Fiche de

BTS SIO
Configuration du NAT sur un routeur CISCO procédure
SISR 5
N° 8

Quand il s’agit d’interconnecter un réseau privé (que ce soit d’entreprise ou particulier), en IPv4, il
est pratiquement impossible de se passer du NAT. Voici donc une configuration qui reprend
l’essentiel des trois principaux types de NAT que l’on peut configurer, à savoir :

 Le NAT statique
 Le NAT dynamique avec pool d’adresses
 Le NAT dynamique avec surcharge (NAT overload, aussi connu sous le nom de PAT)

Topologie du labo

Le labo est divisé en deux parties, le côté privé (réseau de l’entreprise) et le côté publique (le FAI et
Internet). Le routeur Internet (qui représente le FAI), n’a aucune connaissance des réseaux privés de
l’entreprise et ne peut donc rien router à destination des réseaux 192.168.x.x. (comme défini dans la
RFC1918). Ces adresses sont réservées pour l’utilisation dans les réseaux privés. Il en va de même
pour toutes les adresses faisant parties des plages suivantes:

 10.0.0.0/8 (de 10.0.0.0 à 10.255.255.255)

 172.16.0.0/12 (de 172.16.0.0 à 172.31.255.255)
 192.168.0.0/16 (de 192.168.0.0 à 192.168.255.255)

Dés lors, nous allons configurer le NAT afin de permettre un accès à Internet :

 Le réseau 192.168.0.0/24 utilisera du NAT dynamique avec surcharge.

 Le réseau 192.168.1.0/24 utilisera du NAT avec pool d’adresse.
 La machine 192.168.1.100 sera accessible depuis le réseau public grâce à une configuration
de NAT statique.

BTS SIO – SISR 5 – fiche procédure 8 - Configuration du NAT sur un routeur CISCO Page 1
 1- Configuration de la topologie de base

Construire la maquette sur Packet Tracer en respectant la topologie et sans oublier la

route par défaut

2- Configuration commune à tout type de NAT

La première chose à faire lorsque l’on configure du NAT, quel qu’en soit le type, c’est d’indiquer
au routeur où se situe le réseau privé et où se situe le réseau public.

Le NAT ne prend effet que lorsque qu’un paquet est routé d’une interface « inside » (côté privé)
vers une interface « outside » (côté publique) et vice-versa.

Dans notre cas, les interfaces Gig0/0 et Gig0/1 sont du côté privé et seront déclarées comme
« inside », l’interface S0/0/0 par contre, étant du côté publique, sera configurée comme « outside ».

R1(config)#int Gig0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#int Gig0/1
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#int s0/0/0
R1(config-if)#ip nat outside
R1(config-if)#exit

BTS SIO – SISR 5 – fiche procédure 8 - Configuration du NAT sur un routeur CISCO Page 2
 3- Configuration du NAT statique pour le poste 192.168.1.100
Ce que nous allons configurer ici c’est une translation statique dans la table de translation NAT, ce
qu’on appelle vulgairement sur du matériel domestique « ouvrir un port ». Nous allons
explicitement indiquer au routeur que ce qui arrive sur son interface publique (S0/0/0) et dont
l’adresse destination est 201.49.10.30 (une des adresses du pool publique détenu par l’organisation)
doit être redirigé vers 192.168.1.100.

Du point de vue du routeur cela revient à modifier l’adresse IP destination dans l’en-tête IPv4 avant
de router le paquet. Cela signifie aussi que si C3 envoi un paquet vers internet, à la sortie de S0/0/0
de R1 l’adresse source (192.168.1.100) sera remplacée par l’adresse indiquée dans la translation,
soit 201.49.10.30.

R1(config)#ip nat inside source static 192.168.1.100 201.49.10.30

La table de translations NAT doit maintenant ressembler à ceci:

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- 201.49.10.30 192.168.1.100 --- ---
R1#

A présent 192.168.1.100 doit pouvoir communiquer avec le réseau public

Poste> ping 201.50.10.16

201.50.10.16 icmp_seq=1 ttl=254 time=119.000 ms
201.50.10.16 icmp_seq=2 ttl=254 time=102.000 ms
201.50.10.16 icmp_seq=3 ttl=254 time=75.000 ms
201.50.10.16 icmp_seq=4 ttl=254 time=117.000 ms
201.50.10.16 icmp_seq=5 ttl=254 time=116.000 ms

Chaque paquet a donc été translaté, preuve en est la table de translations juste après l’émission de
ces pings:

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global
icmp 201.49.10.30:33598 192.168.1.100:33598 201.50.10.16:33598 201.50.10.16:33598
icmp 201.49.10.30:33854 192.168.1.100:33854 201.50.10.16:33854 201.50.10.16:33854
icmp 201.49.10.30:34366 192.168.1.100:34366 201.50.10.16:34366 201.50.10.16:34366
icmp 201.49.10.30:34622 192.168.1.100:34622 201.50.10.16:34622 201.50.10.16:34622
icmp 201.49.10.30:34878 192.168.1.100:34878 201.50.10.16:34878 201.50.10.16:34878
--- 201.49.10.30 192.168.1.100 --- ---
R1#

On peut observer le résultat de la translation du côté d’ISP aussi à l’aide de la commande « debug ip
packet » qui va afficher le détail de chaque paquet IP traité par le routeur (Attention, dans un
environnement réel cette commande peut gravement saturer le routeur).

ISP#debug ip packet

*Mar 1 02:22:49.491: IP: tableid=0, s=201.49.10.30 (Serial0/0/0), d=201.50.10.16

(Loopback0), routed via RIB
*Mar 1 02:22:49.491: IP: s=201.49.10.30 (Serial0/0/0), d=201.50.10.16, len 92, rcvd 4
*Mar 1 02:22:49.495: IP: tableid=0, s=201.50.10.16 (local), d=201.49.10.30 (Serial0/0),
routed via FIB
*Mar 1 02:22:49.495: IP: s=201.50.10.16 (local), d=201.49.10.30 (Serial0/0/0), len 92,
sending

BTS SIO – SISR 5 – fiche procédure 8 - Configuration du NAT sur un routeur CISCO Page 3
 4- Configuration du NAT avec pool d’adresses
Pour l’instant seul le Poste 192.168.1.100 à accès au réseau public, nous allons maintenant configurer un
autre type de NAT pour le réseau 192.168.1.0/24 (à l’exception de 192.168.1.100).

Ici, au lieu de configurer une translation statique, nous allons donner au routeur une plage d’adresses
publiques (un pool d’adresse) dans laquelle il peut piocher pour créer dynamiquement les translations.

Tout d’abord créons le pool d’adresses

R1(config)#ip nat pool POOL-NAT 201.49.10.20 201.49.10.25 netmask 255.255.255.0

Ici on crée donc une plage d’adresse nommée POOL-NAT allant de 201.49.10.20 à 201.49.10.25.

Il nous faut ensuite définir quelles adresses IP sources seront susceptibles d’êtres translatées … pour cela il
faut créer une ACL.

R1(config)#access-list 1 deny 192.168.1.100

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

On autorise donc à être translatées les adresses ip du réseau 192.168.1.0/24 sauf 192.168.1.100 (pour laquelle
on a déjà une translation statique).
Il ne reste plus qu’à configurer le NAT en lui même

R1(config)#ip nat inside source list 1 pool POOL-NAT

On instruit donc ici le routeur de créer dynamiquement une translation pour les paquets arrivant sur une
interface « inside » routés par une interface « outside » dont l’adresse IP source correspond à l’ACL 1 et de
remplacer l’IP source par une de celles comprises dans le pool POOL-NAT.

A présent le poste 192.168.1.10 (et les autres machines qui seraient dans le réseau 192.168.1.0/24) peuvent
communiquer avec l’extérieur.

Poste> ping 201.50.10.16

201.50.10.16 icmp_seq=1 ttl=254 time=119.000 ms
201.50.10.16 icmp_seq=2 ttl=254 time=102.000 ms
201.50.10.16 icmp_seq=3 ttl=254 time=75.000 ms
201.50.10.16 icmp_seq=4 ttl=254 time=117.000 ms
201.50.10.16 icmp_seq=5 ttl=254 time=116.000 ms

La table de translation de R1 a maintenant une nouvelle entrée crée dynamiquement, mais qui réserve
l’adresse publique pour le poste 192.168.1.10.

R1#sh ip nat trans

Pro Inside global Inside local Outside local Outside global
--- 201.49.10.20 192.168.1.10 --- ---
--- 201.49.10.30 192.168.1.100 --- ---
R1#

BTS SIO – SISR 5 – fiche procédure 8 - Configuration du NAT sur un routeur CISCO Page 4
 5- Configuration du NAT dynamique avec surcharge (sans pool)-NAT/PAT
Il reste encore à configurer R1 pour que le réseau 192.168.0.0/24 puisse accéder à l’extérieur. Pour
cela nous allons configurer le troisième type de NAT, à savoir du NAT dynamique avec surcharge
(overload) en utilisant l’adresse publique configurée sur l’interface S0/0/0 de R1.

Notez que c’est la configuration la plus courante dans un réseau modeste (par exemple dans un
réseau domestique). Cette méthode ne requiert pas d’obtenir de nouvelles adresses publiques auprès
du provider.

Nous devons cette fois aussi identifier les adresses sources à faire passer par le NAT, donc nous
créons une nouvelle ACL.

R1(config)#access-list 2 permit 192.168.0.0 0.0.0.255

Il ne reste plus qu’à configurer le NAT.

R1(config)#ip nat inside source list 2 interface serial 0/0/0 overload

Nous disons ici au routeur de translater les paquets provenant des adresses décrites dans l’ACL 2
(192.168.0.0/24) et de remplacer l’adresse IP source par celle configurée sur l’interface Serial 0/0/0
en la surchargeant pour permettre à plus d’une machine de communiquer avec l’extérieur (PAT).

Le poste 192.168.0.10 (ainsi que toute machine de ce réseau) peut communiquer avec l’extérieur
désormais

Poste> ping 201.50.10.16

201.50.10.16 icmp_seq=1 ttl=254 time=119.000 ms
201.50.10.16 icmp_seq=2 ttl=254 time=102.000 ms
201.50.10.16 icmp_seq=3 ttl=254 time=75.000 ms
201.50.10.16 icmp_seq=4 ttl=254 time=117.000 ms
201.50.10.16 icmp_seq=5 ttl=254 time=116.000 ms

Le « debug ip packets » sur ISP donne le résultat suivant

Internet#
*Mar 1 03:11:46.195: IP: tableid=0, s=201.49.10.16 (Serial0/0/0), d=201.50.10.16
(Loopback0), routed via RIB
*Mar 1 03:11:46.195: IP: s=201.49.10.16 (Serial0/0/0), d=201.50.10.16, len 92, rcvd 4
*Mar 1 03:11:46.199: IP: tableid=0, s=201.50.10.16 (local), d=201.49.10.16 (Serial0/0/0),
routed via FIB
*Mar 1 03:11:46.199: IP: s=201.50.10.16 (local), d=201.49.10.16 (Serial0/0/0), len 92,
sending

On voit là que c’est bien l’adresse de S0/0/0 qui est utilise pour remplacer l’IP source du paquet.

BTS SIO – SISR 5 – fiche procédure 8 - Configuration du NAT sur un routeur CISCO Page 5