(Network Address Translation)

Slides:



Advertisements
Présentations similaires
– NAT et PAT.
Advertisements

Configuration de NAT & PAT
Multicast Routing Monitor
– NAT et PAT - 1.
Brève histoire d’Internet
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - Quiz ccnp_cch.
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
CCNP Routage Chapitre 8 - Questionnaire N°1
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Overload (PAT)
Configuration BGP - avec deux FAI différents (Multihoming)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
CBAC - Introduction et Configuration
Comprendre la politique
PIX/ASA - Configuration Serveur et Client DHCP
Comportement de RIP & IGRP avec les mises à jour de Routage
Adressage IPv4 ccnp_cch.
show ip nat translations
Commande show ip dhcp binding
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Cairo – EGYPTE 10 au 22 Mai 2009 Routage Statique
Sous-résaux LAN dupliqués
NAT - Supervision et Maintenance
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Configuration NAT pour
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
- Utilisation des commandes nat, global, static, conduit,
Configuration de Voice VLAN
Sécurité - Configuration de
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
DHCP et IP helper Host B Client DHCP Hub E0/0 Paris S0/0
Configuration Frame Relay "Priority Queuing"
Configuration de routes Statiques Flottantes
Routage S 2 - Questionnaire N°1 - Réponses
Sécurité - Configuration d'un
Configuration d'un accès
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
QoS - Configuration Fragmentation
Liste de contrôle d’accès
Configuration Routeur SOHO77
Configuration de base EIGRP
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Chapitre 4: Couche Réseau
Configuration NAT Statique
Configuration NAT Dynamique
Les espaces d'adresses privées
RE161 Répartition des adresses IP Le problème de la répartition des adresses IP dans le réseau doit être résolu avec comme objectifs : –de rendre le réseau.
Transcription de la présentation:

(Network Address Translation) NAT (Network Address Translation) ccnp_cch

NAT et les adresses privées • NAT, tel qu'il est défini dans le RFC 1631, est un processus de changement d'une adresse IP par une autre dans le paquet IP. • Dans la pratique NAT est utilisé pour permettre à des hosts avec des adresses privées d'accéder à Internet ccnp_cch

NAT - Network Address Translation • Les Hosts du réseau interne (inside) avec des adresses privées transmettent des paquets vers le routeur NAT. • Les adresses privées sont converties en adresses IP publiques légales, autorisant les paquets à transiter sur des réseaux publics tel Internet. ccnp_cch

NAT - Network Address Translation Outside Host B Inside 172.20.7.3 10.1.1.2 4 3 SA: 192.168.2.2 DA: 192.168.2.2 Internet E0 S0 DA: 10.1.1.1 5 2 SA: 10.1.1.1 1 Table NAT simple 10.1.1.1 Adresse IP Locale Inside Adresse IP Globale 10.1.1.2 10.1.1.1 192.168.2.3 192.168.2.2 ccnp_cch

Terminologie NAT Cisco • Quand vous configurez NAT avec l'IOS Cisco, vous devez être capable de faire la distinction entre les adresses "INSIDE" et "OUTSIDE". - Qu'une adresse soit "INSIDE" ou "OUTSIDE" cela dépend de votre point de vue. ccnp_cch

Terminologie NAT Cisco • Les adresses que votre réseau utilise sont des adresses "INSIDE", sans tenir compte de leur appartenance à un espace d'adresses privées ou à un espace d'adresses publiques • Les adresses des systèmes hors de votre réseau sont considérées comme des adresses "OUTSIDE". (Qu'elles soient privées ou publiques) - Ainsi votre réseau peut avoir des adresse "inside local" (adresses privées) et des adresses "inside global" (adresses publiques fournies par votre opérateur). ccnp_cch

NAT - Network Address Translation Internet 10.4.4.5 SA: 10.4.1.1 SA: 2.2.2.2 Table NAT Adresses IP Inside Local Outside Global 10.4.4.5 2.2.2.3 10.4.1.1 2.2.2.2 10.4.1.1 SA: Source Address ccnp_cch

NAT - Pour et Contre Avantages Inconvénients Conserve les adresses légales enregistrées La traduction introduit une fonction de commutation Réduit les incidences dues au chevauchement d'adresses Perte de traçabilité IP de bout-en-bout Accroît la flexibilité lors d'une connexion à Internet Certaines applications ne fonctionnent pas avec NAT validé. Evite la renumérotation des adresses si le réseau change ccnp_cch

NAT - Network Address Translation • Tous les hosts Internes au réseau n'ont pas besoin d'un accès externe au même moment: - NAT permet d'associer un grand nombre de hosts avec des adresses privées à un pool réduit d'adresses globales • NAT apparaît comme une solution pour les organisations dont le nombre d'adresses croit très vite. - Si une organisation avec une adresse de Classe C voit que le nombre de nœuds dépasser nécessitant un accès occasionnel à Internet dépasse devient supérieur à 500 alors NAT (avec RFC1918) peut fournir une solution pratique. ccnp_cch ccnp_cch

NAT - Network Address Translation • NAT cache la structure du réseau interne. NAT n'est pas un pare-feu mais il peut éviter les accès directs aux hosts internes sauf s'il existe une correspondance permanente des adresses dans la table NAT. • Si vous voulez que des utilisateurs externes puissent accéder au serveur Web interne, vous pouvez établir une correspondance statique entre une adresse publique (2.2.2.3) et une adresse privée interne (10.0.0.1) - La correspondance statique existe dans la table tant qu'elle n'est pas retirée par l'administrateur. - Les hosts Internet ou les DNS utilisent l'adresse publique pour accéder au serveur avec une adresse privée. ccnp_cch

NAT - Network Address Translation • Comme CIDR (Classless Inter Domain Routing) place l'autorité qui assigne les adresses au niveau du FAI, si vous changez de FAI, vous aurez peut-être besoin de changez votre adressage par celui de votre nouveau FAI. - Au lieu de tout réadresser, NAT peut être déployé pour faire une traduction temporaire des anciennes adresses vers les nouvelles, avec une correspondance statique pour garder les services publics accessibles par l'extérieur. ccnp_cch

NAT - Types de NAT • NAT Statique • NAT Dynamique • NAT Overloading ou PAT (Port Address Translation) • Chevauchement ccnp_cch

NAT - Network Address Translation • NAT Statique - Etablit une correspondance une à une entre des adresses privées et des adresses publiques. Très utile quand un équipement à besoin d'être accessible par des hosts externes au réseau . Internet 213.18.123.0/24 192.168.32.10 192.168.32.12 192.168.32.15 Table NAT Host A Adresses IP Inside Local Outside Global 192.168.32.10 213.18.123.110 192.168.32.12 213.18.123.111 192.168.32.15 213.18.123.112 Avec NAT Statique, l'adresse IP 192.168.32.10 sera toujours traduite en adresse IP 213.18.123.110 ccnp_cch

NAT - Network Address Translation • NAT Dynamique - Fait correspondre à une adresse privée une adresse publique prise dans un groupe prédéfini. Internet 213.18.123.0/24 192.168.32.10 192.168.32.12 192.168.32.15 Table NAT Host A 192.168.32.16 Adresses IP Inside Local Outside Global 192.168.32.10 213.18.123.100 192.168.32.12 213.18.123.101 192.168.32.31 213.18.123.102 192.168.32.7 213.18.123.103 192.168.32.15 213.18.123.104 213.18.123.105 Groupe 213.18.123.100 à 213.18.123.130 Avec NAT Dynamique, l'adresse IP 192.168.32.16 sera traduite avec la première adresse IP libre dans le groupe 213.18.123.100-213.18.123.130 ccnp_cch

NAT - Network Address Translation • NAT Overloading - Fait correspondre plusieurs adresses privées une seule adresse publique en utilisant des numéros de ports différents. Connu aussi sous le nom de PAT (Port Address Translation), NAT adresse unique ou Multiplexage de ports NAT . Internet 213.18.123.0/24 192.168.32.10 192.168.32.12 192.168.32.15 Table NAT Host A 213.18.123.100 Adresses IP Inside Local Outside Global 192.168.32.10 213.18.123.100: 6000 192.168.32.12 213.18.123.100: 6001 192.168.32.15 213.18.123.100: 6002 Avec NAT Overloading, les adresses IP privées seront traduites avec la même adresse IP publique 213.18.123.100 mais avec des numéros de ports source différents. ccnp_cch

NAT - Network Address Translation • Chevauchement - Quand les adresses IP utilisées sur le réseau interne sont des adresses IP publiques utilisées sur un autre réseau, le routeur doit maintenir une table de correspondance pour intercepter ces adresses et les remplacer par des adresses IP publiques uniques. 192.168.32.10 Host A 213.18.123.0/24 Internet Table NAT Adresses IP Inside Global Outside Global SA: 237.16.32.10 SA: 213.18.123.103 DA:237.16.32.10 DA:213.18.123.103 L'adresse IP interne est une adresse IP publique utilisée par un autre réseau. Le routeur doit traduire ces adresses pour éviter un conflit possible avec l'autre réseau. La traduction doit se faire dans les deux sens, de l'intérieur vers l'extérieur mais aussi de l'extérieur vers l'intérieur. ccnp_cch

Fonctions de NAT • Traduction des adresses locales internes • Traduction avec PAT des adresses "inside global" • Distribution de la charge TCP • Gestion du chevauchement d'adresses ccnp_cch

Configuration de NAT - NAT Statique Commandes: !-- Définition de l'interface interface pour NAT Routeur(config)# interface type slot/port Routeur(config-if)# ip nat inside !-- Définition de l'interface externe pour NAT Routeur(config-if)# ip nat outside !-- Traduction NAT statique Routeur(config)# ip nat inside source local-ip global-ip !-- Affiche la table des traductions NAT Routeur# show ip nat translations [verbose] !-- Affiche les statistiques NAT Routeur# show ip nat statistics ccnp_cch

Adresse IP Inside Local Configuration de NAT - NAT Statique 10.1.1.2 10.1.1.1 Internet Host B SA: 10.1.1.1 DA: 10.1.1.1 SA: 200.168.1.10 DA: 200.168.1.10 172.20.7.3 E0 S0 Inside Outside Adresse IP Inside Local 10.1.1.1 10.1.1.2 200.168.1.10 200.168.1.11 ip nat inside source static 10.1.1.1 200.168.1.10 ip nat inside source static 10.1.1.2 200.168.1.11 ! interface Ethernet0 ip address 10.1.1.10 255.255.255.0 ip nat inside interface Serial0 ip address 200.100.1.1 255.255.255.0 ip nat outside ccnp_cch

Intervalle d'adresses à utiliser pour la traduction Configuration de NAT - NAT Dynamique Commande: • Création du pool d'adresses Routeur(config)# ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length} [rotary] Nom du groupe d'adresses Routeur(config)# ip nat pool Mon_groupe 207.2.2.1 207.2.2.100 netmask 255.255.255.0 Intervalle d'adresses à utiliser pour la traduction ccnp_cch

Adresses internes autorisées Configuration de NAT - NAT Dynamique Commandes: • Création d'une liste de contrôle d'accès pour autoriser la traduction des adresses internes Routeur(config)# access-list access-list-number permit source [source-wildcard] • Affectation du pool d'adresses Routeur(config)# ip nat inside source list access-list-number pool name Adresses internes autorisées pour la traduction Routeur(config)# access-list 2 permit 192.168.1.0 0.0.0.255 Routeur(config)# ip nat inside source list 2 pool Mon_groupe ccnp_cch

Configuration de NAT - NAT Dynamique Commandes: • Définition des interfaces internes et externes (identique à NAT Statique) Routeur(config)# interface type slot/port Routeur(config-if)# ip nat [inside|outside] Routeur(config)# interface Serial 0 Routeur(config-if)# ip nat outside Routeur(config-if)# interface Ethernet 0 Routeur(config-if)# ip nat inside ccnp_cch

Configuration de NAT - NAT Overload ou PAT • La fonction la plus puissante des routeurs NAT est leur capacité à utiliser la traduction d'adresses avec des numéros de ports ou PAT (Port Address Translation) - Ceci est quelquefois appelé NAT "many-to-one" - Pratiquement des centaines de hosts avec des adresses privées peuvent accéder à Internet en utilisant une seule adresse publique. - NAT établit une correspondance entre les différentes adresses privées et l'adresse publique unique par une correspondance entre ports TCP ou UDP. - Ceci fonctionne très bien avec des applications clientes telles que les navigateurs Web qui utilisent des ports selon les besoins dans l'intervalle à usage général (de 1024 à 65535). ccnp_cch

Configuration de NAT - NAT Overload ou PAT • Traduction NAT Overload 10.1.1.3 10.1.1.2 Inside Addr Source 10.1.1.3 Addr dest Host A Port source 2031 Port Dest Port xx Addr Source 200.1.1.1 Addr dest Host A Port source 10000 Port Dest Port xx Internet Addr Source 10.1.1.2 Addr dest Host B Port source 1056 Port Dest Port xx PAT Addr Source 200.1.1.1 Addr dest Host B Port source 10001 Port Dest Port xx ccnp_cch

Configuration de NAT - NAT Overload ou PAT 10.1.1.3 10.1.1.2 Inside Internet Addr Source 10.1.1.2 Addr dest Host B Port source 1056 Port Dest Port xx Addr Dest 200.1.1.1 Addr Source Host B Port Dest Port 10001 Port source Port xx ccnp_cch

Configuration de NAT - NAT Overload ou PAT Commande: • Affectation du pool d'adresses Routeur(config)# ip nat inside source list access-list-number pool name overload Routeur(config)# access-list 2 permit 192.168.1.0 0.0.0.255 Routeur(config)# ip nat inside source list 2 pool Mon_groupe overload ccnp_cch

NAT et NAT Overload ou PAT • NAT Overload est souvent utilisé de manière conjointe avec avec NAT dynamique. - Un routeur peut utiliser NAT dynamique en utilisant une à une toutes les adresses du pool. Quand presque toutes les adresses du pool sont utilisées, le routeur utilise PAT avec les adresses restantes - Sur un routeur Cisco, PAT sera utilisé sur la première adresse du pool jusqu'à ce qu'elle soit au maximum puis sur l'adresse suivante dans le pool et ainsi de suite. ccnp_cch

NAT - Distribution de charge TCP • Les routeurs Cisco supportent la "Distribution de charge TCP" - Fait correspondre à une adresse publique globale plusieurs adresses internes pour distribuer les communications sur de multiples hosts. - Permet de supporter le "mirroring" de hosts ccnp_cch

Adresse Locale Adresse Globale NAT - Distribution de charge TCP Table NAT Adresse Locale Adresse Globale 10.0.0.1 2.2.2.3 10.0.0.2 www1 10.0.0.1 2.2.2.3 Internet E0 Routeur NAT S0 Distribution de charge TCP www2 10.0.0.2 ccnp_cch

NAT - Distribution de charge TCP Commandes: • Création du pool d'adresses avec le mot-clé rotary Routeur(config)# ip nat pool webservers 10.0.0.1 10.0.0.2 netmask 255.0.0.0 type rotary • Création d'une liste d'accès pour autoriser l'accès depuis l'extérieur Routeur(config)# access-list 2 permit host 2.2.2.3 • Affectation du pool d'adresses Routeur(config)# ip nat inside list 2 pool webservers • Affectation des interfaces Routeur(config)# interface Serial 0 Routeur(config-if)# ip nat outside Routeur(config-if)# interface Ethernet 0 Routeur(config-if)# ip nat inside ccnp_cch

NAT - Inconvénients • Le compromis de la traduction d'adresse entraine une perte de fonctionnalité pour des applications qui transmettent l'adresse IP de l'émetteur en dehors de l'en-tête IP. Les types de trafic suivants ne sont pas supportés par l'IOS Cisco NAT. - Mise à jour de tables de routage - Transferts de zones DNS - Talk, Ntalk - SNMP (Simple Network Management Protocol) - NetShow ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.