14 octobre 2018

Configurer un NAT Statique sous Cisco IOS 15.1

Le NAT statique permet de traduire une IP en une autre à travers un routeur. Cela peut-être utile par exemple pour accéder à un serveur qui est dans un réseau local par le biais d’une IP publique.

On va voir ici la création basique d’une règle NAT statique sur un routeur Cisco 1941.

————————————-

Admettons la petite topologie suivante :

-Une topologie grandement simplifiée et peu réaliste mais qui peut permettre de comprendre certaines choses.

-Vous pouvez télécharger le fichier Packet Tracer histoire de faire vos propres simulations de requêtes et ainsi vous assurer que les IP sont bien traduites :

Télécharger le fichier Packet Tracer

————————————-

Le but principal est que le PC Client puisse accéder au Serveur grâce à l’adresse 64.100.25.3. Il est important de comprendre qu’en réalité, aucune interface ne possède explicitement cette adresse IP !

Quand Client va envoyer une requête vers 64.100.25.3, la requête va passer par la passerelle par défaut 172.16.0.1 puisqu’elle va chercher à changer de réseau, et à ce moment là, le routeur remarquera que l’IP de destination est 64.100.25.3. Le routeur comprendra alors qu’il doit acheminer ce paquet vers l’IP 192.168.0.10, grâce à une règle que l’on va configurer.

On va donc expliquer à R1 comment il doit réagir lorsqu’il reçoit une requête à destination de 60.100.25.3.

————————————-

Sur R1 :

->Je pars du principe que les interfaces de R1 possèdent déjà la configuration visible sur le schéma. Je n’ai donc plus qu’à paramétrer ma règle de NAT.

R1(config)#ip nat inside source static 192.168.0.10 64.100.25.3 : La première IP est l’ip locale et la deuxième est l’IP globale. L’ip locale est simplement la vraie IP du serveur, celle qui est compatible avec son réseau local et qui est configurée sur sa propre interface. L’IP globale est en gros l’IP à laquelle vous souhaitez voir votre serveur accessible depuis le réseau externe.

->Ensuite on va spécifier sur G0/0 et G0/1, que ces interfaces entrent en jeu dans notre règle de NAT. On va indiquer à G0/0 qu’elle fait partie du réseau interne, et à G0/1 qu’elle fait partie du réseau externe.

->Pour G0/0 :

R1(config)#interface g0/0 : on se place dans la configuration de l’interface…

R1(config-if)#ip nat inside : on indique que l’interface est interne vis-à-vis du NAT.

->Puis pour G0/1 :

R1(config)#interface g0/1

R1(config-if)#ip nat outside : on indique que l’interface est externe vis-à-vis du NAT.

*Pour info, dans le cadre de sous-interfaces, il faut définir ce paramètre sur chaque sous-interface et non sur l’interface réelle.

————————————-

-Pour vérifier la configuration effectuée :

R1#show ip nat translations

————————————-

-Pour afficher des statistiques sur les translations effectuées par le routeur :

R1#show ip nat statistics

-Pour remettre les statistiques à zéro :

R1#clear ip nat statistics

————————————-

A partir de là Client peut pinguer l’adresse globale du Serveur 64.100.25.3.

Cette technique est à utiliser sur un routage interne évidement, vous ne pouvez pas l’utiliser à travers internet, ça n’aurait pas vraiment de sens je crois. Par ailleurs, notez que l’IP globale utilisée est une IP publique ce qui n’est pas en conseillé en pratique car imaginez qu’un nœud sur Internet soit accessible avec cette même IP et que PC Client ait besoin d’y accéder, il ne le pourra jamais car R1 va toujours le renvoyer vers Serveur. Ce schéma est donc entièrement expérimental et vous devez l’adapter dans la vraie vie ! Ce tuto n’est là que pour rappeler les commandes IOS.

A savoir tout de même, le NAT statique ajoute une pointe de sécurité à un réseau. En effet comme la vraie IP de Serveur est cachée, cela rend un peu plus difficile la découverte du réseau par un éventuel pirate.

Share

You may also like...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


The reCAPTCHA verification period has expired. Please reload the page.