IP : Traduction d'adresses de réseau (NAT)

Configuration de la traduction d'adresses réseau : Pour commencer

16 août 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (2 mai 2014) | Commentaires


Contenu


Introduction

Ce document explique la configuration de la traduction d'adresses de réseau (NAT) sur un routeur Cisco pour l'usage en commun de scénarios de réseau. Ce document se destine aux utilisateurs débutants de NAT.

Remarque: Dans ce document, quand Internet ou un périphérique d'Internet est mentionné, cela renvoie à un périphérique sur n'importe quel réseau externe.

Conditions préalables

Conditions requises

Ce document exige une connaissance de base des termes utilisés en relation avec NAT. Certaines des définitions peuvent être trouvées dans NAT : Définitions locales et globales.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Routeurs de la gamme Cisco 2500

  • Cisco IOS® Version du logiciel 12.2(10b)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Étapes de démarrage rapide pour configurer et déployer NAT

Quand vous configurez NAT, il est parfois difficile de savoir où commencer, particulièrement si vous débutez avec NAT. Ces étapes vous guident pour définir ce que vous voulez que NAT fasse et comment le configurer :

  1. Définissez les interfaces internes et externes de NAT.

    • Les utilisateurs existent-ils outre plusieurs interfaces ?

    • Y a-t-il plusieurs interfaces allant sur Internet ?

  2. Définissez ce que vous essayez de réaliser avec NAT.

  3. Configurez NAT pour accomplir ce que vous avez défini ci-dessus. Sur la base de ce que vous avez défini à l'étape 2, vous devez déterminer lesquelles des fonctionnalités suivantes sont à utiliser :

    • NAT statique

    • NAT dynamique

    • Surcharge

    • Toute combinaison de ce qui précède

  4. Vérifiez l'opération de NAT .

Chacun de ces exemples NAT vous guide par les étapes 1 à 3 des étapes de démarrage rapide ci-dessus. Ces exemples décrivent quelques scénarios communs dans lesquels Cisco vous recommande de déployer NAT.

Définir les interfaces internes et externes de NAT

La première étape pour déployer NAT est de définir les interfaces internes et externes NAT. Vous pouvez trouver cela plus facile de définir votre réseau intérieur en tant qu'interne, et le réseau extérieur en tant qu'externe. Cependant, les termes internes et externes sont également sujets à arbitrage. Cette figure affiche un exemple de ceci.

/image/gif/paws/13772/12a.gif

Exemple : Permettre à des utilisateurs internes d'accéder à Internet

Vous pouvez vouloir permettre à des utilisateurs internes d'accéder à Internet, mais vous pourriez ne pas avoir assez d'adresses valides pour satisfaire chacun d'entre eux. Si toute la transmission avec des périphériques dans l'Internet proviennent des périphériques internes, vous avez besoin d'une adresse valide simple ou d'un groupe d'adresses valides.

Cette figure affiche un schéma de réseau simple avec les interfaces de routeur définies comme intérieur et extérieur :

/image/gif/paws/13772/12b.gif

Dans cet exemple, vous voulez NAT permettre à certains périphériques (les 31 premiers de chaque sous-réseau) sur l'intérieur pour lancer la transmission avec des périphériques sur l'extérieur en traduisant leur adresse non valide à une adresse ou à un groupe valide d'adresses. Le groupe a été défini tel que la plage d'adresses 172.16.10.1 par 172.16.10.63.

Maintenant vous êtes prêt à configurer NAT. Afin de réaliser ce qui est défini ci-dessus, utilisez NAT dynamique. Avec NAT dynamique, la table de traduction dans le routeur est initialement vide et devient peuplée une fois que le trafic qui doit être traduit passe par le routeur. Par opposition à NAT statique, où une traduction est statiquement configurée et est placée dans la table de traduction sans besoin de n'importe quel trafic.

Dans cet exemple, vous pouvez configurer NAT pour traduire chacun des périphériques internes à une seule adresse valide, ou pour traduire chacun des périphériques internes à la même adresse valide. Cette deuxième méthode est connue en tant que surcharge. Un exemple de la façon configurer chaque méthode est donné ici.

Configurer NAT pour permettre à des utilisateurs internes d'accéder à Internet

Routeur NAT
interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.

 
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
 !

!--- Defines a NAT pool named no-overload with a range of addresses 
!--- 172.16.10.1 - 172.16.10.63.


ip nat inside source list 7 pool no-overload 
 !
 !

!--- Indicates that any packets received on the inside interface that 
!--- are permitted by access-list 7 has
!--- the source address translated to an address out of the 
!--- NAT pool "no-overload".


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from 
!--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.
 

Remarque: Cisco recommande fortement que vous ne configuriez pas de listes d'accès référencées par des commandes NAT avec permit any. L'utilisation de permit any peut amener NAT à consommer trop de ressources du routeur ce qui peut causer des problèmes de réseau.

Avis dans la configuration précédente que seulement on permet les 32 premières adresses du sous-réseau 10.10.10.0 et les 32 premières adresses du sous-réseau 10.10.20.0 par la liste d'accès 7. Par conséquent, seulement ces adresses sources sont traduites. Il peut y avoir d'autres périphériques avec d'autres adresses sur le réseau intérieur, mais ceux-ci ne sont pas traduits.

L'étape finale est de vérifier que NAT fonctionne comme prévu.

Configurer NAT pour permettre à des utilisateurs internes d'accéder à Internet en utilisant la surcharge

Routeur NAT
interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
 !

!--- Defines a NAT pool named ovrld with a range of a single IP 
!--- address, 172.16.10.1.


ip nat inside source list 7 pool ovrld overload
 !
 !
 !
 !

!--- Indicates that any packets received on the inside interface that 
!--- are permitted by access-list 7 has the source address 
!--- translated to an address out of the NAT pool named ovrld. 
!--- Translations are overloaded, which allows multiple inside 
!--- devices to be translated to the same valid IP address.


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from 
!--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.
 

La note dans la deuxième configuration précédente, le groupe NAT « ovrld " a seulement une plage d'une adresse. Le mot clé overload utilisé dans la commande ip nat inside source list 7 pool ovrld overload permet à NAT de traduire plusieurs périphériques internes en l'adresse unique dans le groupe.

Une autre variation de cette commande est ip nat inside source list 7 interface serial 0 overload, qui configure NAT pour surcharger sur l'adresse qui est assignée à l'interface de série 0.

Lorsque la surcharge est configurée, le routeur conserve assez d'informations des protocoles de plus haut niveau (par exemple, numéros de port TCP ou UDP) pour traduire l'adresse globale de nouveau en l'adresse locale correcte. Pour des définitions d'adresse globale et locale, reportez-vous à NAT : Définitions locales et globales.

L'étape finale est de vérifier que NAT fonctionne comme prévu.

Exemple : Permettre à Internet d'accéder à des équipements internes

Vous pouvez avoir besoin d'équipements internes pour échanger l'information avec des périphériques sur Internet, où la transmission est lancée depuis des périphériques d'Internet, par exemple, l'e-mail. Il est typique pour des périphériques sur l'Internet pour envoyer l'email à un serveur de messagerie qui réside sur le réseau interne.

/image/gif/paws/13772/12c.gif

Configurer NAT pour permettre à Internet d'accéder à des équipements internes

Dans cet exemple, vous définissez d'abord les interfaces internes et externes NAT, suivant les indications du schéma de réseau précédent.

En second lieu, vous définissez que vous voulez que les utilisateurs sur l'intérieur puissent lancer la transmission avec l'extérieur. Les périphériques sur l'extérieur devraient pouvoir lancer la transmission avec seulement le serveur de courrier sur l'intérieur.

La troisième étape est de configurer NAT. Pour accomplir ce que vous avez défini, vous pouvez configurer NAT statique et dynamique ensemble. Pour plus d'informations sur la façon de configurer cet exemple, reportez-vous à Configurer NAT statique et dynamique simultanément.

L'étape finale est de vérifier que NAT fonctionne comme prévu.

Exemple : Rediriger le trafic TCP vers un autre port ou adresse TCP

Avoir un serveur Web sur le réseau interne est un autre exemple de quand il peut être nécessaire que les périphériques sur Internet lancent la transmission avec des périphériques internes. Dans certains cas, le serveur Web interne peut être configuré pour écouter le trafic Web sur un port TCP autre que le port 80. Par exemple, le serveur Web interne peut être configuré pour écouter le port TCP 8080. Dans ce cas, vous pouvez utiliser NAT pour rediriger le trafic destiné au port TCP 80 au port TCP 8080.

/image/gif/paws/13772/12d.gif

Après que vous définissiez les interfaces suivant les indications du schéma de réseau précédent, vous pouvez décider que vous voulez NAT réorienter des paquets de l'extérieur destiné pour 172.16.10.8:80 à 172.16.10.8:8080. Vous pouvez employer une commande nat statique afin de traduire le nombre de port TCP pour réaliser ceci. Une configuration d'échantillon est affichée ici.

Configurer NAT pour rediriger le trafic TCP vers un autre port ou adresse TCP

Routeur NAT
interface ethernet 0 
 ip address 172.16.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 200.200.200.5 255.255.255.252
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Static NAT command that states any packet received in the inside 
!--- interface with a source IP address of 172.16.10.8:8080 is 
!--- translated to 172.16.10.8:80. 

Notez que la description de configuration pour la commande NAT statique indique que n'importe quel paquet reçu dans l'interface interne avec une adresse source de 172.16.10.8:8080 est traduit à 172.16.10.8:80. Ceci implique également que n'importe quel paquet reçu sur l'interface extérieure avec une adresse de destination de 172.16.10.8:80 a la destination traduite à 172.16.10.8:8080.

L'étape finale est de vérifier que NAT fonctionne comme prévu.

show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.16.10.8:80     172.16.10.8:8080   ---                ---

Exemple : Utiliser NAT pendant une transition de réseau

Déployer NAT est utile quand vous devez réadresser des périphériques sur le réseau ou quand vous remplacez un périphérique par des autres. Par exemple, si tous les périphériques dans le réseau utilisent un serveur particulier et ce serveur doit être remplacé par un neuf qui a une nouvelle adresse IP, la reconfiguration de tous les périphériques de réseau pour utiliser la nouvelle adresse du serveur prend un certain temps. Dans le même temps, vous pouvez utiliser NAT afin de configurer les périphériques avec la vieille adresse pour traduire leurs paquets pour communiquer avec le nouveau serveur.

/image/gif/paws/13772/12e.gif

Une fois que vous avez défini les interfaces NAT tel qu'indiqué ci-dessus, vous pouvez décider que vous voulez que NAT autorise des paquets depuis l'extérieur destinés à la vieille adresse de serveur (172.16.10.8) à traduire et à envoyer à la nouvelle adresse de serveur. Notez que le nouveau serveur est sur un autre LAN, et des périphériques sur ce LAN ou tout périphérique joignable à travers ce LAN (périphériques sur la partie intérieure du réseau), devrait être configuré pour utiliser l'adresse IP du nouveau serveur si possible.

Vous pouvez utiliser NAT statique pour effectuer ce dont vous avez besoin. C'est une configuration d'échantillon.

Configurer NAT pour l'usage pendant une transition de réseau

Routeur NAT
interface ethernet 0
 ip address 172.16.10.1 255.255.255.0
 ip nat outside

!--- Defines Ethernet 0 with an IP address and as a NAT outside interface.


interface ethernet 1
 ip address 172.16.50.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 200.200.200.5 255.255.255.252

!--- Defines serial 0 with an IP address. This interface is not 
!--- participating in NAT.


ip nat inside source static 172.16.50.8 172.16.10.8

!--- States that any packet received on the inside interface with a 
!--- source IP address of 172.16.50.8 is translated to 172.16.10.8.

Notez que la commande NAT de source intérieure dans cet exemple implique également que les paquets reçus sur l'interface extérieure avec une adresse de destination de 172.16.10.8 a l'adresse de destination traduite à 172.16.50.8.

L'étape finale est de vérifier que NAT fonctionne comme prévu.

Exemple : Utilisation du mode NAT dans les réseaux qui se chevauchent

Les réseaux en superposition se produisent quand vous assignez des adresses IP aux périphériques internes qui sont déjà en train d'être utilisés par d'autres périphériques dans Internet. Les réseaux en superposition se produisent également quand deux sociétés, qui utilisent chacune des adresses IP RFC 1918 dans leurs réseaux, fusionnent.leavingcisco.com Ces deux réseaux doivent communiquer, de préférence sans devoir réadresser tous leurs périphériques. Référez-vous utilisant NAT dans les réseaux en superposition pour plus d'informations sur la configuration de NAT à cet effet.

Différence entre le mappage linéaire et multiple

A configuration de NAT statique crée un mappage linéaire et traduit une adresse spécifique en une autre adresse. Ce type de configuration crée une entrée permanente dans la table NAT tant que la configuration est présente et permet aussi bien à des hôtes internes qu'externes d'initier une connexion. Ceci est en grande partie utile pour les hôtes qui fournissent des services d'application comme le courrier, Web, FTP et ainsi de suite. Exemple :

Router(config)#ip nat inside source static 10.3.2.11 10.41.10.12
 Router(config)#ip nat inside source static 10.3.2.12 10.41.10.13

NAT dynamique est utile quand moins d'adresses sont disponibles que le nombre réel d'hôtes à traduire. Il crée une entrée dans la table NAT quand l'hôte lance une connexion et établit un mappage linéaire entre les adresses. Cependant, le mappage peut varier et dépend des adresses enregistrées disponibles dans le pool au moment de la transmission. NAT dynamique permet à des sessions d'être lancées seulement de l'intérieur ou de l'extérieur de réseaux externes pour lesquels elle est configurée. Des entrées de NAT dynamique sont supprimées de la table de traduction si l'hôte ne communique pas pendant une période spécifique qui est configurable. L'adresse est alors retournée au pool à l'usage d'un autre hôte.

Par exemple, complétez ces étapes de la configuration détaillée :

  1. Créez un groupe d'adresses

    Router(config)#ip nat pool MYPOOLEXAMPLE 
    10.41.10.1 10.41.10.41 netmask 255.255.255.0
    
  2. Créez une liste d'accès pour les réseaux internes qui doivent être mappés

    Router(config)#access-list 100 permit ip 
    10.3.2.0 0.0.0.255 any
    
  3. Associez la liste d'accès 100 qui sélectionne le réseau interne 10.3.2.0 0.0.0.255 à rattacher au groupe MYPOOLEXAMPLE puis surchargez les adresses.

    Router(config)#ip nat inside source list 100 pool 
    		MYPOOLEXAMPLE overload
    

Vérifier l'opération NAT

Une fois que vous avez configuré NAT, vérifiez qu'il fonctionne comme prévu. Vous pouvez faire ceci de diverses façons : en utilisant un analyseur de réseau, les commandes show ou les commandes debug. Pour un exemple détaillé de vérification NAT, reportez-vous à Vérification de l'opération NAT et dépannage primaire NAT.

Conclusion

Les exemples dans ce document expliquent les étapes de démarrage rapide qui peuvent vous aider à configurer et déployer NAT. Ces étapes de démarrage rapide comprennent :

  1. Définir les interfaces internes et externes de NAT

  2. Définir ce que vous essayez de réaliser avec NAT.

  3. Configurer NAT afin de réaliser ce que vous avez défini dans l'étape 2.

  4. Vérifier l'opération NAT.

Dans chacun des exemples précédents, de diverses formes de l'ip nat à l'intérieur de la commande ont été utilisées. Vous pouvez également employer la commande d'ip nat outside afin d'atteindre les mêmes objectifs, mais maintenez dans l'esprit la commande NAT des exécutions. Pour les exemples de configuration qui utilisent les commandes d'ip nat outside, référez-vous à la configuration d'échantillon utilisant la commande de liste d'ip nat outside source et la configuration d'échantillon utilisant la commande de charge statique d'ip nat outside source.

Les exemples précédents ont également expliqué ces actions :

Commande Action
ip nat inside source
  • Traduit la source des paquets IP qui circulent de l'intérieur vers l'extérieur.
  • Traduit la destination des paquets IP qui circulent de l'extérieur vers l'intérieur.
ip nat outside source
  • Traduit la source des paquets IP qui circulent de l'extérieur vers l'intérieur.
  • Traduit la destination des paquets IP qui circulent de l'intérieur vers l'extérieur.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 13772