_ ____________________________________________ _ -*3*- `^°*;:,.> - La NAT sur routeur cisco - <.,:;*°^` ___________________/¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯By Ulysse¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯\________________ ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸ Cette doc présente brièvement les principes NAT et PAT et leur mise en oeuvre détaillée sur un Cisco de base (modèle 800/1000). Bien entendu, si vous voulez rajouter quelque chose, ou transformer cette doc en présentation plus complète des routeurs, je vous y encourage. Tout commentaire est par ailleurs le bienvenu. Envoyez toute doc modifiée à : ulysse31@madchat.orgd Qu’est ce que la NAT ? La Network Address Translation ou translation d’adresses IP est le fait de traduire des adresses IP privées (LAN) vers des adresses IP publiques (Internet). Le premier intérêt de la NAT est que les adresses publiques sur le net sont limitées (255*255*255*255 mais quand même trop peu ), tout ordinateur ne peut donc pas avoir sa propre adresse publique. Pour ça, il existe des plages d’adresses qui sont réservées aux réseaux privés (LAN) par exemple 172.16.0.*, 192.15.*.*, 10.*.*.* mais, ces adresses sont utilisées par plusieurs ordinateurs au monde, qui ne peuvent donc se connecter avec ce type d’adresses à Internet. Le second intérêt de cette technologie et que si le provider ne nous à attribué qu’un petit nombre d’adresses IP publiques et qu’on à plus de machines à connecter au net, ça permet de « partager » les adresses IP. Il y à 3 types de NAT : La NAT statique ou une adresse privée (LAN) correspond à une adresse publique (Internet). La correspondance est toujours la même. Utile pour limiter ou contrôler les accès au net de certaines IP. La NAT dynamique ou l’on dispose d’une série d’adresses publiques pour le LAN, le premier à se connecter, prend la première, le second la seconde… Les adresses publiques sont attribuées dynamiquement à la connexion. C’est le NAT le plus utilisé pour des raisons de simplicité de configuration. La PAT (Port Address Translation). On ne dispose que d’une adresse IP publique et plusieurs machines peuvent être reliées en même temps au net. Le routeur dispose d’une table de routage et fait correspondre des ports à des machines. Par exemple, la machine A veut se connecter sur le site http://www.madchat.org, elle envoie une requête au routeur (adresse 172.16.0.1 port 80) qui traduit l’adresse IP de la machine A, en adresse IP publique et qui change le numéro du port demandeur (par exemple, elle le remplace par le port 2034) et envoie la requête au site www.madchat.org (IP 200.01.25.69, port 80). Le site répond sur l’adresse IP publique du routeur (212.81.106.161 port 2034) qui transmet à la machine qui à demandé la connexion car le routeur sait que les requêtes reçues sur le port 2034 sont à expédier à la machine A port 80 (c’est inscrit dans la table de routage). Si la machine B fait elle aussi une requête pendant ce temps, le routeur lui attribuera un autre de ses ports. Configuration d’un routeur Cisco (exemple : série 1000) pour le NAT : Avant de configurer le routeur pour faire du NAT, il faut tout d’abord vérifier que le système d’exploitation du routeur (Unix Cisco) appelé IOS pour Internet Operating System est capable de faire du NAT. Pour ceci, il faut connecter le routeur sur un port COM d’un ordinateur, lancer une connexion Hyper terminal. A l’invite Routeur> (l’invite est en fait le nom du routeur), entrez « en » (en pour enable) puis le mot de passe secret, entrez : « sh ru » (pour show running configuration) et appuyez sur tab puis sur entrée. La version de l’IOS doit alors s’afficher (c’est du genre 12-2.17Y2MZ), il faut ensuite vérifier qu’elle est capable de faire du NAT sur le site http://www-europe.cisco.com/warp/public/458/41.html ou en tapant NAT ?, si rien n’apparaît, il faut une autre version. Si la version n’est pas capable de faire du NAT, il faut en charger une compatible sur le routeur. Pour cela, il faut disposer d’un serveur TFTP (Trivial File Transfer Protocol) sur le PC auquel le routeur est relié et de la version compatible sur le PC. Lancer le serveur TFTP. Sur le routeur, à l’invite Routeur# , tapez copy tftp flash. Ensuite, le routeur demande l’adresse IP du serveur TFTP. Le nom du fichier source. Le nom du fichier cible. Il demande de confirmer 2 fois l’effacement de la flash. Le transfert commence. Si tout s’est bien passé, le serveur TFTP doit afficher des # et succesful a la fin, le routeur doit afficher des points d’exclamations et un ok à la fin. Sinon, retenter l’envoi ou tenter avec un autre IOS. Il faut entrer tout d’abord setup puis 2 fois yes (pour rentrer dans le menu de configuration puis pour voir la configuration actuelle). Entrer le nom du routeur (Router). Entrer les 3 mots de passe (secret, enable et virtual terminal), ensuite, le routeur propose de configurer plusieurs protocoles, toujours répondre non, sauf pour le protocole IP. Le routeur demande ensuite de configurer les interfaces (Serial, Ethernet). Si l’interface ethernet0 est celle utilisée (interface utilisée par défaut), mettre yes , rentrer l’adresse IP pour cette interface (par exemple 172.16.0.254), laisser le choix par défaut pour le masque de sous réseau. Il faut maintenant configurer la 2éme interface (ISD ou bri0 ou Aux sur le 2500) et lui attribuer une adresse IP (l’adresse IP publique) (par exemple 212.81.106.162 ). Maintenant, on va passer à la configuration du NAT. 3. Syntaxe : Entrez conf t. A/ Nat dynamique : Pour une configuration en NAT dynamique (une adresse IP privée aboutit à la première adresse IP publique disponible) : Tapez : « int eth0 » (pour indiquer que l’on configure l’interface ethernet 0) puis : « IP nat inside » entrez ensuite « ip address » suivie de l’ip LAN du routeur et du masque de sous réseau. Exemple : « ip address 172.16.0.254 255.255.0.0 ». Dans cet exemple, toutes les adresses en 172.16.0.xxx sont autorisées à sortir sur Internet par le routeur. Ensuite, il faut configurer l’IP externe : « int bri0 » (bri0 est le port sur lequel la ligne isdn est connectée). « ip nat outside » « ip address première adresse ip sortante puis masque de sous réseau ». exemple : « ip address 212.81.106.161 255.255.255.224 ». « exit » « access-list 2 permit 172.16.0.0 0.0.0.127 » « ip nat pool ext 212.81.106.162 212.81.106.190 netmask 255.255.255.224 » ip nat inside source list 2 pool ext » Dans cet exemple, les adresses ip publiques entre 212.81.106.162 et 212.81.106.190 seront attribuées dynamiquement aux ip privées en 172.16.0.xxx. B/ Nat statique : « conf t » « ip nat inside » « ip nat outside » « ip nat source cible » exemple : « ip nat 172.16.0.2 212.81.106.162 » recommencer l’opération autant de fois que nécessaire ( juste la dernière ligne ). C/ PAT : « conf t » « ip nat pool acl overload » « access-list 101 permit 172.16.0.0 255.255.0.0 any » ainsi, toutes les adresses à partir de la 172.16.0.1 peuvent sortir par le routeur en PAT. Pour interdire un port sur toutes les machines : « access-list 10 deny 172.16.0.0 255.255.0.0 agent 1032 » Cet ligne crée une ‘access list’ qui interdit d’utiliser le port 1032 pour toutes les machines.