Whatare NAT and PAT? : explained with the configuration of NAT with PAT in Cisco packet tracer. We will also enable PAT as it immensely increases the capability of NAT. NAT NAT& PAT - Translation d'adresses sur des routeurs Cisco. Cette procédure va vous expliquer comment fonctionnent les technologies NAT (Network Address Translation = Traduction R1config-if)#ip nat inside 2. The command for enabling NAT on the outside interface is: R1(config-if)#ip nat outside Remember to enter into appropriate configuration modes before entering the commands. Usually, the inside NAT will be configured on an Ethernet interface, whereas the outside NAT is configured on a serial interface. Options You do not need a conversion tool in order to do NAT. Look at each NAT and apply it a central-NAT or per-policy as required. The concept are equally the same between ciscoASA and FortiOS. # DNAT rules cisco ASA object network webserverdnat host nat (inside,outside) static 1.0.0.111 # DNAT VIP FGT port-forward tcp80 config Thiscompletes our VPN configuration. NAT Exemption. We now have a working configuration where we use PAT to translate traffic from our hosts and a site-to-site IPSec IKEv2 VPN tunnel. Without NAT Exemption. Let’s see what happens without NAT exemption. Let’s try what happens when we connect from S1 to S3: SWeQMxP. Configuring static NAT on Cisco devices With static NAT, routers or firewalls translate one private IP address to a single public IP address. Each private IP address is mapped to a single public IP address. Static NAT is not often used because it requires one public IP address for each private IP address. To configure static NAT on Cisco devices using Network Configuration Manager, you can create the corresponding Configlet commands and push them in multiple devices. If you don't have NCM installed, please click here to download and install the application. To configure static NAT on Cisco devices, following steps are required Configure private/public IP address mapping by using the ip nat inside source static PRIVATE_IP PUBLIC_IP command Configure the router’s inside interface using the ip nat inside command Configure the router’s outside interface using the ip nat outside command Steps to configure static NAT on Cisco devices through CLI Login to the device using SSH / TELNET and go to enable mode. Go into the config mode. Routerconfigure terminal Enter configuration commands, one per line. End with CNTL/Z. Routerconfig Use below command to configure static NAT Routerconfigip nat inside source static Configure the router's inside interface Routerconfiginterface fa0/0 Routerconfig-ifip nat inside Routerconfig-ifexit Configure the router's outside interface Routerconfiginterface fa0/1 Routerconfig-ifip nat outside Routerconfig-ifexit Exit config mode Routerconfigexit Router Execute show ip nat translations command to view the NAT configuration. Copy the running configuration into startup configuration using below command Routerwrite memory Building configuration... [OK] Router The corresponding configlet can be created in NCM application as shown in below screenshot. Also you can click the below button to download the Configlet as XML and import it into NCM application using file import option. Configlet Name Configure Static NAT - Cisco Description This configlet is used to configure static NAT in Cisco devices. Execution Mode Script Execution Mode Configlet Content configure terminal ip nat inside source static $PRIVATE_IP $PUBLIC_IP interface $INSIDE_INTF ip nat inside exit interface $OUTSIDE_INTF ip nat outside exit exit show ip nat translations write memory SommaireI. PrésentationII. Configuration du réseauIII. Configuration du routeurIV. Configuration du NATV. Test du NATVI. A vos claviers I. Présentation Le NAT ou "Network Address Translation" est une bonne réponse aux problématiques de routage que l'on peut rencontrer lorsque l'on souhaite lier un réseau dit "privé" c'est à dire sur lequel nous avons la main à un réseau dit "publique" sur lequel nous ne pouvons modifier la configuration. Le but du NAT quand il est mit sur un routeur séparant deux réseaux comme ceux-ci est de faire passer toutes les requêtes provenant du réseau privé que nous identifierons comme le LAN comme des requêtes provenant de ce routeur est nous d'un élément derrière lui possédant un autre adressage. Souvent, la problématique à laquelle peut répondre le NAT est la suivante Schéma de base où le NAT pourrait intervenir On voit ici que le réseau "privé" en vert se situe derrière le routeur R2 sur lequel nous avons la main. Pour joindre les réseaux derrière R1, il nous faut mettre une route disant qu'il faut sortir par l'interface WAN du R2. En revanche, le routeur R1 ne saura pas faire revenir les paquets car il ne possède pas de route vers notre réseau LAN Souvent, on arrive à pinguer avec l'interface externe du Routeur frontière mais pas l'interface qui lui est liée Le schéma ci-dessus illustre le cas de figure dans lequel on se retrouve souvent lorsque nous devons mettre en place du NAT. Le fait que le ping vers le routeur R1 ne fonctionne pas alors que celui sur l'interface externe du R2 fonctionne vient du fait que les paquets de réponse du routeur R1 n’empruntent pas le bon chemin car R1 ne connait pas le réseau privé et ne possède donc pas de route permettant de faire revenir les autre fonction du du NAT est de sécuriser une partie du réseau en la cachant à une autre partie. Cela est utile en terme de sécurité quand un réseau privé est adjacent à un réseau public et que l’on peut voir ce réseau local depuis le réseau public. Plus clairement, le routeur R2 va changer toutes les trames IP provenant du LAN en mettant comme IP source son IP sur le réseau WAN. Cela permettra de ne pas divulguer des IP du LAN à d'autres éléments du réseau et également de faire en sorte ces paquets reviennent car l'IP source sera sur un réseau connus des autres éléments du réseau. Le principe du NAT est simple, le routeur fait office de barrière entre le réseau outside celui auquel on cache et le réseau inside celui que l’on cache . Ainsi chaque requête provenant du réseau inside vers l’outside sera cachée par le NAT du routeur. On dit qu'une NAT est dynamique lorsque les adresses sources ici venant du LAN sont translaté de façon dynamique par des ports différents ou par des IP différentes si on en dispose vers l'interfaces de sorties ici WAN. Le routeur remplie sa table NAT de façon dynamique à l'inverse du NAT statique ou les translations sont saisies et enregistrés à l'avance II. Configuration du réseau Pour mettre en place notre infrastructure, nous allons travailler sur l'architecture présentée plus haut, détaillée au niveau réseau ici Schéma pour mettre en place notre NAT Nous allons donc ici mettre en place notre NAT dynamiques sur le routeur R2. Ici, les routeurs R1 et R2 peuvent communiquer ensemble, mais le routeur R1 ne connais pas la route vers le réseau donc il ne sait pas faire revenir les paquets s'ils ont été émis par les postes du LAN. En revanche, si R2 changent l'IP source des trames provenant du LAN en mettant sa propre IP, R1 saura y répondre, R2 fera alors la translation dans l'autre sens pour faire revenir les paquets à sa source. Ce processus est illustré dans le schéma suivant Schématisation du processus de Translation d'adresse NAT On va a présent configurer notre routeur R2 R2>enable R2configure terminal R2configinterface fa0/0 R2config-ifip address R2config-ifno shutdown R2config-ifexit R2configinterface fa0/1 R2config-ifip address R2config-ifno shutdown R2config-ifexit A ce stade, les deux réseaux sont reliés mais chacun peut voir la présence de l’autre. nous voulons que le réseau ne puisse pas joindre le réseau mais que l’inverse soit possible. IV. Configuration du NAT On doit ensuite indiquer quelle interface sera à l'intérieur du NAT "inside" et quelle interface sera à l'extérieur "outside". Cela permettra de dire au routeur dans quel sens il doit affecter les translations d'adresses. Ici, l'interface Fa0/0 sera l'interface Inside et l'interface Fa0/1 sera l'interface Outside. R2configinterface fa0/0 R2config-ifip nat inside R2config-ifexit R2configinterface fa0/1 R2config-ifip nat outside R2config-ifexit On va ensuite créer les règles d'accès qui permettra au LAN de sortir du NAT R2configaccess-list 1 permit R2configip nat inside source list 1 interface fa0/1 overload Le processus de translation d'adresse est maintenant opérationnel. V. Test du NAT Pour vérifier que notre routeur est bien en mode NAT, nous devrions pouvoir communiquer à présent avec le routeur R1 depuis le poste LAN. Avant cette communication, nous pouvons saisir la commande suivante dans notre routeur R2 R2debug ip nat On va ensuite communiquer avec notre routeur R1 et nous devrions voir les étapes de translation d'adresse s'afficher Debug de la translation d'adresse NAT sur le routeur Cisco Cette commande permet de voir les paquets qui transitent au travers du routeur en utilisant le NAT, ainsi nous voyons le processus d'action du NAT sur le paquet. VI. A vos claviers Je vous propose à présent de mettre en application ce tutoriel via un exercice packet tracer que je vous ai préparé. Il vous suffit pour cela de télécharger le fichier .pka suivant et de vous assurer que Packet Tracer version 6 est installé sur votre poste pour le lancer Network Address Translation or NAT is a mechanism of mapping local address on the inside interface of a router with global address on the outside interface. For outgoing packets, router will translate the source local address to a global address. Reversely, router will forward incoming packets for a global address to its local address. This is usually the scenario to enable hosts on LAN to communicate with the internet. In Cisco device, there are several methods to configure NAT. One of the methods will be explained in this article is to configure static NAT in Cisco IOS router. Static NAT is a manual mapping of local and global address as defined by the network administrator. The way to configure static NAT in Cisco IOS router consists of two steps that will be explained using example scenario with given topology as below 1. Define the inside and outside interface Defining the inside and outside interface correctly is the key to make NAT mapping works. Simply go to the interface configuration mode and then use command ip nat inside to make the interface as an inside interface. In a similar way, use command ip nat outside to make the interface as an outside interface. For the above scenario, the way to make f0/0 on R1 as the inside interface and f0/1 as the outside interface is shown below assuming the IP address for each interface and default route to internet has been configured before R1configinterface f0/0 R1config-ifip nat inside R1config-ifexit R1configinterface f0/1 R1config-ifip nat outside R1config-ifexit 2. Configure the static NAT mapping The command to configure static NAT mapping is ip nat inside source static [local address] [global address]. The command can be repeated many times as required but note that in Cisco IOS router one local address can only be mapped to one global address and vice-versa. Additionally, note that the global address must be in range of the subnet on the outside interface. In real practice, the global address usually provided by the internet service provider. For the above scenario, the command to map Server1 IP address to one of the available global IP address R1configip nat inside source static Verifying the NAT sessions To see if static NAT works as expected, try to do a ping from Server1 to address on the internet. Before static NAT is applied, ping from Server1 to will not work because R1 will forward the packet with source address of and it is not known on the internet in this case. Server> ping icmp_seq=1 timeout After NAT is applied, the source address of is masked by and it is an address that is known on the internet in this case. Therefore, ping from Server1 is success. Server> ping 84 bytes from icmp_seq=1 ttl=252 time= ms Use command show ip nat translations on the router to see the NAT session. See this example output for the above scenario R1sh ip nat trans Pro Inside global Inside local Outside local Outside global icmp - - - The output above shows the active sessions between local address and global address on the inside and outside interface complete with the protocol and port information. The inside global and outside global shows the IP address and ports as result of translation while the inside local and outside local shows the address and ports before the translation. From the output above we can see that static NAT mapping between local address of and global address on the inside interface has working successfully. One cool thing about static NAT is that it also works for incoming packets. To confirm this, do ping from the internet to Server1 global address. Internet>ping 84 bytes from icmp_seq=1 ttl=252 time= ms On R1, run command show ip nat translations again to see the session R1sh ip nat trans Pro Inside global Inside local Outside local Outside global icmp - - - And that’s how you configure static NAT in Cisco IOS Router. The following two tabs change content Posts I am IT practitioner in real life with specialization in network and server infrastructure. I have years of experience in design, analysis, operation, and optimization of infrastructure solutions for enterprise-scaled network. You can send me a message on LinkedIn or email to for further inquiry regarding stuffs that I wrote or opportunity to collaborate in a project. BTS SIOBlog professionel de Joakim Cavin Introduction Ce document fournit des exemples de configurations de base NAT Network Address Translation et PAT Port Address Translation sur le pare-feu Cisco Secure Adaptive Security Appliance ASA. Ce document fournit également les schémas de réseau simplifiés. Pour plus d'informations, reportez-vous à la documentation ASA de votre version logicielle ASA. Ce document propose une analyse personnalisée de votre périphérique Cisco. Référez-vous à Configuration NAT sur ASA sur les appliances de sécurité ASA 5500/5500-X pour plus d'informations. Conditions préalables Conditions requises Cisco recommande que vous connaissiez le pare-feu Cisco Secure ASA. Components Used Les informations de ce document sont basées sur le logiciel pare-feu Cisco Secure ASA version et ultérieure. The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared default configuration. If your network is live, make sure that you understand the potential impact of any command. Configurer - Plusieurs instructions NAT avec NAT manuel et automatique Diagramme du réseau Dans cet exemple, le fournisseur d'accès à Internet fournit à l'administrateur réseau un bloc d'adresses IP de à Le gestionnaire de réseau décide d'affecter à l'interface interne du routeur Internet et à l'interface externe de l'ASA. L'administrateur réseau a déjà fait attribuer une adresse de classe C au réseau, et quelques postes de travail utilisent ces adresses afin d'accéder à Internet. Ces stations de travail ne nécessitent aucune traduction d’adresses car elles possèdent déjà des adresses valides. Cependant, les nouvelles stations de travail ont des adresses attribuées dans le réseau et elles doivent être traduites parce que est l'un des espaces d'adresses non routables par RFC 1918 . Afin de prendre en charge cette conception de réseau, l'administrateur réseau doit utiliser deux instructions NAT et un pool global dans la configuration ASA global outside 1 netmask inside 1 0 0 Cette configuration ne traduit pas l'adresse source du trafic sortant du réseau Cela traduit une adresse source dans le réseau en une adresse de la plage à Note Quand vous avez une interface avec un routage spécifique NAT, et s'il n'y a aucun regroupement global à une autre interface, vous devez employer 0 nat afin d'installer l'exception NAT. ASA versions et ultérieures Voici la configuration . object network subnet network subnet network obj-natted range network any-1 subnet the Manual Nat statementsnat inside,outside source static static any-1 any-1nat inside,outside source dynamic obj-nattedUsing the Auto Nat statementsobject network subnet nat inside,outside dynamic obj-nattedobject network subnet nat inside,outside static Configurer - Plusieurs pools globaux Diagramme du réseau Dans cet exemple, le responsable du réseau a deux plages d'adresses IP qui s'enregistrent sur Internet. Le responsable du réseau doit convertir toutes les adresses internes, qui sont dans la plage en adresses enregistrées. Les plages d'adresses IP que le responsable du réseau doit utiliser vont de à et de à Le responsable du réseau peut faire ceci de la façon suivante global outside 1 netmask outside 1 netmask inside 1 0 0 Note Un système d'adressage générique est utilisé dans la déclaration NAT. Cette instruction indique à l'ASA de traduire n'importe quelle adresse source interne lorsqu'elle est envoyée sur Internet. L'adresse de cette commande peut être plus spécifique si vous le désirez. ASA versions et ultérieures Voici la configuration . object network obj-nattedrange network obj-natted-2range network any-1subnet the Manual Nat statementsnat inside,outside source dynamic any-1 obj-nattednat inside,outside source dynamic any-1 obj-natted-2Using the Auto Nat statementsobject network any-1subnet inside,outside dynamic obj-nattedobject network any-2 subnet nat inside,outside dynamic obj-natted-2 Configurer - Combiner les instructions NAT et PAT Diagramme du réseau Dans cet exemple, l'ISP fournit au responsable du réseau une plage d'adresses de à à l'usage de la société. Le gestionnaire de réseau a décidé d'utiliser pour l'interface interne sur le routeur Internet et pour l'interface externe sur l'ASA. Vous pouvez utiliser la plage à pour le pool NAT. Cependant, le gestionnaire de réseau sait qu'à tout moment, plus de 28 personnes peuvent essayer de quitter l'ASA. Par conséquent, le responsable du réseau décide de prendre et en faire une adresse PAT de sorte que plusieurs utilisateurs puissent partager une adresse simultanément. Ces commandes indiquent à l'ASA de traduire l'adresse source en à pour les 27 premiers utilisateurs internes à passer par l'ASA. Une fois ces adresses épuisées, l'ASA traduit toutes les adresses source suivantes en jusqu'à ce qu'une des adresses du pool NAT devienne libre. Note Un système d'adressage générique est utilisé dans la déclaration NAT. Cette instruction indique à l'ASA de traduire n'importe quelle adresse source interne lorsqu'elle est envoyée sur Internet. L'adresse de cette commande peut être plus spécifique si vous le désirez. ASA versions et ultérieures Voici la configuration . Using the Manual Nat statementsobject network any-1 subnet network obj-natted range network obj-natted-2 subnet inside,outside source dynamic obj-nattednat inside,outside source dynamic obj-natted-2Using the Auto Nat statementsobject network any-1 subnet nat inside,outside dynamic obj-nattedobject network any-2 subnet nat inside,outside dynamic obj-natted-2 Configurer - Plusieurs instructions NAT avec instructions manuelles Diagramme du réseau Dans cet exemple, l'ISP fournit au responsable du réseau une plage d'adresses allant de à Le gestionnaire de réseau décide d'affecter à l'interface interne sur le routeur Internet et à l'interface externe de l'ASA. Cependant, dans ce scénario, un autre segment de LAN privé est placé après le routeur Internet. Le responsable du réseau préférerait ne pas gaspiller d'adresses du pool global lorsque des hôtes de ces deux réseaux parlent entre eux. Le responsable du réseau doit toujours traduire l'adresse source pour tous les utilisateurs internes lorsqu'ils accèdent à Internet. Cette configuration ne traduit pas ces adresses avec une adresse source de et une adresse de destination de Cela traduit l'adresse source de n'importe quel trafic issu du réseau et destiné à n'importe quel emplacement autre que en une adresse de la plage comprise entre et Si vous disposez de la sortie d'une commande write terminal de votre périphérique Cisco, vous pouvez utiliser l'outil Output interpreter clients enregistrés uniquement. ASA versions et ultérieures Voici la configuration . Using the Manual Nat statementsobject network subnet network subnet network obj-natted range inside,outside source static destination static inside,outside source dynamic obj-nattedUsing the Auto Nat statementsobject network obj-natted range nat inside,outside source static destination static network subnet nat inside,outside dynamic obj-natted Configurer - Utiliser la NAT de stratégie Diagramme du réseau Lorsque vous utilisez une liste d'accès avec la commande nat pour n'importe quel ID NAT autre que 0, vous activez le NAT de stratégie. Le NAT de stratégie vous permet d'identifier le trafic local pour la traduction d'adresses lorsque vous spécifiez les adresses ou ports source et de destination dans une liste d'accès. Le NAT normal utilise uniquement des adresses/ports source. Le routage spécifique NAT utilise les adresses/ports d'origine et de destination. Note Tous les types de NAT prennent en charge le NAT de stratégie excepté l'exemption NAT liste d'accès NAT 0. L'exemption NAT utilise une liste de contrôle d'accès ACL afin d'identifier les adresses locales, mais diffère de la NAT de stratégie car les ports ne sont pas pris en compte. Avec le NAT de stratégie, vous pouvez créer plusieurs NAT ou déclarations statiques qui identifient la même adresse locale tant que la combinaison source/port et destination/port est unique pour chaque déclaration. Vous pouvez alors associer plusieurs adresses globales à chaque paire source/port et destination/port. Dans cet exemple, le responsable du réseau fournit un accès à l'adresse IP de destination pour le port 80 Web et le port 23 Telnet, mais doit utiliser deux adresses IP différentes comme adresse source. est utilisé comme adresse source pour le Web et est utilisé pour Telnet, et doit convertir toutes les adresses internes qui se trouvent dans la plage Le responsable du réseau peut faire ceci de la façon suivante access-list WEB permit tcp eq 80access-list TELNET permit tcp eq 23 nat inside 1 access-list WEBnat inside 2 access-list TELNETglobal outside 1 outside 2 ASA versions et ultérieures Voici la configuration . Using the Manual Nat statementsobject network subnet network host object network host object network host object service obj-23 service tcp destination eq telnetobject service obj-80 service tcp destination eq telnetnat inside,outside source dynamic destination static service obj-80 obj-80nat inside,outside source dynamic destination static service obj-23 obj-23 Vérification Essayez d'accéder à un site Web via HTTP à l'aide d'un navigateur Web. Cet exemple utilise un site hébergé à l'adresse Si la connexion réussit, le résultat de la section suivante est visible sur l'interface de ligne de commande ASA. Connexion ASAconfig show connection address in use, 19 most usedTCP outside inside idle 00006, bytes 9137,flags UIO L'ASA est un pare-feu dynamique et le trafic de retour du serveur Web est autorisé à revenir par le pare-feu car il correspond à une connexion dans la table de connexion du pare-feu. Le trafic qui correspond à une connexion qui existe déjà est autorisé à travers le pare-feu sans être bloqué par une liste de contrôle d’accès d’interface. Dans la sortie précédente, le client sur l’interface interne a établi une connexion à l’hôte à partir de l’interface externe. Cette connexion se fait avec le protocole TCP et est inactive depuis six secondes. Les indicateurs de connexion précisent l’état actuel de la connexion. Vous trouverez plus d'informations sur les indicateurs de connexion dans les indicateurs de connexion TCP ASA. Syslog ASAconfig show log in 28 2014 113123 %ASA-6-305011 Built dynamic TCP translation from inside to outside 28 2014 113123 %ASA-6-302013 Built outbound TCP connection 2921 for outside to inside Le pare-feu de l’ASA génère des SYSLOG pendant le fonctionnement normal. Les SYSLOG varient en verbosité selon la configuration de la journalisation. Le résultat montre deux syslogs qui sont vus au niveau 6, ou 'informationnel'. Dans cet exemple, deux SYSLOG sont générés. Le premier est un message de journal qui indique que le pare-feu a construit une traduction, en particulier une traduction TCP dynamique PAT. Il indique l'adresse IP source et le port, ainsi que l'adresse IP et le port traduits lorsque le trafic traverse de l'intérieur vers l'extérieur. Le deuxième SYSLOG indique que le pare-feu a établi une connexion dans sa table de connexions précisément pour ce trafic, entre le client et le serveur. Si le pare-feu a été configuré afin de bloquer cette tentative de connexion, ou si un autre facteur a empêché la création de cette connexion contraintes de ressources ou une éventuelle erreur de configuration, le pare-feu ne génère pas de journal indiquant que la connexion a été créée. Au lieu de cela, il consigne une raison pour laquelle la connexion est refusée ou une indication sur le facteur qui empêche la création de la connexion. Traductions NAT Xlate ASAconfig show xlate local 1in use, 810 most usedFlags D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netTCP PAT from inside to outside flags ri idle01222 timeout 00030 Dans le cadre de cette configuration, la PAT est configurée afin de traduire les adresses IP d’hôte internes en adresses routables sur Internet. Afin de confirmer que ces traductions sont créées, vous pouvez vérifier la table xlate traduction. La commande show xlate, lorsqu'elle est associée au mot clé local et à l'adresse IP de l'hôte interne, affiche toutes les entrées présentes dans la table de traduction de cet hôte. La sortie précédente montre qu'une traduction est actuellement créée pour cet hôte entre les interfaces interne et externe. L’adresse IP et le port de l’hôte interne sont traduits en l’adresse selon la configuration. Les indicateurs répertoriés, r i , indiquent que la traduction est dynamique et portmap. Vous trouverez plus d'informations sur les différentes configurations NAT dans Informations sur NAT. Dépannage Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

configuration nat et pat cisco pdf