Atelier3 : Configuration basique de la fonction NAT

Objectif
• Configurer un routeur de façon à ce qu’il utilise la fonction NAT (Network Address
Translation ou traduction d’adresses réseau) pour convertir les adresses IP internes (en
général, des adresses privées) en adresses publiques externes.

Contexte
Le NAT vous permet d’utiliser des adresses IP privées sur votre LAN et de translater ces
adresses afin de les rendre accessible depuis un réseau public comme Internet.
Le réseau privé est définit sur l’interface intérieure et l’adresse publique sur l'interface
extérieure de votre routeur.
Le NAT statique est une adresse privée unique qui est redirigée, vers une adresse publique
unique. La forme la plus utilisée de Nat est un groupe d'adresse privées translaté en une seule
et unique adresse publique. Cette forme de Nat est appelée "overloading".

Prérequis/Préparation
Un fournisseur d’accès Internet a attribué à une société l’adresse IP CIDR (Classless
Interdomain Routing ou routage sans classe) publique 199.99.9.32/27. Celle-ci équivaut à 30
adresses IP publiques. Cette société ayant besoin de plus de 30 adresses internes, le
responsable informatique a décidé de mettre en oeuvre la traduction NAT, avec les adresses
199.99.9.33 à 199.99.9.39 pour l’allocation statique et les adresses 199.99.9.40 à 199.99.9.62
pour l’allocation dynamique. Le routage doit s’effectuer entre le routeur du fournisseur
d’accès (ISP) et le routeur Gateway qu’utilise la société. Il existera une route statique entre le
routeur ISP et le routeur Gateway, et une route par défaut entre le routeur Gateway et le
routeur ISP. La connexion du FAI à Internet sera représentée par une adresse d’essai en mode
bouclé au niveau du routeur ISP.
Installez un réseau similaire à celui du schéma ci-dessus. Vous pouvez utiliser tout routeur

1
possédant les interfaces indiquées dans le schéma. Ceci comprend les éléments suivants et
toutes les combinaisons possibles de ces éléments:
• Routeurs de la gamme 800
• Routeurs de la gamme 1600
• Routeurs de la gamme 1700
• Routeurs de la gamme 2500
• Routeurs de la gamme 2600
Les informations de configuration utilisées dans ce TP correspondent à un routeur de la
gamme 1721. Celles-ci peuvent varier légèrement avec un autre routeur. Effectuez les étapes
suivantes sur chaque routeur, sauf indication contraire.

Étape 1 – Configurez les routeurs

Configurez les éléments suivants conformément au schéma:
• Le nom d’hôte
• Le mot de passe de la console
• Le mot de passe du terminal virtuel
• Le mot de passe «enable secret»
• Les interfaces
Étape 2 – Enregistrez la configuration
À l’invite du mode privilégié, entrez la commande copy running-config startup-config sur
les deux routeurs.
Étape 3 – Configurez les hôtes avec l’adresse IP, le masque de sous-réseau et la passerelle
par défaut appropriés
Chaque station de travail doit pouvoir envoyer une requête ping au routeur auquel elle est
connectée. Si cette requête échoue, procédez au dépannage requis. Vérifiez avec attention que
la station de travail est bien liée à une adresse IP spécifique et à une passerelle par défaut. Si
vous utilisez Windows 98, vérifiez à l’aide de Démarrer > Exécuter > winipcfg. Si vous
utilisez Windows 2000 ou une version supérieure, pour vérifier, lancez la commande ipconfig
en mode DOS.
Étape 4 – Assurez-vous que le réseau fonctionne
a. À partir des hôtes connectés, envoyez une requête ping à l’interface FastEthernet du routeur
Gateway par défaut.
b. La requête ping du premier hôte a-t-elle réussi ? _____________
c. La requête ping du second hôte a-t-elle réussi ? _____________
d. Si vous avez répondu non aux deux questions, vérifiez la configuration des hôtes et du
routeur pour trouver l’erreur. Envoyez de nouvelles requêtes ping jusqu’à ce que les deux
réussissent.

Étape 5 – Créez une route statique

a. Configurez une route statique du routeur ISP au routeur Gateway. Les adresses
199.99.9.32/27
ont été attribuées pour l’accès Internet hors de la société. Utilisez la commande ip route pour
créer la route statique.
ISP(config)#ip route 199.99.9.32 255.255.255.224 200.2.2.18
b. La route statique figure-t-elle dans la table de routage? _____________________________
c. Quelle commande devez-vous utiliser pour vérifier le contenu de la table de routage?
_________________________________
d. Si la route ne figure pas dans la table de routage, quelle peut en être la raison ?

2
Étape 6 – Créez une route par défaut
a. Créez, du routeur Gateway au routeur ISP, une route statique vers le réseau 0.0.0.0 0.0.0.0.
Pour cela, utilisez la commande ip route. Ainsi, le trafic des adresses de destination
inconnues sera transmis au FAI via la configuration d’une passerelle de dernier recours sur le
routeur Gateway.
Gateway(config)#ip route 0.0.0.0 0.0.0.0 200.2.2.17
b. La route statique figure-t-elle dans la table de routage? _____________________________
c. À partir de l’une des stations de travail, tentez d’envoyer une requête ping à l’adresse IP de
l’interface série du routeur ISP.
d. La requête ping a-t-elle réussi? _______________________________________________
e. Pourquoi? ______________________________________________________________

Étape 7 – Définissez le groupe d’adresses IP publiques utilisables

Pour définir le groupe d’adresses publiques, utilisez la commande ip nat pool:
Gateway(config)#ip nat pool public-access 199.99.9.40 199.99.9.62 netmask
255.255.255.224

Étape 8 – Définissez une liste de contrôle d’accès correspondant aux adresses IP privées
internes
Pour définir la liste de contrôle d’accès correspondant aux adresses privées internes, utilisez la
commande access list:
Gateway(config)#access-list 1 permit 10.10.10.0 0.0.0.255
Étape 9 – Définissez la traduction NAT de la liste interne vers le groupe externe
Pour définir la traduction NAT, utilisez la commande ip nat inside source:
Gateway(config)#ip nat inside source list 1 pool public-access

Étape 10 – Spécifiez les interfaces

Vous devez définir les interfaces actives sur le routeur en tant qu’interfaces internes ou
externes par rapport à la NAT. Pour cela, utilisez la commande ip nat inside ou ip nat
outside:
Gateway(config)#interface fastethernet 0
Gateway(config-if)#ip nat inside
Gateway(config-if)#interface serial 0
Gateway(config-if)#ip nat outside

Étape 11 – Testez la configuration

a. Configurez l’un des PC du LAN avec l’adresse IP 10.10.10.10/24 et l’adresse de passerelle
par défaut 10.10.10.1. À partir du PC, envoyez la requête ping 172.16.1.1. Si le résultat est
positif, affichez la traduction NAT sur le routeur Gateway à l’aide de la commande show ip
nat translations.
b. Quelle est la traduction des adresses des hôtes locaux internes?
________________ = ________________ ________________ = ________________
c. Qui est chargé d’attribuer l’adresse globale interne?
________________________________
d. Qui est chargé d’attribuer l’adresse locale interne?
_________________________________

3
Vérification du bon fonctionnement de NAT :
Il vous est possible d'utiliser la commande « debug ip nat » pendant que vous pingez les hôtes
des deux cotés du tunnel pour vérifier le bon fonctionnement du NAT. Pensez à couper le
debugger une fois cette opération terminée.
D'autres commandes utiles sont :

show ip nat statistics

show ip nat translation