NAT statique dynamique et PAT
Définition
Le NAT peut etre configure selon trois modes principaux :
- NAT statique : mappage permanent un-a-un (adresse interne ↔ adresse publique)
- NAT dynamique : mappage temporaire depuis un pool d'adresses publiques
- PAT (Port Address Translation / NAT Overload) : plusieurs hotes partagent une seule adresse publique en se differenciant par les numeros de ports
Contexte
CCST demande de distinguer ces trois types, de connaitre leurs configurations Cisco et de savoir quand utiliser chacun.
Details techniques
Comparaison des trois types
| Critere | NAT Statique | NAT Dynamique | PAT (Overload) |
|---|---|---|---|
| Mappage | 1:1 permanent | 1:1 temporaire (pool) | N:1 (ports) |
| Adresses publiques | 1 par hote interne | Pool de N adresses | 1 seule suffit |
| Initiation | Bidirectionnelle | Inside → outside | Inside → outside |
| Usage typique | Serveur Web/Mail interne | Groupe d'utilisateurs | Tout le LAN |
| Scalabilite | Faible | Moyenne | Tres elevee |
NAT Statique
Mappage permanent : une adresse interne = une adresse publique. Le serveur est toujours joignable depuis l'exterieur.
Router(config)# ip nat inside source static 192.168.1.50 203.0.113.10
Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip nat inside
Router(config)# interface GigabitEthernet 0/1
Router(config-if)# ip nat outside
Traduction : 192.168.1.50 <--> 203.0.113.10 (permanent)
NAT Dynamique
Le routeur attribue une adresse du pool a la demande. Quand toutes les adresses sont prises, les nouveaux hotes sont refuses.
! Definir le pool d'adresses publiques
Router(config)# ip nat pool MON-POOL 203.0.113.1 203.0.113.10 netmask 255.255.255.0
! Definir quels hotes internes peuvent etre traduits (ACL)
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
! Associer l'ACL au pool
Router(config)# ip nat inside source list 10 pool MON-POOL
Traduction : 192.168.1.x --> adresse disponible du pool (temporaire)
Si le pool est epuise : les nouveaux flux sont rejetes
PAT (NAT Overload)
Tous les hotes partagent une seule IP publique. Le routeur differencie les flux par les numeros de ports source.
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 10 interface GigabitEthernet 0/1 overload
PC1 (192.168.1.10:1025) --> NAT --> 203.0.113.5:1025 --> Serveur
PC2 (192.168.1.11:1026) --> NAT --> 203.0.113.5:1026 --> Serveur
PC3 (192.168.1.12:1025) --> NAT --> 203.0.113.5:1027 --> Serveur
^
Le port est modifie si doublon
Schema comparatif
NAT Statique : 1 hote <----> 1 IP publique (permanent)
NAT Dynamique : N hotes <---> Pool de M IPs (premier arrive, premier servi)
(si N > M, les derniers sont refuses)
PAT : N hotes <---> 1 IP publique : ports differents
(supporte ~65000 flux simultanees)
Verification
Router# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 203.0.113.5:1025 192.168.1.10:80 8.8.8.8:443 8.8.8.8:443
--- 203.0.113.10 192.168.1.50 --- --- <-- statique
Exemple concret
Une entreprise de 200 postes a une seule adresse publique (203.0.113.5) : elle configure le PAT. Son serveur Web interne (192.168.1.50) doit etre accessible depuis Internet : elle ajoute un NAT statique vers 203.0.113.10. Le PAT gere le trafic sortant (navigation Web), le NAT statique gere le trafic entrant (requetes vers le serveur).