dhcp - nat - nolot.eu · f. n o l o t 4 le nat quand une machine interne à un réseau veux...
TRANSCRIPT
![Page 1: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/1.jpg)
© F
. N
olo
t
1
DHCP - NAT
![Page 2: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/2.jpg)
© F
. N
olo
t
2
DHCP - NAT
NAT et sa configuration
![Page 3: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/3.jpg)
© F
. N
olo
t
3
Introduction
La RFC 1918 a défini des plages d'adresses IP dites privées dans les 3 classes A, B et C
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Ces adresses ne sont jamais routées par un routeur donc impossible d'aller sur Internet
De même si une entreprise utilise en interne des adresses enregistrées officiellement par une autre entreprise
La solution : NAT (Network Address Translation)
![Page 4: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/4.jpg)
© F
. N
olo
t
4
Le NAT
Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet
Transmission du paquet au routeur de sortie
Translation de l'adresse de réseau privé en adresse publique
Transmission du paquet modifié au hôte de destination
Cisco définit les termes suivant pour la configuration du NAT
Adresse locale interne : adresse IP de l'hôte sur le réseau privé
Adresse globale interne : adresse IP publique derrière laquelle se trouve le réseau privée
Adresse globale externe : adresse IP publique extérieure au réseau privé
![Page 5: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/5.jpg)
© F
. N
olo
t
5
Exemple
10.10.10.1
10.10.10.2
Inside Outside
179.54.14.10
Source : 10.10.10.1
Internet
![Page 6: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/6.jpg)
© F
. N
olo
t
6
Exemple
Local Inside Global Inside Global Outside
10.10.10.1 130.14.15.15 179.54.14.10
10.10.10.1
10.10.10.2
Inside Outside
179.54.14.10
Source : 10.10.10.1
Internet
![Page 7: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/7.jpg)
© F
. N
olo
t
7
Exemple
Local Inside Global Inside Global Outside
10.10.10.1 130.14.15.15 179.54.14.10
10.10.10.1
10.10.10.2
Inside Outside
Source : 130.14.15.15
179.54.14.10
Internet
![Page 8: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/8.jpg)
© F
. N
olo
t
8
Exemple
Local Inside Global Inside Global Outside
10.10.10.1 130.14.15.15 179.54.14.10
10.10.10.1
10.10.10.2
Inside Outside
179.54.14.10
Dest. : 130.14.15.15
Internet
![Page 9: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/9.jpg)
© F
. N
olo
t
9
Exemple
Local Inside Global Inside Global Outside
10.10.10.1 130.14.15.15 179.54.14.10
10.10.10.1
10.10.10.2
Inside Outside
179.54.14.10
Dest. : 10.10.10.1
Internet
![Page 10: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/10.jpg)
© F
. N
olo
t
10
Fonctionnalités NAT et PAT (ou NAPT)
Il existe plusieurs types de translations
NAT statique : A exactement une adresse IP local correspond exactement une adresse IP globale
NAT dynamique :
A plusieurs adresses IP locales correspondent plusieurs adresses IP globales. Dans ce cas, on parle de pool d'adresses IP publiques disponibles pour le NAT
Si une seule adresse IP publique est disponible, dans ce cas, on parle de Network Address Port Translation (NAPT) ou Port Address Translation (PAT)
PAT : A plusieurs adresses IP locales correspondent une seule adresse IP globale
Le suivi de la connexion se fait alors par l'utilisation de numéro de port
![Page 11: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/11.jpg)
© F
. N
olo
t
11
Static NAT
Outside
10.0.0.10 DA179.9.8.10
DA179.9.8.10
Inside
Internet
179.9.8.1010.0.0.10179.9.8.8010.0.0.2
Inside Global IP Address
Inside Local IP Address
NAT Table
179.9.8.1010.0.0.10179.9.8.8010.0.0.2
Inside Global IP Address
Inside Local IP Address
NAT Table10.0.0.2
http://179.9.8.10
DA10.0.0.10
DA10.0.0.10
NAT Statique fait une association d'une adresse locale vers une seule adresse globale : one-to-one mapping
![Page 12: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/12.jpg)
© F
. N
olo
t
12
Dynamic NAT
Le NAT Dynamique permet de faire des correspondances entre une adresse locale vers une adresse globale, choisi parmi un pool
Outside
10.0.0.10
Inside
Internet
179.9.8.1010.0.0.10179.9.8.8010.0.0.2
Inside Global IP Address
Inside Local IP Address
NAT Table
179.9.8.1010.0.0.10179.9.8.8010.0.0.2
Inside Global IP Address
Inside Local IP Address
NAT Table10.0.0.2
SA10.0.0.2
SA10.0.0.2
SA179.8.9.80
SA179.8.9.80
![Page 13: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/13.jpg)
© F
. N
olo
t
13
Le PAT
10.10.10.1
10.10.10.2
Inside Outside
179.54.14.10Source : 10.10.10.2:1784Dest : 179.54.14.10:80
Source : 10.10.10.1:1784Dest : 179.54.14.10:80
Internet
![Page 14: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/14.jpg)
© F
. N
olo
t
14
Le PAT
10.10.10.2
Inside Outside
179.54.14.10Source : 10.10.10.2:1487Dest : 179.54.14.10:80
10.10.10.1
Local Inside Global Inside Global Outside
10.10.10.1:1784 130.14.15.15:1784 179.54.14.10:8010.10.10.2:1487 130.14.15.15:1487 179.54.14.10:80
Source : 10.10.10.1:1784Dest : 179.54.14.10:80
Internet
![Page 15: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/15.jpg)
© F
. N
olo
t
15
Les Outsite Local ?
Il existe aussi des adresses Outside Local !
SA10.0.0.3:2333
SA10.0.0.3:2333
SA10.0.0.3:2333
Outside
Inside
Internet
10.0.0.2
SA10.0.0.2:1456
SA10.0.0.2:1456
SA10.0.0.2:1456
SA
179.9.8.80:1345
SA
179.9.8.80:1345
10.0.0.3
179.9.8.80:233310.0.0.3:2333179.9.8.80:145610.0.0.2:1456
Inside Global IP Address
Inside Local IP Address
NAT Table
126.23.2.2:80126.23.2.2:80202.6.3.2:80202.6.3.2:80
Outside Global IP Address
Outside Local IP Address
179.9.8.80:233310.0.0.3:2333179.9.8.80:145610.0.0.2:1456
Inside Global IP Address
Inside Local IP Address
NAT Table
126.23.2.2:80126.23.2.2:80202.6.3.2:80202.6.3.2:80
Outside Global IP Address
Outside Local IP Address
SA
179.9.8.80:2333
SA
179.9.8.80:2333
202.6.3.2
126.23.2.2
![Page 16: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/16.jpg)
© F
. N
olo
t
16
Les types d'adresses
Inside Local Addresses – An IP address assigned to a host inside a network. This address is likely to be a RFC 1918 private address.Inside Global Address – A legitimate IP address assigned by the NIC or service provider that represents one or more inside local IP address to the outside world.Outside Local Address - The IP address of an outside host as it known to the hosts in the inside network. Outside Global Address - The IP address assigned to a host on the outside network. The owner of the host assigns this address.
![Page 17: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/17.jpg)
© F
. N
olo
t
17
Autre exemple
Si une entreprise utilise des adresses réseaux déjà enregistrées
Le routeur NAT fera croire aux clients en interne que les adresses externes sont tout autre
Ces adresses sont appelées Outside Local address
Cette solution est basée sur l'utilisation d'une DNS. La requête DNS du client est interceptée par le routeur qui va retourner une adresse non ambiguë routable sur le réseau privé de la machine de destination.
Privé Internet
170.1.1.1170.1.1.10
Inside Local Outside Local Inside Global Outside Global
170.1.1.10 192.168.1.1 200.1.1.1 170.1.1.1
200.1.1.1
![Page 18: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/18.jpg)
© F
. N
olo
t
18
DHCP - NAT
Configuration du NAT en IOS
![Page 19: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/19.jpg)
© F
. N
olo
t
19
NAT statique
Sur les interfaces du routeur
soit ip nat inside, soit ip nat outside selon la position de l'interface par rapport à Internet
définir la translation static : ip nat inside source static ip_source ip_dest
Internet.1 .254 .49
176.16.1.0/24
e0 e1
ip nat inside ip nat outside
ip nat inside source static 176.16.1.1 193.49.15.50 interface FastEthernet 0
ip address 176.16.1.254 255.255.255.0ip nat inside
interface FastEthernet 1ip address 193.49.15.49 255.255.255.240ip nat outside
193.49.15.48/28
![Page 20: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/20.jpg)
© F
. N
olo
t
20
NAT dynamique
Internet.254 .49176.16.1.1
e0 e1
ip nat inside ip nat outside
193.49.15.48/28
Définir un pool d'adresses d'IP globales interne : ip nat pool nom start-ip end-ip
Définir par une access-list quelles sont les IP locales internes qui ont le droit de sortir
access-list number permit source [ source-wildcard ]
ip nat pool plage1 193.49.15.50 193.49.15.60 ip nat inside source liste 1 pool plage1 interface FastEthernet 0
ip address 176.16.1.254 255.255.0.0ip nat inside
interface FastEthernet 1ip address 193.49.15.49 255.255.255.240ip nat outside
access-list 1 permit 176.16.1.0 0.0.0.255
176.16.0.1
![Page 21: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/21.jpg)
© F
. N
olo
t
21
PAT (1/2)
Définir par une access-list quelles sont les IP locales internes qui ont le droit de sortir
Définir l'interface de sortie dont l'IP sera dite surchargée : ip nat inside source list number interface interface overload
Ou bien définir une adresse dans un pool puis faire la surcharge :
ip nat pool name ip_addr
ip nat inside source list number pool name overload
Internet.254
.49176.16.1.1 e0
e2
ip nat inside ip nat outside
193.49.15.48/28
176.16.0.1
e1.254
![Page 22: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/22.jpg)
© F
. N
olo
t
22
PAT (2/2)
Internet.254
.49176.16.1.1 e0
e2
ip nat inside ip nat outside
193.49.15.48/28
176.16.0.1
ip nat inside source liste 1 interface FastEthernet 2 overload interface FastEthernet 0
ip address 176.16.1.254 255.255.255.0ip nat inside
interface FastEthernet 1ip address 176.16.0.254 255.255.255.0ip nat inside
interface FastEthernet 2ip address 193.49.15.49 255.255.255.240ip nat outside
access-list 1 permit 176.16.1.0 0.0.0.255
e1.254
![Page 23: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/23.jpg)
© F
. N
olo
t
23
Vider la table de translation NAT
Router#clear ip nat translations *
![Page 24: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/24.jpg)
© F
. N
olo
t
24
Vérifier les configurations NAT et PAT
![Page 25: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/25.jpg)
© F
. N
olo
t
25
Débugger
![Page 26: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/26.jpg)
© F
. N
olo
t
26
DHCP - NAT
DHCP
![Page 27: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/27.jpg)
© F
. N
olo
t
27
Requête du client
![Page 28: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/28.jpg)
© F
. N
olo
t
28
Réponse du serveur
![Page 29: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/29.jpg)
© F
. N
olo
t
29
Les fonctionnalités de DHCP
Mécanismes DHCP :
Fournie une adresse IP pour une durée déterminée
Possibilité de la renouveller
Les fonctions :
Allocation automatique
Allocation dynamique
Allocation manuelle
![Page 30: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/30.jpg)
© F
. N
olo
t
30
Les messages
![Page 31: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/31.jpg)
© F
. N
olo
t
31
La configuration DHCP sur IOS
![Page 32: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/32.jpg)
© F
. N
olo
t
32
Exclure des adresses
![Page 33: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/33.jpg)
© F
. N
olo
t
33
Vérification
![Page 34: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/34.jpg)
© F
. N
olo
t
34
Le débugage
![Page 35: DHCP - NAT - nolot.eu · F. N o l o t 4 Le NAT Quand une machine interne à un réseau veux communiquer avec un hôte sur Internet Transmission du paquet au routeur de sortie Translation](https://reader036.vdocuments.pub/reader036/viewer/2022070614/5be8f7ed09d3f29e6f8c2993/html5/thumbnails/35.jpg)
© F
. N
olo
t
35
LE DHCP relais