Académique Documents
Professionnel Documents
Culture Documents
Utilisation des blocs d'adresses IP en 2000 Utilisation des blocs d'adresses IP en 2007
Introduction
6
Mise en œuvre sur les routeurs Cisco Fonctionnement général Un routeur NAT maintient une table
d'équivalence entre l'adresse IP locale interne (ALI) d'une machine et son adresse IP globale interne
(AGI). Si une traduction statique a été définie pour une ALI, une AGI unique lui est associée. Cela est
utile pour les machines devant recevoir des connexions de l'extérieur. Si aucune traduction statique n'a
été définie pour l'ALI source d'un paquet qui se présente sur une interface interne, une AGI est prise
dans un pool, c'est une traduction dynamique.
PRINCIPE DE LA NAT (NETWORK
ADDRESS TRANSLATION)
15
Admettons que la machine avec l'ALI 10.1.1.1 se connecte sur le serveur WEB ayant l'adresse IP
128.5.3.9. Le routeur réécrit le paquet en changeant l'adresse source. Pour cela, il prend la première
adresse libre dans le pool des AGI, disons l'adresse 193.49.96.64. Il ajoute à la table des traductions
dynamiques la paire (10.1.1.1, 193.49.96.64). Le paquet sortant du site a maintenant pour adresse
source l'AGI 193.49.96.64, il atteint le serveur WEB qui répond à la requête. Le routeur voyant arriver
un paquet à destination de la machine 193.49.96.64 lit la table de correspondance, trouve l'ALI
associée, il réécrit le paquet et envoie le paquet modifié à la machine 10.1.1.1.
PRINCIPE DE LA PAT (PORT
ADDRESS TRANSLATION)
16
Traduction dynamique étendue ou Port Address Translation (PAT) Pour éviter de tomber en panne
d'adresses dans le pool dans le cas d'un nombre de connexions trop important, on peut valider PAT. Dans
ce mode, ce n'est plus seulement l'ALI qui est traduite, mais aussi le port source de la connexion. Une fois
PAT mis en œuvre et en excluant les ports réservés, un routeur Cisco peut associer environ 4000 ALI à une
même AGI prise dans le pool.
Pour reprendre notre exemple, si la machine ayant l'ALI 10.1.1.1 établit une connexion HTTP (80) vers le
serveur WEB 128.5.3.9 à partir du port 1503, le routeur va associer la paire (10.1.1.1, 1503) à la paire
(193.49.96.64, 1503). Lorsque le serveur renvoie un paquet en retour, le routeur réécrit ce paquet en
remplaçant l'adresse destination et le port destination (193.49.96.64, 1503) en (10.1.1.1, 1503).
VUE DE LA NAT / PAT
17
PRINCIPE DE LA NAT (NETWORK
ADDRESSTRANSLATION)
18
• Pour les messages sortants : (inside → outside)
Les adresses locales sont traduites en adresses globales.
• Pour les messages entrants : (inside ← outside)
Les adresses globales sont traduites en adresses locales.
Sur un routeur « CISCO » on définit les adresses publiques
à utiliser pour la traduction dans un pool (groupe).
ip nat pool adrpub 82.3.4.6 82.3.4.10
netmask 255.0.0.0
définit un pool de cinq adresses publiques nommé adrpub.
PRINCIPE DE LA NAT (NETWORK
ADDRESSTRANSLATION)
19
• Remarque :
• Les machines du LAN n'ont pas connaissance des
adresses publiques du routeur (configuration NAT) et ne
les utilisent pas.
• Rappel : les adresses privées (RFC 1918)
Ces NAT servent à donner accès à des serveurs en interne (DMZ) à partir de l’extérieur
Si l'on s'en tient intrinsèquement à la définition du terme NAT, cela représente la modification
des adresses IP dans l'en-tête d'un datagramme IP effectuée par un routeur. On parlera de SNAT
quand c'est l'adresse source du paquet qui est modifiée, et de DNAT quand il s'agit de l'adresse
destination.
NAT DYNAMIQUE
25
NAT DYNAMIQUE
26
Principe de la PAT (variante de la NAT)
27
RÉSUMÉ
28
• Catégories NAT
• NAT statique: 1 adresse IP locale correspond à une seule
adresse IP publique.
• NAT dynamique: Plusieurs adresses IP locales
correspondent à plusieurs adresses IP publiques.
• PAT : Mappe plusieurs adresses privées vers une seule et
même adresse publique en utilisant différents ports pour
permettre de suivre la connexion.
• Le PAT est également connu sous le nom de NAT
OVERLOAD. C’est une forme de NAT dynamique. Il s’agit de
l’utilisation la plus courante du NAT.
RÉSUMÉ
29
RÉSUMÉ
30
• Les 3 types de NAT
• Nat Statique
• Le NAT statique c’est un mappage un à un entre une
adresse interne et une adresse externe.
• On peut comparer l’adresse interne à celle de notre PC à la
maison, et l’adresse externe c’est l’IP public de la box
internet.
• Celle qui vous permet de surfer sur internet.
RÉSUMÉ
31
• show IP nat translation
• Pour vérifier les configurations NAT du routeur, il faut
utiliser la commande « show IP nat translation ».
• Le NAT statique permet un mappage permanent entre une
adresse interne et une adresse publique. C’est de la
translation de 1 à 1
RÉSUMÉ
32
• NAT dynamique
• Le NAT dynamique permet de traduire des IP privés, vers
des adresses publiques qui proviennent d’un pool d’IP !
• Sa configuration diffère un peu du NAT statique, mais il y’a
tout de même beaucoup de similitudes.
• Comme pour le NAT statique, il faut identifier chaque
interface comme une interface intérieure,
dite « Inside » ou extérieure, dite « Outside ».
• Et ensuite, plutôt que de créer une carte statique d’une seule
adresse IP, la translation se fera sur un groupe d’adresse interne
globale !
RÉSUMÉ
33
RÉSUMÉ
34
• PAT
• L’ une des principales formes du NAT est le PAT , qui se fait aussi
appeler « overload ».
• Plusieurs adresses locales internes peuvent être traduites en utilisant le NAT
dans une ou plusieurs adresses globales internes.
• La plupart des box internet à domicile fonctionnent en PAT.
• Le fournisseur d’accès à internet attribue une adresse à la box, qui
fonctionne comme un routeur, et plusieurs personnes peuvent surfer
sur Internet à partir d’une seul et même adresse.
• Avec le PAT plusieurs adresses peuvent être traduites en une ou
plusieurs adresses grâce à un numéro de port TCP ou UDP qui seront
attribués automatiquement et aléatoirement sur chaque adresse
privée.
RÉSUMÉ
35
• Configuration PAT
• Pour la configuration du PAT, et comme toute sorte de nat,
il faut taguer les interfaces en entrée et sortie !
• Ensuite, comme pour le nat dynamique, il faut créer une
acess-list pour définir les adresses locales qui pourront être
translater.
• Et pour finir, il faut indiquer au routeur de translater notre
access-list, à travers notre interface sortie, la Fast Ethernet
0/1, avec la commande « ip nat inside ».
• Ne pas oublier le petit mot « overload » à la fin de la commande.
RÉSUMÉ
36