La traduction d'adresses de réseau (NAT) fonctionne sur un routeur et permet aux réseaux IP privés avec des adresses IP non enregistrées de se connecter à Internet. Un routeur agit en tant qu’agent entre le réseau local et Internet (réseau public), ce qui signifie que la fonction NAT traduit les adresses privées (réseau interne) en une adresse IP publique unique qui représenterait l’ensemble du groupe d’ordinateurs à tout ce qui se trouve en dehors de leur réseau. Cela fournit une sécurité supplémentaire en masquant efficacement l'ensemble du réseau interne derrière cette adresse IP publique unique. La fonction NAT permet également de conserver l'utilisation des adresses IPv4 en raison d'un problème majeur d'épuisement d'IPv4.
La fonction NAT de stratégie vous permet d'identifier l'adresse publique pour la traduction d'adresses en spécifiant l'adresse source et de destination dans une liste d'accès étendue. L'une des nombreuses manières d'utiliser la fonction NAT de stratégie consiste à mapper plusieurs adresses IP privées à différentes adresses IP WAN.
Dans ce document, nous allons configurer la fonction NAT de stratégie en créant deux nouveaux VLAN (VLAN 2 et VLAN 10) et en les attachant à deux adresses IP WAN différentes. Vous pouvez spécifier les ports source et de destination. La fonction NAT de stratégie vous permet de créer des règles NAT flexibles pour les utilisateurs avancés. Veuillez comprendre les fonctionnalités de la fonction et votre cas d'utilisation avant de configurer les règles. Des paramètres non valides peuvent être acceptés, mais ils peuvent ne pas fonctionner. Pour la plupart des utilisateurs, il est recommandé d'utiliser la fonction de transfert de port ou la fonction NAT statique à la place.
Pour savoir comment configurer NAT et NAT statique sur les routeurs RV160 et RV260, cliquez ici.
· RV160
· RV260
· 1.0.0.13
Étape 1. Connectez-vous à la page de configuration Web et accédez à LAN > VLAN Settings. Dans cet exemple, nous allons créer VLAN 2 et VLAN 10. Chacun des VLAN se trouve dans un sous-réseau différent suivant le format 172.16.x.x/24.
Étape 2. Cliquez sur l'icône Plus pour créer un nouveau VLAN.
Étape 3. Saisissez l'ID de VLAN (plage comprise entre 1 et 4093) et un nom.
Étape 4. Cochez la case Enabled pour activer le routage inter-VLAN et la gestion des périphériques. Dans cet exemple, nous allons uniquement activer le routage inter-VLAN. L'activation du routage inter-VLAN est utile car les administrateurs réseau internes pourront accéder à distance à vos périphériques pour résoudre vos problèmes. Cela réduira le temps nécessaire pour commuter constamment les VLAN afin d'accéder aux périphériques.
Étape 5. Entrez une adresse IPv4 et le masque de sous-réseau. Dans cet exemple, nous allons entrer 172.16.2.60/24.
Note: Le champ Masque de sous-réseau s'adapte automatiquement au masque de sous-réseau que vous avez entré dans le champ /.
Étape 6. Dans le type DHCP pour IPv4, nous allons le laisser comme Désactivé. Ceci désactive le serveur IPv4 DHCP sur VLAN.
Étape 7. Dans la section Adresse/longueur de préfixe IPv6, saisissez un préfixe et une longueur de préfixe IPv6. Nous utiliserons le préfixe et la longueur de préfixe IPv6 par défaut, fec0:1:: comme préfixe et 64 comme longueur de préfixe.
Note: Dans cet exemple, les autres options seront conservées sur les paramètres par défaut.
Étape 8. Cliquez sur Apply.
Note: Si vous souhaitez créer davantage de VLAN, revenez à l'étape 1 de la section Configuration VLAN. Pour cette démonstration, nous avons créé un autre VLAN. VLAN 10 avec l'adresse IPv4 172.16.3.60/24 et le préfixe d'adresse IPv6 fec0:2::/64.
Étape 1. Accédez à Firewall > Policy NAT.
Étape 2. Cliquez sur l'icône Plus pour ajouter une nouvelle règle NAT de stratégie.
Étape 3. Entrez le nom de la nouvelle règle NAT de stratégie.
Étape 4. Cochez Enable pour activer la règle de stratégie.
Étape 5. Dans le champ De l'interface, sélectionnez l'interface dans la liste déroulante d'où provient le trafic. Dans cet exemple, nous allons sélectionner VLAN1.
Étape 6. Dans le champ Interface de destination, sélectionnez l'emplacement de l'interface de départ . Dans cet exemple, nous allons sélectionner WAN comme interface To.
Note: La traduction d’adresses de réseau dynamique (DNAT) est une forme améliorée de NAT qui implique que le routeur traduit l’adresse IP mais pas le numéro de port. Cette approche dynamique permet de mapper les adresses d’un grand nombre d’ordinateurs internes à quelques adresses IP routables. Pour DNAT, vous devez définir la ” d'interface “ To comme Any.
Étape 7. Dans la section Adresse source, sélectionnez Any ou Use a new IP Group pour créer une adresse. Sélectionnez ensuite une option dans la liste déroulante Adresse source traduite. Nous sélectionnerons Any comme notre adresse source d'origine et IP WAN comme l'adresse IP publique traduite pour notre VLAN 1.
Note: Passez à l'étape 11 si vous avez sélectionné Utiliser un nouveau groupe IP.
Étape 8. Cliquez sur Apply pour ajouter la nouvelle règle NAT de stratégie.
Note: Les champs Adresse de destination et Service restent par défaut.
Étape 9. Répétez les étapes 2 à 6 pour le prochain VLAN. Nous allons configurer VLAN 2 pour avoir une adresse IP WAN différente.
Étape 10. Sélectionnez Any comme Original Source Address et Utilisez un nouveau groupe IP comme Translated Source Address dans la liste déroulante.
Étape 11. Une fenêtre Créer un nouveau groupe IP apparaît. Entrez un nom pour le groupe IP WAN.
Note: Un message s'affiche “ Un groupe d'adresses IP doit avoir au moins une adresse IP de groupe. ” Ceci est configuré à l'étape suivante.
Étape 12. Cliquez sur l'icône Plus pour ajouter une adresse IP unique, un sous-réseau d'adresses IP ou une plage d'adresses IP. Dans cet exemple, nous allons sélectionner Single IP dans la liste déroulante car nous voulons traduire le VLAN en une adresse IP unique.
Étape 13. Dans le champ Address Details, saisissez la deuxième adresse IP WAN que vous avez.
Étape 14. Cliquez sur OK pour créer le nouveau groupe IP.
Étape 15. Cliquez sur Apply pour ajouter la nouvelle règle NAT de stratégie.
Note: Si vous avez d'autres VLAN à ajouter qui nécessitent une nouvelle adresse IP WAN, répétez les étapes 9 à 15.
Étape 16. Cliquez sur Apply pour appliquer la configuration.
Vous devez maintenant avoir correctement configuré la fonction NAT de stratégie. Le trafic sortant de chacun des VLAN doit apparaître comme une adresse IP WAN différente. Voici un exemple d'une façon possible de configurer la fonction NAT de stratégie.