Correction du TP NAT/PAT

NAT statique
Étape 1 : Représentation de la topologie réseau sur le simulateur Packet Tracer.

Pour le premier Routeur R1 :

Mise en place de la configuration de base :

Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#interface fastethernet 0/0
R1(config-if)#ip address 10.0.0.1 255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface serial 0/0/0
R1(config-if)#ip address 20.0.0.2 255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
Configuration du routage :

R1(config)#ip route 30.0.0.0 255.0.0.0 20.0.0.1

Commencer par créer la règle NAT.
R1(config)#ip nat inside source static 10.0.0.2 50.0.0.1
Indiquer quelle interface sera à l'intérieur du NAT ("inside") et quelle interface sera à l'extérieur ("outside"). Cela permettra de dire au
routeur dans quel sens il doit affecter les translations d'adresses. Ici, l'interface Fa0/0 sera l'interface Inside et l'interface serial 0/0/0 sera
l'interface Outside.
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#interface serial 0/0/0
R1(config-if)#ip nat outside
R1(config-if)#exit

Pour le second Routeur R0 :

Router>enable
Router#configure terminal
Router(config)#hostname R0
R0(config)#interface fastethernet 0/0
R0(config-if)#ip address 30.0.0.1 255.0.0.0
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#interface serial 0/0/0
R0(config-if)#ip address 20.0.0.1 255.0.0.0
R0(config-if)#clock rate 64000
R0(config-if)#bandwidth 64
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#ip route 50.0.0.0 255.0.0.0 20.0.0.2
Pour le test on ping 50.0.01 a partir du PC et on remarque que l’adresse publique est accessible
tandis que 10.0.0.2 ne l’est pas.
PC>ping 50.0.0.1
Pinging 50.0.0.1 with 32 bytes of data:
Reply from 50.0.0.1: bytes=32 time=141ms TTL=126
Reply from 50.0.0.1: bytes=32 time=80ms TTL=126
Reply from 50.0.0.1: bytes=32 time=109ms TTL=126
Reply from 50.0.0.1: bytes=32 time=125ms TTL=126
Ping statistics for 50.0.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 80ms, Maximum = 141ms, Average = 113ms
PC>ping 10.0.0.2
Pinging 10.0.0.2 with 32 bytes of data:
Reply from 30.0.0.1: Destination host unreachable.
Reply from 30.0.0.1: Destination host unreachable.
Reply from 30.0.0.1: Destination host unreachable.
Reply from 30.0.0.1: Destination host unreachable.
Ping statistics for 10.0.0.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

NAT dynamique :
Étape 1 : Représentation de la topologie réseau sur le simulateur Packet Tracer.

Pour le premier Routeur R0 :

Router>enable
Router#configure terminal
Router(config)#hostname Router0
Router0(config)#interface fastethernet 0/0
Router0 (config-if)#ip address 192.168.0.1 255.0.0.0
Router0 (config-if)#no shutdown
Router0 (config-if)#exit
Router0 (config)#interface serial 0/0/0
Router0 (config-if)#ip address 30.0.0.1 255.0.0.0
Router0 (config-if)#clock rate 64000
Router0 (config-if)#bandwidth 64
Router0 (config-if)#no shutdown
Router0 (config-if)#exit
Router0 (config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0

Définir un pool d’adresses (correspondance entre une plage d’adresses privées et une plage d’adresses
publiques dans laquelle les adresses privées seront traduites)

R1(config)#access-list 1 permit 192.168.0.0 0.0.0.255

Router0 (config)#ip nat pool test 50.0.0.1 50.0.0.5 netmask 255.0.0.0
Router0 (config)#ip nat inside source list 1 pool test
Router0 (config)#interface fastEthernet 0/0
Router0 (config-if)#ip nat inside
Router0 (config-if)#exit
Router0 (config)#interface serial 0/0/0
Router0 (config-if)#ip nat outside
Router0 (config-if)#exit
Router0 (config)#exit

Pour le second Routeur R1 :

Router>enable
Router#configure terminal
Router(config)#hostname Router1
Router1 (config)#interface fastEthernet 0/0
Router1 (config-if)#ip address 20.0.0.1 255.0.0.0
Router1 (config-if)#no shutdown
Router1 (config-if)#exit
Router1 (config)#interface serial 0/0/0
Router1 (config-if)#ip address 30.0.0.2 255.0.0.0
Router1 (config-if)#no shutdown
Router1 (config-if)#exit
Router1 (config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0
Avec la commande suivante on active le mode debug du nat
Router0#debug ip nat
Puis on ping 20.0.0.2 p partir de n’importe quel PC
Le résultat sera comme suit sur l’interface du routeur R0
IP NAT debugging is on
NAT: s=192.168.0.7->50.0.0.1, d=20.0.0.2[1]
NAT*: s=20.0.0.2, d=50.0.0.1->192.168.0.7[1]
NAT: s=192.168.0.7->50.0.0.1, d=20.0.0.2[1]
NAT*: s=20.0.0.2, d=50.0.0.1->192.168.0.7[1]
NAT: s=192.168.0.7->50.0.0.1, d=20.0.0.2[1]
NAT*: s=20.0.0.2, d=50.0.0.1->192.168.0.7[1]
NAT: s=192.168.0.7->50.0.0.1, d=20.0.0.2[1]
NAT*: s=20.0.0.2, d=50.0.0.1->192.168.0.7[1]
Comme vous pouvez le voir la sortie est 192.168.0.5 traduite avec 50.0.0.1 avant de quitter le
routeur.

PAT :
Étape 1 : Représentation de la topologie réseau sur le simulateur Packet Tracer.
Pour le premier Routeur R0 :
Router>enable
Router#configure terminal
Router(config)#hostname Router0
Router0(config)#interface fastethernet 0/0
Router0 (config-if)#ip address 192.168.0.1 255.0.0.0
Router0 (config-if)#no shutdown
Router0 (config-if)#exit
Router0 (config)#interface serial 0/0/0
Router0 (config-if)#ip address 30.0.0.1 255.0.0.0
Router0 (config-if)#clock rate 64000
Router0 (config-if)#bandwidth 64
Router0 (config-if)#no shutdown
Router0 (config-if)#exit
Router0 (config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0
R1(config)#access-list 1 permit 192.168.0.0 0.0.0.255
Router0 (config)#ip nat pool test 50.0.0.1 50.0.0.5 netmask 255.0.0.0
Router0 (config)#ip nat inside source list 1 pool test overload
Router0 (config)#interface fastEthernet 0/0
Router0 (config-if)#ip nat inside
Router0 (config-if)#exit
Router0 (config)#interface serial 0/0/0
Router0 (config-if)#ip nat outside
Router0 (config-if)#exit
Router0 (config)#exit

Pour le second Routeur R1 :

Router>enable
Router#configure terminal
Router(config)#hostname Router1
Router1 (config)#interface fastEthernet 0/0
Router1 (config-if)#ip address 20.0.0.1 255.0.0.0
Router1 (config-if)#no shutdown
Router1 (config-if)#exit
Router1 (config)#interface serial 0/0/0
Router1 (config-if)#ip address 30.0.0.2 255.0.0.0
Router1 (config-if)#no shutdown
Router1 (config-if)#exit
Router1 (config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0
Pour le test on ping l’adresse 20.0.0.2 a partir du pc et on introduit la commande suivante dans
le routeur R0
 R0 # show ip nat translations
Pro Inside global Inside locale en dehors locale extérieur global
ICMP 50.0.0.1:1 192.168.0.7:1 20.0.0.2:1 20.0.0.2:1
ICMP 50.0.0.1:2 192.168.0.7:2 20.0.0.2 : 2 20.0.0.2:2
ICMP 50.0.0.1:3 192.168.0.7:3 20.0.0.2:3 20.0.0.2:3
ICMP 50.0.0.1:4 192.168.0.7:4 20.0.0.2:4 20.0.0.2:4
Comme vous pouvez le constater cette traduction d'adresse se fait avec un numéro du port à la
place de l’IP.

Dépannage NAT

Lorsqu’il y’a des problèmes de connectivité dans un environnement NAT, il est souvent très difficile de
déterminer la cause du problème.
Les translations ?
 « show IP nat translations »
Affiche la table nat du routeur.
 « debug IP nat »
Permets de vérifier les translations en direct.
 « show access-list »
Vérifie que l’ ACL associée à la commande NAT comprend bien l’ensemble des réseaux qui doivent être
nattés !
 « show IP nat statistics »
Permets de vérifier que les interfaces du routeur sont correctement définies en inside et outside.
Les itinéraires
 « show ip route »
Vérifie les itinéraires de retour
 « clear IP nat translation * »
Permets d’effacer toutes les entrées des adresses translatées dynamiquement. Par défaut, elle s’efface après 24
heures.
 « debug IP nat »
Affiche des informations sur chaque paquet que le routeur traduit.
Pendant une recherche de panne, il faut bien s’assurer aussi que l’ACL correspond bien à tous les réseaux qui
doivent être nattés.
De ne pas oublier aussi que les ACL utilisent des masques inversés et non des masques de sous-réseau.