Configurer NAT et PAT statique pour support d'un serveur Web interne

Slides:



Advertisements
Présentations similaires
– NAT et PAT.
Advertisements

Configuration de NAT & PAT
Configuration NAT Dynamique
Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
– NAT et PAT - 1.
Sécurité - Configuration du PIX avec un seul réseau interne
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Configuration PIX avec deux Routeurs
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Sécurité - Cisco ASA Outil de capture WebVPN
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Configuration d'un accès
Configuration NAT Overload (PAT)
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Comprendre la politique
Réseau informatique Sorenza Laplume 1.
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
de listes d'accès filtres
Configuration Routeur SOHO77
Adressage IPv4 ccnp_cch.
show ip nat translations
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
- Utilisation des commandes nat, global, static, conduit,
Configuration de Voice VLAN
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de
Sécurité - Configuration de -
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
trois réseaux internes
Routage S 2 - Questionnaire N°1 - Réponses
Sécurité - Configuration d'un
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
Configuration d'un accès
OSPF - Routage Inter-Area
Configuration EIGRP - Agrégation de routes
entre trois routeurs utilisant des
- Configuration de Microsoft NetMeeting avec les passerelles IOS Cisco
IOS Firewall - Blocage d'applets Java
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Configuration NAT Statique
Configuration NAT Dynamique
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Transcription de la présentation:

Configurer NAT et PAT statique pour support d'un serveur Web interne ccnp_cch

Sommaire • Introduction - Rappels • Configuration - Schéma du réseau • Vérification • Résolution de problèmes ccnp_cch

Introduction NAT (Netwarok Address Translation) de l'IOS Cisco est conçu pour simplifier l'adres- sage IP et économiser des adresses. Il permet à des réseaux privés qui utilisent des adresses privées de se connecter à Internet. NAT opère sur un routeur Cisco qui con- necte deux réseaux et traduit les adresses privées (inside local) du réseau interne en adresses publiques (outside local) avant que les paquets soient acheminés vers un autre réseau. Une fonctionnalité de NAT vous permet de le configurer pour qu'il uti- lise une seule adresse pour le réseau vers le monde externe. Ceci cache le réseau in- terne du monde externe et par conséquent fournit une sécurité supplémentaire. Rappels Une des principales fonctionnalités de Nat est PAT (Port Address Translation) qui est également référencé "overload" dans la configuration de l'IOS Cisco. PAT Statique est conçu autoriser la correspondance une à une entre des adresses globales et des adresses locales. Un usage commun pour PAT Statique est d'autoriser des utilisa- teurs Internet d'accèder à un serveur Web situé dans un réseau privé. Ce tableau montre les trois espaces d'adresses disponibles pour les réseaux privés. Espaces d'adresses IP Classe 10.0.0.0 − 10.255.255.255 (/8 préfixe ou masque 255.0.0.0) Class A 172.16.0.0 − 172.31.255.255 (/16 préfixe ou masque 255.255.0.0) Class B 192.168.0.0 − 192.168.255.255 (/24 préfixe ou masque 255.255.255.0 ) Class C Dans cet exemple le FAI (Fournisseur d'Accès Internet) affecte à l'abonné DSL une adresse IP unique 171.68.1.1/24. L'adresse IP affectée est une adrese IP publique appelée inside global. Cette adresse IP publique est utilisée par le réseau privé pour accèder à Internet et également par les utilisateurs du réseau public Internet pour atteindre le serveur Web interne du réseau privé. Le réseau LAN privé, 192.168.0.0/24, est connecté à l'interface Ethernet du routeur NAT. Ce réseau LAN privé contient plusieurs PCs et un serveur Web. Le routeur NAT est configuré pour traduire les adresses IP privées (adresses inside local) qui viennent des PCs en une seule adresse IP publique (adresse inside global - 171.68.1.1) pour accéder à Internet. L'adresse IP 192.168.0.5 (Serveur Web) est una dresse privée qui ne peut pas être routée dans Internet. La seule adresse IP visible par les utilisateurs Internet pour atteindre le serveur Web est 171.168.1.1. Par conséquent le routeur NAT est configu- ré pour exécuter un mapping de une à une entre l'adresse IP 171.68.1.1 port 80 (le port 80 est utilisé pour accéder au service Web) et 192.168.0.5 port 80. Cette corres- pondance permet aux utilisateurs d'internet d'avoir accès au serveur Web interne. Cette topologie de réseau et cette configuration peuvent être utilisées pour des rou- teurs Cisco 827, 1417, SOHO77 et ADSL WIC 1700/2600/3600. ccnp_cch

Configuration Ce document utilise la coniguration de réseau suivante: Réseau Privé Réseau Public 192.168.0.254 (inside local) 171.68.1.1 (outside local) Internet PC 192.168.0.1 E0 ATM0 Cisco 827 Utilisateur Internet 192.168.0.5 Serveur Web Cisco 827 Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime hostname 827 ip subnet−zero no ip domain−lookup bridge irb interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside !−−− C'est l'adresse IP inside local, c'est une adresse IP privée. interface ATM0 no ip address no atm ilmi−keepalive pvc 0/35 encapsulation aal5snap bundle−enable dsl operating−mode auto bridge−group 1 ccnp_cch

interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside !−−− C'est l'adresse IP inside global. !−−− C'est votre adresse IP publique fournie par votre FAI. ! ip nat inside source list 1 interface BVI1 overload !−−− Cette instruction fait que le routeur exécute PAT pour toutes les !−−− stations derrière l'interface Ethernet qui utilise les adresses !−−− privées définies par la liste d'accès 1. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable !−−− Cette instruction réalise la traduction statique pour le serveur !−−− Web. Avec cette instruction , les utilisateurs qui essaient d'at- !--- taindre 171.68.1.1 port 80 (www) sont automatiquement redirigés !−−− vers 192.168.0.5 port 80 (www). ip classless ip route 0.0.0.0 0.0.0.0 171.68.1.254 !−−− L'adresse IP 171.68.1.254 est celle de la passerelle par défaut. !−−− Elle vous est donnée par votre FAI. access−list 1 permit 192.168.0.0 0.0.0.255 !−−− Cette liste d'accès définie le réseau privé dont les adresses !−−− doivent être traduite. bridge 1 protocol ieee bridge 1 route ip end Vérification A partir de la sortie de la commande show ip nat translation, on peut voir que "Inside Local" est l'adresse IP configurée et affectée au serveur Web sur le réseau interne. Notez que 192.168.0.5 est une adresse de l'espace d'adressage privé qui ne peut pas être routé sur Internet. "Inside Global" est l'adresse IP du host telle qu'elle apparaît sur le réseau externe. Cette adresse est celle qui est connue d'Internet pour accèder au serveur Web à partir d'Internet. "Outside Local" est l'adresse IP du host externe tel qu'il apparaît sur le réseau interne , ce n'est pas obligatoirement une adresse publique. Mais celle-ci est généralement allouée à partir d'un espace d'adresses qui peut être routé sur Internet. Notez que l'adresse 171.68.1.1 port numéro 80 et traduite en 192.168.0.5 port 80 et vice versa. Par conséquent, les utilisateurs Internet peuvent accéder au serveur Web bien que celui-ci soit sur un réseau privé avec une adresse privée. ccnp_cch

Résolution de problèmes 827# 827#show ip nat translation Pro Inside global Inside local Outside local Outside global tcp 171.68.1.1:80 192.168.0.5:80 −−− −−− tcp 171.68.1.1:80 192.168.0.5:80 198.133.219.1:11000 198.133.219.1:11000 Résolution de problèmes Pour résoudre les problèmes de traduction d'adresses vous pouvez entrer les com- mandes treminal monitor et debug ip nat detailed sur le routeur pour voir si les adresses sont traduites correctement. L'adresse IP visible par les utilisateurs externes est 171.68.1.1 port 80 (www) . Par exemple les utilisateurs du côté public (Internet) qui tente d'atteindre 171.68.1.1 port 80 (www) sont redirigés vers 192.168.0.5 port 80 (www) qui est le serveur Web. 827#term mon 827#debug ip nat detailed IP NAT detailed debugging is on 03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1 03:29:49: NAT: Allocated Port for 192.168.0.5 −> 171.68.1.1: wanted 80 got 80 03:29:49: NAT: o: tcp (198.133.219.1, 11000) −> (171.68.1.1, 80) [0] <... partie supprimée...> ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.