Configuration NAT Overload (PAT) Lyon1 FAI S0/0 E0/0 Station A Station B Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation) avec l'utilisation d'une seule adresse externe.

Scénario La société IFC a étendu et mis à jour son réseau Scénario La société IFC a étendu et mis à jour son réseau. Elle a choisi l'adresse de réseau privée 192.168.0.0/24 et NAT pour gérer la connectivité avec le monde extérieur. Dans le but de sécuriser son accès avec son FAI, la société IFC doit payer une abonnement par mois et par adresse IP. La société IFC vous demande de tester une série de configurations pour démontrer les capacités du NAT pour être en conformité avec les spécifications d'IFC. La société IFC espère obtenir 14 adresses IP publiques (42.0.0.48/28). Pour diverses raisons dont la sécurité, la société IFC désire cacher la vue du réseau interne au utilisateurs externes. Il apparaît que les traductions NAT de base sont trop limitées et ne correspondent pas aux besoins de la société IFC. Il vous est demandé de réaliser un prototype qui utilise le principe Du NAT Overload ou PAT (Port Address Translation). Données de configuration Routeur :   "FAI1" : Station B : - Nom du routeur : FAI1 Adresse IP: 192.168.0.20/24 - Interface S0/0 - Adresse IP: 10.0.0.5/30 - Interface Lo0 - Adresse IP: 10.0.1.2/30 Routeur "Lyon1" : Station A : - Nom du routeur : Lyon1 Adresse IP: 192.168.021/24 - Interface S0/0 - Adresse IP: 10.0.0.6/30 - Interface E0/0 - Adresse IP : 192.168.0.1/24

Configuration des routeurs - Avant d'effectuer toute configuration, effacer la configuration en NVRAM et recharger le routeur. 1) Configurez les routeurs d'après le schéma du réseau et des données de configuration. Les stations A et B représentent des utilisateurs du réseau IFC. Cette configuration nécessite l'utilisation du sous-réseau numero zéro. Vous devez entrer la commande suivante, sur les deux routeurs : Lyon1(config)#ip subnet-zero Configurez Lyon1 avec une route par défaut vers le FAI: Lyon1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.5 Sur le routeur FAI1 configurez une route statique vers l'adresse globale utilisée par Lyon1 pour le NAT. FAI1(config)#ip route 42.0.0.48 255.255.255.240 10.0.0.6 Définissez un bloc d'adresses globales devant être allouées par le processus NAT de traduction dynamique d'adresses. Lyon1(config)#ip nat pool IFC_pool 42.0.0.55 42.0.0.56 netmask 255.255.255.240 Maintenant vous devez configurer une liste de contrôle d'accès pour définir quelles adresses source internes peuvent être traduites. Comme vous traduisez les adreses de n'importe quel utilisateur du réseau IFC, utilisez la commande suivante: Lyon1(config)#access-list 2 permit 192.168.0.0 0.0.0.255 Maintenant vous devez précisez quelle interface du routeur Lyon1 doit être utilisée par les machines du réseau interne nécessitant une traduction d'adresse. Lyon1(config)#interface Ethernet0/0 Lyon1(config-if)#ip nat inside Vous devez aussi préciser quelle interface doit être utilisée comme interface NAT externe: Lyon1(config)#interface Serial0/0 Lyon1(config-if)#ip nat outside

accèder à Internet en utilisant une seule adresse globale. 2) Dans cet exercice vois voyez qu'un bloc d'adresses IP globales peut être utilisé pour fournir à des machines, avec un adressage interne, des accès à Internet et à d'autres ressources externes. Par contre dans les implémentations précédentes chaque adresse globale ne pouvait être allouée qu'à une seule machine. La fonction la plus puissante de NAT est la "surcharge d'adresse" ou port address translation (PAT). La surcharge permet d'établir une correspondance entre plusieurs adresses internes et une seule adresse globale. Avec la fonction PAT, plusieurs centaines de machines avec des adresses privées peuvent accèder à Internet en utilisant une seule adresse globale. Le routeur NAT garde trace des différentes communications par des correspondances avec les ports UDP ou TCP. Configurez le routeur Lyon1 comme suit: Lyon1(config)#ip nat inside source liste 2 pool IFC_pool overload Exécutez une commande ping depuis la station A vers les adresses de l'interface Serial et de l'interface loopback de FAI1. Les deux commandes ping doivent réussir. Exécutez la commande show ip nat translation sur Lyon1. Vous devez obtenir ceci: Lyon1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp 42.0.0.55:512 192.168.0.21:512 10.0.0.5:512 10.0.0.5:512 icmp 42.0.0.55:512 192.168.0.21:512 10.0.1.2:512 10.0.1.2:512 Lyon1# 1. Quel est numéro de port source pour la commande ping? _________________________________________________________________________________ 2. Quel est numéro de port source pour la commande ping? _________________________________________________________________________________ La table de traduction garde la trace des adresses traduites et en plus indique le numéro de port utilisé. Notez que la première colonne du résultat de la commande ci-dessus (Pro) indique quel est le protocole utilisé. Maintenant analysons le résultat de la commande show ip nat translation verbose Lyon1#show ip nat translation verbose icmp 42.0.0.55:512 192.168.0.5:512 10.0.0.5:512 10.0.0.5:512 create 00:00:47, use 00:00:47, left 00:00:12, flags: extended, use_count: 0 icmp 42.0.0.55:512 192.168.0.5:512 10.0.1.2:512 10.0.1.2:512 create 00:00:36, use 00:00:36, left 00:00:23, Lyon1# Note: Le délai d'expiration des traductions dtnamiques pour ICMP est de 60 secondes. Notez aussi que chaque session à son propre délai d'expiration. Une nouvelle activité réinitialise le délai d'expiration pour une session particulière. Vous devez exécuter une nouvelle commande ping pour voir le résultat sur votre routeur.

C:\win\>telnet 10.0.0.5 (ne pas vous logger) 2) Suite Depuis une fenêtre MS-DOS sur la station A, exécutez rapidement les commandes suivantes et revenez sur le routeur Lyon1 pour exécuter la commande show ip nat translation. C:\win\>ping 10.0.0.5 C:\win\>telnet 10.0.0.5 (ne pas vous logger) C:\win\>ftp 10.0.0.5 Note: Pour quitter FTP, tapez bye puis touche Enter(Entrée) Après avoir lancé ces trois sessions, le résultat de la commande show ip nat translation doit ressembler à ceci: Lyon1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp 42.0.0.55:512 192.168.0.5:512 10.0.0.5:512 10.0.0.5:512 tcp 42.0.0.55:1026 192.168.0.5:1026 10.0.0.5:21 10.0.0.5:21 tcp 42.0.0.55:1025 192.168.0.5:1025 10.0.0.5:23 10.0.0.5:23 Lyon1# Bien que le routeur possède un bloc de huit adresses IP pour la traduction, celui-ci utilise la même adresse 42.0.0.55 pour les deux stations. Le routeur continuera à utiliser la première adresse du bloc jusqu'à son allocation maximum puis passera à l'adresse suivante du bloc et ainsi de suite. 3) A cette étape , vous allez examiner en détail les délais d'expiration pour les traductions. Depuis la station A, lancez des sessions FTP et HTTP vers l'adresse 10.0.0.5 du routeur FAI1. Come le routeur FAI1 n'est pas configuré pour être serveur FTP ou Serveur Web, les deux sessions doivent échouer. C:\win\>ftp 10.0.0.5 Pour ouvrir une session HTTP, entrez l'adresse du routeur FAI1 dans le champ URL de la fenêtre de votre navigateur Web. Après avoir tenté de lancer ces deux sessions, exécutez la commande show ip nat translation verbose et examinez le résultat. (voir commande et résultat page suivante)

3) Suite Lyon1#show ip nat translation verbose Pro Inside global Inside local Outside local Outside global tcp 42.0.0.55:1032 192.168.0.5:1032 10.0.0.5:21 10.0.0.5:21 create 00:00:31, use 00:00:29, left 00:00:30, flags: extended, timing-out, use_count: 0 tcp 42.0.0.55:1033 192.168.0.5:1033 10.0.0.5:21 10.0.0.5:21 create 00:00:29, use 00:00:28, left 00:00:31, tcp 42.0.0.55:1034 192.168.0.5:1034 10.0.0.5:21 10.0.0.5:21 create 00:00:28, use 00:00:26, left 00:00:32, tcp 42.0.0.55:1030 192.168.0.5:1030 10.0.0.5:80 10.0.0.5:80 create 00:01:01, use 00:00:46, left 00:00:13, tcp 42.0.0.55:1031 192.168.0.5:1031 10.0.0.5:80 10.0.0.5:80 create 00:00:46, use 00:00:44, left 00:00:15, icmp 42.0.0.55:512 192.168.0.5:512 10.0.1.2:512 10.0.1.2:512 create 00:00:09, use 00:00:09, left 00:00:49, flags: extended, use_count: 0 Lyon1# Certaines transactions TCP ont un délai d'expiration de 24 heures. Pour voir quels sont les autres types de délai d'expiration possibles, utilisez la commande ip nat translation ? en mode de configuration global. Lyon1(config)#ip nat translation ? dns-timeout Specify timeout for NAT DNS flows finrst-timeout Specify timeout for NAT TCP flows after a FIN or RST icmp-timeout Specify timeout for NAT ICMP flows max-entries Specify maximum number of NAT entries port-timeout Specify timeout for NAT TCP/UDP port specific flows syn-timeout Specify timeout for NAT TCP flows after a SYN and no further tcp-timeout Specify timeout for NAT TCP flows timeout Specify timeout for dynamic NAT translations udp-timeout Specify timeout for NAT UDP flows Lyon1# Les valeurs actuelles des délais d'expirations varient selon les versions d'IOS. Lers valeurs par défaut des délais d'expiration les plus courants sont:  dns-timeout Session DNs (60 secondes)  finrst-timeout Session TCP après FIN ou RST / fin de session (60 secondes)  icmp-timeout Session ICMP (60 secondes)  tcp-timeout Session port TCP ( 86400 s ou 24 heures)  timeout Traductions NAT dynamiques ( 86400 s ou 24 heures)  udp-timeout Session port UDP (300 s – 5 minutes) Le timer finrst-timeout permet de s"assure que les sessions TCP fermebt les ports concernés au plus tard 60 secondes après la séquence de fin de la connexion TCP. Les sessions NAT dynamiques peuvent être initialisées par une machine du réseau interne. Il n'est pas possible d'initialiser une traduction NAT depuis le réseau externe.

Dans une certaine mesure cela ajoute un niveau de sécurité au réseau interne. Cela peut aussi expliquer pourquoi le timer pour les traductions dynamiques NAT overload est de courte durée. Le délai est ajusté de manière à autoriser les réponses valides comme des pages Web, des sessions FTP et TFTP, et des messages ICMP à entrer dans le réseaux. Dans le TP NAT Statique vous avez pu constater qu'une machine externe pouvait envoyer un ping vers une adresse de traduction statique à n'importe quel moment tant que la machine est en fonction. C'est pour cela que vous pouvez partager des serveurs Web, FTP, TFTP, DNS et autres avec le monde externe. Avec la traduction NAT dynamique avec les ports, la traduction restent active 24 heures et peut permettre à une machine externe d'utiliser cette traduction pour accèder à la machine. Mais dans ce cas la machine externe doit être capable de recréer l'association Adresse IP NAT et numéro de port, réduisant ainsi la probabilité d'un accès non autorisé à votre système. 4) Pou voir les traductions actuelles et résoudre des problèmes NAT, vous pouvez utiliser la commande debug ip nat avec ses options associées. Souvenez-vous que toutes les commandes debug peuvent débgrader les performances de votre routeur en exploitation et qu'elles doivent être utilisées judicieusement. La command undebug all est utilisée pour stopper toutes les commandes debug. Sur le routeur Lyon1, utilisez la commande debug ip nat pour activer le debugging. Sur la station A , exécutez une commande ping vers l'interface série (10.0.0.5) de FAI1. Lyon1#debug ip nat IP NAT debugging is on Lyon1# 02:45:15: NAT: s=192.168.0.5->42.0.0.55, d=10.0.1.2 [44288] 02:45:15: NAT*: s=10.0.1.2, d=42.0.0.55->192.168.0.5 [44288] 02:45:15: NAT*: s=192.168.0.5->42.0.0.55, d=10.0.1.2 [44544] 02:45:15: NAT*: s=10.0.1.2, d=42.0.0.55->192.168.0.5 [44544] 02:45:15: NAT*: s=192.168.0.5->42.0.0.55, d=10.0.1.2 [44800] 02:45:15: NAT*: s=10.0.1.2, d=42.0.0.55->192.168.0.5 [44800] 02:45:15: NAT*: s=192.168.0.5->42.0.0.55, d=10.0.1.2 [45056] 02:45:15: NAT*: s=10.0.1.2, d=42.0.0.55->192.168.0.5 [45056] 02:45:15: NAT*: s=192.168.0.5->42.0.0.55, d=10.0.1.2 [45312] 02:46:20: NAT: expiring 42.0.0.55 (192.168.0.5) icmp 512 (512) Arrêtez la commande debug par la commande undebug all ou no debug all Notez que sur l'affichage ci-dessus vous pouvez voir les traductions dans les deux sens. Le signe s= indique la source, le signe d= la destination et le signe -> montre la traduction. La ligne repérée 02:46:20 indique l'expiration de la traduction NAT.

4) Fin L'option detailed peut être utilisée avec la commande debug ip nat pour fournir les traductions d'adresses et de ports. Lyon1#debug ip nat detailed IP NAT detailed debugging is on Lyon1# 02:46:01: NAT*: i: icmp (192.168.0.5, 512) -> (10.0.0.5, 512) [46848] 02:46:01: NAT*: o: icmp (10.0.0.5, 512) -> (42.0.0.55, 512) [46848] 02:46:01: NAT*: i: icmp (192.168.0.5, 512) -> (10.0.0.5, 512) [47104] 02:46:01: NAT*: o: icmp (10.0.0.5, 512) -> (42.0.0.55, 512) [47104] 02:46:01: NAT*: i: icmp (192.168.0.5, 512) -> (10.0.0.5, 512) [47360] 02:46:01: NAT*: o: icmp (10.0.0.5, 512) -> (42.0.0.55, 512) [47360] 02:46:01: NAT*: i: icmp (192.168.0.5, 512) -> (10.0.0.5, 512) [47616] 02:46:01: NAT*: o: icmp (10.0.0.5, 512) -> (42.0.0.55, 512) [47616] 02:46:01: NAT*: i: icmp (192.168.0.5, 512) -> (10.0.0.5, 512) [47872] 02:46:01: NAT*: o: icmp (10.0.0.5, 512) -> (42.0.0.55, 512) [47872] 02:46:05: NAT*: i: icmp (192.168.0.5, 512) -> (10.0.1.2, 512) [48128] 02:46:05: NAT*: o: icmp (10.0.1.2, 512) -> (42.0.0.55, 512) [48128]