Configurer DHCP et NAT sur les matériels Cisco

 

A) Configurer un serveur DHCP

1.Introduction

DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir automatiquement une configuration IP lors du démarrage des services réseaux. Ces informations sont envoyées aux stations hôtes par le serveur DHCP. En général c’est un serveur distinct qui joue le rôle DHCP Server. Cependant sur des réseaux de petites tailles, il est possible de faire d’un routeur un serveur DHCP afin d’économiser les coûts inhérents à l’achat d’un serveur dédié.

2.Configuration

La première étape consiste à créer un pool d’adresse. Les adresses IP attribuées aux clients seront prises parmi les adresses libres du pool. La commande est la suivante ip dhcp pool nom_du_pool

http://www.labo-cisco.com/images/articles/DHCP/image001.jpg

On rentre alors en mode de configuration du pool DHCP. On peut créer plusieurs pool sur un routeur.

Ensuite on indique la plage d’adresse présente dans le pool à l’aide de la commande network réseau masque

http://www.labo-cisco.com/images/articles/DHCP/image002.jpg

Le routeur attribuera alors des adresses de 192.168.10.1 à 192.168.10.254

On va ensuite rentrer les paramètres concernant la passerelle par défaut, les serveurs DNS, les serveurs WINS, le nom de domaine du client, et la durée du bail.

http://www.labo-cisco.com/images/articles/DHCP/image003.jpg

On peut spécifier jusqu’à 8 serveurs DNS. Pour la durée du bail, on rentre successivement le nombre de jours, le nombre d’heures et le nombre de minutes. Dans cet exemple, le client aura un bail d’un jour, 4 heures et 30 minutes. La commande lease infinite permet d’attribuer un bail éternel.

Par défaut le service DHCP est activé sur les routeurs le supportant. Si on souhaite le désactiver, il faut taper la commande no service dhcp. Pour le réactiver : service dhcp

Finalement, on pourra exclure des adresses du pool, afin que le serveur n’attribue pas ces adresses (par exemple les adresses des serveurs).

La commande est ip dhcp excluded-address adresse_ip_debut adresse-ip-fin

Attention, cette commande doit être rentrée en mode de configuration globale.

http://www.labo-cisco.com/images/articles/DHCP/image004.jpg

3.Vérification

Pour voir les baux d’adresses qui ont été attribués par le routeur, il faut taper la commande show ip dhcp binding

http://www.labo-cisco.com/images/articles/DHCP/image005.jpg

Vérification sur le poste utilisateur :

http://www.labo-cisco.com/images/articles/DHCP/image006.jpg

On peut aussi visualiser les statistiques du serveur DHCP en tapant la commande show ip dhcp server statistics

http://www.labo-cisco.com/images/articles/DHCP/image007.jpg

Finalement, on peut aussi visualiser en temps réel les opérations du serveur DHCP en tapant la commande debug ip dhcp server events

http://www.labo-cisco.com/images/articles/DHCP/image008.jpg

La première ligne correspond à un ipconfig/release (libération du bail) sur un poste utilisateur,la seconde correspond à un ipconfig/renew (redemande de bail).

B) Configuration de NAT

Le NAT vous permet d’utiliser des adresses IP privées sur votre LAN et de translater ces adresses afin de les rendre accessible depuis un réseau public comme Internet.

Le réseau privé est définit sur l’interface intérieure et l’adresse publique sur l’interface extérieure de votre routeur.

Dans sa forme la plus simple, le NAT statique, une adresse privée unique est redirigée, vers une adresse publique unique. La forme la plus utilisée de Nat est un groupe d’adresse privées translate en une seule et unique adresse publique. Cette forme de Nat est appelée « overloading ».

Etape 1 : définition des interfaces pour le NAT

Le routeur principal (mainrtr) est connecté au LAN par l’interface Ethernet 0 (172.13.10.1/16), donc E0 sera l’interface intérieure et E1 l’interface connectée à Internet (207.194.10.198/16).

Le routeur distant (remotrtr) est connecté au réseau local par l’interface E0 (172.25.10.1/24) et à Internet par l’interface E1 (207.194.10.199).

Nous voulons que le routeur principal convertisse les adresses privées du Lan sur l’adresse 207.194.10.198, étant donné que c’est la seule IP autorisée à envoyer des données au travers du tunnel IPSEC. Cela fournir de plus un accès Internet au Lan, mais cela n’est pas notre objectif principal.

Nous voulons également que le routeur distant convertisse les adresses privées de son Lan sur l’adresse 207.194.10.199.

A partir du moment ou l’on mappe plusieurs adresses, nous utilisons l’overloading.

Etape 2 : configuration du routeur

Entrez dans le mode configuration du routeur : 

mainrtr(config)# int e0

mainrtr(config-if)# ip nat inside

mainrtr(config-if)# int e1

mainrtr(config-if)# ip nat outside

mainrtr(config-if)# exit

mainrtr(config)# access-list 10 172.23.0.0 0.0.255.255

mainrtr(config)# ip nat pool ovrld 207.194.10.1 207.194.10.1 prefix 24 mainrtr(config)# ip nat inside source list 10 pool ovrld overload

Les commandes sont les mêmes pour le routeur distant. Les interfaces sont configurées pour du NAT entrant et sortant. La commande access-list définit les IP autorisées et le NAT est configuré pour translaté les adresses internes vers l’interface externe.

Etape 3 : Vérification du bon fonctionnement de NAT

Il vous est possible d’utiliser la commande « debug ip nat » pendant que vous pingez les hotes desz deux cotés du tunnel pour vérifier le bon fonctionnement du NAT. Pensez à couper le debugger une fois cette opération terminée.

D’autres commandes utiles sont :

show ip nat statistics

show ip nat translation