Module 6: NAT pour IPv4

Réseau, Sécurité et Automatisation D'entreprise v7.0 (ENSA)

Objectifs du Module
Titre du module: NAT pour IPv4

Objectif du Module: Configurer les services NAT sur le routeur de périphérie pour assurer
l'évolutivité des adresses IPv4.

Titre du rubrique Objectif du rubrique

Caractéristiques de la NAT Expliquer le but et le fonctionnement de la traduction NAT.

Types de NAT Expliquer le fonctionnement des différents types de traductions NAT.

Avantages et Inconvénients de la Décrire les avantages et les inconvénients de la traduction NAT.

fonction NAT
NAT statique Configurer la NAT statique à l'aide de l'interface de ligne de commande.

NAT dynamique Configurer la NAT dynamique à l'aide de l'interface de ligne de

commande.
traduction d’adresses de port Configurer la PAT à l'aide de l'interface de ligne de commande.

NAT64 Décrire la traduction NAT pour IPv6.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 2
6.1 - Caractéristiques de la NAT

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 3
Caractéristiques de la NAT
Espace d'adressage privé IPv4
• Les réseaux sont généralement mis en œuvre à
l'aide d'adresses IPv4 privées, tel que défini Class Nom de
Type d'exercice
dans le document RFC 1918. e l'exercice
• Les adresses IPv4 privées ne peuvent pas être Une
[Link] - [Link] [Link]/8
route
acheminées sur l'internet et sont utilisées au
B [Link] - [Link] [Link]/12
sein d'une entreprise ou d'un site pour permettre
aux périphériques de communiquer localement. C [Link] - [Link]
[Link]/1
6
• Pour permettre à un périphérique possédant une
adresse IPv4 privée d'accéder aux périphériques
et aux ressources situés en dehors du réseau
local, l'adresse privée doit d'abord être traduite
en adresse publique.
• La traduction d'adresse réseau (NAT) assure la
traduction des adresses privées en adresses
publiques. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 4
 Caractéristiques de la NAT
Qu'est-ce que la NAT
• L'utilisation principale de NAT consiste à limiter la
consommation des adresses IPv4 publiques.
• La NAT permet aux réseaux d'utiliser des
adresses IPv4 privées en interne, et traduit ces
adresses en une adresse publique lorsque
nécessaire.
• Un routeur NAT fonctionne généralement à la
périphérie d'un réseau d'extrémité.
• Lorsqu'un périphérique à l'intérieur du réseau
stub veut communiquer avec un périphérique en
dehors de son réseau, le paquet est transmis au
routeur périphérique qui effectue le processus
NAT, traduisant l'adresse privée interne du
périphérique en une adresse publique, externe et
routable. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 5
Caractéristiques de la NAT
Comment fonctionne la NAT
PC1 souhaite communiquer avec un serveur Web externe
dont l'adresse publique est [Link].
1. PC1 envoie un paquet adressé au serveur Web.
2. R2 reçoit le paquet et lit l'adresse IPv4 source pour
déterminer s'il a besoin d'une traduction.
3. R2 ajoute un mappage de l'adresse locale en adresse
globale à la table NAT.
4. R2 envoie le paquet avec l'adresse source traduite vers la
destination.
5. Le serveur Web répond par un paquet destiné à l'adresse
globale interne de PC1 ([Link]).
6. R2 reçoit le paquet portant l'adresse de destination
[Link]. R2 examine la table NAT et trouve une
entrée correspondant à ce mappage. R2 utilise ces
informations pour traduire l'adresse globale interne
([Link]) en adresse locale interne
([Link]), et le paquet est transféré vers PC1.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 6
Caractéristiques de la NAT
Terminologie NAT
La fonction NAT comprend quatre types d'adresses:
• Adresse locale interne
• Adresse globale interne
• Adresse locale externe
• Adresse globale externe
La terminologie NAT est toujours appliquée du point de vue de l'appareil avec l'adresse
traduite:
• Adresse interne - L'adresse du périphérique traduite via la NAT.
• Adresse externe - L'adresse du périphérique de destination.
• Adresse locale - Une adresse locale peut faire référence à toute adresse qui
apparaît sur la partie interne du réseau.
• Adresse globale - Une adresse globale peut faire référence à toute adresse qui
apparaît sur la partie externe du réseau.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 7
Caractéristiques de la NAT
Terminologie NAT (Suite)
Adresse locale interne
L'adresse de la source vue du réseau interne. Il s'agit
généralement d'une adresse IPv4 privée. PC1 possède
l'adresse locale interne [Link].
Adresse globale interne
L'adresse de la source vue du réseau interne. L'adresse
globale interne de PC1 est [Link]
Adresse globale externe
L'adresse de destination vue du réseau externe. L'adresse
globale externe du serveur Web est [Link]
Adresse locale externe
L'adresse de destination vue du réseau externe. PC1 envoie
le trafic au serveur Web à l'adresse IPv4 [Link]. Bien
que cela soit rarement le cas, cette adresse peut être
différente de l'adresse de destination globalement routable.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 8
Questionnaire du cours

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 9
 Questionnaire du cours
 R1209.165.201.10192.168 .10.10PC1192.168.10.10 =[Link]

 Configurés pour la NATInternetServeur web

1- Se référer à l'exposition. Quel type d'adresse NAT est l'adresse IP de PC1 (i.e., [Link])?

 Locale externe

 Locale interne

 Globale externe

 Globale interne

2- Se référer à l'exposition. Dans quel type d'adresse l'adresse IPv4 pour PC1 a-t-elle été traduite
(c.-à-d. [Link]) ?

 Locale externe

 Locale interne © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 10

 Globale externe
 Questionnaire du cours
3- Se référer à l'exposition. Quel type d'adresse NAT est l'adresse IP de serveur Web (i.e.,
[Link])?

 Locale externe

 Locale interne

 Globale externe

 Globale interne

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 11
6.2 - Types de NAT

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 12
Types de NAT
NAT statique
La NAT statique utilise un mappage un à un
des adresses locales et globales configurées
par l'administrateur réseau qui restent
constantes.
• La NAT statique est utile pour les serveurs
Web ou les périphériques qui doivent
posséder une adresse permanente
accessible depuis l'internet, notamment les
serveurs Web d'entreprise.
• Elle sert également aux périphériques qui
doivent être accessibles à distance par le
personnel autorisé, mais pas par tous les
utilisateurs d'internet. Remarque: La NAT statique nécessite qu'il
existe suffisamment d'adresses publiques
disponibles pour satisfaire le nombre total de
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
sessions utilisateur simultanées.
confidentielles de Cisco 13
Types de NAT
NAT dynamique
La NAT dynamique utilise un pool
d'adresses publiques et les attribue selon la
méthode du premier arrivé, premier servi.
• Lorsqu'un périphérique interne demande
l'accès à un réseau externe, la NAT
dynamique attribue une adresse IPv4
publique disponible du pool.
• Les autres adresses du pool sont
toujours disponibles.
Remarque: La NAT dynamique nécessite
qu'il existe suffisamment d'adresses
publiques disponibles pour satisfaire le
nombre total de sessions utilisateur
simultanées.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 14
Types de NAT
Traduction d'adresses de port (PAT)
La traduction d'adresses de port (PAT),
également appelée surcharge NAT, mappe
plusieurs adresses IPv4 privées à une
seule adresse IPv4 publique unique ou à
quelques adresses.
• En utilisant PAT, lorsque le routeur NAT
reçoit un paquet du client, il utilise son
numéro de port source pour identifier de
manière unique la traduction NAT
spécifique.
• La PAT garantit que les périphériques
utilisent un numéro de port TCP différent
pour chaque session avec un serveur
sur Internet.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 15
Types de NAT
Port disponible suivant
La fonction PAT tente de conserver le port
source d’origine. Si le port source d'origine
est déjà utilisé, la PAT attribue le premier
numéro de port disponible en commençant
au début du groupe de ports approprié 0 à
511, 512 à 1023 ou 1024 à 65535.
• Lorsqu'il n'y a plus de ports disponibles
et que le pool d'adresses comporte
plusieurs adresses externes, la PAT
passe à l'adresse suivante pour essayer
d'attribuer le port source d'origine.
• Ce processus se poursuit jusqu’à ce
qu’il n’y ait plus de ports ou d’adresses
IPv4 externes disponibles dans le pool
d'adresses.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 16
Types de NAT
Comparaison entre la NAT et la PAT
Récapitulation des différences entre NAT et
PAT. NAT traduction d’adresses de port

NAT - Modifie uniquement les adresses IPv4 Un mappage un-à-un entre

Une adresse globale interne peut
une adresse locale interne
être mappée à de nombreuses
et une adresse globale
Adresse globale interne Adresse locale interne adresses locale interne.
interne.
[Link] [Link] Utilise les adresses IPv4 et les
Utilise uniquement les
numéros de port source TCP ou
adresses IPv4 dans le
UDP dans le processus de
processus de traduction.
PAT - PAT modifie à la fois l'adresse IPv4 et le traduction.
numéro de port. Une adresse globale
Une seule adresse globale
interne unique est requise
interne unique peut être partagée
Adresse globale interne Adresse locale interne pour chaque hôte interne
par plusieurs hôtes internes
accédant au réseau
accédant au réseau externe.
[Link]:2031 [Link]:2031 externe.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 17
Types de NAT
Paquets sans segment de couche 4
Certains paquets ne contiennent pas de numéro de port de couche 4, tels
que les messages ICMPv4. Chacun de ces types de protocole est pris en
charge différemment par la PAT.

Par exemple, les messages de requête, les demandes d'écho et les

réponses d'écho ICMPv4 incluent un ID de requête. ICMPv4 utilise l'ID de
requête pour identifier une demande d'écho et sa réponse d'écho
correspondante.

Remarque: Les autres messages ICMPv4 n'utilisent pas l'ID de requête. Ces
messages et d'autres protocoles qui n'utilisent pas les numéros de port TCP ou UDP
peuvent varier et sortent du cadre de ce programme.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 18
Types de NAT
Packet Tracer - Étude du fonctionnement de la NAT
Dans ce Packet Tracer, vous atteindrez les objectifs suivants:
• Étude du fonctionnement de la NAT sur l'intranet
• Étude du fonctionnement de la NAT sur Internet
• Approfondissement de l'étude

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 19
Questions ??? Préoccupations ???

Prenez quelques minutes pour revoir les concepts abordés

jusqu’ici . Contactez nous pour toutes vos préoccupations

Contacts: tel & 675024974 & email : jemath206@[Link]

CERTIFICATION:CISCO-HUAWEI-MIKROTIK-FORTINET-ITILv4
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 20
6.3 Avantages et inconvénients
de la fonction NAT

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 21
Avantages et Inconvénients de la fonction NAT
Bénéfices de la NAT
La NAT offre de nombreux avantages:
• La fonction NAT ménage le schéma d’adressage enregistré légalement en autorisant la
privatisation des intranets.
• Elle économise les adresses au moyen d’un multiplexage au niveau du port de l’application.
• La fonction NAT augmente la souplesse des connexions au réseau public.
• La fonction NAT assure la cohérence des schémas d’adressage du réseau interne.
• La NAT permet de conserver le schéma des adresses IPv4 privées existant et de passer
facilement à un nouveau schéma d'adressage public.
• La NAT cache les adresses IPv4 des utilisateurs et autres périphériques.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 22
Avantages et Inconvénients de la fonction NAT
Inconvénients de la NAT
La NAT présente également des inconvénients:
• La NAT augmente les délais de transfert.
• L'adressage de bout en bout est perdu.
• Perte de la traçabilité IP de bout en bout
• NAT complique l'utilisation de protocoles de tunneling, tels que IPSec.
• Les services nécessitant l'établissement de connexions TCP depuis le réseau
externe ou les protocoles sans état tels que ceux utilisant UDP peuvent être
perturbés.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 23
 Questionnaire du cours
1- Vrai ou faux? Une conséquence de la NAT est qu'elle cache l'adresse IP locale interne d'un hôte
au réseau extérieur.

 Vrai

 Faux

2- Vrai ou faux? Avec la surcharge de NAT, chaque adresse IP locale interne est traduite en une
adresse IP globale interne unique sur une base un-à-un.

 Vrai

 Faux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 24
 Questionnaire du cours
3- Vrai ou faux? L'utilisation de NAT facilite la traçabilité de bout en bout entre la source et la
destination.

 Vrai

 Faux

4- Vrai ou faux? Les protocoles de Tunneling tels que IPSec ne fonctionnent pas correctement via
NAT.

 Vrai

 Faux

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 25
6.4 NAT statique

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 26
NAT Statique
Scénario de NAT statique
• La NAT statique est un mappage de
type un à un entre une adresse
interne et une adresse externe.
• La NAT statique permet aux
périphériques externes d'établir des
connexions avec des périphériques
internes à l'aide de l'adresse publique
attribuée de manière statique.
• Par exemple, un serveur Web interne
peut être mappé à une adresse
globale interne spécifique de sorte
qu'il soit accessible depuis les
réseaux externes.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 27
NAT Statique
Configurer la NAT statique
La configuration des traductions NAT statiques comporte deux
étapes fondamentales:
• Étape 1 - Créer un mappage entre l'adresse locale interne et les adresses
globales internes en utilisant la commande ip nat inside source static .
• Étape 2 - Les interfaces participant à la traduction sont configurées comme à
l'intérieur ou à l'extérieur par rapport à NAT avec les commandes ip nat inside et
ip nat outside .
R2(config)# ip nat inside source static [Link] [Link]
R2(config)#
R2(config)# interface serial 0/1/0
R2(config-if)# ip address [Link] [Link]
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial 0/1/1
R2(config-if)# ip address [Link] [Link]
R2(config-if)# ip nat outside

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 28
NAT statique
Analyser la NAT statique
Processus de traduction NAT statique entre le client
et le serveur Web:
1. Le client envoie un paquet au serveur web.
2. R2 reçoit les paquets du client sur son interface
NAT externe et consulte sa table NAT.
3. R2 traduit l'adresse globale interne à l'adresse
locale interne et transfère le paquet au serveur
Web.
4. Le serveur Web reçoit le paquet et répond au
client à l'aide de son adresse locale interne.
5. (a) R2 reçoit le paquet du serveur Web sur son
interface NAT interne, avec une adresse source
de l'adresse locale interne du serveur Web et 2)
traduit l'adresse source en adresse globale
interne. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 29
NAT statique
Vérifier NAT statique
Pour vérifier le fonctionnement NAT, exécutez la commande show ip nat translations .
• Elle affiche les traductions NAT actives.
• Comme l'exemple est une configuration NAT statique, la traduction est toujours
présente dans la table NAT, qu'il y ait ou non des communications actives.
• Si la commande est émise pendant une session active, le résultat indique également
l'adresse du périphérique externe.
R2# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- [Link] [Link] --- ---
Total number of translations: 1

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
tcp [Link] [Link] [Link] [Link]
--- [Link] [Link] --- ---
Total number of translations: 2

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 30
NAT statique
Vérifier la NAT statique
Une autre commande utile est show ip nat statistics.
• Il affiche des informations sur le nombre total de traductions actives, les
paramètres de configuration NAT, le nombre d’adresses dans le pool et le nombre
d’adresses allouées.
• Pour vérifier que la traduction NAT fonctionne, il est préférable d'effacer les
statistiques des traductions passées à l'aide de la commande clear ip nat
statistics avant d'effectuer le test.

R2# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 4 Misses: 1
(output omitted)

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 31
NAT Statique
Packet Tracer - Configurer la NAT statique
Dans ce Packet Tracer, vous aborderez les points suivants :
• Tentative d'accès sans la NAT
• Configuration de la NAT statique
• Tentative d'accès avec la NAT

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 32
6.5 NAT dynamique

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 33
NAT Statique
Scénario de NAT dynamique
• La NAT dynamique mappe
automatiquement les adresses locales
internes aux adresses globales internes.
• La NAT dynamique utilise un pool
d’adresses globales internes.
• Le pool d'adresses IPv4 publiques
globales internes est disponible pour tous
les appareils du réseau interne selon le
principe du premier arrivé, premier servi.
• Si toutes les adresses du pool ont été
utilisées, le prochain périphérique doit
attendre qu'une adresse se libère avant
de pouvoir accéder au réseau externe.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 34
NAT statique
Configurer la NAT dynamique
La configuration des traductions NAT dynamiques comporte cinq tâches :
• Étape 1 - Définissez le pool d'adresses à utiliser pour la traduction en utilisant la
commande ip nat pool .
• Étape 2 - Configurez une liste de contrôle d'accès (ACL) standard pour identifier
(autoriser) uniquement les adresses qui doivent être traduites.
• Étape 3 - Liez l'ACL au pool, en utilisant la commande ip nat inside source list .

R2(config)# ip nat pool NAT-POOL1 [Link] [Link] netmask [Link]

R2(config)# access-list 1 permit [Link] [Link]
R2(config)# ip nat inside source list 1 pool NAT-POOL1

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 35
NAT statique
Configurer la NAT dynamique (Suite)
La configuration des traductions NAT dynamiques comporte cinq tâches :
• Étape 4 - Identifiez quelles interfaces sont à l'intérieur.
• Étape 5 - Identifiez quelles interfaces sont à l'extérieur.

R2(config)# ip nat pool NAT-POOL1 [Link] [Link] netmask [Link]

R2(config)# access-list 1 permit [Link] [Link]
R2(config)# ip nat inside source list 1 pool NAT-POOL1
R2(config)# interface serial 0/1/0
R2(config-if)# ip nat inside
R2(config-if)# interface serial 0/1/1
R2(config-if)# ip nat outside

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 36
NAT statique
Analyser la NAT dynamique - de l'intérieur à l'extérieur
Processus de traduction NAT dynamique :
1. PC1 et PC2 envoient des paquets
demandant une connexion au serveur.
2. R2 reçoit le premier paquet de PC1, vérifie
l'ACL pour déterminer si le paquet doit être
traduit, sélectionne une adresse globale
disponible et crée une entrée de traduction
dans la table NAT.
3. R2 remplace l'adresse source locale interne
de PC1, [Link], par l'adresse
globale interne traduite, [Link], et
transmet le paquet. (Le paquet provenant de
PC2 suit le même processus avec l'adresse
traduite [Link].)
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 37
NAT statique
Analyser la NAT dynamique - de l'extérieur à l'intérieur
Processus de traduction NAT dynamique :
4. Le serveur reçoit le paquet de PC1 et répond à
l'aide de l'adresse de destination
[Link]. Le serveur reçoit le paquet de
PC2 et répond à l'aide de l'adresse de destination
[Link].
5. (a) Lorsque R2 reçoit le paquet avec l'adresse de
destination [Link]; il effectue une
recherche de table NAT et traduit l'adresse à
l'adresse locale interne et transfère le paquet vers
PC1.
( b) Lorsque R2 reçoit le paquet avec l'adresse de
destination [Link]; il effectue une
recherche de table NAT et traduit l'adresse à une
adresse locale interne [Link] et transfère
le paquet vers PC2.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 38
NAT statique
Analyser la NAT dynamique - de l'extérieur à l'intérieur (Suite)

Processus de traduction NAT dynamique :

6. PC1 et PC2 reçoivent les paquets et poursuivent
la conversation. Le routeur réalise les étapes 2 à 5
pour chaque paquet.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 39
NAT statique
Vérifier la NAT dynamique (Suite)
La sortie de la commande show ip nat translations montre toutes les
traductions statiques qui ont été configurées ainsi que les éventuelles
traductions dynamiques créées par le trafic.

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- [Link] [Link] --- ---
--- [Link] [Link] --- ---
R2#

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 40
NAT statique
Vérifier la NAT dynamique (Suite)
Si vous ajoutez le mot-clé verbose, vous obtiendrez des informations
supplémentaires sur chaque traduction, notamment la date de création et la
durée d'utilisation d'une entrée.

R2# show ip nat translation verbose

Pro Inside global Inside local Outside local Outside global
tcp [Link] [Link] — —
create [Link], use [Link] timeout:86400000, left [Link], Card Id (In) : 1,
flags:
none, use_count: 0, entry-id: 10, lc_entries: 0
tcp [Link] [Link] — —
create [Link], use [Link] timeout:86400000, left [Link], Card Id (In) : 1,
flags:
none, use_count: 0, entry-id: 12, lc_entries: 0
R2#

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 41
NAT statique
Vérifier la NAT dynamique (Suite)
Par défaut, les entrées de traduction expirent au bout de 24 heures, sauf si les compteurs ont
été configurés à l’aide de la commande du mode de configuration globale ip nat translation
timeout timeout-seconds . Pour effacer les entrées dynamiques avant l’expiration du délai,
utilisez la commande du mode d'exécution privilégié clear ip nat translation .
R2# clear ip nat translation *
R2# show ip nat translation

Commande Description

clear ip nat translation *

Efface toutes les entrées de traduction dynamique
d'adresses de la table de traduction NAT.
Efface une entrée de traduction dynamique simple contenant
clear ip nat translation inside global-ip
une traduction interne ou une traduction à la fois interne et
local-ip [outside local-ip global-ip]
externe.
clear ip nat translation protocol inside
global-ip global-port local-ip local-port [
Efface une entrée de traduction dynamique étendue.
outside local-ip local-port global-ip global-
port]

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 42
NAT statique
Vérifier la NAT dynamique (Suite)
La commande show ip nat statistics affiche des informations sur le nombre total de
traductions actives, les paramètres de configuration NAT, le nombre d’adresses dans
le pool et le nombre d’adresses allouées.
R2# show ip nat statistics
Total active translations: 4 (0 static, 4 dynamic; 0 extended)
Peak translations: 4, occurred [Link] ago
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 47 Misses: 0
CEF Translated packets: 47, CEF Punted packets: 0
Expired translations: 5
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool NAT-POOL1 refcount 4
pool NAT-POOL1: netmask [Link]
start [Link] fin [Link]
type generic, total addresses 15, allocated 2 (13%), misses 0
(output omitted)
R2#

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 43
NAT statique
Vérifier la NAT dynamique (Suite)
La commande show running-config et les commandes de show la NAT, l'ACL,
l'interface ou pool avec les valeurs correspondantes

R2# show running-config | include NAT

ip nat pool NAT-POOL1 [Link] [Link] netmask [Link]
ip nat inside source list 1 pool NAT-POOL1

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 44
NAT dynamique
Packet Tracer - Configurer la NAT dynamique
Dans ce Packet Tracer, vous aborderez les points suivants :
• Configuration de la NAT dynamique
• Vérification de l'implémentation de la NAT

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 45
Questions ??? Préoccupations ???

Prenez quelques minutes pour revoir les concepts abordés

jusqu’ici . Contactez nous pour toutes vos préoccupations

Contacts: tel & 675024974 & email : jemath206@[Link]

CERTIFICATION:CISCO-HUAWEI-MIKROTIK-FORTINET-ITILv4
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 46
6.6 PAT

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 47
PAT
Configurer PAT pour utiliser une adresse IPv4 unique
Pour configurer PAT pour utiliser une seule adresse IPv4, ajoutez le mot-clé
surcharge à la commande ip nat inside source .

Dans cet exemple, les adresses de tous les hôtes du réseau [Link]/16
(correspondant à l'ACL 1) qui envoient du trafic via le routeur R2 sur Internet sont
traduites en l'adresse IPv4 [Link] (adresse IPv4 de l'interface S0/1/1). Les
flux de trafic sont identifiés par les numéros de port dans la table NAT, car le mot clé
overload a été configuré.
R2(config)# ip nat inside source list 1 interface serial 0/1/0 overload
R2(config)# access-list 1 permit [Link] [Link]
R2 (config) # interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2 (config) # interface Serial0/1/1
R2(config-if)# ip nat outside

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 48
PAT
Configurer PAT pour utiliser un pool d'adresses
Un FAI peut allouer plusieurs adresses IPv4 publiques à une organisation. Dans ce
scénario, l'organisation peut configurer PAT pour utiliser un pool d'adresses publiques
IPv4 pour la traduction.
Pour configurer PAT pour un pool d'adresses NAT dynamique, ajoutez simplement le
mot-clé surcharge à la commande ip nat inside source .

Dans l'exemple, NAT-POOL2 est lié à une ACL pour permettre la traduction de
[Link]/16. Ces hôtes peuvent partager une adresse IPv4 à partir du pool car PAT
est activé avec le mot-clé surcharge.
R2(config)# ip nat pool NAT-POOL2 [Link] [Link] netmask [Link]
R2(config)# access-list 1 permit [Link] [Link]
R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload
R2 (config) # interface serial0/1/0
R2(config-if)# ip nat inside
R2 (config-if) # interface serial0/1/0
R2(config-if)# ip nat outside

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 49
PAT
Analyser PAT - Serveur à PC
1. PC1 et PC2 envoient des paquets à Svr1 et
Svr2.
2. Le paquet provenant de PC1 atteint R2 en
premier. R2 modifie l'adresse IPv4 source qui
devient [Link] (adresse globale
interne). Le paquet est ensuite acheminé vers
Svr1.
3. Le paquet de PC2 arrive à R2. La PAT modifie
l'adresse IPv4 source de PC2 qui devient
l'adresse globale interne [Link].
PC2 possède le même numéro de port source
qu'une entrée actuelle de la PAT, la traduction
de PC1. La PAT incrémente le numéro de port
source jusqu'à ce qu'il corresponde à une
valeur unique de sa table. Dans ce cas, 1445.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 50
PAT
Analyser PAT - PC à Serveur
1. PC1 et PC2 envoient des paquets à Svr1 et Svr2.
2. Le paquet provenant de PC1 atteint R2 en premier.
R2 modifie l'adresse IPv4 source qui devient
[Link] (adresse globale interne). Le
paquet est ensuite acheminé vers Svr1.
3. Le paquet de PC2 arrive à R2. La PAT modifie
l'adresse IPv4 source de PC2 qui devient l'adresse
globale interne [Link]. PC2 possède le
même numéro de port source qu'une entrée
actuelle de la PAT, la traduction de PC1. La PAT
incrémente le numéro de port source jusqu'à ce
qu'il corresponde à une valeur unique de sa table.
Dans ce cas, il est 1445.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 51
PAT
Analyser PAT - Serveur à PC
1. Les serveurs utilisent le port source du
paquet reçu comme port de destination et
l'adresse source comme adresse de
destination pour le trafic de retour.
2. R2 modifie l'adresse IPv4 de destination
du paquet de Srv1 de [Link] à
[Link], et transfère le paquet vers
PC1.
3. R2 modifie l'adresse de destination du
paquet de Srv2. de [Link] à
[Link]. et modifie le port de
destination à sa valeur d'origine de 1444.
Le paquet est alors transféré vers PC2.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 52
PAT
Vérifier PAT
Les mêmes commandes utilisées pour vérifier la NAT statique et dynamique sont
utilisées pour vérifier la PAT. La commande show ip nat translations affiche les
traductions de deux hôtes différents pour des serveurs Web différents. Remarquez
que deux hôtes internes différents obtiennent la même adresse IPv4 [Link]
(adresse globale interne). Les numéros de port source de la table NAT différencient
les deux transactions.

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
tcp 209.165.200. 225:1444 192.168.10. 10:1444 209.165.201. 1:80 209.165.201. 1:80
tcp 209.165.200. 225:1445 192.168.11. 10:1444 209.165.202. 129:80 209.165.202. 129:80
R2#

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 53
PAT
Vérifier PAT (suite)
La commande show ip nat statistics permet de vérifier que NAT-POOL2 a alloué une adresse
unique pour les deux traductions. Le nombre et le type de traductions actives, les paramètres de
configuration du NAT, le nombre d'adresses dans le pool et le nombre d'adresses allouées sont
également indiqués.
R2# show ip nat statistics
Total active translations: 4 (0 static, 2 dynamic; 2 extended)
Peak translations: 2, occurred [Link] ago
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 4 Misses: 0
CEF Translated packets: 47, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool NAT-POOL2 refcount 2
pool NAT-POOL2: netmask [Link]
start [Link] end [Link]
type generic, total addresses 15, allocated 1 (6%), misses 0
(output omitted)
R2#
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 54
NAT dynamique
Packet Tracer - Configurer PAT
Dans ce Packet Tracer, vous atteindrez les objectifs suivants:
• Configurer la NAT dynamique avec surcharge
• Vérifier la NAT dynamique avec mise en œuvre de la surcharge
• Configurer PAT à l'aide d'une interface
• Vérifier l'implémentation de l'interface PAT

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 55
6.7 NAT64

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 56
NAT64
NAT pour IPv6?
IPv6 a été développé dans l'intention de rendre inutiles la NAT pour IPv4 et sa
traduction entre les adresses IPv4 publiques et privées.
• Cependant, IPv6 inclut son propre espace d'adressage privé IPv6, des adresses
locales uniques (ULA).
• Les adresses locales uniques IPv6 (ULA) sont similaires aux adresses privées RFC
1918 dans IPv4 mais ont un objectif différent.
• Les adresses ULA sont destinées uniquement aux communications locales au sein
d'un site. Les adresses ULA ne sont pas destinées à fournir un espace d'adressage
IPv6 supplémentaire, ni à fournir un niveau de sécurité.
• IPv6 permet la traduction de protocole entre IPv4 et IPv6 connu sous le nom de
NAT64.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 57
NAT64
NAT64
• La NAT pour IPv6 est utilisée dans un
contexte très différent de la NAT pour
IPv4.
• Les différentes NAT pour IPv6 servent à
fournir de façon transparente un accès
entre les réseaux IPv6-unique et les
réseaux ipv4-unique, comme indiqué. Elles
ne servent pas à traduire des adresses
IPv6 privées en adresses IPv6 globales.
• La NAT pour IPv6 ne doit pas être utilisée
en tant que stratégie à long terme, mais
comme un mécanisme temporaire
permettant d'aider à la migration d'IPv4
vers IPv6.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 58
Questions ??? Préoccupations ???

Prenez quelques minutes pour revoir les concepts abordés

jusqu’ici . Contactez nous pour toutes vos préoccupations

Contacts: tel & 675024974 & email : jemath206@[Link]

CERTIFICATION:CISCO-HUAWEI-MIKROTIK-FORTINET-ITILv4
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 59
6.8 Module pratique et
questionnaire

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 60
NAT dynamique
Packet Tracer - Configurer NAT pour IPv4
Dans ce Packet Tracer, vous atteindrez les objectifs suivants:
• Configuration de la NAT dynamique avec la PAT
• Configuration de la NAT statique

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 61
NAT dynamique
Packet Tracer - Configurer NAT pour IPv4
Au cours de ce TP, vous réaliserez les objectifs suivants:
• Créer le réseau et configurer les paramètres de base des périphériques
• Configurer et vérifier NAT pour IPv4.
• Configurer et vérifier PAT pour IPv4.
• Configurer et vérifier NAT statique pour IPv4.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 62
Module Pratique et Questionnaire
Qu'est-ce que j'ai appris dans ce module?
• Il n'existe pas suffisamment d'adresses IPv4 publiques pour pouvoir attribuer une adresse
unique à chaque périphérique connecté à l'internet.
• L'utilisation principale de NAT consiste à limiter la consommation des adresses IPv4
publiques.
• Dans la terminologie NAT, le réseau interne désigne l'ensemble des réseaux soumis à la
traduction. Le réseau externe désigne tous les autres réseaux.
• La terminologie NAT est toujours appliquée du point de vue de l'appareil avec l'adresse
traduite:
• L'adresse interne est l'adresse de l'appareil qui est traduit par NAT.
• L'adresse externe est l'adresse du périphérique de destination.
• L'adresse locale est toute adresse qui apparaît dans la partie interne du réseau.
• L'adresse globale est toute adresse qui apparaît sur la partie externe du réseau.
• La NAT statique utilise un mappage de type un à un des adresses locales et globales.
• La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la méthode du
premier arrivé, premier servi.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 63
Module pratique et questionnaire
Qu'est-ce que j'ai appris dans ce module? (Suite)
• La traduction d'adresses de port (PAT), également appelée surcharge NAT, mappe plusieurs
adresses IPv4 privées à une seule adresse IPv4 publique unique ou à quelques adresses.
• La fonction NAT augmente les délais de transfert, car la traduction de chaque adresse IPv4
des en-têtes de paquet prend du temps.
• La fonction NAT complique l’utilisation des protocoles de Tunneling, tels qu’IPsec, car la NAT
modifie les valeurs dans les en-têtes, provoquant ainsi l’échec des vérifications d’intégrité.
• La commande show ip nat translations montre toutes les traductions statiques qui ont été
configurées ainsi que les éventuelles traductions dynamiques créées par le trafic.
• Pour effacer les entrées dynamiques avant l’expiration du délai, utilisez la commande du
mode d'exécution privilégié clear ip nat translation .
• IPv6 a été développé dans l'intention de rendre inutiles la NAT pour IPv4 et sa traduction
entre les adresses IPv4 publiques et privées.
• Les adresses locales uniques IPv6 (ULA) sont similaires aux adresses privées RFC 1918
dans IPv4 mais ont un objectif différent.
• IPv6 permet la traduction de protocole entre IPv4 et IPv6 connu sous le nom de NAT64.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 64
 Module Questionnaires - NAT pour IPv4

1- Quelles sont les deux instructions qui décrivent précisément un avantage ou un inconvénient lors
du déploiement de NAT pour IPv4 dans un réseau? (Choisissez deux réponses.)

 NAT améliore le traitement des paquets.

 NAT fournit une solution pour ralentir l'épuisement des adresses IPv4.

 NAT ajoute une capacité d'authentification à IPv4.

 NAT introduit des problèmes pour certaines applications nécessitant une connectivité de bout en
bout.

 NAT fait en sorte que les tables de routage incluent plus d'informations.

 NAT aura un impact négatif sur les performances du commutateur.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 66
 Module Questionnaires - NAT pour IPv4
2- Lorsque NAT dynamique sans surcharge est utilisé, que se passe-t-il si sept utilisateurs tentent
d'accéder à un serveur public sur l'internet alors que seules six adresses sont disponibles dans le
pool NAT?

 La requête au serveur pour le septième utilisateur échoue.

 Aucun utilisateur ne peut accéder au serveur.

 Le premier utilisateur est déconnecté lorsque le septième utilisateur effectue la demande.

 Tous les utilisateurs peuvent accéder au serveur.

3- Un administrateur réseau souhaite examiner les traductions NAT actives sur un routeur
périphérique. Quelle commande effectuerait la tâche?

 Router# show ip nat translations

 Router# clear ip nat translations

 Router# debug ip nat translations

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 67
 Router# show ip nat statistics
 Module Questionnaires - NAT pour IPv4
4- Une entreprise conçoit son réseau de manière à ce que les ordinateurs du réseau interne
reçoivent des adresses IP à partir de serveurs DHCP et que les paquets envoyés à l'internet soient
traduits par un routeur configuré par NAT. Quel type de NAT permet au routeur de remplir la table de
traduction à partir d'un pool d'adresses publiques uniques, lorsque les PC envoient des paquets via
le routeur vers l'internet?

 NAT statique

 NAT dynamique

 PAT

 ARP

5- Qu'est-ce qu'une fonctionnalité de sécurité de l'utilisation de NAT sur un réseau?

 refuse à tous les hôtes internes de communiquer en dehors de leur propre réseau

 refuse tous les paquets qui proviennent d'adresses IP privées

 permet de dissimuler les adresses IP externes aux utilisateurs internes

© 2016 Cisco et/ou ses filiales. Tous droits réservés.
confidentielles de Cisco
Informations
68
 Module Questionnaires - NAT pour IPv4
6- Quelle déclaration décrit avec précision NAT dynamique?

 Il fournit dynamiquement l'adressage IP aux hôtes internes.

 Il fournit un mappage automatisé des adresses IP locales internes à des adresses globales
internes.
 Il mappe toujours une adresse IP privée à une adresse IP publique.

 Il fournit un mappage des noms d'hôte internes aux adresses IP.

7- Pourquoi NAT n'est-il pas nécessaire dans IPv6?​

 Tout hôte ou utilisateur peut obtenir une adresse réseau IPv6 publique car le nombre d'adresses
IPv6 disponibles est extrêmement important.​

 Étant donné que IPv6 a une sécurité intégrée, il n'est pas nécessaire de masquer les adresses
IPv6 des réseaux internes.​

 Les problèmes de connectivité de bout en bout causés par NAT sont résolus car le nombre de
route augmente avec le nombre de nœuds connectés à l'internet. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 69
 Module Questionnaires - NAT pour IPv4
8- Quelle traduction d'adresse est effectuée par NAT statique?

 Une adresse locale interne est traduite en une adresse globale externe spécifiée.

 Une adresse locale interne est traduite en une adresse globale interne spécifiée.

 Une adresse locale externe est traduite en une adresse globale externe spécifiée.

 Une adresse locale interne est traduite en une adresse locale externe spécifiée.

9- En utilisant la terminologie NAT, quelle est l'adresse de l'hôte source sur un réseau privé telle
qu'elle est vue depuis l'intérieur du réseau?

 Globale externe

 Globale interne

 Locale externe

 Locale interne © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 70
 Module Questionnaires - NAT pour IPv4
9- Quel est l'un des avantages de l'utilisation de NAT à la périphérie du réseau?

 Les performances sont considérablement augmentées car le routeur n'a pas à effectuer autant de
recherches de route.

 NAT dynamique permet aux périphériques externes au réseau local d'initier facilement des
connexions TCP aux hôtes internes.
 NAT permet une traçabilité IPv4 de bout en bout, facilitant le dépannage.

 La modification des FAI est plus simple car les périphériques du réseau intérieur n'ont pas besoin
d'être configurés avec de nouvelles adresses lorsque l'adresse externe change.
10- Quel avantage le NAT64 offre-t-il?

 Il permet aux sites d'utiliser des adresses IPv4 privées et cache ainsi la structure d'adressage
interne des hôtes sur les réseaux IPv4 publics.

 Il permet aux sites de connecter des hôtes IPv6 à un réseau IPv4 en traduisant les adresses IPv6
en adresses IPv4.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 71

 Il permet aux sites de connecter plusieurs hôtes IPv4 à l'internet via l'utilisation d'une seule adresse
 Module Questionnaires - NAT pour IPv4
11- Quelles sont les deux tâches à effectuer lors de la configuration du NAT statique? (Choisissez
deux réponses.)

 Identifier les interfaces participantes comme des interfaces internes ou externes.

 Définir l'adresse globale externe.

 Définir l'adresse globale interne sur le serveur

 Configurer un pool NAT.

 Créer le mappage entre les adresses locales internes et les adresses locales externes

12- Quel est l'inconvénient de NAT?

 Les coûts de réadressage des hôtes peuvent être importants pour un réseau à adressage public.​

 Il n'y a pas d'adressage de bout en bout.

 Le routeur n'a pas besoin de modifier la somme de contrôle des paquets IPv4.​

 Les hôtes internes doivent utiliser une adresse IPv4 publique unique pour de Ciscola communication
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles 72

externe.
 Module Questionnaires - NAT pour IPv4
13- Le fournisseur de services Internet a attribué à une entreprise le bloc [Link]/27 d'adresses
IP. La société dispose de plus de 6000 appareils internes. Quel type de NAT serait le plus approprié
pour les postes de travail des employés de l'entreprise?

 NAT dynamique

 PAT hors de l'interface du routeur externe

 surcharge NAT dynamique à l'aide du pool d'adresses

 Transfert de port

 NAT statique

14- Quelle version de NAT permet à de nombreux hôtes d'un réseau privé d'utiliser simultanément
une seule adresse globale interne pour se connecter à l'internet?

 NAT dynamique

 NAT statique
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

 Transfert de port
confidentielles de Cisco 73