Le NAT statique est un mappage un à un entre une adresse interne et une adresse externe.

On peut comparer l’adresse interne à celle de notre PC à la maison, et l’adresse externe c’est l’IP publique de la box internet.

Celle qui vous permet de surfer sur internet. Configuration Nat statique

Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit
Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit
Routeur(config)# ip nat inside source static 192.168.0.1 218.115.20.2

Pour vérifier les configurations NAT du routeur, il faut utiliser la commande « show IP nat translation ».

Le NAT statique permet un mappage permanent entre une adresse interne et une adresse publique. C’est de la translation de 1 à 1 !

Le NAT dynamique permet de traduire des IP privés, vers des adresses publiques qui proviennent d’un pool d’IP !

Sa configuration diffère un peu du NAT statique, mais il y a tout de même beaucoup de similitudes.

Comme pour le NAT statique, il faut identifier chaque interface comme une interface intérieure, dite « Inside » ou extérieure, dite « Outside ».

Et ensuite, plutôt que de créer une carte statique d’une seule adresse IP, la translation se fera sur un groupe d’adresse interne globale ! Configuration NAT dynamique

Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit
Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit
Routeur(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Routeur(config)# ip nat pool NOM-DU-POOL 218.115.20.1 218.115.20.30 netmask 255.255.255.240
Routeur(config)# ip nat inside source list 1 pool NOM-DU-POOL

L’ACL ne doit comporter que des permissions pour le NAT !

Car si à la fin de l’ACL vous faites un « permit any » qui autorise tous les paquets, alors le protocole NAT provoquera une forte consommation des ressources du routeur, ce qui causera beaucoup de problèmes sur le réseau.

À la fin de chaque ACL, il y a implicitement une ligne qu’on ne voit pas, cette ligne est un « deny any »

L’une des principales formes du NAT est le PAT, qui se fait aussi appeler « overload ».

Plusieurs adresses locales internes peuvent être traduites en utilisant le NAT dans une ou plusieurs adresses globales internes.

La plupart des box internet à domicile fonctionnent en PAT.

Le fournisseur d’accès à internet attribue une adresse à la box, qui fonctionne comme un routeur, et plusieurs personnes peuvent surfer sur Internet à partir d’une seule et même adresse.

Avec le PAT plusieurs adresses peuvent être traduites en une ou plusieurs adresses grâce à un numéro de port TCP ou UDP qui seront attribués automatiquement et aléatoirement sur chaque adresse privée. Configuration PAT

Pour la configuration du PAT, et comme toute sorte de NAT, il faut taguer les interfaces en entrée et sortie !

Ensuite, comme pour le NAT dynamique, il faut créer une access-list pour définir les adresses locales qui pourront être translatées.

Et pour finir, il faut indiquer au routeur de translater notre access-list, à travers notre interface sortie, la Fast Ethernet 0/1, avec la commande « ip nat inside ».

Ne pas oublier le petit mot « overload » à la fin de la commande.

Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit
Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit
Routeur(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Routeur(config)# ip nat inside source list 1 interface Fa0/1 overload

Lorsqu’il y a des problèmes de connectivité dans un environnement NAT, il est souvent très difficile de déterminer la cause du problème.

•  show IP nat translations 

→ Affiche la table nat du routeur.

•  debug IP nat 

→ Permet de vérifier les translations en direct.

•  show access-list 

→ Vérifie que l'ACL associée à la commande NAT comprend bien l’ensemble des réseaux qui doivent être nattés !

•  show IP nat statistics 

→ Permet de vérifier que les interfaces du routeur sont correctement définies en inside et outside.

•  show ip route 

→ Vérifie les itinéraires de retour

•  clear IP nat translation * 

→ Permet d’effacer toutes les entrées des adresses translatées dynamiquement. Par défaut, elle s’efface après 24 heures.

•  debug IP nat 

→ Affiche des informations sur chaque paquet que le routeur traduit.

Pendant une recherche de panne, il faut bien s’assurer aussi que l’ACL correspond bien à tous les réseaux qui doivent être nattés. De ne pas oublier aussi que les ACL utilisent des masques inversés et non des masques de sous-réseau.