TP : Routage OSPF sur Cisco M2103 IUT Dijon-Auxerre

TECHNOLOGIE INTERNET
TRAVAUX PRATIQUE : NAPT
Par ZHANG Tuo
E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr

1. OBJECTIFS DU TP
Réaliser et tester le NAT entre différents réseaux.
Analyser le fonctionnement de NAT.
2. MATERIELS ET LOGICIELS NECESSAIRES
Vous travaillerez tout seul. Il faut un Compte-Rendu à déposer par personne à la fin de cette séance.
3. PREALABLE
ATTENTION : Lors qu’il n’y a pas de groupe, vous devez réaliser ce TP par Packet Tracer puisque
l’enseignant puisse noter « cas par cas ».
4. ROUTAGE ENTRE LES RESEAUX DIFFERANTES PAR NAT
4.1. Le principe de NAT
On dit qu’un routeur fait du Network Address Translation (NAT) lorsqu’il fait correspondre les
adresses IP internes non-uniques et souvent non routables d’un intranet à un ensemble d’adresses externes
uniques et routables. Ce mécanisme permet notamment de faire correspondre une seule adresse externe
publique visible sur Internet à toutes les adresses d’un réseau privé, et pallie ainsi l’épuisement des adresses
IPv4.
La fonction NAT dans un routeur de service intégré (ISR) traduit une adresse IP source interne en
adresse IP globale.

4.2. Sécurité et NAT (poursuivre en 2ème année)

Tout d'abord, le NAT n'est pas une opération anodine et ce bien qu'il ait pour vocation d'être transparent.
En effet, le NAT modifie les paquets IP et cela a pour conséquence directe de casser tout contrôle d'intégrité au
niveau IP et même aux niveaux supérieurs puisque TCP par exemple inclue les adresses dans ses checksums!
Concrètement, on se rend compte qu'un protocole de sécurisation des datagrammes comme IPSec est totalement
incompatible avec le NAT, que ce soit en mode tunneling ou transport (voir IPSec).Une autre raison simple est
qu'un NAT évolué a tendance à remonter les couches pour étudier les protocoles de transport afin de rassembler
assez d'informations pour chaque contexte. Tout chiffrement à ce niveau empêcherait donc le NAT de
fonctionner, puisque les informations seraient alors cryptées.
Un des avantages du NAT est de protéger les machines du réseau privé d'attaques directes puisqu’elles
ne sont en fait pas accessibles de l'extérieur. De plus dans la majorité des cas, les requêtes de connexion ne
peuvent provenir que de ces machines privées. Cela permet également de se prémunir contre un monitoring du
traffic qui viserait à scruter les communications entre 2 machines particulières, un serveur sur Internet par
exemple et une machine du réseau privé. Comme cette dernière n'est plus identifiable, l'opération devient
impossible à moins de remonter au niveau applicatif (d'où l'utilité d'utiliser une protection/chiffrement à ce
niveau également).

ZHANG Tuo & Michael Roy TP Routage 1/6

 TP : Routage OSPF sur Cisco M2103 IUT Dijon-Auxerre

ATTENTION
Sous Packet Tracer, vous pouvez utiliser Router et commutateurs génériques, dans le même temps, il
faut faire attention aux interfaces que vous travailliez avec, et n’oubliez pas configurer les paramètres
(@IP, gateway…)
Comme j’ai déjà vous donner les commandes, dans votre CR, il faut noter les fonctionnalités
correspondant chaque commande.

5. NAT STATIQUE ET ADDRESS HIDING FEATURE

5.1.1. Configuration des interfaces

Configurer les interfaces nécessaires d’après la topologie dans le schéma, ainsi que le nom du routeur.
Les PCs Par @IP : 192.168.1.100 et 192.168.1.101
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
Routeur 0 de fa0/0: @IP 192.168.1.1 255.255.255.0
s2/0: @IP 200.10.0.1 255.255.255.0
clock rate 64000
Routeur 1 de s2/0 : @IP 200.10.0.2 255.255.255.0
fa0/0 : @IP 10.0.0.1 255.0.0.0
Serveur @IP : 10.0.0.254
Subnet Mask : 255.0.0.0
Default Gateway : 10.0.0.1

ZHANG Tuo & Michael Roy TP Routage 2/6

 TP : Routage OSPF sur Cisco M2103 IUT Dijon-Auxerre

5.1.2. Configurez le default routage sur votre routeur

« Creating a static route to network 0.0.0.0 0.0.0.0 is another way to set the gateway of last resort on a
router. As with the ip default-network command, using the static route to 0.0.0.0 is not dependent on any
routing protocols. However, ip routing must be enabled on the router. » Donc, saisir commande ip route 0.0.0.0
0.0.0.0 sur chaque interface de votre routeurs et puis tester pinger entre PC et Serveur.

Rx(config)#ip route 0.0.0.0 0.0.0.0 s2/0

5.1.3. Ouvrir le navigateur virtuel sur votre PC, puis visiter Serveur par service http. (Saisir @IP
privé 10.0.0.254 de serveur dans le browser), noter le résultat.

5.1.4. Toujours dans le même navigateur de votre PC, saisir @IP publique 200. 10.0.2 de routeur et
noter le résultat. Si vous voulez avoir le même résultat comme ce que l’on a vu dans 5.1.3,
comment faire ?

5.1.5. Une solution (la configuration NAT statique)

Sur R1-Staric NAT, tapez

Rx(config)#ip nat inside source static 10.0.0.254 200.10.0.2

Rx(config)#int s2/0
Rx(config-if)#ip nat outside
Rx(config-if)#int fa0/0
Rx(config-if)#ip nat inside
Rx(config-if)#

Puis

Rx# show run

Analyser les résultats. Re-tester 5.1.4 et noter les résultats. Résumé la fonctionnalité de NAT statique.

5.1.6. Hiding @IP de LAN par NAT Overload (translate all the @IP de LAN à une seule @IP
globale)
Sur R1-Staric NAT, tapez
Rx(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Rx(config)#ip nat inside source list 1 interface s2/0 overload
Rx(config)#int s2/0
Rx(config-if)#ip nat outside
Rx(config-if)#int fa0/0
Rx(config-if)#ip nat inside

Puis sauvegarder votre travaille par copy run start.

Tester le hiding feature par simulation-auto capture/play dans packet tracer. (Lancer mode simulation-
auto capture/play et puis pinger de PC à Serveur), analyser les paquets en détaillant le Inbound PDU.

ZHANG Tuo & Michael Roy TP Routage 3/6

 TP : Routage OSPF sur Cisco M2103 IUT Dijon-Auxerre

6. NAT DINAMIQUE.

6.1. Configuration de base

Configurer les paramètres d’après la topologie.
Vérifier que vous pouvez réussir de pinger entre chaque segment. Mais n’applique aucun protocole
de routage, évitement vous ne pouvez pas pinger de 192.168.10.0 à 20.20.20.2.

6.2. But
Réussir de pinger de 192.168.10.0 à 20.20.20.2 par NAT dynamique. “With this dynamic nat, we have
to create a pool of public address and an access list … the hosts will take any of the ip from that pool to make
the connection with the other hosts thats has public ip.”

6.3. Configuration NAT dynamique.(Vous aurez approfondir le ACL en 2ème année. )

Sur le routeur d’Auxerre
Rx(config)#access-list 1 permit ?
Rx(config)#access-list 1 permit 192.168.10.0 ?
Rx(config)#access-list 1 permit 192.168.10.0 0.0.0.255
Rx(config)#ip nat pool zhang ?
Rx(config)#ip nat pool zhang 20.20.20.1 ?
Rx(config)#ip nat pool zhang 20.20.20.1 20.20.20.254 ?
Rx(config)#ip nat pool zhang 20.20.20.1 20.20.20.254 netmask
255.255.255.0
Rx(config)#ip nat inside source list 10 pool zhang

Rx(config)#interface fa0/0
Rx(config-if)#ip nat inside
Rx(config-if)#ex
Rx(config)#interface fa1/0
Rx(config-if)#ip nat outside
Rx(config-if)#Ctrl+Z

ZHANG Tuo & Michael Roy TP Routage 4/6

 TP : Routage OSPF sur Cisco M2103 IUT Dijon-Auxerre

Rx(config)#ip nat inside source list 1 interface s2/0 overload

Rx(config)#int s2/0
Rx(config-if)#ip nat outside
Rx(config-if)#int fa0/0
Rx(config-if)#ip nat inside

6.4. Tester pinger de PC de LAN Auxerre à Router de Paris par NAT dynamique sans protocole de
routage.

7. EXERCICE (QUESTION OUVEERTE)

Réussir de pinger entre les PCs dans LANs différents d’après la topologie. Il faut le réaliser en
utilisant les connaissances de NAT (en Séance 5) et DHCP (en Séance 2). Si vous avez besoins des
matériels supplémentaires, il faut me préciser la raison.

ZHANG Tuo & Michael Roy TP Routage 5/6

 TP : Routage OSPF sur Cisco M2103 IUT Dijon-Auxerre

ANNEXE :

ZHANG Tuo & Michael Roy TP Routage 6/6