+ de 700 vidéos sur le CCNA
  • N°1 de la certification Cisco Francophone
  • + de 8000 abonnés
  • + de 400 000 vidéos vues
Abonnez-vous à notre chaîne YouTube

NAT (Network Address Translation) Statique

PAT NAT : Sur cette topologie, nous allons voir comment le routeur va traduire une adresse source privée en adresse publique, avec du nat statique !

|Le PCA qui porte l’IP 192.168.0.1 veut communiquer avec le serveur web qui se trouve derrière internet et qui porte l’IP publique 221.107.50.10.

|Le paquet va arriver sur le routeur, et celui-ci va vérifier sa table NAT !

Comme le routeur trouve bien une correspondance dans celle-ci, |il va remplacer l’adresse source locale interne du pc, c’est-à-dire la 192.168.0.1 par l’adresse globale traduite en 218.115.20.2.

Cette adresse est l’IP publique de notre routeur, qui permet de surfer sur le NET. Une fois la translation faite, le paquet sera envoyé !

Ensuite, le serveur Web va bien recevoir le paquet du PC A, |et lui répondra en utilisant l’IP publique de notre routeur en adresse de destination.

Il s’agit donc de l’adresse globale interne.  

Et lorsque le routeur recevra ce retour du serveur Web sur son interface externe, à destination de la inside global, il consultera de nouveau sa table NAT et| traduira la inside global en inside local, avant de transmettre le paquet.

La communication entre le PC A et le serveur web fonctionne correctement à travers internet , en utilisant du nat statique !

Le NAT statique c’est un mappage un à un entre une adresse interne et une adresse externe.

On peut comparer l’adresse interne à celle de notre PC à la maison, et l’adresse externe c’est l’IP publique de la box internet.

Celle qui vous permet de surfer sur internet.

Le NAT statique fonctionne aussi en sens inverse, par exemple, on peut mapper une adresse globale interne à une adresse locale. Très utile pour un serveur Web.

Passons maintenant à sa configuration qui est relativement simple.

|Pour commencer, sur le routeur, on va configurer l’IP public sur son interface cotée internet, et on va taguer l’interface avec la commande | « ip nat outside » pour lui dire qu’elle est bien connectée vers l’extérieur, du côté WAN !.

|Ensuite, on configure une IP, sur l’interface connecté au LAN Local.

On prend la 192.168.0.254, qui sera donc la passerelle par défaut de nos PC ! |Et on n’oublie pas de taguer cette interface en « Inside », car elle est du côté LAN.

Et pour finir, en mode de configuration global, |il reste plus qu’a utilisé la commande « ip nat inside source static » pour lui dire de translater l’IP interne, la 192.168.0.1, en IP externe, la 218.115.20.2.

|Pour vérifier les configurations NAT du routeur, il faut utiliser la commande « show IP nat translation ».

Avec cette commande, vous retrouvez les termes Cisco, que nous avons vu dans le cours précédent. Ce qui est en bleu sont les numéros de port ! La port 23 est le port par défaut du protocole TCP, et le chiffre 1021, est un numéro de port aléatoire qui permet de marquer le paquet.

Le NAT statique permet un mappage permanent entre une adresse interne et une adresse publique. C’est de la translation de 1 à 1 !

|Et le NAT dynamique permet de traduire des IP privés, vers des adresses publiques qui proviennent d’un pool d’IP !

Sa configuration diffère un peu du NAT statique, mais il y’a tout de même beaucoup de similitudes. 

|Comme pour le NAT statique, il faut identifier chaque interface comme une interface intérieure, |dît « Inside » ou extérieure , |dît « Outside ».

Et ensuite, plutôt que de créer une carte statique d’une seule adresse IP, la translation se fera sur un groupe d’adresse interne globale !

Pour voir comment le nat dynamique travail, on va se baser sur la même topologie, et analyser les différentes étapes !

|Ici, les 2 PC’s de gauche, qui porte une IP privé, souhaite communiquer avec le serveur web à droite, qui à une IP public.

Si il n’ya pas de nat statique de configuré, | alors le routeur traduira dynamiquement, les adresses des 2 PC’s.

Car si les deux sont configurés, le nat statique sera toujours prioritaire au nat dynamique.

Ici, le routeur sélectionne donc une adresse globale à partir d’un groupe d’IP qui aura été créé, et il fera la traduction.

Il choisit l’ IP 218.115.20.1 pour le PC A, et la « .2 » pour le PCB.
|Le masque de notre réseau public est un /27. On peut donc utiliser la plage IP de .1 à .30.

Le .0 est l’adresse réseau, et la .31 est l’adresse de broadcast.

Ce sont deux adresses que nous ne pouvons pas attribuer à des hôtes !

|Le routeur remplace donc l’adresse source locale interne des 2 PC’s par une des adresses globales translatées et envoie le paquet !

Ainsi le serveur web peut recevoir les données sans problème ! Et s’ils souhaitent leur répondre, |alors il utilisera leurs propres adresses de destination interne globale ! 

Et lorsque le routeur reçoit les paquets avec les IP’s globales internes, il recherchera la traduction dans sa table nat, | et translatera de nouveau les IP’s, avant de les transférer vers les PC’s. La communication entre le serveur web et les PC’s fonctionne correctement.

NAT (Network Address Translation) Dynamique

Voyons maintenant la configuration du nat dynamique.

|Tout d’abord, il faut commencer à créer une « access-list » pour désigner le réseau qu’on souhaite translater. Ici ce sera le réseau 192.168.0.0/24.

|Ensuite, il faut définir le groupe d’adresse IP, avec la commande « ip nat pool ». À la place du nom-du-pool, en bleu, il faut choisir le nom qu’on souhaite lui donner ! Dans l’exemple, on utilisera toute la plage IP publique ! Au total 30 IP !

|Ces 2 commandes sont à faire dans le mode de configuration global.

L’ACL, ne doit comporter que des permissions pour le NAT ! Car si à la fin de l’ACL vous faite un | « permit any » qui autorise tous les paquets, alors le protocole nat provoquera une forte consommation des ressources du routeur, ce qui causera beaucoup de problèmes sur le réseau.

Pour rappel, à la fin de chaque ACL il y’a implicitement une ligne qu’on ne voit pas, qui est un | « deny any »

Comme pour le nat statique, il ne faut pas oublier de |taguer nos interfaces en entrée/sortit !

Pour rappel, la commande « ip nat inside » marque l’interface comme étant connectée au réseau intérieur

Et le «  Ip nat outside »marque l’interface connectée au réseau extérieur

|Et pour finir, toujours en mode de configuration global, il faut établir la translation dynamique des IP’s source en spécifiant l’ACL et le pool d’adresses avec la commande «  Ip nat inside »

|Et comme pour le nat statique, la commande show IP nat translations permet d’afficher les NAT’s actifs !

PAT (Port Address Translation) Overload

|L’ une des principales formes du NAT est le PAT , qui se fait aussi appeler « overload ».

Ici, plusieurs adresses locales internes peuvent être traduites en utilisant le NAT dans une ou plusieurs adresses globales internes. La plupart des box internet à domicile fonctionnent en PAT. Le fournisseur d’accès à internet attribue une adresse à la box, qui fonctionne comme un routeur, et plusieurs personnes peuvent surfer sur Internet à partir d’une seul et même adresse.

|Avec le PAT plusieurs adresses peuvent être traduites en une ou plusieurs adresses grâce à un numéro de port |TCP ou UDP qui seront attribués automatiquement et aléatoirement sur chaque adresse privée. 

Sur cette topologie, les deux PC’s utilisent la même adresse publique, pour communiquer avec le serveur WEB !

Ce sont les numéros de port TCP, qui permet de différencier les paquets du PC A de celui du PC B !

Avec ce système de PAT, de nombreux hôtes internes peuvent partager la même adresse globale interne en utilisant de nombreux numéros de port.

Pour la configuration du PAT, et comme toute sorte de nat, il faut |taguer nos interfaces en entrée et sortie !

Ensuite, comme pour le nat dynamique, |il faut créer une aceess-list pour définir les adresses locales qui pourront être translater.

|Et pour finir, il faut indiquer au routeur, de translater notre access-list, à travers notre interface sortie, la Fast Ethernet 0/1, avec la commande « ip nat inside ».

Ne pas oublier le petit mot « overload » à la fin de la commande.

|Et comme pour tous les types de NAT, la commande de vérification est identique : C’est show IP nat translations

📘Guide IT💻+ 1 cours gratuit sur le réseau informatique

La Voie Express vers ses objectifs professionnels