IP unique. Les hôtes privés qui ne se connectent pas à Internet peuvent très bien utiliser n'importe quelle adresse, du moment qu’elle ne soit pas affectée à une autre machine.
Trois blocs d'adresses IP sont désignés pour une utilisation interne et privée. Le tableau indique les plages d'adresses pour chaque classe. L’ensemble de ces adresses ne sont pas acheminées dans ce qu’on appelle le « backbone Internet ». Les routeurs Internet sont tous configurés pour éliminer toutes les adresses privées.
En gros, les adresses privées ne sont pas routables sur internet.
Dans un intranet privé, ces adresses peuvent très bien être utilisées ( et c’est même conseillé) à la place d'adresses publique. Et lorsqu'un réseau utilisant des adresses privées veut se connecter à Internet, il faudra faire une translation des adresses privées en adresses publiques. Ce processus qui transforme les adresses privées en public afin qu’elles puissent aller naviguer sur internet s'appelle le NAT qui signifie « Network Address Translation ». Un routeur est souvent le périphérique réseau qui effectue le NAT.
sont utilisées pour les hôtes accessibles au public depuis Internet. La stabilité de l'Internet dépend directement du faite que chaque adresse publique soir unique. Un mécanisme existe pour veiller à cela, il portait autrefois le nom de InterNIC « Internet Network Information Center » et fut succéder par l’IANA « Internet Assigned Numbers Authority ». L'IANA gère soigneusement l’ensemble des IP publics pour s’assurer qu’il n’ya aucun doublon. Une adresse publique en double entrainerait une instabilité globale sur Internet.
Pour obtenir une adresse IP publique ou un bloc d'adresses, il faut se rapprocher de son fournisseur d’accès à internet. Ou sinon il faut prendre contact avec un LIR (Local Internet Registry). Les LIR obtiennent des pools d'adresses IP de leurs RIR (Regional Internet Registry): Par exemple pour l’Europe, il s’agit de RIPE NCC : qui signifie Réseaux IP Européén Network Coordination Center.
Avec la croissance rapide d'Internet, les adresses IP publiques viennent à manquer… C’est pourquoi de nouveaux mécanismes sont apparus comme le NAT, ou bien le CIDR qui signifie Classless InterDomain Routing », ou alors le VLSM pour Variable-Length Subnet Mask » et aussi l’ IPv6. L’ensemble de ces mécanismes ont été développé pour pallier au problème de l’insuffisance de l’IPv4.
Les petits réseaux sont généralement implémentés en utilisant des adresses privées. L'adressage privé offre aux entreprises une grande flexibilité dans la conception d'un réseau. Cet adressage permet une administration plus pratique et une croissance plus facile. Mais, il n’est pas possible d’acheminer, des adresses privées sur Internet. Et comme il n'y a pas assez d'adresses publiques pour équiper le réseau privé de toutes les entreprises, la seule façon de faire est d’utiliser un mécanisme qui permet de traduire les adresses privées en adresses publiques . C’est le NAT qui permet de le faire. Avant la création du NAT, un hôte avec une adresse privée ne pouvait pas accéder à Internet. Depuis, les entreprises peuvent fournir à certains ou à tous leurs hôtes des adresses privées avec une possibilité d’aller sur internet.
Pour comprendre le mécanisme du NAT, on pourrait le voir comme le réceptionniste d’une entreprise. Supposons qu’on lui dise de ne pas nous transmettre d’appel, sauf si on lui demande. Plus tard, en appelant un client potentiel, on tombe sur son répondeur et on laisse un message au client lui demandant de nous rappeler. À ce moment-là, on contacte le réceptionniste et l’informe qu’on attend l’appel d’un client, et qu’on souhaite être mis en relation. Lorsque le client appelle le numéro principal (le numéro du standard) l’appelant dit au réceptionniste qu’il souhaite nous joindre en communiquant notre nom, le réceptionniste vérifie sa table de recherche, et fait la liaison entre le nom et le numéro du poste. Comme il sait qu’on a demandé à être contacté pour cet appel, il transmet la communication.
Habituellement, le NAT relie deux réseaux et traduit les adresses privées vers des adresses publiques avant que les paquets ne soient transmis à un autre réseau. On peut configurer le NAT pour qu’il annonce uniquement une adresse pour l'ensemble du réseau vers le monde extérieur. Cela permet de masquer plus efficacement le réseau internet et offre une sécurité supplémentaire.
Le mécanisme de NAT n’est pas à mettre en place uniquement que pour surfer sur internet. Supposons qu’on souhaite communiquer avec un autre réseau LAN et que ce réseau utilise le même plan d’adressage privé que le nôtre, pour éviter ce conflit il faudra obligatoirement passer par le NAT. Ce qui arrive souvent lorsque 2 sociétés fusionnent.
Il y’a 2 types d’adresses importantes dans le nat qui sont :
Dans la terminologie NAT , le réseau intérieur est l'ensemble de réseaux soumis à la traduction. Le réseau extérieur se réfère à toutes les autres adresses. Habituellement, ces autres adresses sont des adresses valides situées sur Internet.
Les adresses locales sont des adresses qui apparaissent sur l'entité interne. Les adresses globales sont des adresses qui apparaissent sur l'entité externe.
Une bonne façon de se rappeler ce qui est local ou global est d'ajouter le mot « visible » . Une adresse localement visible implique une adresse IP privée, et une adresse globalement visible implique une adresse IP publique. Pour ce qui est de inside et outside. L’inside signifie l'intérieur de son réseau, et outside signifie un réseau externe au notre. Par exemple, une adresse globale interne signifie que l'appareil est physiquement à l'intérieur de son réseau et possède une adresse visible à partir d'Internet. Il pourrait s'agir d'un serveur Web, par exemple.
Sur un routeur Cisco, Le NAT peut être divisé en trois catégories distinctes pour des utilisations différentes.
Cette image illustre un routeur qui traduit une adresse source privée en adresse publique en plusieurs étapes :
Le NAT statique est un mappage un à un entre une adresse interne et une adresse externe. Le NAT fonctionne aussi en sens inverse, on peut permettre les périphériques externes d'établir des connexions à des périphériques internes. Par exemple, on peut mapper une adresse globale interne à une adresse locale spécifique pour un serveur Web. Voyons la configuration d’un NAT statique.
Configurer un NAT statique est une tâche assez simple. Il faut définir les adresses à traduire, puis configurer le NAT sur les interfaces appropriées. Les paquets qui arriveront ensuite sur une interface interne à partir d’une adresse identifiée au NAT, seront translatés. Les paquets qui arrivent également sur l’interface externe adressée à une adresse IP identifiée seront eux aussi translatés.
Sur le routeur, nous allons lui déclarer une adresse IP publique cotée interne et une adresse faisant partit du réseau local sur l’interface cotée LAN.
Coté internet on marque l’interface avec la commande : IP nat outside pour lui dire qu’elle est connectée à l’extérieur.
On marque aussi le côté du réseau intérieur avec la commande IP nat inside.
Ensuite, en mode de configuration global, il reste plus qu’a taper la commande :
Ip nat inside source static avec l’IP internet et suivi de l’IP externe.
Vérification de la configuration statique NAT
La commande : show IP nat translations permet d’afficher les nat’s configurée sur le routeur
Alors que le NAT statique fournit un mappage permanent entre une adresse interne et une adresse publique spécifique, le NAT dynamique trace les adresses IP privées vers les adresses publiques. Ces adresses IP publiques proviennent d'un pool de NAT. La configuration d’un nat Dynamic diffère à celle du NAT statique, mais elle a beaucoup de similitudes. Comme le NAT statique, il faut que la configuration identifie chaque interface comme une interface intérieure (inside) ou extérieure (outside). Toutefois, plutôt que de créer une carte statique sur une seule adresse IP, un groupe d'adresses internes globales sera utilisé.
La figure illustre un routeur qui traduit une adresse source qui se trouve à l'intérieur d'un réseau vers une adresse source qui se trouve à l’extérieur du réseau. Voici les étapes qui permettent la traduction d’une adresse source intérieure:
La commande Access-list 1 permit 10.1.1.0 avec le wildcard mask à 3 fois 0.255 , crée une liste d'accès pour designer le sous-réseau 10.1.1.0/24 qui sera translaté.
La commande Ip nat pool NAT-POOL 209.165.201.5 plus loin 209.165.201.10 avec un masque en 3 fois 255.240 définit le pool d’adresse IP qui porte le nom de NAT-POOL en majuscule.
Ces 2 commandes sont à rentrer dans le mode de configuration global
L’ACL ne doit inclure que les adresses qui doivent être translatées. Implicitement, à la fin de l’ACL il y’a une règle qui dénie tous les autres paquets. Une ACL avec trop de permission peut entrainer des résultats imprévisibles. Par exemple si la dernière acl est un « permit any » qui autorise tous les paquets, le nat provoquera une forte consommation des ressources du routeur, ce qui causera beaucoup de problèmes sur le réseau.
Ip nat inside marque l'interface comme étant connectée au réseau intérieur
Et Ip nat outside marque l'interface connectée au réseau extérieur
Et pour finir en mode configuration global, la commande Ip nat inside source list 1 pool NAT-POOL permet d’établir la translation dynamique des IP’s source en spécifiant l' ACL et le pool d'adresses
Vérification de la configuration NAT dynamique
Commander | La description |
Afficher les traductions IP nat | Affiche les traductions NAT actives |
La commande show IP nat translations (comme pour le nat statiques) affichent les NAT’s actifs.
L' une des principales formes du NAT est le PAT , qui est également appelé overload dans la configuration IOS de Cisco. Plusieurs adresses locales internes peuvent être traduites en utilisant le NAT dans une ou plusieurs adresses globales internes en utilisant le PAT. La plupart des routeurs à domicile fonctionnent de cette manière. Le fournisseur d’accès à internet attribue une adresse à la box qui porte le rôle d’un routeur, et plusieurs personnes peuvent surfer sur Internet à partir de la même adresse.
plusieurs adresses peuvent être mappées sur une ou quelques adresses grâce à un numéro de port TCP ou UDP attribué automatiquement sur chaque adresse privée. Lorsqu'un client ouvre une session TCP / IP, le routeur NAT attribue un numéro de port à son adresse source. Le PAT assure que les clients utilisent un numéro de port TCP ou UDP différent pour chaque session client/serveur sur Internet. Lorsqu'une réponse revient du serveur, le numéro de port source, qui devient le numéro de port de destination sur le chemin du retour, détermine le client auquel le routeur achemine les paquets. Il valide également que les paquets entrants ont bien été demandés, ce qui ajoute un degré de sécurité à la session.
La figure illustre une opération PAT d'une adresse globale avec plusieurs adresses locales internes. Les numéros de port TCP permettent de différencier les paquets. Les deux hôtes B et C pensent qu'ils parlent à un seul hôte à l'adresse 209.165.201.5. En réalité ils parlent à des hôtes différents, et le numéro de port est, ce qui différencie les hôtes.
Avec ce système, de nombreux hôtes internes peuvent partager la même adresse globale interne en utilisant de nombreux numéros de port.
Pour la configuration du PAT, il faut d’abord commencer par crée une ACL qui définira toutes les adresses locales internes pouvant être translater : dans l’exemple ce sera le réseau 10.1.1.0/24 avec la commande access-list 1 permit 10.1.1.0 et 3 fois 0 .255
ensuite, il faut marqué les interfaces en entrée et sortit.
Sur l’interface gi 0/0 on la marque en IP nat inside et sur la gi0/1 en outside
Et pour finir, il faut établir la translation des IP’s source, en spécifiant l’ACL, avec la commande :
Ip nat inside list 1 interface gi 0/1 overload
Comme pour tous les types de NAT, la commande de vérification est identique : C’est show IP nat translations
Lorsqu’il y’a des problèmes de connectivité dans un environnement NAT , il est souvent très difficile de déterminer la cause du problème.
efface toutes les entrées des adresses translatées dynamiquement. Par défaut, elle s’efface automatiquement après 24 heures. Pendant un test de fonctionnement du nat, cette commande peut s’avérer utile.
Les commandes show sont utilent dans un réseau de petite taille. Dans des environnements plus complexes, il est nécessaire d’utiliser des commandes debug sur le routeur pour afficher le comportement en direct des translations.
La commande debug IP nat affiche des informations sur chaque paquet que le routeur translate, ce qui permet de vérifier le bon fonctionnement du NAT. Dans l’exemple on voit que l'hôte interne 10.1.1.100 a initié le trafic vers l'hôte externe 209.165.202.131 en étant translaté avec l'adresse 209.165.201.1.
Pendant une recherche de panne, il faut bien s’assurer que l’ACL correspond bien a tous les réseaux devant être nattés. Ne pas oublier que les ACL utilisent des masques inversés et non des masques de sous-réseau. Par exemple A l’examen, il y’a un TP ou il faut découvrir la panne sur le nat, et la réponse est qu’il ont paramétré un masque de sous réseau au lieu d’un wildcard mask
Et Si, malgré toutes ses vérifications, les translations ne se produisent toujours pas, il faut vérifier que le routeur distant possède bien une route de retour vers l'adresse qui est traduite.
Retrouver de nombreuses vidéos de cours sur la chaine Youtube Formip
Suivez le parcours CCNA sur le site Formip
Visitez notre Politique de Confidentialité
Prenez connaissance de notre Charte de Qualité |
CGU | CGV | Engagement de non-responsabilité
Vous avez une réclamation à nous soumettre ? => Remplissez le formulaire
Vos informations sont 100% sécurisées, nous nous engageons à ne pas les revendre.
Siège social : 34 rue Pasteur, 39110 Salins-les-bains.
SIRET. 890 495 294 00013 ⎜Numero DATA DOCK:0085 282 ⎜Déclaration d’activité enregistré auprès du préfet de region Bourgogne-Franche-Comté sous le numéro : 27390126739
© Copyright 2017 - Formip par Damien.S