Le NAT statique est un mappage un à un entre une adresse interne et une adresse externe.

Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit
Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit
Routeur(config)# ip nat inside source static 192.168.0.1 218.115.20.2

Pour vérifier les configurations NAT du routeur, il faut utiliser la commande

 show IP nat translation 

Le NAT statique permet un mappage permanent entre une adresse interne et une adresse publique. C’est de la translation de 1 à 1 !

Le NAT dynamique permet de traduire des IP privés, vers des adresses publiques qui proviennent d’un pool d’IP ! Sa configuration diffère un peu du NAT statique, mais il y a tout de même beaucoup de similitudes.

Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit
Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit
Routeur(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Routeur(config)# ip nat pool NOM-DU-POOL 218.115.20.1 218.115.20.30 netmask 255.255.255.240
Routeur(config)# ip nat inside source list 1 pool NOM-DU-POOL

L’ACL ne doit comporter que des permissions pour le NAT !

Car si à la fin de l’ACL vous faites un « permit any » qui autorise tous les paquets, alors le protocole NAT provoquera une forte consommation des ressources du routeur, ce qui causera beaucoup de problèmes sur le réseau.

À la fin de chaque ACL, il y a implicitement une ligne qu’on ne voit pas, cette ligne est un « deny any »

L’une des principales formes du NAT est le PAT, qui se fait aussi appeler « overload ». Plusieurs adresses locales internes peuvent être traduites en utilisant le NAT dans une ou plusieurs adresses globales internes. Avec le PAT plusieurs adresses peuvent être traduites en une ou plusieurs adresses grâce à un numéro de port TCP ou UDP qui seront attribués automatiquement et aléatoirement sur chaque adresse privée. Configuration PAT Il faut indiquer au routeur de translater notre access-list, à travers notre interface sortie, la Fast Ethernet 0/1, avec la commande « ip nat inside ».

Ne pas oublier le petit mot « overload » à la fin de la commande.

Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit
Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit
Routeur(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Routeur(config)# ip nat inside source list 1 interface Fa0/1 overload

Lorsqu’il y a des problèmes de connectivité dans un environnement NAT, il est souvent très difficile de déterminer la cause du problème.

•  show IP nat translations 

→ Affiche la table nat du routeur.

•  debug IP nat 

→ Permet de vérifier les translations en direct.

•  show access-list 

→ Vérifie que l'ACL associée à la commande NAT comprend bien l’ensemble des réseaux qui doivent être nattés !

•  show IP nat statistics 

→ Permet de vérifier que les interfaces du routeur sont correctement définies en inside et outside.

•  show ip route 

→ Vérifie les itinéraires de retour

•  clear IP nat translation * 

→ Permet d’effacer toutes les entrées des adresses translatées dynamiquement. Par défaut, elle s’efface après 24 heures.

•  debug IP nat 

→ Affiche des informations sur chaque paquet que le routeur traduit.

Pendant une recherche de panne, il faut bien s’assurer aussi que l’ACL correspond bien à tous les réseaux qui doivent être nattés. De ne pas oublier aussi que les ACL utilisent des masques inversés et non des masques de sous-réseau.