Cisco Packet Tracer NAT Statique NAT Dynamique PAT Port Forwarding
🔄

TP — Configuration de la NAT

NAT Statique · NAT Dynamique · PAT · Redirection de port · NAT IPv6 · Cisco IOS

📚 Matière
Cyber-Sécurité
📅 Date
12 septembre 2025
☑️ État
✓ Terminé
🔧 Outil
Cisco Packet Tracer
📋
Contexte : cette procédure décrit pas à pas la mise en œuvre de la NAT statique, NAT dynamique, PAT et de la redirection de port sur des routeurs Cisco sous Packet Tracer, avec configuration, tests et commandes de vérification.
Topologie — 2 sites · WAN 200.0.0.0/24 Site 1 — Serveur 192.168.1.0/24 SRV01 192.168.1.11 S1 R1 G0/0 .1 200.0.0.0/24 S0/0/0 .1 S0/0/1 .2 128 kbps — formation.local R2 G0/0 .1 Site 2 — Clients 192.168.2.0/24 S2 PC21 .21 PC22 .22 PC23 .23 PC24 .24 NAT configurée sur R1 (statique) et R2 (dynamique / PAT) SRV01 : 192.168.1.11 ↔ 200.0.0.11 · Pool : 200.0.0.128–130
ÉquipementInterfaceAdresse IPRôle NAT
R1G0/0 (G0/1)192.168.1.1inside
R1S0/0/0200.0.0.1outside
R2G0/0192.168.2.1inside
R2S0/0/1200.0.0.2outside
SRV01192.168.1.11200.0.0.11NAT statique
PC21–24192.168.2.21–24Pool NAT dynamique
📋 Table des matières
§0Configuration IP des routeurs et des hôtes §1NAT Statique — SRV01 accessible depuis l'extérieur §2NAT Dynamique — Pool d'adresses publiques §3PAT — Port Address Translation (overload) §4Redirection de port — Port Forwarding §5NAT et IPv6 — NPTv6
0
⚙️ Configuration IP des routeurs et des hôtes
Pré-requis avant toute configuration NAT
R1 — Site Serveur Interfaces LAN et WAN

R1 connecte le réseau interne du serveur (192.168.1.0/24) au réseau public (200.0.0.0/24).

Cisco IOS — R1
conf t

! Interface LAN — réseau interne du serveur
interface g0/1
  ip address 192.168.1.1 255.255.255.0
  no shutdown

! Interface WAN — réseau public
interface s0/0/0
  ip address 200.0.0.1 255.255.255.0
  no shutdown

! Route par défaut vers le réseau externe
ip route 0.0.0.0 0.0.0.0 s0/0/0
  • ip route 0.0.0.0 0.0.0.0Route par défaut — tout trafic dont la destination est inconnue est envoyé vers l'interface S0/0/0 (le réseau public).
➡️ R1 est opérationnel sur les réseaux interne (192.168.1.0/24) et externe (200.0.0.0/24).
R2 — Site Clients Interfaces LAN et WAN

R2 connecte le réseau clients (192.168.2.0/24) au réseau public via R1.

Cisco IOS — R2
conf t

! Interface LAN — réseau interne clients
interface g0/0
  ip address 192.168.2.1 255.255.255.0
  no shutdown

! Interface WAN — liaison vers R1
interface s0/0/1
  ip address 200.0.0.2 255.255.255.0
  no shutdown

! Route par défaut vers R1
ip route 0.0.0.0 0.0.0.0 s0/0/1
➡️ R2 peut transmettre le trafic vers le site serveur et l'extérieur.
Hôtes Configuration des PC et du serveur
HôteAdresse IPMasquePasserelle
SRV01192.168.1.11255.255.255.0192.168.1.1
PC21192.168.2.21255.255.255.0192.168.2.1
PC22192.168.2.22255.255.255.0192.168.2.1
PC23192.168.2.23255.255.255.0192.168.2.1
PC24192.168.2.24255.255.255.0192.168.2.1
🏓
Tests pré-NAT : PC21 → R2 ✅ · PC21 → PC22/23/24 ✅ · PC21 → SRV01 ✅ (si routage OK)
1
🔵 NAT Statique
1 IP privée ↔ 1 IP publique fixe · SRV01 accessible depuis l'extérieur
🎯
Objectif : rendre le serveur SRV01 (192.168.1.11) accessible depuis l'extérieur via l'adresse publique fixe 200.0.0.11. Traduction permanente 1 pour 1.
Étape 1 Création du mappage NAT statique

Cette commande établit une correspondance permanente entre l'adresse privée du serveur et son adresse publique.

Cisco IOS — R1
conf t
! Correspondance fixe : IP privée ↔ IP publique
ip nat inside source static 192.168.1.11 200.0.0.11
  • inside source staticDéclare une traduction statique permanente. Elle reste dans la table NAT même si aucun trafic n'est en cours.
  • 192.168.1.11Adresse locale interne — l'IP réelle du serveur sur le réseau privé.
  • 200.0.0.11Adresse globale externe — l'IP publique sous laquelle le serveur est visible de l'extérieur.
➡️ Le serveur interne est associé à une adresse IP publique fixe.
Étape 2 Déclaration des interfaces inside / outside

Le routeur doit savoir quelle interface est côté réseau privé (inside) et quelle interface est côté réseau public (outside).

Cisco IOS — R1
! Interface côté réseau privé (LAN serveur)
interface g0/1
  description "interface interne"
  ip nat inside

! Interface côté réseau public (WAN)
interface s0/0/0
  description "interface externe"
  ip nat outside
exit
  • ip nat insideMarque l'interface comme côté réseau interne. Le trafic provenant de cette interface peut être traduit.
  • ip nat outsideMarque l'interface comme côté réseau externe. Les paquets sortants reçoivent l'adresse publique, les paquets entrants sont retraduits vers l'IP privée.
➡️ Le routeur peut effectuer la traduction NAT entre les deux réseaux.
Vérif. Vérification de la NAT statique

Vérifier la table de traduction et les statistiques après un ping de PC21 vers SRV01.

Cisco IOS — R1
! Afficher la table de traduction NAT
show ip nat translations

! Résultat attendu (statique, sans trafic) :
--- 200.0.0.11  192.168.1.11  ---  ---

! Résultat attendu (avec trafic ICMP en cours) :
icmp 200.0.0.11:31  192.168.1.11:31  192.168.2.21:31  192.168.2.21:31

! Afficher les statistiques NAT
show ip nat statistics
  • Inside globalL'adresse publique vue de l'extérieur (200.0.0.11).
  • Inside localL'adresse privée réelle du serveur (192.168.1.11).
  • ---Les champs Outside sont vides si aucune session n'est active. La traduction statique reste toujours dans la table.
Test fonctionnel : PC21 → SRV01 (via 200.0.0.11) : OK · La correspondance 192.168.1.11 ↔ 200.0.0.11 apparaît dans la table NAT.
2
🟠 NAT Dynamique
Pool d'adresses publiques · Traductions temporaires · R2
🎯
Objectif : permettre à plusieurs hôtes internes (PC21–24) d'accéder au réseau externe en utilisant un pool limité d'adresses IP publiques (200.0.0.128 à 200.0.0.130). Chaque traduction est temporaire et libérée après expiration (24h par défaut).
Étape 1 Création du pool d'adresses IP publiques

Définir la plage d'adresses IP publiques disponibles pour la traduction dynamique.

Cisco IOS — R2
conf t
ip nat pool POOL-SITE02 200.0.0.128 200.0.0.130 netmask 255.255.255.0

! Méthode alternative avec préfixe (non supporté sous Packet Tracer) :
! ip nat pool POOL-SITE02 200.0.0.128 200.0.0.130 prefix-length 24
  • ip nat pool NOMCrée un groupe (pool) d'adresses publiques avec un nom. Ce nom sera référencé dans la commande d'association ACL-pool.
  • 200.0.0.128 200.0.0.130Plage d'adresses du pool — de la première à la dernière adresse utilisable. Ici 3 adresses disponibles.
  • netmaskMasque de sous-réseau des adresses du pool. Doit correspondre au réseau public utilisé.
➡️ R2 dispose d'un pool de 3 adresses IP publiques pour effectuer les traductions NAT.
Étape 2 Définition de l'ACL — hôtes autorisés

Cette ACL identifie quels hôtes internes sont autorisés à utiliser la NAT dynamique.

Cisco IOS — R2
access-list 1 permit 192.168.2.0 0.0.0.255
! Un deny any implicite est ajouté automatiquement en fin de liste
  • access-list 1ACL standard numérotée. Elle filtre uniquement sur l'IP source — ici tout le réseau 192.168.2.0/24.
  • 0.0.0.255Wildcard mask = inverse du masque /24. Signifie : n'importe quel hôte du réseau 192.168.2.0.
➡️ Tous les équipements du réseau 192.168.2.0/24 sont autorisés à accéder au réseau externe via la NAT.
Étape 3 Association de l'ACL au pool NAT

Cette commande relie les hôtes autorisés (ACL) au pool d'adresses publiques pour activer la NAT dynamique.

Cisco IOS — R2
ip nat inside source list 1 pool POOL-SITE02
  • source list 1Référence l'ACL 1 — seuls les hôtes correspondant à cette ACL bénéficient de la traduction NAT.
  • pool POOL-SITE02Les adresses publiques seront attribuées depuis le pool POOL-SITE02 de façon dynamique.
➡️ Les adresses IP publiques sont désormais attribuées dynamiquement aux hôtes internes.
Étape 4 Déclaration des interfaces inside / outside
Cisco IOS — R2
interface g0/0
  description "interface interne"
  ip nat inside

interface s0/0/1
  description "interface externe"
  ip nat outside
exit
➡️ R2 peut maintenant traduire les adresses internes et acheminer le trafic vers l'extérieur.
Vérif. Vérification de la NAT dynamique
Cisco IOS — R2
! Vérifier que l'ACL filtre bien le trafic
show ip access-lists 1
Standard IP access list 1
  permit 192.168.2.0 0.0.0.255 (1 match(es))

! Afficher les traductions actives
show ip nat translations
icmp 200.0.0.128:2  192.168.2.21:2  192.168.1.11:2  192.168.1.11:2
icmp 200.0.0.128:3  192.168.2.21:3  192.168.1.11:3  192.168.1.11:3

! Afficher les statistiques (taux d'utilisation du pool)
show ip nat statistics
Total translations: 1 (0 static, 1 dynamic, 1 extended)
pool POOL-SITE02: total addresses 3, allocated 1 (33%), misses 0
Tests fonctionnels : Serveur → PC21 ✅ · PC21 → Serveur (HTTP) ✅
⚠️ Saturation du pool NAT

Avec seulement 3 adresses dans le pool, si PC21, PC22 et PC23 communiquent simultanément, toutes les adresses sont utilisées.

Résultat — pool saturé à 100%
pool POOL-SITE02: total addresses 3, allocated 3 (100%), misses 0

! PC24 ne peut plus accéder à l'extérieur :
Request timed out.
Request timed out.
⚠️
Le pool étant saturé, aucune nouvelle traduction NAT ne peut être créée tant qu'une adresse IP publique n'est pas libérée. Solution : utiliser la PAT (section 3).

Pour supprimer les traductions dynamiques ou le pool :

Cisco IOS — R2
! Effacer toutes les traductions dynamiques
clear ip nat translation *

! Si le pool est en cours d'utilisation, désactiver d'abord la NAT sur l'interface
interface g0/0
  no ip nat inside

! Puis supprimer le pool
no ip nat pool POOL-SITE02 200.0.0.128 200.0.0.130 netmask 255.255.255.0
3
🟣 PAT — Port Address Translation (overload)
Plusieurs hôtes · Une seule IP publique · Différenciation par ports
🎯
Objectif : permettre à un grand nombre de machines internes de partager une ou plusieurs adresses IP publiques grâce à l'utilisation des numéros de ports. Jusqu'à ~4000 connexions simultanées par IP publique.
3.a PAT avec pool d'adresses

Identique à la NAT dynamique mais avec le mot-clé overload qui active la surcharge NAT (PAT).

Cisco IOS — R2
conf t
! 1. Créer le pool d'adresses publiques
ip nat pool POOL-SITE02 200.0.0.128 200.0.0.130 netmask 255.255.255.0

! 2. Définir l'ACL des hôtes autorisés
access-list 1 permit 192.168.2.0 0.0.0.255

! 3. Associer ACL + pool avec le mot-clé OVERLOAD (active la PAT)
ip nat inside source list 1 pool POOL-SITE02 overload

! 4. Déclarer les interfaces
interface g0/0
  description "interface interne"
  ip nat inside
interface s0/0/1
  description "interface externe"
  ip nat outside
exit
  • overloadMot-clé clé de la PAT — informe le routeur d'utiliser les numéros de ports pour différencier les connexions. Sans ce mot-clé, c'est de la NAT dynamique classique (1 IP = 1 connexion).
💡
Avec PAT + pool de 3 IPs : 3 × ~4000 ports = ~12 000 connexions simultanées. La première IP publique (200.0.0.128) est utilisée jusqu'à épuisement de ses ports, puis la suivante.
3.b PAT avec adresse unique (interface de sortie) Le plus courant — SOHO

La PAT à adresse unique est la plus utilisée. Elle permet aux particuliers et petites entreprises de partager l'adresse IP publique du FAI portée par l'interface de sortie du routeur.

Cisco IOS — R2
conf t
! 1. ACL des hôtes autorisés
access-list 1 permit 192.168.2.0 0.0.0.255

! 2. Lier l'ACL directement à l'interface de sortie (pas de pool)
ip nat inside source list 1 interface S0/0/0 overload

! 3. Déclarer les interfaces
interface g0/0
  description "interface interne"
  ip nat inside
interface s0/0/1
  description "interface externe"
  ip nat outside
exit
  • interface S0/0/0Au lieu d'un pool, on référence directement l'interface de sortie. L'IP publique de cette interface (souvent dynamique via DHCP) est utilisée pour la traduction.
  • overloadIndispensable — active la surcharge PAT pour multiplexer toutes les connexions sur une seule IP publique via les ports.
Vérif. Vérification de la PAT
Cisco IOS — R2
! Vérifier l'ACL
show ip access-lists 1
permit 192.168.2.0 0.0.0.255 (16 match(es))

! Traductions PAT — tous les hôtes partagent la même IP publique
show ip nat translations
tcp 200.0.0.128:1024  192.168.2.22:1025  200.0.0.11:80  200.0.0.11:80
tcp 200.0.0.128:1025  192.168.2.21:1025  200.0.0.11:80  200.0.0.11:80
tcp 200.0.0.128:1026  192.168.2.23:1025  200.0.0.11:80  200.0.0.11:80
tcp 200.0.0.128:1027  192.168.2.24:1025  200.0.0.11:80  200.0.0.11:80

! Statistiques
show ip nat statistics
💡
En PAT, tous les PC partagent la même adresse IP publique (200.0.0.128) mais avec des ports différents. Le routeur utilise ces ports pour savoir à quel PC renvoyer les réponses.
4
🔴 Redirection de port — Port Forwarding
Accès ciblé à un service interne · TCP/UDP · R1
🎯
Objectif : rendre accessible uniquement le port 80 de SRV01 depuis l'extérieur via le port 8080 de l'adresse publique. Contrairement à la NAT statique, seul ce service est exposé.
Principe Syntaxe de la commande de redirection
Syntaxe
ip nat inside source static { tcp | udp } local-IP local-port global-IP global-port [extendable]
  • tcp / udpProtocole de transport à rediriger. HTTP = tcp, DNS = udp.
  • local-IPAdresse IP privée de l'hôte interne hébergeant le service.
  • local-portPort sur lequel le service interne écoute (ex : 80 pour HTTP).
  • global-IPAdresse IP publique du routeur exposée à l'extérieur.
  • global-portPort public exposé (peut être différent du port interne — ex : 8080).
  • extendableOption par défaut — permet des traductions "ambiguës" (deux interfaces de sortie, etc.).
Config. Mise en place de la redirection de port sur R1

Le trafic TCP arrivant sur 200.0.0.1:8080 est automatiquement redirigé vers SRV01:80.

Cisco IOS — R1
conf t
! Rediriger TCP port 8080 public → port 80 de SRV01
ip nat inside source static tcp 192.168.1.11 80 200.0.0.1 8080

! Déclarer les interfaces
interface g0/0
  description "interface interne"
  ip nat inside
interface s0/0/1
  description "interface externe"
  ip nat outside
exit
➡️ Tout trafic TCP reçu sur 200.0.0.1:8080 est transmis à 192.168.1.11:80 (SRV01).
Vérif. Vérification de la redirection de port
Cisco IOS — R1
show ip nat translations
tcp 200.0.0.1:8080  192.168.1.11:80  ---  ---
tcp 200.0.0.1:8080  192.168.1.11:80  192.168.2.21:1031  192.168.2.21:1031
  • Ligne 1La règle de redirection statique — toujours présente dans la table (comme la NAT statique).
  • Ligne 2La traduction active quand PC21 accède au service. Le port d'entrée (8080) est remplacé par le port interne (80).
Test fonctionnel : depuis un poste externe, ouvrir http://200.0.0.1:8080 → la page web de SRV01 doit s'afficher.
5
🟢 NAT et IPv6
NPTv6 · NAT66 · Pas nécessaire en IPv6 standard
💡
Principe : avec IPv6 et ses ~340 sextillions d'adresses, chaque hôte peut avoir une adresse publique unique — le NAT n'est donc pas indispensable. Il existe néanmoins des mécanismes de traduction pour des besoins spécifiques.
5.a Fonctionnement IPv6 sans NAT (cas standard)

En IPv6, les hôtes internes peuvent communiquer directement avec l'extérieur sans traduction d'adresse.

Cisco IOS — Configuration IPv6 standard
! Activer le routage IPv6
ipv6 unicast-routing

! Interface interne (LAN)
interface g0/0
  ipv6 address 2001:db8:1::1/64
  no shutdown

! Interface externe (WAN)
interface s0/0/1
  ipv6 address 2001:db8:100::1/64
  no shutdown
  • ipv6 unicast-routingActive le routage IPv6 sur le routeur. Sans cette commande, le routeur ne route pas les paquets IPv6 entre les interfaces.
  • Chaque hôteReçoit une adresse IPv6 globale unique. La sécurité est assurée par des pare-feux IPv6, non par la traduction d'adresses.
5.b NPTv6 — Network Prefix Translation (NAT66)

Le NPTv6 traduit uniquement le préfixe IPv6 sans modifier la partie hôte. Contrairement à la NAT IPv4 : pas de ports, traduction 1 pour 1, réversible et prévisible.

Cisco IOS — NPTv6
! Définir les préfixes à traduire
ipv6 nat prefix INSIDE-PREFIX  2001:db8:1::/64
ipv6 nat prefix OUTSIDE-PREFIX 2001:db8:100::/64

! Activer la traduction de préfixe
ipv6 nat v6v6source INSIDE-PREFIX OUTSIDE-PREFIX

! Interface interne
interface g0/0
  ipv6 nat inside

! Interface externe
interface s0/0/1
  ipv6 nat outside

! Vérification
show ipv6 nat translations
show ipv6 nat statistics
  • ipv6 nat insideIndique que le trafic provenant de cette interface doit être traduit (côté réseau interne IPv6).
  • ipv6 nat outsideCôté réseau public IPv6. La combinaison inside/outside permet au routeur d'appliquer correctement la traduction de préfixe.
5.c Comparaison IPv4 / IPv6
ÉlémentIPv4IPv6
NAT obligatoireOuiNon
Adresses publiquesLimitées (~4 milliards)Très nombreuses (~340 sextillions)
SécuritéNAT + firewallFirewall uniquement
TraductionAdresse + port (PAT)Préfixe uniquement (NPTv6)
Type NAT IPv6NPTv6 (NAT66) — temporaire
📌
En IPv6, le NAT n'est pas nécessaire par défaut. Le NPTv6 est une solution de transition. La sécurité repose avant tout sur le filtrage (pare-feux IPv6), non sur la traduction d'adresses.
🎯
Récapitulatif des types de NAT :

NAT Statique — 1 IP privée ↔ 1 IP publique fixe. Permanent. Pour exposer un serveur.
NAT Dynamique — Pool d'IPs publiques attribuées temporairement. Limité au nombre d'IPs du pool.
PAT (overload) — Une IP publique + ports = milliers de connexions simultanées. Le plus utilisé.
Redirection de port — Expose uniquement un service précis (port) d'un hôte interne.
NPTv6 — Traduction de préfixe IPv6, pas de ports. Solution transitoire.

BTS SIO SISR — Cyber-Sécurité · Configuration de la NAT · Cisco Packet Tracer