Configuration NAT Dynamique Lyon1 FAI S0/0 E0/0 Station A Station B Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation) pour fournir des accès à des ressources externes à des utilisateurs possédant une adresse privée.

Scénario La société IFC a étendu et mis à jour son réseau Scénario La société IFC a étendu et mis à jour son réseau. Elle a choisi l'adresse de réseau privée 192.168.0.0/24 et NAT pour gérer la connectivité avec le monde extérieur. Dans le but de sécuriser son accès avec son FAI, la société IFC doit payer une abonnement par mois et par adresse IP. La société IFC vous demande de tester une série de configurations pour démontrer les capacités du NAT pour être en conformité avec les spécifications d'IFC. La société IFC espère obtenir 14 adresses IP publiques (42.0.0.48/28). Pour diverses raisons dont la sécurité, la société IFC désire cacher la vue du réseau interne au utilisateurs externes. La société IFC espère limiter les accès à Internet et aux ressources externes en limitant le Nombre de connexions. Vous avez été pressenti pour tester la traduction dynamique et vérifier si celle-ci correspond aux objectifs d'IFC. Données de configuration Routeur :   "FAI1" : Station B : - Nom du routeur : FAI1 Adresse IP: 192.168.0.20/24 - Interface S0/0 - Adresse IP: 10.0.0.5/30 - Interface Lo0 - Adresse IP: 10.0.1.2/30 Routeur "Lyon1" : Station A : - Nom du routeur : Lyon1 Adresse IP: 192.168.021/24 - Interface S0/0 - Adresse IP: 10.0.0.6/30 - Interface E0/0 - Adresse IP : 192.168.0.1/24

Configuration des routeurs - Avant d'effectuer toute configuration, effacer la configuration en NVRAM et recharger le routeur. 1) Configurez les routeurs d'après le schéma du réseau et des données de configuration. Les stations A et B représentent des utilisateurs du réseau IFC. Cette configuration nécessite l'utilisation du sous-réseau numero zéro. Vous devez entrer la commande suivante, sur les deux routeurs : Lyon1(config)#ip subnet-zero Configurez Lyon1 avec une route par défaut vers le FAI: Lyon1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.5 Sur le routeur FAI1 configurez une route statique vers l'adresse globale utilisée par Lyon1 pour le NAT. FAI1(config)#ip route 42.0.0.48 255.255.255.240 10.0.0.6 2) Définissez un bloc d'adresses globales devant être allouées par le processus NAT de traduction dynamique d'adresses. Lyon1(config)#ip nat pool IFC_pool 42.0.0.55 42.0.0.55 netmask 255.255.255.240 Le nom IFC_pool est le nom pour les adresses du bloc. La première adresse 42.0.0.55 de la ligne de commande est la première adresse du bloc. La second adresse 42.0.0.55 est la dernière adresse du bloc. Cette commande crée un bloc contenant une seule adresse. Normalement, vous devez utiliser un nombre d'adresses plus grand. Pour l'instant une seule adresse suffira. Maintenant vous devez configurer une liste de contrôle d'accès pour définir quelles adresses source internes peuvent être traduites. Comme vous traduisez les adreses de n'importe quel utilisateur du réseau IFC, utilisez la commande suivante: Lyon1(config)#access-list 2 permit 192.168.0.0 0.0.0.255 Pour établir la traduction source dynamique, vous devez lier la liste de contrôle d'accès au nom du bloc d'adresses NAT comme suit: Lyon1(config)#ip nat inside source list 2 pool IFC_pool

uniquement lorsqu'elles sont actives. Lyon1#show ip nat translations 2(suite) Maintenant vous devez précisez quelle interface du routeur Lyon1 doit être utilisée par les machines du réseau interne nécessitant une traduction d'adresse. Lyon1(config)#interface Ethernet0/0 Lyon1(config-if)#ip nat inside Vous devez aussi préciser quelle interface doit être utilisée comme interface NAT externe: Lyon1(config)#interface Serial0/0 Lyon1(config-if)#ip nat outside 3) Pour voir les traductions, utilisez la commande show ip nat translations. Contrairement aux traductions statiques, qui sont permanentes et restent inscrites dans la table de traduction, les traductions dynamyques sont faites à la demande et apparaissent uniquement lorsqu'elles sont actives. Lyon1#show ip nat translations Lyon1# Exécutez une commande ping depuis la station A vers les adresses de l'interface Serial et de l'interface loopback de FAI1. Les deux commandes ping doivent réussir. Exécutez la commande show ip nat translations sur Lyon1. Vous devez obtenir ceci: Lyon1#sh ip nat translations Pro Inside global Inside local Outside local Outside global --- 42.0.0.55 192.168.0.21 --- --- Depuis la station b, exécutez une commande ping vers les adresses de l'interface Serial et de l'interface loopback de FAI1. Les deux commandes ping doivent échouer. La seule adresse disponible dans le bloc est déjà utilisée par une autre station. Si vous aviez assigné une nombre d'adresses plus grand dans le bloc, la station B aurait pu obtenir une adresse du bloc. 4) Exécutez la commande show ip translations verbose et examiner le résultat Lyon1#show ip nat translations verbose --- 42.0.0.55 192.168.0.5 --- --- create 00:02:50, use 00:02:41, left 23:57:18, flags: none, use_count: 0 Lyon1# 1. D'après le résultat de cette dcommande, combien de temps reste-t-il avant que la traduction d'adresse dynamique expire? _________________________________________________________________________________ La valeur par défaut du délai d'expiration des traduction d'adresses dynamiques NAT est de 24 heures

4) Suite Maintenant exécutez la commande show ip nat statistics. Notez que cette commande donne un résumé des traductions, indique le bloc d'adresses globales et montre qu'une seule adresse a été allouée ou traduite. Lyon1#show ip nat statistics Total active translations: 1 (0 static, 1 dynamic; 0 extended) Outside interfaces: Serial0/0 Inside interfaces: Ethernet0/0 Hits: 54 Misses: 0 Expired translations: 0 Dynamic mappings: -- Inside Source access-list 2 pool IFC_pool refcount 1 pool IFC_pool: netmask 255.255.255.240 start 42.0.0.55 end 42.0.0.55 type generic, total addresses 1, allocated 1 (100%), misses 4 Lyon1# Pour changer la valeur par défaut du délai d"expiration de la traduction NAT dynamique qui est de 24 heures à 120 secondes, exécutez la commande suivante: Lyon1(config)#ip nat translation timeout 120 Vous devez effacer les allocations d'adresses existantes avant que le nouveau délai prenne effet. Tapez la commande suivante pour effacer immédiatement la table de traduction. Lyon1#clear ip nat translation * Maintenant, depuis la station B, exécutez un commande ping vers l' adresse de l'interface Serial ou de l'interface loopback de FAI1. La commande doit réussir. Utilisez les commandes show ip nat translations et show ip nat translations verbose pour vérifier la traduction et voir que le nouveau délai d'expiration est de deux minutes. Maintenant, depuis la station B, et exécutez la commande show ip nat translations verbose de nouveau. Vous devez voir que l'indication "time left" du timer a été remise à zéro. Cela indique que les autres stations n'auront pas d'adresse allouée avant la fin du délai d'expiration.

5) A cette étape vous configurez le bloc d'adresses NAT pour y inclure une intervalles d'adresses globales utilisables par la société IFC. Exécutez la commande suivante sur Lyon1: Lyon1(config)#ip nat pool IFC_pool 42.0.0.55 42.0.0.62 netmask 255.255.255.240 La commande ci-dessus redéfinit le bloc IFC_pool pour qu'il contienne huit adresses. Maintenant des commandes ping à destination des deux stations doivent réussir. La commande show ip nat translations confirme que que les deux traductions ont bien été réalisées: Lyon1#sh ip nat translations Pro Inside global Inside local Outside local Outside global --- 42.0.0.55 192.168.0.20 --- --- --- 42.0.0.56 192.168.0.21 --- --- Lyon1# Augmenter le nombre d'adresses dans le bloc permet à plus de machines de demander la traduction d'un plus grand nombre d'adresses. Si toutes les adresses du bloc sont allouées, la période de validité des adresses doit expirer pour q'une autre machine puisse obtenir une adresse.