Network Address Translation

A la fin de cette leçon, je dois être capable de :

 Expliquer le fonctionnement de NAT

Montrer l'intérêt de la technologie NAT

 Configurer la technologie NAT

Vérifier le fonctionnement de NAT

Débogguer les dysfonctionnements de NAT

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Principe d'adressage IP
Tout noeud d'un réseau ou sous-réseau doit disposer d'une
adresse IP. Cette adresse IP peut-être publique ou privée.
Une adresse IP publique est directement utilisable sur Internet
tandis qu' une adresse IP privée ne peut l'être, elle n'a de sens
que dans l'intranet et sert à identifier chaque hôte de l'intranet.
La RFC 1918 indique la répartition des adresses privées pour
chaque classe. Le tableau suivant indique les plages d'adresse
IP publiques, privées et reservées
La pluspart des équipements des intranets utilisent les
adresses IP privées mais parviennent à accéder à Internet où
seuls les adresses IP publiques peuvent être utilisées.
Comment cela est 'il possible ?

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Grille d'utilisation des adresses IP
.
Plage d'adresse IP Utilisation
0.0.0.0-0.255.255.255 Reservé
1.0.0.0 -126.255.255.255 Adresse IP publique de classe A
127.0.0.0-127.255.255.255 Reservé
10.0.0.0-10.255.255.255 Adresse IP privée de classe A
128.0.0.0-191.254.254.255 Adresse IP publique de classe B
172.16.0.0-172.31.255.255 Adresse IP privée de classe B
191.255.0.0-191.255.254.255 Reservé
192.0.0.0-192.0.0.255 Reservé

192.0.1.0-223.255.254.255 Adresse IP publique de classe C

192.168.0.0-192.168.255.255 Adresse IP Privée de classe C
223.255.255.0-223.255.255.255 Reservé
224.0.0.0-239.255.255.255 Adresse Ip de classe D
240.0.0.0-255.255.255.254 Adresse Ip de classe E

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 La translation d'adresses IP

La translation d'adresse IP, ou NAT Network Address

Translation, définie dans la RFC 1631 qui rend possible
l'accès à Internet à partir d'un équipement doté d'une
adresse IP privée.
INSTITUT SUPERIEUR PROFESSIONNEL
[email protected]
 La translation d'adresses IP

La translation d'adresse, technologie de couche 3 de OSI

est un mécanisme utilisé par un routeur, un firewall ou une
passerelle qui permet de convertir une adresse privée en
une adresse publique.
INSTITUT SUPERIEUR PROFESSIONNEL
[email protected]
 Les avantages de NAT
La translation d'adresse IP accroît la sécurité des intranets
en cachant au hacker les adresses IP des équipements
utilisés dans l'intranet. Les différents équipements de
l'intranet possèdent la même adresse IP publique, celle du
routeur par exemple.
De plus, la translation d'adresse IP permet une bonne
utilisation et conservation des adresses IP publiques. En
effet, si les adresses IP publiques étaient exigées à toutes
les stations, alors les adresses IP publiques ne seraient
plus disponibles pour connecter de nouveaux équipements
à internet compte tenu de la croissance exponentielle
d'Internet.
INSTITUT SUPERIEUR PROFESSIONNEL
[email protected]
 Le vocabulaire NAT
Pour comprendre le mécanisme de traduction des
adresses IP privées en adresses IP publiques, la
technologie NAT utilise les expressions suivantes :
Inside désigne le réseau local
Inside local représente une adresse IP privée utilisée dans
l'intranet.
Inside global représente une adresse IP publique du
routeur utilisée pour transmettre les paquets de l'intranet
vers internet

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Le vocabulaire NAT
Outside représente le réseau extérieur généralement
internet
Outside local désigne l'adresse IP d'un hôte de
destination accessible sur internet à l'intérieur du réseau
local dans lequel il se trouve
Outside global désigne une adresse IP publique utilisée
par un hôte de destination accessible sur internet

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Le vocabulaire NAT

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Les différents types de NAT
Initialement developpé par Cisco Systems, NAT est
exécuté par un équipement situé entre un intranet et
Internet et peut avoir les variantes suivantes:
NAT statique ou static NAT
NAT dynamique ou dynamic NAT
NAT overloading ou PAT ( Port Address Translation)
NAT overlapping

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 NAT Statique

NAT statique est une variante de NAT qui permet de faire

correspondre une adresse IP privée particlière à une et une
seule adresse IP publique. Elle est intéressante lorsque l'on
veut accèder à une machine de l'intranet à partir d'Internet.
INSTITUT SUPERIEUR PROFESSIONNEL
[email protected]
Exemple de translation statique
des adresses

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Configuration de NAT statique
Pour configurer la translation statique d'adresse, les 3
étapes suivantes doivent être respectées:
Définir l'interface du routeur connectée à l'intranet
comme « inside » à l'aide de la commande ip nat inside
Définir l'interface du routeur connectée à internet comme
« outside » à l'aide de la commande ip nat outside
Indiquer au routeur les translations statiques à effectuer
entre les adresses IP du côté inside et celles du côté
outside à l 'aide de la commande ip nat inside source
static

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Configuration de NAT statique
Définition de l'interface fastethernet 0/0 comme inside
NAT(config)#int fastethernet 0/0
NAT(config-if)#ip nat inside
Définition de l'interface fastethernet 0/1 comme outside
NAT(config)#int fastethernet 0/1
NAT(config-if)#ip nat outside

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Configuration de NAT statique
Etablissement des correspondances
NAT(config)#ip nat inside source static 10.1.1.1 200.1.1.1
NAT(config)#ip nat inside source static 10.1.1.2 200.1.1.2

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 NAT Dynamique

NAT dynamique définit un pool d'adresses IP publiques

qui sera employé pour effectuer la conversion d'adresse IP
privée.
INSTITUT SUPERIEUR PROFESSIONNEL
[email protected]
 NAT Dynamique

Une adresse IP privée peut être convertie en utilisant une et

une seule adresse du pool. L'adresse du pool peut varier
suivant le moment en fonction de l'usage du pool d'adresses.
INSTITUT SUPERIEUR PROFESSIONNEL
[email protected]
 Configuration de NAT dynamique
Pour configurer la translation d'adresses dynamique les
étapes suivantes sont nécessaires:
Définir le pool d'adresses publiques à utiliser. Cette
définition s'effectue à l'aide de la commande ip nat pool. La
syntaxe de cette commande est la suivante:
ip nat pool nom addr_ip_debut addr_ip_fin { netmask
masque | prefix-length longueur}
Déterminer et définir l'interface « outside » appropriée au
moyen de la commande ip nat outside
Déterminer et définir l'interface « inside » appropriée en
utilisant la commande ip nat inside

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Configuration de NAT dynamique
Déterminer les paquets dont les adresses IP doivent
être traduites en une adresse IP publique.
Pour effectuer cette opération, l'administrateur doit
définir une ACL standard pour identifier les paquets
nécessitant une traduction, puis utiliser la commande ip
nat inside source list n°list pool nom_pool en mode de
configuration globale, pour exiger que le routeur traduise
les adresses ip source en adresse ip publiques. Dans la
commande précédente, n°list représente le n° d'une
ACL, nom_pool désigne le nom du pool à utiliser.

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Exemple de translation
dynamique

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Exemple de configuration de NAT
dynamique
NAT(config)# ip nat pool pool 200.1.1.1 200.1.1.2
netmask 255.255.255.0
NAT(config)#access-list 1 permit 10.1.1.1 0.0.0.0
NAT(config)#access-list 1 permit 10.1.1.2 0.0.0.0
NAT(config)#interface ethernet 0/0
NAT(config-if)#ip nat inside
NAT(config-if)#interface serial 0/0
NAT(config-if)# ip nat outside
NAT(config)# ip nat inside source list 1 pool pool

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 NAT overload

NAT Overload ou PAT ( Port Address Translation) ou single

address NAT est une variante de NAT dynamique dont le
pool d'adresses IP publique ne comporte q'une seule adresse.

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 NAT overload

Port level multiplexed NAT utilise les numéros de port au

moment de la translation. Les adresses IP privés utilisent
l'unique adresse IP du pool avec un numéros de port différent

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Configuration de PAT
Définir le pool d'adresses publiques à utiliser. Cette
définition s'effectue à l'aide de la commande ip nat pool.
La syntaxe de cette commande dans le cas de PAT est la
suivante:
ip nat pool nom addr_ip_debut addr_ip_fin { netmask
masque | prefix-length longueur}
Cette étape n'est indispensable que si le pool contient plus
d'une adresse ip publique. Si ce pool ne contient qu'une
adresse alors on peut l'ignorer, l'adresse IP de l'interface
« outside » sera alors utilisée.
Déterminer et définir les interfaces « outside » et « inside »
au moyen des commandes ip nat outside et ip nat inside

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Configuration de PAT
Déterminer les paquets dont les adresses IP doivent être
traduites en utilisant une adresse IP publique du pool
Pour effectuer cette opération, l'administrateur doit définir
une ACL standard pour identifier les paquets provenant du
côté « inside » et nécessitant une traduction, puis utiliser la
commande ip nat inside source list n°list overload en mode
de configuration globale, pour exiger que le routeur
traduise les adresses ip source en adresse ip publique.
Dans la commande précédente, n°list représente le n°
d'une ACL, overload indique au routeur d'utiliser plusieurs
ports pour permettre aux hôtes « inside » de communiquer

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
Exemple de translation d'adresse
PAT

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Exemple de configuration de PAT
NAT(config)#access-list 1 permit 10.1.1.1 0.0.0.0
NAT(config)#access-list 1 permit 10.1.1.2 0.0.0.0
NAT(config)#access-list 1 permit 10.1.1.3 0.0.0.0
NAT(config)#interface ethernet 0/0
NAT(config-if)#ip nat inside
NAT(config-if)#interface serial 0/0
NAT(config-if)# ip nat outside
NAT(config)# ip nat inside source list 1 interface serial 0/0
overload
INSTITUT SUPERIEUR PROFESSIONNEL
[email protected]
 NAT overlap

Lorque l'intranet utilise des adresses IP qui sont aussi

employés sur Internet, NAT doit convertir de telles
adresses en des adresses IP publiques uniques

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 NAT overlap

Lorque l'intranet utilise des adresses IP qui sont aussi

employés sur Internet, NAT doit convertir de telles
adresses en des adresses IP publiques uniques

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]
 Vérifications des opérations NAT
Les commandes suivantes sont utilisées pour vérifier le
fonctionemment de NAT:
Show ip nat translations, permet de découvrir les
correspondances entre adresse ip locale et adresse ip
externe
Show ip nat statistics affiche les statistiques sur les
translations d'adresses effectuées par le routeur.
Clear ip nat translation * efface toutes les translations
d'adresses existantes

INSTITUT SUPERIEUR PROFESSIONNEL

[email protected]