14 octobre 2018

Créer NAT Dynamique sous Cisco IOS 15.1

Le NAT dynamique permet de traduire dynamiquement les adresses IP internes en IP externes. La différence avec le NAT statique est qu’on va pouvoir désigner un pool d’IP externes qui serviront alternativement en fonction de leur disponibilité. Par exemple, votre entreprise possède 10 IP publiques et les Ordis de votre réseau local utiliseront ces 10 adresses pour sortir sur Internet. Le premier PC demandant une connexion utilisera la première IP, et ainsi de suite. Si toutes les IP sont en cours d’utilisation, la prochaine machine qui essaiera d’initier une session quelconque vers l’extérieur devra attendre qu’une IP du pool se libère.

———————————

Un petit schéma aide toujours un peu :

-Sur ce petit réseau, qui bien sûr n’existe qu’à titre démonstratif, on va faire en sorte que PC1, PC2 et PC3 voient leur IP transformée en passant par R2.

-Nous disposons d’un pool de 14 IP publiques allant de 200.150.50.1 à 200.150.50.14

-Nous allons donc créer une règle de NAT dynamique sur R2 pour que chaque PC du réseau local transite sur Internet avec une des ces IP publique.

-Cette règle NAT sera régie par une liste ACL qui permettra l’accès aux trois réseaux des trois PC. De cette façon, seules les IP de ces réseaux seront traduites par le NAT.

*Ce réseau comprend en fait trois vlans mais il sont routés au niveau de R1 et importent peu pour l’expérience, sachant que pour R2, il s’agit de simples réseaux.

–>Vous pouvez télécharger le fichier Packet Tracer si vous voulez :

Fichier Packet Tracer

———————————

-On entre donc sur R2 :

R2(config)#ip nat pool nom_du_pool 200.150.50.1 200.150.50.12 netmask 255.255.255.240 : On entre donc la première adresse du pool suivie de la dernière. Ce pool contient 14 IP j’ai donc choisi un netmask approprié (28 bits). Donnez absolument un nom à votre pool, car ce nom nous sera utile pour lier une ACL.

———————————

-On crée l’ACL qui permettra d’autoriser nos trois réseaux :

R2(config)#access-list 1 permit 172.16.10.0 0.0.0.255 : Dans la liste ACL numero 1, j’ajoute le reseau 172.16.10.0. On constate que le masque est à l’envers ! Et oui, en réalité sur mon schéma le masque lié à ce réseau et en 24 bits donc 255.255.255.0, tandis que dans les ACL, il faut tout bonnement l’inverser, en quelques sortes. Ne me demandez pas pourquoi, mais un masque 255.255.255.0 devient alors 0.0.0.255 dans une liste ACL. Ne vous trompez pas ! En savoir plus sur les ACL : www.infotrucs.fr/creer-des-acl-sous-cisco-access-control-lists-ios-15-1/

-On ajoute également les deux autres réseaux dans la même liste ACL :

R2(config)#access-list 1 permit 172.16.20.0 0.0.0.255

R2(config)#access-list 1 permit 172.16.30.0 0.0.0.255

———————————

-On relie notre règle NAT à notre liste ACL :

R2(config)#ip nat inside source list 1 pool nom_du_pool : Renseignez bien le nom du pool choisi dans la regle nat

———————————

-On indique les interfaces interne et externe :

-Toujours sur R2, l’interface s0/0/0 est l’interface internet et g0/0 l’interface externe. Les IP des interfaces sont déjà configurées ici (voir schéma), seul le paramètre de NAT nous intéresse.

R2(config)#interface s0/0/0 : on sélectionne l’interface S0/0/0.

R2(config-if)#ip nat inside : on spécifie que c’est l’interface interne.

R2(config)#interface s0/0/0 : on sélectionne l’interface G0/0.

R2(config-if)#ip nat outside : on spécifie que c’est l’interface externe.

*Pour info, dans le cadre de sous-interfaces, il faut définir ce paramètre sur chaque sous-interface et non sur l’interface réelle.

———————————

-La configuration NAT est terminée.

Share

You may also like...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


The reCAPTCHA verification period has expired. Please reload the page.