NAT & PAT

NAT PAT: Adresses Publiques et Privées

NAT PAT :

Les Adresses publiques sont utilisées pour se connecter à Internet.

Tant dit que les adresses privées sont eux, utilisées en interne pour l’entreprise.

Adresse IP privÉe

Classe A => 10.0.0.0 – 10.255.255.255

Classe B => 172.16.0.0 – 172.31.255.255
Classe C => 192.168.0.0 – 192.168.255.255

L’ensemble de ces adresses ne sont pas acheminées sur internet.

Les routeurs Internet sont tous configurés pour éliminer toutes les adresses privées.
C’est-à-dire, qu’elles ne sont pas routables sur internet.

Lorsqu’un réseau qui utilise des adresses privées veut se connecter à Internet, il faudra,
alors faire, une translation des adresses privées en adresses publiques. 

network address translation (NAT) (« traduction d’adresse rÉseau » ou « translation

d’adresse rÉseau »)

Ce processus, qui transforme les adresses privées en public, pour pouvoir aller sur internet,
s’appelle le NAT . 

Et le périphérique réseau qui s’occupe du NAT, c’est le routeur !

Adresse IP publique

Classe A :
1.0.0.0 – 9.255.255.255
11.0.0.0 – 126.255.255.255

Classe B :
128.0.0.0 – 172.15.255.255
172.32.0.0 – 191.255.255.255

Classe C :
192.0.0.0 – 192.167.255.255
192.169.0.0 – 223.255.255.255

Les adresses IP publiques sont utilisées sur des hôtes, qui doivent être accessibles au public depuis
Internet. 

Manque d’adresse IPv4

Avec la croissance rapide d’Internet, les adresses IP publiques viennent à manquer… C’est
pourquoi de nouveaux mécanismes ont vu le jour comme :

 Le NAT
 Le CIDR
 Le VLSM
 L’IPv6

L’ensemble de ces mécanismes ont été développés pour pallier au problème du manque d’adresse
IPv4 !

Solution NAT

Les petits réseaux utilisent en général des adresses privées. Car elle offre aux entreprises
une grande flexibilité pour la conception de leurs réseaux. 
Cet adressage permet une administration plus pratique et une croissance plus facile. 

Mais par contre, avec des adresses privées, il n’est pas possible de surfer sur Internet.

Et comme il n’y a pas assez d’adresses publiques pour équiper le réseau privé de toutes les
entreprises, la seule solution, c’est d’utiliser un mécanisme qui permet de traduire les
adresses privées en adresses publiques .

Et c’est le NAT qui permet de faire cette translation d’IP.

Le NAT permet donc aux utilisateurs privés d’accéder à Internet en partageant une ou plusieurs
adresses IP publiques.

Type d’adresse NAT 

 Inside local: C’est l’ Adresse d’un l’hôte sur le réseau intérieur

 Inside globale: C’est l’ Adresse traduite à l’intérieur de l’adresse locale

Dans le fonctionnement du NAT :

 Le réseau intérieur est l’ensemble des réseaux soumis à la traduction. 

 Le réseau extérieur est toutes les autres adresses. 

Terme Cisco À connaitre

 L’Adresse inside local: Ce sont les IP attribués aux Hosts, qui sont des adresses IP
privées. Le terme Inside, signifie le réseau interne à l’entreprise !
 L’Adresse Inside Global : C’est la nouvelle adresse IP nattée de l’host, pour pouvoir
aller sur le NET. Le routeur change l’adresse « inside local » par cette
adresse « inside globale ». C’est généralement une adresse IP publique.
 L’Adresse Outside global : est l’adresse IP qui réside dans la partie extérieure du
réseau. Elle représente donc l’adresse IP de destination que l’hôte interne souhaite
joindre.
 L’Adresse Outside Local : est L’ IP externe de l’hôte de destination. En principe, elle
est identique à l’adresse « Outside globale » !
Catégorie NAT

 NAT statique: 1 adresse IP locale correspond à une seule adresse IP publique.

 NAT dynamique: Plusieurs adresses IP locales correspondent à plusieurs adresses IP
publiques.
 PAT : Mappe plusieurs adresses privées vers une seule et même adresse publique en
utilisant différents ports pour permettre de suivre la connexion. 

Le PAT est également connu sous le nom de NAT OVERLOAD. C’est une forme de NAT dynamique.
Il s’agit de l’utilisation la plus courante du NAT.

Les 3 types de NAT

Nat Statique

Le NAT statique c’est un mappage un à un entre une adresse interne et une adresse

externe.

On peut comparer l’adresse interne à celle de notre PC à la maison, et l’adresse externe

c’est l’IP public de la box internet.

Celle qui vous permet de surfer sur internet.

Configuration Nat statique

Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit

Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit

Routeur(config)# ip nat inside source static 192.168.0.1 218.115.20.2

show IP nat translation

Pour vérifier les configurations NAT du routeur, il faut utiliser la commande « show

IP nat translation ».

Le NAT statique permet un mappage permanent entre une adresse interne et une adresse publique.
C’est de la translation de 1 à 1 !

NAT dynamique

Le NAT dynamique permet de traduire des IP privés, vers des adresses publiques qui
proviennent d’un pool d’IP !
Sa configuration diffère un peu du NAT statique, mais il y’a tout de même beaucoup de
similitudes. 

Comme pour le NAT statique, il faut identifier chaque interface comme une interface
intérieure, dite « Inside » ou extérieure, dite « Outside ».

Et ensuite, plutôt que de créer une carte statique d’une seule adresse IP, la translation se fera sur un
groupe d’adresse interne globale !

Configuration NAT dynamique

Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit

Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit

Routeur(config)# access-list 1 permit 192.168.0.0 0.0.0.255

Routeur(config)# ip nat pool NOM-DU-POOL 218.115.20.1

218.115.20.30 netmask 255.255.255.240

Routeur(config)# ip nat inside source list 1 pool NOM-DU-POOL

L’ACL ne doit comporter que des permissions pour le NAT !

Car si à la fin de l’ACL vous faite un « permit any » qui autorise tous les paquets, alors le
protocole nat provoquera une forte consommation des ressources du routeur, ce qui causera
beaucoup de problèmes sur le réseau.

À la fin de chaque ACL, il y’a implicitement une ligne qu’on ne voit pas, qui est un « deny any »

PAT

L’ une des principales formes du NAT est le PAT , qui se fait aussi appeler « overload ».

Plusieurs adresses locales internes peuvent être traduites en utilisant le NAT dans une ou plusieurs
adresses globales internes. 

La plupart des box internet à domicile fonctionnent en PAT. 

Le fournisseur d’accès à internet attribue une adresse à la box, qui fonctionne comme
un routeur, et plusieurs personnes peuvent surfer sur Internet à partir d’une seul et même
adresse.
Avec le PAT plusieurs adresses peuvent être traduites en une ou plusieurs adresses grâce à
un numéro de port TCP ou UDP qui seront attribués automatiquement et aléatoirement sur
chaque adresse privée. 

Configuration PAT

Pour la configuration du PAT, et comme toute sorte de nat, il faut taguer les interfaces en
entrée et sortie !

Ensuite, comme pour le nat dynamique, il faut créer une acess-list pour définir les adresses
locales qui pourront être translater.

Et pour finir, il faut indiquer au routeur de translater notre access-list, à travers notre interface
sortie, la Fast Ethernet 0/1, avec la commande « ip nat inside ».

Ne pas oublier le petit mot « overload » à la fin de la commande.

Routeur(config)# interface FastEthernet 0/0
Routeur(config-if)# ip address 192.168.0.254 255.255.255.0
Routeur(config-if)# ip nat inside
Routeur(config-if)# exit

Routeur(config)# interface FastEthernet 0/1
Routeur(config-if)# ip address 218.115.20.2 255.255.255.224
Routeur(config-if)# ip nat outside
Routeur(config-if)# exit

Routeur(config)# access-list 1 permit 192.168.0.0 0.0.0.255

Routeur(config)# ip nat inside source list 1 interface Fa0/1 overload

Dépannage NAT
Lorsqu’il y’a des problèmes de connectivité dans un environnement NAT , il est souvent
très difficile de déterminer la cause du problème. 

Les translations ?

 « show IP nat translations »
Affiche la table nat du routeur.
 « debug IP nat »
Permets de vérifier les translations en direct.
 « show access-list »
Vérifie que l’ ACL associée à la commande NAT comprend bien l’ensemble des
réseaux qui doivent être nattés !
 « show IP nat statistics »
Permets de vérifier que les interfaces du routeur sont correctement définies
en inside et outside.

Les itinéraires
  « show ip route »
Vérifie les itinéraires de retour
 «  clear IP nat translation * »
Permets d’effacer toutes les entrées des adresses translatées dynamiquement. Par
défaut, elle s’efface après 24 heures.
 « debug IP nat »
Affiche des informations sur chaque paquet que le routeur traduit.

Pendant une recherche de panne, il faut bien s’assurer aussi que l’ACL correspond bien à tous les
réseaux qui doivent être nattés.

De ne pas oublier aussi que les ACL utilisent des masques inversés et non des masques de sous-
réseau.

Pour Résumer
NAT (Network Address Translation) ET PAT (Port Address Translation)

Si on ne fait aucune traduction d’adresse réseau ou de port, on ne serait pas capable

d’accéder à internet depuis le PC de chez nous. Ou alors, seule 1 personne par box internet
pourrait y accéder !

Dans les années 80, il y’a eu ce qu’on appelle le Boom internet !

Avec seulement 4,3 milliards d’adresses IPv4, il a fallu trouver une solution pour pallier à
cette pénurie ! C’est comme ça que sont nés le Nat et le PAT, en attendant la migration
vers l’IPv6.

Le NAT est un protocole qui permet de changer l’adresse IP source d’un paquet par une autre
adresse IP.

Alors, même si actuellement l’IPv6 est en cours de déploiement, l’adressage IPv4 reste

toujours la plus utilisé dans le monde.

Toutes les entreprises, et même nos box internet, utilisent le NAT !

Le NAT

Permets à plusieurs équipements qui sont dans un même réseau privé d’utiliser une seule
et même adresse IP publique.

Il existe 3 types NAT :

 Le NAT Statique
 Le NAT Dynamique
 Et le NAT Overlay, qu’on surnomme PAT

Le NAT Statique

Permets de traduire une adresse IP privée en 1 adresse IP publique.

En statique c’est du 1 pour 1

Dans du NAT dynamique ,

il faut d’abord lui créer une access-list des PC ou du réseau, autorisé à être translaté !

Ensuite on va déclarer la plage d’adresse IP publique qui pourra être utilisée

aléatoirement avec la commande « IP nat pool »

Le PAT

Permets de faire correspondre plusieurs adresses IP privées à une seule adresse publique.

Toutes les BOX Internet fonctionnent en PAT. Les Pc’s, tablette et smartphone que l’on a dans notre
réseau domestique, utilisent donc la même adresse IP publique de la BOX.