Académique Documents
Professionnel Documents
Culture Documents
TECHNOLOGIE INTERNET
TRAVAUX PRATIQUE : NAPT
Par ZHANG Tuo
E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr
1. OBJECTIFS DU TP
Réaliser et tester le NAT entre différents réseaux.
Analyser le fonctionnement de NAT.
2. MATERIELS ET LOGICIELS NECESSAIRES
Vous travaillerez tout seul. Il faut un Compte-Rendu à déposer par personne à la fin de cette séance.
3. PREALABLE
ATTENTION : Lors qu’il n’y a pas de groupe, vous devez réaliser ce TP par Packet Tracer puisque
l’enseignant puisse noter « cas par cas ».
4. ROUTAGE ENTRE LES RESEAUX DIFFERANTES PAR NAT
4.1. Le principe de NAT
On dit qu’un routeur fait du Network Address Translation (NAT) lorsqu’il fait correspondre les
adresses IP internes non-uniques et souvent non routables d’un intranet à un ensemble d’adresses externes
uniques et routables. Ce mécanisme permet notamment de faire correspondre une seule adresse externe
publique visible sur Internet à toutes les adresses d’un réseau privé, et pallie ainsi l’épuisement des adresses
IPv4.
La fonction NAT dans un routeur de service intégré (ISR) traduit une adresse IP source interne en
adresse IP globale.
Tout d'abord, le NAT n'est pas une opération anodine et ce bien qu'il ait pour vocation d'être transparent.
En effet, le NAT modifie les paquets IP et cela a pour conséquence directe de casser tout contrôle d'intégrité au
niveau IP et même aux niveaux supérieurs puisque TCP par exemple inclue les adresses dans ses checksums!
Concrètement, on se rend compte qu'un protocole de sécurisation des datagrammes comme IPSec est totalement
incompatible avec le NAT, que ce soit en mode tunneling ou transport (voir IPSec).Une autre raison simple est
qu'un NAT évolué a tendance à remonter les couches pour étudier les protocoles de transport afin de rassembler
assez d'informations pour chaque contexte. Tout chiffrement à ce niveau empêcherait donc le NAT de
fonctionner, puisque les informations seraient alors cryptées.
Un des avantages du NAT est de protéger les machines du réseau privé d'attaques directes puisqu’elles
ne sont en fait pas accessibles de l'extérieur. De plus dans la majorité des cas, les requêtes de connexion ne
peuvent provenir que de ces machines privées. Cela permet également de se prémunir contre un monitoring du
traffic qui viserait à scruter les communications entre 2 machines particulières, un serveur sur Internet par
exemple et une machine du réseau privé. Comme cette dernière n'est plus identifiable, l'opération devient
impossible à moins de remonter au niveau applicatif (d'où l'utilité d'utiliser une protection/chiffrement à ce
niveau également).
ATTENTION
Sous Packet Tracer, vous pouvez utiliser Router et commutateurs génériques, dans le même temps, il
faut faire attention aux interfaces que vous travailliez avec, et n’oubliez pas configurer les paramètres
(@IP, gateway…)
Comme j’ai déjà vous donner les commandes, dans votre CR, il faut noter les fonctionnalités
correspondant chaque commande.
5.1.3. Ouvrir le navigateur virtuel sur votre PC, puis visiter Serveur par service http. (Saisir @IP
privé 10.0.0.254 de serveur dans le browser), noter le résultat.
5.1.4. Toujours dans le même navigateur de votre PC, saisir @IP publique 200. 10.0.2 de routeur et
noter le résultat. Si vous voulez avoir le même résultat comme ce que l’on a vu dans 5.1.3,
comment faire ?
Puis
Analyser les résultats. Re-tester 5.1.4 et noter les résultats. Résumé la fonctionnalité de NAT statique.
5.1.6. Hiding @IP de LAN par NAT Overload (translate all the @IP de LAN à une seule @IP
globale)
Sur R1-Staric NAT, tapez
Rx(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Rx(config)#ip nat inside source list 1 interface s2/0 overload
Rx(config)#int s2/0
Rx(config-if)#ip nat outside
Rx(config-if)#int fa0/0
Rx(config-if)#ip nat inside
6. NAT DINAMIQUE.
6.2. But
Réussir de pinger de 192.168.10.0 à 20.20.20.2 par NAT dynamique. “With this dynamic nat, we have
to create a pool of public address and an access list … the hosts will take any of the ip from that pool to make
the connection with the other hosts thats has public ip.”
Rx(config)#interface fa0/0
Rx(config-if)#ip nat inside
Rx(config-if)#ex
Rx(config)#interface fa1/0
Rx(config-if)#ip nat outside
Rx(config-if)#Ctrl+Z
6.4. Tester pinger de PC de LAN Auxerre à Router de Paris par NAT dynamique sans protocole de
routage.
ANNEXE :