🔄

NAT & PAT — Configuration

Travaux pratiques — Mise en œuvre de la NAT et de la PAT

📚 Matière

Cyber-Sécurité

📅 Date

1 octobre 2025

🔧 Outil

Cisco Packet Tracer

☑️ État

En cours

🌐 Réseau WAN

205.125.45.96/29

🏠 LAN Site 1

172.16.16.0/24

🏠 LAN Site 2

10.10.24.0/24

🎯

Objectifs du TP :
1. Configurer la NAT statique pour exposer SRV01 via l'IP publique 60.25.75.1
2. Configurer la PAT avec surcharge pour les hôtes du site 2
3. Configurer la redirection de ports HTTP/HTTPS vers SRV02

📋 Table des matières

01Topologie du réseau 02Configuration de R1 03Configuration de R2 04NAT statique — SRV01 05PAT avec surcharge — Site 2 06Redirection de ports — SRV02 07Vérification

Équipement	Interface	Adresse IP	Rôle
R1	`G0/0`	`172.16.16.254/24`	LAN Site 1 — inside
R1	`S0/0/0 (DCE)`	`205.125.45.97/29`	WAN — outside
R2	`S0/0/1`	`205.125.45.98/29`	WAN — inside
R2	`G0/0`	`10.10.24.254/24`	LAN Site 2
SRV01	—	`172.16.16.1` → `60.25.75.1`	Serveur public (NAT statique)
SRV02	—	`172.16.16.2` → `60.25.75.2`	Serveur WEB (redirection ports)
PC21-24	—	`10.10.24.21–24`	Clients Site 2 (PAT)

📌

Le lien WAN entre R1 et R2 utilise le réseau 205.125.45.96/29 (128 kbps). R1 est configuré en DCE (fournit l'horloge).

Configuration de base

Cisco IOS — R1

enable
conf t
  hostname R1
  no ip domain-lookup
  ip domain-name asri.local

Interface G0/0 — LAN inside

Cisco IOS — R1

conf t
  interface g0/0
    ip address 172.16.16.254 255.255.255.0
    ip nat inside
    no shutdown

Interface S0/0/0 — WAN outside (DCE)

Cisco IOS — R1

conf t
  interface s0/0/0
    ip address 205.125.45.97 255.255.255.248
    ip nat outside
    clock rate 128000
    no shutdown

Routage statique

Cisco IOS — R1

conf t
  ! Route vers le LAN du site 2
  ip route 10.10.24.0 255.255.255.0 205.125.45.98
  ! Route par défaut (vers Internet)
  ip route 0.0.0.0 0.0.0.0 205.125.45.97

Configuration de base

Cisco IOS — R2

enable
conf t
  hostname R2
  no ip domain-lookup
  ip domain-name asri.local

Interface S0/0/1 — WAN

Cisco IOS — R2

conf t
  interface s0/0/1
    ip address 205.125.45.98 255.255.255.248
    no shutdown

Interface G0/0 — LAN Site 2

Cisco IOS — R2

conf t
  interface g0/0
    ip address 10.10.24.254 255.255.255.0
    no shutdown

Routage statique

Cisco IOS — R2

conf t
  ! Route vers le LAN du site 1
  ip route 172.16.16.0 255.255.255.0 205.125.45.97
  ! Route par défaut vers R1
  ip route 0.0.0.0 0.0.0.0 205.125.45.97

Les périphériques externes peuvent accéder au serveur SRV01 via son adresse publique 60.25.75.1. La NAT statique crée une correspondance permanente 1-pour-1.

💡

Principe : Chaque paquet entrant vers 60.25.75.1 est traduit vers 172.16.16.1 (SRV01), et inversement pour les paquets sortants.

Cisco IOS — R1

conf t
  ! NAT statique : SRV01 privé ↔ adresse publique
  ip nat inside source static 172.16.16.1 60.25.75.1

✅

Un ping depuis l'extérieur vers 60.25.75.1 doit atteindre SRV01 (172.16.16.1).

Les hôtes du site 2 (derrière R2) accèdent au réseau public en partageant l'adresse IP de l'interface S0/0/0 de R1 grâce à la PAT (Port Address Translation).

💡

Principe : La PAT (NAT overload) permet à plusieurs hôtes internes de partager une seule IP publique en différenciant les connexions par le numéro de port source.

Cisco IOS — R1

conf t
  ! Définir les hôtes autorisés (réseau du site 2)
  access-list 1 permit 10.10.24.0 0.0.0.255

  ! PAT : traduire vers l'IP de l'interface WAN
  ip nat inside source list 1 interface s0/0/0 overload

⚠️

L'interface S0/0/0 doit être marquée ip nat outside et G0/0 en ip nat inside pour que la PAT fonctionne.

Les trafics HTTP et HTTPS provenant de l'adresse publique 60.25.75.2 sur les ports 8080 et 8081 sont redirigés vers les ports 80 et 443 du serveur SRV02 (172.16.16.2).

IP publique	Port public	→	IP privée (SRV02)	Port privé	Protocole
`60.25.75.2`	`8080`	→	`172.16.16.2`	`80`	HTTP
`60.25.75.2`	`8081`	→	`172.16.16.2`	`443`	HTTPS

Cisco IOS — R1

conf t
  ! HTTP : 60.25.75.2:8080 → SRV02:80
  ip nat inside source static tcp 172.16.16.2 80 60.25.75.2 8080

  ! HTTPS : 60.25.75.2:8081 → SRV02:443
  ip nat inside source static tcp 172.16.16.2 443 60.25.75.2 8081

end
wr mem

Cisco IOS — R1

! Afficher la table NAT en cours
show ip nat translations

! Statistiques NAT
show ip nat statistics

! Vérifier les interfaces NAT
show ip interface brief

! Vider la table NAT (si besoin)
clear ip nat translation *

📋 Récapitulatif des correspondances NAT

Type	IP/Port interne	IP/Port externe	Commande
NAT statique	`172.16.16.1`	`60.25.75.1`	`ip nat inside source static`
PAT overload	`10.10.24.0/24`	IP de `s0/0/0`	`ip nat inside source list 1 ... overload`
Port fwd HTTP	`172.16.16.2:80`	`60.25.75.2:8080`	`ip nat inside source static tcp`
Port fwd HTTPS	`172.16.16.2:443`	`60.25.75.2:8081`	`ip nat inside source static tcp`

BTS SIO SISR — Cyber-Sécurité — TP NAT & PAT — Cisco Packet Tracer