Embed Size (px)
DESCRIPTION
nat
Citation preview
NATNetwork Address Translation
Qu’est-ce que la fonction NAT ?
Pendant que le serveur DHCP attribue des adresses IP dynamiques aux périphériques du réseau, les routeurs compatibles NAT retiennent une ou plusieurs adresses IP Internet valides hors du réseau. Lorsque le client envoie des paquets en dehors du réseau, la fonction NAT traduit l’adresse IP interne du client en adresse externe. Pour les utilisateurs externes, l’ensemble du trafic depuis et vers le réseau a la même adresse IP ou provient du même pool d’adresses.
La principale fonction de NAT est d’enregistrer les adresses IP en autorisant les réseaux à utiliser des adresses IP privées. NAT traduit les adresses non routables, privées et internes en adresses routables publiques. NAT permet également d’ajouter un niveau de confidentialité et de sécurité à un réseau car il empêche les réseaux externes de voir les adresses IP internes.
Un périphérique compatible NAT fonctionne généralement à la périphérie d’un réseau d’extrémité.
Dans la terminologie NAT, le réseau interne désigne l’ensemble des réseaux soumis à la traduction. Le réseau externe désigne toutes les autres adresses. Les désignations des adresses IP sont différentes si ces adresses sont sur un réseau privé ou public (Internet) et si le trafic est entrant ou sortant.
Cette section utilise les termes suivants relatifs à la fonction NAT :
Adresse locale interne : n’est généralement pas une adresse IP attribuée par un organisme d’enregistrement Internet local ou un fournisseur de services et est souvent une adresse privée. Adresse globale interne : adresse publique valide attribuée à l’hôte interne lorsque ce dernier quitte le routeur NAT. Adresse globale externe : adresse IP accessible attribuée à un hôte sur Internet. Adresse locale externe : adresse IP locale attribuée à un hôte du réseau externe. Dans la plupart des cas, cette adresse sera identique à l’adresse globale externe de ce périphérique externe.
Remarque : dans ce cours, nous parlerons d’adresse locale interne, d’adresse globale interne et d’adresse globale externe. L’utilisation de l’adresse locale externe n’est pas abordée dans ce cours.
1
Mappage dynamique et mappage statique
Il existe deux types de traduction NAT : dynamique et statique.
La fonction NAT dynamique utilise un pool d’adresses publiques et les attribue selon la méthode du premier arrivé, premier servi. Lorsqu’un hôte ayant une adresse IP privée demande un accès à Internet, la fonction NAT dynamique choisit dans le pool une adresse IP qui n’est pas encore utilisée par un autre hôte. Cette description est celle du mappage.
La fonction NAT statique utilise un mappage biunivoque des adresses locales et globales ; ces mappages restent constants. Cette fonction s’avère particulièrement utile pour les serveurs Web ou les hôtes qui doivent disposer d’une adresse permanente, accessible depuis Internet. Ces hôtes internes peuvent être des serveurs d’entreprise ou des périphériques réseau.
Les fonctions NAT statique et dynamique nécessitent toutes deux qu’il existe suffisamment d’adresses publiques disponibles pour satisfaire le nombre total de sessions utilisateur simultanées.
2
Configuration de la NAT dynamique
Exemple de configuration de surcharge NAT
3
4
Dépannage de la configuration NAT et de la surcharge NAT
Lorsque vous connaissez des problèmes de connectivité IP dans un environnement NAT, il est souvent difficile de déterminer la cause du problème. Pour résoudre le problème, il faut d’abord s’assurer que la fonction NAT n’en est pas la cause. Suivez les étapes suivantes pour vous assurer que NAT fonctionne correctement :
Étape 1. En fonction de la configuration, définissez clairement ce que la fonction NAT est censée faire. Cela peut permettre d’identifier un problème de configuration.
Étape 2. Assurez-vous que les bonnes traductions existent dans la table de traduction à l’aide de la commande show ip nat translations.
Étape 3. Utilisez les commandes clear et debug pour vous assurer que NAT fonctionne correctement. Regardez si les entrées dynamiques sont recréées après avoir été effacées.
Étape 4. Analysez de façon détaillée ce qui arrive au paquet et assurez-vous que les routeurs disposent des informations de routage adéquates pour le déplacer.
Utilisez la commande debug ip nat pour vérifier le fonctionnement de NAT en affichant des informations sur chacun des paquets traduits par le routeur. La commande debug ip nat detailed génère une description individuelle des paquets dont la traduction est envisagée. Cette commande renvoie également des informations sur certaines erreurs ou conditions d’exception, par exemple l’impossibilité d’allouer une adresse globale.
Lorsque vous décodez le résultat du débogage, notez la signification des valeurs et symboles suivants :
* : l’astérisque en regard de NAT indique que la traduction s’effectue sur le chemin à commutation rapide. Le premier paquet d’une conversation est toujours commuté par le processus, ce qui est plus lent. Les paquets restants passent par le chemin à commutation rapide s’il existe une entrée de cache. s= : indique l’adresse IP source. a.b.c.d--->w.x.y.z : indique que l’adresse source a.b.c.d est traduite par w.x.y.z. d= : indique l’adresse IP de destination. [xxxx] : la valeur entre crochets représente le numéro d’identification IP. Ces informations peuvent être utiles pour le débogage car elles permettent d’établir une corrélation avec d’autres traces de paquets provenant d’analyseurs de protocole.
5
DHCP
Dynamic Host Configuration Protocol
Qu’est-ce que le protocole DHCP ?
Tous les périphériques qui se connectent à un réseau ont besoin d’une adresse IP. Les administrateurs réseau attribuent des adresses IP statiques aux routeurs, serveurs et aux autres périphériques réseau dont les emplacements (physique et logique) ne changeront sans doute pas. Les administrateurs entrent manuellement les adresses IP statiques lorsqu’ils configurent l’accès des périphériques au réseau. Les adresses statiques permettent également aux administrateurs de gérer ces périphériques à distance.
Cependant, dans une entreprise, les ordinateurs changent souvent d’emplacement, physiquement et logiquement. Il est impossible pour les administrateurs d’attribuer de nouvelles adresses IP chaque fois qu’un employé change de bureau ou de place. Par exemple, tous les hôtes d’un même sous-réseau reçoivent différentes adresses IP hôte, mais reçoivent le même masque de sous-réseau et la même adresse IP de passerelle par défaut.
Le protocole DHCP attribue les adresses IP et d’autres informations importantes sur la configuration réseau de façon dynamique. Comme les ordinateurs de bureau clients constituent la majorité des nœuds du réseau, le protocole DHCP offre un gain de temps extrêmement précieux aux administrateurs réseau.
Fonctionnement du protocole DHCP
La principale fonction d’un serveur DHCP est d’offrir aux clients des adresses IP. Le protocole DHCP comprend trois mécanismes d’allocation d’adresses, offrant ainsi de la souplesse lors de l’attribution d’adresses IP :
Allocation manuelle : l’administrateur attribue une adresse IP préallouée au client et le protocole DHCP communique uniquement l’adresse IP au périphérique.
Allocation automatique : le protocole DHCP attribue de façon automatique et permanente une adresse IP statique à un périphérique en sélectionnant cette adresse dans un pool d’adresses disponibles. Il n’y a pas de bail et l’adresse est attribuée de façon permanente au périphérique.
Allocation dynamique : le protocole DHCP attribue, ou loue, de façon automatique et dynamique une adresse IP à partir d’un pool d’adresses pour une durée limitée définie par le serveur ou jusqu’à ce que le client indique au serveur DHCP qu’il n’a plus besoin de cette adresse.
Le protocole DHCP utilise le mode client(68)/serveur(67) ; il fonctionne comme toute autre relation client/serveur. Lorsqu’un ordinateur se connecte à un serveur DHCP, le serveur attribue ou loue une adresse IP à cet ordinateur. L’ordinateur se connecte au réseau avec cette adresse IP louée jusqu’à l’expiration du bail. L’hôte doit régulièrement contacter le serveur DHCP pour renouveler le bail. Ce système de bail permet de s’assurer que les hôtes qui bougent ou qui sont hors connexion ne conservent pas des adresses dont ils n’ont plus besoin. Le serveur DHCP renvoie ces adresses au pool d’adresses et les réattribue selon les besoins.
Lorsque le client démarre ou lorsqu’il souhaite se connecter à un réseau, il doit suivre quatre étapes pour obtenir un bail. Au cours de la première étape, le client diffuse un message DHCPDISCOVER. Le message DHCPDISCOVER détecte les serveurs DHCP sur le réseau. L’hôte n’ayant pas d’informations IP valides au démarrage, il utilise les adresses de diffusion L2 et L3 pour communiquer avec le serveur.
6
Lorsque le serveur DHCP reçoit un message DHCPDISCOVER, il trouve une adresse IP disponible à louer, crée une entrée ARP comprenant l’adresse MAC de l’hôte demandeur et l’adresse IP louée, puis transmet une offre de liaison via un message DHCPOFFER. Le message DHCPOFFER est envoyé en monodiffusion, utilisant l’adresse MAC L2 du serveur comme adresse source et l’adresse L2 du client comme destination.
Remarque : dans certains cas, les messages DHCP échangés depuis le serveur peuvent être diffusés en mode standard et non en monodiffusion.
Lorsque le client reçoit le message DHCPOFFER du serveur, il renvoie un message DHCPREQUEST. La fonction de ce message est double : émettre le bail ainsi que le renouveler et le vérifier. Lorsqu’il est utilisé pour émettre le bail, le message DHCPREQUEST du client demande que les informations sur l’IP soient vérifiées juste après son attribution. Le message permet de rechercher les éventuelles erreurs afin de s’assurer que l’attribution est toujours valide. Le message DHCPREQUEST sert également d’acceptation de la liaison auprès du serveur sélectionné et de refus implicite auprès des autres serveurs ayant offert une liaison à l’hôte.
De nombreux réseaux d’entreprise utilisent plusieurs serveurs DHCP. Le message DHCPREQUEST est envoyé sous forme de diffusion afin de prévenir ce serveur DHCP et tous les autres serveurs DHCP de l’offre acceptée.
Protocoles BOOTP et DHCP
Le protocole Bootstrap (BOOTP), est le prédécesseur du protocole DHCP et partage avec lui certaines caractéristiques de fonctionnement. Le protocole BOOTP permet de télécharger des configurations d’adresse et d’amorçage pour les stations de travail sans disque. Une station de travail sans disque ne dispose pas de disque dur ni de système d’exploitation. De nombreux systèmes de caisses enregistreuses automatisées que vous pouvez trouver dans votre supermarché sont des exemples de stations de travail sans disque. Les protocoles DHCP et BOOTP sont tous deux de type client/serveur et utilisent les ports UDP 67 et 68. Ces ports continuent à s’appeler les ports BOOTP.
Pour comprendre les différences de fonctionnement entre les protocoles BOOTP et DHCP, pensez aux quatre paramètres IP de base nécessaires pour accéder à un réseau :
- l’adresse IP ; - l’adresse de passerelle ;
7
- le masque de sous-réseau ; - l’adresse du serveur de noms de domaine (DNS).
Il existe trois différences majeures entre les protocoles DHCP et BOOTP :
La principale différence réside dans le fait que le protocole BOOTP a été conçu pour la préconfiguration manuelle des informations de l’hôte dans une base de données de serveur tandis que le protocole DHCP permet l’allocation dynamique des configurations et des adresses réseau aux hôtes nouvellement attachés.
Le protocole DHCP permet de récupérer et de réattribuer les adresses réseau via un mécanisme de bail. Le protocole DHCP définit des mécanismes permettant aux clients de se voir attribuer une adresse IP pendant une période d’utilisation déterminée. Le protocole BOOTP n’utilise pas les baux. Ses clients ont une adresse IP réservée qui ne peut être attribuée à aucun autre hôte.
Le protocole BOOTP offre à un hôte une quantité d’informations limitée. Le protocole DHCP offre des paramètres de configuration IP supplémentaires, tels que WINS et le nom de domaine.
Configuration d’un serveur DHCP
La configuration d’un routeur comme serveur DHCP comprend les étapes suivantes :
Étape 1. Définissez une plage d’adresses que le protocole DHCP ne doit pas allouer. Il s’agit généralement d’adresses statiques réservées à l’interface de routeur, à l’adresse IP de gestion de commutateur, aux serveurs et aux imprimantes réseau locales.
Étape 2. Créez le pool DHCP à l’aide de la commande ip dhcp pool.
Étape 3. Configurez le pool.
Il est recommandé de configurer les adresses exclues en mode de configuration globale avant de créer le pool DHCP. Ainsi, le protocole DHCP n’attribue pas par mégarde des adresses réservées.
Indiquez les adresses IP que le serveur DHCP ne doit pas attribuer aux clients. En règle générale, certaines adresses IP appartiennent à des périphériques réseau statiques, tels que des serveurs ou des imprimantes. Le protocole DHCP ne doit pas attribuer ces adresses IP à d’autres périphériques. Il est recommandé de configurer les adresses exclues en mode de configuration globale avant de créer le pool DHCP. Ainsi, le protocole DHCP n’attribue pas par mégarde des adresses réservées.
8
La configuration de la durée du bail DHCP constitue l’un des autres paramètres. Par défaut, le paramètre est défini sur un jour ; pour le modifier, utilisez la commande lease. Vous pouvez également configurer un serveur WINS NetBIOS à la disposition d’un client DHCP Microsoft.
Le service DHCP est activé par défaut sur les versions du logiciel Cisco IOS qui le prennent en charge. Pour désactiver le service, utilisez la commande no service dhcp. Utilisez la commande de configuration globale service dhcp pour réactiver le processus du serveur DHCP.
Exemple configuration DHCP
Vérification de DHCP
Pour vérifier le fonctionnement du protocole DHCP, utilisez la commande show ip dhcp binding. Cette commande permet d’afficher la liste de toutes les liaisons entre adresse IP et adresse MAC qui ont été fournies par le service DHCP.
Pour vous assurer que les messages sont reçus ou envoyés par le routeur, utilisez la commande show ip dhcp server statistics. Cette commande permet d’afficher le nombre de messages DHCP envoyés et reçus.
La commande ipconfig /all permet d’afficher les paramètres TCP/IP configurés.
La commande show ip dhcp pool est une autre commande utile qui permet d’afficher plusieurs pools.
Qu’est-ce que le relais DHCP ?
Dans le cas d’un réseau hiérarchique complexe, les serveurs d’entreprise se trouvent généralement dans une batterie de serveurs. Ces serveurs peuvent fournir des services DHCP, DNS, TFTP et FTP aux clients. Le problème réside dans le fait que généralement, les clients réseau ne se trouvent pas sur le même sous-réseau que ces serveurs. Ainsi, les clients doivent rechercher les serveurs pour recevoir les services, alors que ces services sont souvent retrouvés à l’aide de messages de diffusion.
La commande ipconfig /release : permet d’effacer attribuée a la machine. L’adresse actuelle est désormais 0.0.0.0. La commande ipconfig /renew est ensuite exécutée. Cette commande demande à l’hôte de diffuser un message DHCPDISCOVER.
9
Pour configurer le routeur comme agent de relais DHCP, vous devez configurer l’interface la plus proche du client via la commande de configuration d’interface ip helper-address. Cette commande relaye les requêtes de diffusion pour les principaux services à une adresse configurée. Configurez l’adresse de diffusion IP par défaut sur l’interface recevant la diffusion.
DHCP n’est pas le seul service que le routeur peut relayer suite à une configuration. Par défaut, la commande ip helper-address transfère les huit services UDP suivants :
- Port 37 : durée - Port 49 : TACACS- Port 53 : DNS- Port 67 : client BOOTP/DHCP- Port 68 : serveur BOOTP/DHCP- Port 69 : TFTP- Port 137 : service de noms NetBIOS- Port 138 : service de datagramme NetBIOS
Pour spécifier d’autres ports, utilisez la commande ip forward-protocol afin d’indiquer exactement les types de paquet de diffusion à transférer.
Dépannage de la configuration DHCP
Les problèmes de DHCP peuvent avoir diverses origines : défauts logiciels dans les systèmes d’exploitation, pilotes NIC ou agents de relais DHCP/BOOTP, notamment. La raison la plus courante reste cependant les problèmes de configuration. Étant donné le nombre de domaines pouvant poser problème, vous devez suivre une approche méthodique.
Tâche 1 du dépannage : résolution des conflits d’adresses IP
Un bail d’adresse IP peut expirer alors qu’un client est toujours connecté à un réseau. Si le client ne renouvelle pas le bail, le serveur DHCP peut réattribuer cette adresse IP à un autre client. Lorsque le client redémarre, il
10
demande une adresse IP. Si le serveur DHCP ne répond pas rapidement, le client utilise la dernière adresse IP. Deux clients utilisent alors la même adresse IP, créant un conflit.
La commande show ip dhcp conflict affiche tous les conflits d’adresses enregistrés par le serveur DHCP. Le serveur utilise la commande ping pour détecter les conflits. Le client utilise le protocole ARP pour détecter les clients. Si un conflit d’adresse est détecté, l’adresse est retirée du pool et n’est pas attribuée tant qu’un administrateur n’a pas résolu le conflit.
R2# show ip dhcp conflict
Adresse IP Méthode de détection Heure de détection
192.168.1.32 Ping Feb 16 2007 12:28 PM192.168.1.64 Gratuitous ARP Feb 23 2007 08:12 AM
Tâche 2 du dépannage : vérification de la connectivité physique
Utilisez tout d’abord la commande show interface interface pour confirmer que l’interface de routeur agissant comme passerelle par défaut pour le client est opérationnelle. Si l’état de l’interface n’est pas actif, le port n’achemine pas le trafic, y compris les requêtes du client DHCP.
Tâche 3 du dépannage : test de la connectivité du réseau en configurant une station de travail cliente avec une adresse IP statique
Lorsque vous dépannez un problème de DHCP, vérifiez la connectivité du réseau en configurant une adresse IP statique sur une station de travail cliente. Si la station de travail ne peut pas atteindre les ressources réseau avec une adresse IP configurée de façon statique, la cause première du problème n’est pas le protocole DHCP. Il convient alors à ce moment-là de dépanner la connectivité du réseau.
Tâche 4 du dépannage : vérification de la configuration du port du commutateur (STP Portfast et autres commandes)
Si le client DHCP ne parvient pas à obtenir d’adresse IP auprès du serveur DHCP au démarrage, essayez d’obtenir une adresse IP auprès du serveur DHCP en obligeant manuellement le client à envoyer une requête DHCP.
Si un commutateur se trouve entre le client et le serveur DHCP, assurez-vous que sur le port, STP PortFast est activé et que l’agrégation/le cheminement est désactivé. Par défaut, PortFast est désactivé et l’agrégation/le cheminement est automatique (si applicable). Changer ces configurations permet de résoudre les problèmes les plus courants de client DHCP qui se produisent avec une installation initiale d’un commutateur Catalyst.
Tâche 5 du dépannage : déterminer si les clients DHCP obtiennent l’adresse IP sur le même sous-réseau ou réseau local virtuel que le serveur DHCP
Il est important de déterminer si le protocole DHCP fonctionne correctement lorsque le client se trouve sur le même sous-réseau ou réseau local virtuel que le serveur DHCP. Si le protocole DHCP fonctionne normalement, le problème peut venir de l’agent de relais DHCP/BOOTP. Si le problème existe toujours lorsque vous testez DHCP sur le même sous-réseau ou réseau local virtuel que le serveur DHCP, le problème peut en fait provenir du serveur DHCP.
11
![2012 HYGIENE ET EQUILIBRE ALIMENTAIRE Nat[1]](https://img.pdfslide.fr/doc/110x75/62ae2dc87fd003628104b719/2012-hygiene-et-equilibre-alimentaire-nat1.jpg)
