NAT PAT : Adresses Publiques et Privées

NAT PAT :

Les Adresses publiques sont utilisées pour se connecter à Internet.

Tandis que les adresses privées sont, elles, utilisées en interne pour l’entreprise.

Adresse IP privée

• Classe A => 10.0.0.0 - 10.255.255.255
• Classe B => 172.16.0.0 - 172.31.255.255
• Classe C => 192.168.0.0 - 192.168.255.255

L’ensemble de ces adresses ne sont pas acheminées sur internet.

Les routeurs Internet sont tous configurés pour éliminer toutes les adresses privées.

C’est-à-dire, qu’elles ne sont pas routables sur internet.

Lorsqu'un réseau qui utilise des adresses privées veut se connecter à Internet, il faudra alors faire une translation des adresses privées en adresses publiques.

Network Address Translation (NAT) (« traduction d'adresse réseau » ou « translation d'adresse réseau »)

Ce processus qui transforme les adresses privées en public pour pouvoir aller sur internet s'appelle le NAT.

Et le périphérique réseau qui s’occupe du NAT, c’est le routeur !

Adresse IP publique

Classe A :

1.0.0.0 - 9.255.255.255

11.0.0.0 - 126.255.255.255

Classe B :

128.0.0.0 - 172.15.255.255

172.32.0.0 - 191.255.255.255

Classe C :

192.0.0.0 – 192.167.255.255

192.169.0.0 – 223.255.255.255

Les adresses IP publiques sont utilisées sur des hôtes qui doivent être accessibles au public depuis Internet.

Manque d’adresse IPv4

Avec la croissance rapide d'Internet, les adresses IP publiques viennent à manquer… C’est pourquoi de nouveaux mécanismes ont vu le jour comme :

• Le NAT
• Le CIDR
• Le VLSM
• L’IPv6

L’ensemble de ces mécanismes ont été développés pour pallier au problème du manque d’adresse IPv4 !

Solution NAT

Les petits réseaux utilisent en général des adresses privées car elles offrent aux entreprises une grande flexibilité pour la conception de leurs réseaux.

Cet adressage permet une administration plus pratique et une croissance plus facile.

Par contre, avec des adresses privées, il n’est pas possible de surfer sur Internet.

Et comme il n'y a pas assez d'adresses publiques pour équiper le réseau privé de toutes les entreprises, la seule solution est d’utiliser un mécanisme qui permet de traduire les adresses privées en adresses publiques.

Et c’est le NAT qui permet de faire cette translation d’IP.

Le NAT permet donc aux utilisateurs privés d'accéder à Internet en partageant une ou plusieurs adresses IP publiques.

Type d’adresse NAT

• Inside local : C’est l’Adresse d’un hôte sur le réseau intérieur
• Inside globale : C’est l’Adresse traduite à l'intérieur de l'adresse locale

Dans le fonctionnement du NAT :

• Le réseau intérieur est l'ensemble des réseaux soumis à la traduction.
• Le réseau extérieur représente toutes les autres adresses.

Terme Cisco à connaître

• L’Adresse inside local : Ce sont les IP attribués aux Hosts, qui sont des adresses IP privées. Le terme Inside, signifie le réseau interne à l’entreprise !
• L’Adresse Inside Global : C’est la nouvelle adresse IP nattée de l’host pour pouvoir aller sur le NET. Le routeur change l’adresse « inside local » par cette adresse « inside globale ». C’est généralement une adresse IP publique.
• L’Adresse Outside global : est l'adresse IP qui réside dans la partie extérieure du réseau. Elle représente donc l’adresse IP de destination que l’hôte interne souhaite joindre.
• L’Adresse Outside Local : est L’IP externe de l’hôte de destination. En principe, elle est identique à l’adresse « Outside globale » !

Catégorie NAT

• NAT statique : 1 adresse IP locale correspond à une seule adresse IP publique.
• NAT dynamique : Plusieurs adresses IP locales correspondent à plusieurs adresses IP publiques.
• PAT : Mappe plusieurs adresses privées vers une seule et même adresse publique en utilisant différents ports pour permettre de suivre la connexion.

Le PAT est également connu sous le nom de NAT OVERLOAD. C'est une forme de NAT dynamique. Il s’agit de l'utilisation la plus courante du NAT.

Les 3 types de NAT

Nat Statique

Le NAT statique est un mappage un à un entre une adresse interne et une adresse externe.

On peut comparer l’adresse interne à celle de notre PC à la maison, et l’adresse externe c’est l’IP publique de la box internet.

Celle qui vous permet de surfer sur internet.

Configuration Nat statique

Routeur(config)# interface FastEthernet 0/1

Routeur(config-if)# ip address 218.115.20.2 255.255.255.224

Routeur(config-if)# ip nat outside

Routeur(config-if)# exit

Routeur(config)# interface FastEthernet 0/0

Routeur(config-if)# ip address 192.168.0.254 255.255.255.0

Routeur(config-if)# ip nat inside

Routeur(config-if)# exit

Routeur(config)# ip nat inside source static 192.168.0.1 218.115.20.2

show IP nat translation

Pour vérifier les configurations NAT du routeur, il faut utiliser la commande « show IP nat translation ».

Le NAT statique permet un mappage permanent entre une adresse interne et une adresse publique. C’est de la translation de 1 à 1 !

NAT dynamique

Le NAT dynamique permet de traduire des IP privés, vers des adresses publiques qui proviennent d’un pool d’IP !

Sa configuration diffère un peu du NAT statique, mais il y a tout de même beaucoup de similitudes.

Comme pour le NAT statique, il faut identifier chaque interface comme une interface intérieure, dite « Inside » ou extérieure, dite « Outside ».

Et ensuite, plutôt que de créer une carte statique d’une seule adresse IP, la translation se fera sur un groupe d’adresse interne globale !

Configuration NAT dynamique

Routeur(config)# interface FastEthernet 0/0

Routeur(config-if)# ip address 192.168.0.254 255.255.255.0

Routeur(config-if)# ip nat inside

Routeur(config-if)# exit

Routeur(config)# interface FastEthernet 0/1

Routeur(config-if)# ip address 218.115.20.2 255.255.255.224

Routeur(config-if)# ip nat outside

Routeur(config-if)# exit

Routeur(config)# access-list 1 permit 192.168.0.0 0.0.0.255

Routeur(config)# ip nat pool NOM-DU-POOL 218.115.20.1 218.115.20.30 netmask 255.255.255.240

Routeur(config)# ip nat inside source list 1 pool NOM-DU-POOL

L’ACL ne doit comporter que des permissions pour le NAT !

Car si à la fin de l’ACL vous faites un « permit any » qui autorise tous les paquets, alors le protocole NAT provoquera une forte consommation des ressources du routeur, ce qui causera beaucoup de problèmes sur le réseau.

À la fin de chaque ACL, il y a implicitement une ligne qu’on ne voit pas, cette ligne est un « deny any »

PAT

L’une des principales formes du NAT est le PAT, qui se fait aussi appeler « overload ».

Plusieurs adresses locales internes peuvent être traduites en utilisant le NAT dans une ou plusieurs adresses globales internes.

La plupart des box internet à domicile fonctionnent en PAT.

Le fournisseur d’accès à internet attribue une adresse à la box, qui fonctionne comme un routeur, et plusieurs personnes peuvent surfer sur Internet à partir d’une seule et même adresse.

Avec le PAT plusieurs adresses peuvent être traduites en une ou plusieurs adresses grâce à un numéro de port TCP ou UDP qui seront attribués automatiquement et aléatoirement sur chaque adresse privée.

Configuration PAT

Pour la configuration du PAT, et comme toute sorte de NAT, il faut taguer les interfaces en entrée et sortie !

Ensuite, comme pour le NAT dynamique, il faut créer une access-list pour définir les adresses locales qui pourront être translatées.

Et pour finir, il faut indiquer au routeur de translater notre access-list, à travers notre interface sortie, la Fast Ethernet 0/1, avec la commande « ip nat inside ».

Ne pas oublier le petit mot « overload » à la fin de la commande.

Routeur(config)# interface FastEthernet 0/0

Routeur(config-if)# ip address 192.168.0.254 255.255.255.0

Routeur(config-if)# ip nat inside

Routeur(config-if)# exit

Routeur(config)# interface FastEthernet 0/1

Routeur(config-if)# ip address 218.115.20.2 255.255.255.224

Routeur(config-if)# ip nat outside

Routeur(config-if)# exit

Routeur(config)# access-list 1 permit 192.168.0.0 0.0.0.255

Routeur(config)# ip nat inside source list 1 interface Fa0/1 overload

Dépannage NAT

Lorsqu’il y a des problèmes de connectivité dans un environnement NAT, il est souvent très difficile de déterminer la cause du problème.

Les translations ?

• « show IP nat translations »

Affiche la table nat du routeur.

• « debug IP nat » 

Permet de vérifier les translations en direct.

• « show access-list » 

Vérifie que l'ACL associée à la commande NAT comprend bien l’ensemble des réseaux qui doivent être nattés !

• « show IP nat statistics » 

Permet de vérifier que les interfaces du routeur sont correctement définies en inside et outside.

Les itinéraires

• « show ip route »

Vérifie les itinéraires de retour

• « clear IP nat translation * »

Permet d’effacer toutes les entrées des adresses translatées dynamiquement. Par défaut, elle s’efface après 24 heures.

• « debug IP nat » 

Affiche des informations sur chaque paquet que le routeur traduit.

Pendant une recherche de panne, il faut bien s’assurer aussi que l’ACL correspond bien à tous les réseaux qui doivent être nattés.

De ne pas oublier aussi que les ACL utilisent des masques inversés et non des masques de sous-réseau.

Pour Résumer

NAT (Network Address Translation) ET PAT (Port Address Translation)

Si on ne fait aucune traduction d’adresse réseau ou de port, on ne serait pas capable d’accéder à internet depuis le PC de chez nous, ou alors, seule 1 personne par box internet pourrait y accéder !

Dans les années 80, il y a eu ce qu’on appelle le Boom internet !

Avec seulement 4,3 milliards d’adresses IPv4, il a fallu trouver une solution pour pallier à cette pénurie ! C’est comme ça que sont nés le Nat et le PAT, en attendant la migration vers l’IPv6.

Le NAT est un protocole qui permet de changer l’adresse IP source d’un paquet par une autre adresse IP.

Alors, même si actuellement l’IPv6 est en cours de déploiement, l’adressage IPv4 reste toujours la plus utilisée dans le monde.

Toutes les entreprises, et même nos box internet, utilisent le NAT !

Le NAT

Permet à plusieurs équipements qui sont dans un même réseau privé d’utiliser une seule et même adresse IP publique.

Il existe 3 types NAT :

• Le NAT Statique
• Le NAT Dynamique
• Et le NAT Overlay, qu’on surnomme PAT

Le NAT Statique

Permet de traduire une adresse IP privée en 1 adresse IP publique.

En statique c’est du 1 pour 1.

Le NAT dynamique

Dans du NAT dynamique,il faut d’abord lui créer une access-list des PC ou du réseau autorisé à être translaté !

Ensuite on va déclarer la plage d’adresse IP publique qui pourra être utilisée aléatoirement avec la commande « IP nat pool »

Le PAT

Permet de faire correspondre plusieurs adresses IP privées à une seule adresse publique.

Toutes les BOX Internet fonctionnent en PAT. Les Pc’s, les tablettes et les smartphones qu'on a dans notre réseau domestique, utilisent donc la même adresse IP publique de la BOX.

Suivez le parcours CCNA sur le site Formip et retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.