network address translation€¦ · nat (network address translation)-re bts-sio2 1 pat (port...
TRANSCRIPT
NAT (Network Address Translation)-
RE BTS-SIO2 1
-PAT (Port Address Translation)
NAT
- Objectif : Réaliser la traduction entre adresses privées et publiques
- Les adresses privées permettent d'économiser des adresses Internet
- L'espace des adresses privées est définie par le RFC1918
- Classe A : 10.0.0.0 à 10.255.255.255
- Classe B : 172.16.0.0 à 172.31.255
- Classe C : 192.168.0.0 à 192.168.255.255
RE BTS-SIO2 2
- Classe C : 192.168.0.0 à 192.168.255.255
Note: NAT permet également la traduction adresses_privées/adresses_privées
NAT
Opérateur
Internet
InternetRéseau
d'entreprise
Privé Public
192.168.100.0/24
202.2.2.0/24
RE BTS-SIO2 3
NAT
• Terminologie NAT
NAT
Interne Externe
192.168.100.0/24202.2.2.0/24
Opérateur
Internet
Internet
192.168.100.10/24
RE BTS-SIO2 4
• Inside Local Address: Adresse IP interne locale affectée à un host du réseau interne.
• Inside Global Address: Adresse IP locale publique affectée par votre opérateur qui va
représenter une adresse locale interne
• Outside Local Address: Adresse IP externe telle qu'elle est connue du réseau interne.
• Outside Global Address: Adresse IP publique d'un host externe.
NAT
• NAT statique- Configuration manuelle de la traduction
NAT
Outside
10.0.0.10
Inside
Internet
www 200.1.1.2
RE BTS-SIO2 5
Internet
Table NAT10.0.0.2
Adresse IP
Inside Local
Adresse IP
Inside Global
10.0.0.2 179.9.8.2
10.0.0.10 179.9.8.10
171.7.7.7
Outside
10.0.0.10
Inside
Internet
wwwHost B
200.1.1.2
171.7.7.7
• NAT statique
- Communication du réseau Interne vers l'extérieur
NAT
RE BTS-SIO2 6
10.0.0.2
Table NAT
Adresse IP
Inside Local
Adresse IP
Inside Global
10.0.0.2 179.9.8.2
10.0.0.10 179.9.8.10
Host A
1. Le Host A transmet un paquet IP vers le Host B
@IP Source : 10.0.0.2 - @IP destination : 200.1.1.2
2. Traduction NAT
@IP Source : 179.9.8.2 - @IP destination : 200.1.1.2
• NAT statique
- Communication initiée du réseau Interne vers l'extérieur
NAT
Outside
10.0.0.10
Inside
Internet
wwwHost B
200.1.1.2
171.7.7.7
RE BTS-SIO2 7
10.0.0.2
Table NAT
Adresse IP
Inside Local
Adresse IP
Inside Global
10.0.0.2 179.9.8.2
10.0.0.10 179.9.8.10
Host A
3. Le Host B reçoit le paquet et répond au Host A
@IP Source : 200.1.1.2 - @IP destination : 179.9.8.2
4. Traduction NAT
@IP Source : 200.1.1.2 - @IP destination : 10.0.0.2
• NAT statique
- Communication initiée de l'extérieur vers le réseau Interne
NAT
Outside
10.0.0.10
Inside
Internet
wwwHost B
200.1.1.2
171.7.7.7
RE BTS-SIO2 8
10.0.0.2
Table NAT
Adresse IP
Inside Local
Adresse IP
Inside Global
10.0.0.2 179.9.8.2
10.0.0.10 179.9.8.10
Host A
1. Le Host B transmet un paquet IP vers le serveur www
Le DNS lui a donné l'adresse 179.9.8.10.
@IP Source : 200.1.1.2 - @IP destination : 179.9.8.10
2. Traduction NAT
@IP Source : 200.1.1.2 - @IP destination : 10.0.0.10
• NAT statique
- Communication initiée de l'extérieur vers le réseau Interne
NAT
Outside
10.0.0.10
Inside
Internet
wwwHost B
200.1.1.2
171.7.7.7
RE BTS-SIO2 9
10.0.0.2
Table NAT
Adresse IP
Inside Local
Adresse IP
Inside Global
10.0.0.2 179.9.8.2
10.0.0.10 179.9.8.10
Host A
3. Le Host www répond au Host B
@IP Source : 10.0.0.10 - @IP destination : 200.1.1.2
4. Traduction NAT
@IP Source : 179.9.8.10 - @IP destination : 200.1.1.2
Interne Externe
S0/0
10.0.0.10/24
• NAT statique
- Configuration
NAT
Lo0 : 200.1.1.2/32
ISPRTA
S0/0E0/0
DCE
RE BTS-SIO2 10
10.0.0.2/24
Adresses IP :
- RTA:
- Interface E0/0 : 10.0.0.1/24
- Interface S0/0 : 171.7.7.7/24
- ISP
- Interface S0/0 : 171.7.7.8/24
- Interface Lo0 : 200.1.1.2/32
Note: L'interface Loopback 0 sert à
simuler un host Internet.
• NAT statique
- Configuration des routeurs
NAT
● Routeur RTA
- Configuration des interfaces internes et externes
RTA(config)# interface e0/0RTA(config-if)# ip address 10.0.0.1 255.255.255.0RTA(config-if)# ip nat inside
RTA(config)# interface s0/0RTA(config-if)# ip address 171.7.7.7 255.255.255.0
RE BTS-SIO2 11
RTA(config-if)# ip address 171.7.7.7 255.255.255.0RTA(config-if)# ip nat outside
- Configuration de NAT
RTA(config)# ip nat inside source static 10.0.0.2 179.9.8.2 RTA(config)# ip nat inside source static 10.0.0.10 179.9.8.10
- Configuration d'une route par défaut
RTA(config)# ip route 0.0.0.0 0.0.0.0 171.7.7.8
• NAT statique
- Configuration des routeurs
NAT
● Routeur ISP
- Configuration des interfaces
ISP(config)# interface loopback0ISP(config-if)# ip address 200.1.1.2 255.255.255.255
ISP(config)# interface s0/0ISP(config-if)# ip address 171.7.7.8 255.255.255.0ISP(config-if)# clock rate 128000
RE BTS-SIO2 12
ISP(config-if)# clock rate 128000
- Configuration d'une route statique
ISP(config)# ip route 179.9.8.0 255.255.255.0 171.7.7.7
• NAT dynamique- Traduction dynamique à partir d'un pool d'adresses
NAT
Outside
10.0.0.10
Inside
Internet
www 200.1.1.2
171.7.7.7
RE BTS-SIO2 13
Table NAT10.0.0.2
Adresse IP
Inside Local
Adresse IP
Inside Global
- -
- -
Pool d'adresses IP:
- 179.9.8.2 à 179.9.8.20
Outside
10.0.0.10
Inside
Internet
wwwHost B
200.1.1.2
171.7.7.7
Host A
• NAT dynamique- Communication initiée du réseau Interne vers l'extérieur
NAT
RE BTS-SIO2 14
10.0.0.2
Table NAT
Adresse IP
Inside Local
Adresse IP
Inside Global
10.0.0.2 179.9.8.2
- -
Host A
1. Le Host A transmet un paquet IP vers le Host B
@IP Source : 10.0.0.2 - @IP destination : 200.1.1.2
2. Traduction NAT
- Recherche d'une adresse libre dans le pool
@IP Source : 179.9.8.2 - @IP destination : 200.1.1.2
Pool d'adresses IP:
- 179.9.8.2 à 179.9.8.20
Outside
10.0.0.10
Inside
Internet
wwwHost B
200.1.1.2
171.7.7.7
Host A
• NAT dynamique- Communication initiée du réseau Interne vers l'extérieur
NAT
RE BTS-SIO2 15
10.0.0.2
Table NAT
Adresse IP
Inside Local
Adresse IP
Inside Global
10.0.0.2 179.9.8.2
- -
Host A
3. Le Host B répond au host A
@IP Source : 200.1.1.2 - @IP destination : 179.9.8.2
4. Traduction NAT
@IP Source : 200.1.1.2 - @IP destination : 10.0.0.2
Note: La traduction a une durée de vie limitée
• NAT dynamique
- Communication initiée de l'extérieur vers le réseau Interne
NAT
Outside
10.0.0.10
Inside
Internet
wwwHost B
200.1.1.2
171.7.7.7
RE BTS-SIO2 16
10.0.0.2
Table NAT
Adresse IP
Inside Local
Adresse IP
Inside Global
10.0.0.2 179.9.8.2
- -
Host A
1. Le Host B transmet un paquet IP vers le serveur www
Le DNS lui a donné l'adresse 179.9.8.10.
@IP Source : 200.1.1.2 - @IP destination : 179.9.8.10
2. Traduction NAT
- Traduction impossible car la table ne contient pasde traduction pour l'adresse179.9.8.10
• NAT Dynamique
- Configuration des routeurs
NAT
● Routeur RTA
- Configuration des interfaces internes et externes
RTA(config)# interface e0/0RTA(config-if)# ip address 10.0.0.1 255.255.255.0RTA(config-if)# ip nat inside
RTA(config)# interface s0/0RTA(config-if)# ip address 171.7.7.7 255.255.255.0
RE BTS-SIO2 17
RTA(config-if)# ip address 171.7.7.7 255.255.255.0RTA(config-if)# ip nat outside
- Configuration de NAT
RTA(config)# ip nat pool nat_pool 179.9.8.2 179.9.8.80 netmask 255.255.255.0RTA(config)# ip nat inside source list 1 pool nat_poolRTA(config)# access-list 1 permit 10.0.0.0 0.0.0.255
- Configuration d'une route par défaut
RTA(config)# ip route 0.0.0.0 0.0.0.0 171.7.7.8
• NAT dynamique
- Configuration des routeurs
NAT
● Routeur ISP
- Configuration des interfaces
ISP(config)# interface loopback0ISP(config-if)# ip address 200.1.1.2 255.255.255.255
ISP(config)# interface s0/0ISP(config-if)# ip address 171.7.7.8 255.255.255.0ISP(config-if)# clock rate 128000
RE BTS-SIO2 18
ISP(config-if)# clock rate 128000
- Configuration d'une route statique
ISP(config)# ip route 179.9.8.0 255.255.255.0 171.7.7.7
PAT
- Utilisation d'une seule adresse externe
Outside
10.0.0.10
Inside
Internet
wwwHost B
200.1.1.2
171.7.7.7Host C10.0.0.5
RE BTS-SIO2 19
Table NAT
10.0.0.2
Adresse IP
Inside Local
Port
Source
Adresse IP
Inside Global
Port
source
Adresse
IP Dest
Port
Dest
-
-
Host A
10.0.0.5
PAT
- Communication du réseau Interne vers l'extérieur
Outside
10.0.0.10
Inside
Internet
www
171.7.7.7
Host B200.1.1.2
10.0.0.5Host C
RE BTS-SIO2 20
Table NAT
10.0.0.2 1. Le Host A veut communiquer
avec le Host B
@IP source : 10.0.0.2 Port : 1254
@IP Dest : 200.1.1.2 Port : 80
2. Traduction PATAdresse IP
Inside Local
Port
Source
Adresse IP
Inside Global
Port
source
Adresse
IP Dest
Port
Dest
10.0.0.2 1254 171.7.7.7 64000 200.1.1.2 80
-
10.0.0.5
Host A
PAT
- Communication du réseau Interne vers l'extérieur
Outside
10.0.0.10
Inside
Internet
www
171.7.7.7
Host B200.1.1.2
Host C
10.0.0.5
RE BTS-SIO2 21
Table NAT
10.0.0.2
3. Le Host B répond au Host A
- @IP source : 200.1.1.2 Port : 80- @IP Dest : 171.7.7.7 Port : 64000
4. Traduction PAT
Adresse IP
Inside Local
Port
Source
Adresse IP
Inside Global
Port
source
Adresse
IP Dest
Port
Dest
10.0.0.2 1254 171.7.7.7 64000 200.1.1.2 80
-Note: La traduction a une durée devie limitée.
Host A
PAT
- Communication du réseau Interne vers l'extérieur
Outside
10.0.0.10
Inside
Internet
www
171.7.7.7
Host B200.1.1.2
Host C
10.0.0.5
RE BTS-SIO2 22
Table NAT
10.0.0.2
5. Le Host C veut communiquer
avec le Host B.
- @IP source : 10.0.0.5 Port : 1033
- @IP Dest : 200.1.1.2 Port : 80
6. Traduction PAT
Adresse IP
Inside Local
Port
Source
Adresse IP
Inside Global
Port
source
Adresse
IP Dest
Port
Dest
10.0.0.2 1254 171.7.7.7 64000 200.1.1.2 80
10.0.0.5 1033 171.7.7.7 64001 200.1.1.2 80
Note: La traduction a une durée devie limitée.
Host A
PAT
- Communication du réseau Interne vers l'extérieur
Outside
10.0.0.10
Inside
Internet
www
171.7.7.7
Host B200.1.1.2
Host C
10.0.0.5
RE BTS-SIO2 23
Table NAT
10.0.0.2
7. Le Host C veut communiquer
avec le Host B.
- @IP source : 200.1.1.2 Port : 80- @IP Dest : 171.7.7.7 Port : 64001
8. Traduction PAT
Adresse IP
Inside Local
Port
Source
Adresse IP
Inside Global
Port
source
Adresse
IP Dest
Port
Dest
10.0.0.2 1254 171.7.7.7 64000 200.1.1.2 80
10.0.0.5 1033 171.7.7.7 64001 200.1.1.2 80
Note: La traduction a une durée devie limitée.
Host A
PAT
- Configuration
Interne Externe
S0/0
10.0.0.10/24
Lo0 : 200.1.1.2/32
ISPRTA
S0/0E0/0
DCE
RE BTS-SIO2 24
10.0.0.2/24
PAT
- Configuration
- Configuration des routeurs
● Routeur RTA
- Configuration des interfaces internes et externes
RTA(config)# interface e0/0RTA(config-if)# ip address 10.0.0.1 255.255.255.0RTA(config-if)# ip nat inside
RTA(config)# interface s0/0RTA(config-if)# ip address 171.7.7.7 255.255.255.0
RE BTS-SIO2 25
RTA(config-if)# ip address 171.7.7.7 255.255.255.0RTA(config-if)# ip nat outside
- Configuration de NAT
RTA(config)# ip nat inside source list 1 interface serial0/0 overloadRTA(config)# access-list 1 permit 10.0.0.0 0.0.0.255
- Configuration d'une route par défaut
RTA(config)# ip route 0.0.0.0 0.0.0.0 171.7.7.8
PAT
- Configuration
- Configuration des routeurs
● Routeur ISP
- Configuration des interfaces
ISP(config)# interface loopback0ISP(config-if)# ip address 200.1.1.2 255.255.255.255
ISP(config)# interface s0/0ISP(config-if)# ip address 171.7.7.8 255.255.255.0ISP(config-if)# clock rate 128000
RE BTS-SIO2 26
ISP(config-if)# clock rate 128000
NAT-PAT
- Redirection de ports pour NAT
Interne Externe
S0/0
10.0.0.10/24
Lo0 : 200.1.1.2/32
ISPRTA
S0/0E0/0
DCE
RE BTS-SIO2 27
10.0.0.2/24
● Routeur RTA
- Redirection du port 80
RTA(config)# ip nat inside source static tcp 10.0.0.10 80 179.9.8.10 80
Signification: Le port destination 80 à l'adresse 179.9.7.10 est redirigé vers le port 80 à l'adresse 10.0.0.10
NAT-PAT
- Redirection de ports pour PAT
Interne Externe
S0/0
10.0.0.10/24
Lo0 : 200.1.1.2/32
ISPRTA
S0/0E0/0
DCE
RE BTS-SIO2 28
10.0.0.2/24
● Routeur RTA
- Redirection du port 80
RTA(config)# ip nat inside source static tcp 10.0.0.10 80 179.9.8.10 80 extendable
Signification: Le port destination 80 à l'adresse 179.9.8.10 est redirigé vers le port 80 à l'adresse 10.0.0.10
sans modification de numéro de port.
NAT-PAT
- Vérification
● Affichage des traductions NAT-PAT
RTA# show ip nat translations [verbose]
● Affichage des statistiques NAT-PAT
RTA# show ip nat statistics
RE BTS-SIO2 29