Intégration de NAT avec les VPNs MPLS

Slides:



Advertisements
Présentations similaires
MPLS - Configuration de VPN MPLS de couche 3
Advertisements

Effacer la Configuration LWAPP sur un LAP
– NAT et PAT - 1.
Sécurité - Configuration du PIX avec un seul réseau interne
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
utilisant l'exploitation
Configuration d'un accès
Configuration NAT Overload (PAT)
IS-IS - Adjacence Point à Point
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Commande show standby ccnp_cch ccnp_cch.
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
OSPF Sham-link pour VPN MPLS
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
utilisant l'exploitation
Sécurité - Configuration de l'autorisation d'Applets Java
Configuration NAT pour
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
QoS - Configuration RSVP
Sécurité - Configuration de -
Configuration Routeur SOHO77
IOS Sécurité - IP Source Tracker
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
SONET - Bref aperçu de Packet Over SONET APS
trois réseaux internes
Sécurité - Configuration d'un
Configuration d'un accès
OSPF - Routage Inter-Area
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
Ajustement Automatique de la Bande passante pour les tunnels TE
(Switch Database Management)
QoS - Configuration Fragmentation
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Configuration NAT Statique
Configuration NAT Dynamique
Transcription de la présentation:

Intégration de NAT avec les VPNs MPLS ccnp_cch

Sommaire • Introduction - Contenu • Prérequis pour l'intégration de NAT avec les VPNs MPLS • Restrictions pour l'intégration de NAT avec les VPNs MPLS • Informations sur l'intégration de NAT avec les VPNs MPLS - Avantages de l'intégration de NAT avec les VPNs MPLS - Options pour l'intégration de NAT avec les VPNs MPLS - Scénarios de l'intégration de NAT sur un routeur PE • Comment intégrer NAT avec les VPNs MPLS - Configuration de NAT dynamique inside avec les VPNs MPLS - Configuration de NAT statique inside avec les VPNs MPLS - Configuration de NAT dynamique outside avec les VPNs MPLS - Configuration de NAT statique outside avec les VPNs MPLS • Exemples de configuration pour l'intégration de NAT avec les VPNs MPLS - Configuration de NAT dynamique inside avec les VPNs MPLS - Configuration de NAT statique inside avec les VPNs MPLS - Configuration de NAT dynamique outside avec les VPNs MPLS • Pour continuer • Références additionnelles - Documents liés - Standards - MIBs - RFCs ccnp_cch

Prérequis pour l'intégration de NAT avec les VPNs MPLS Introduction L'intégration de NAT (Network Address Translation) avec la fonctionnalité VPN MPLS permet à plusieurs VPN (Virtual Private Network) MPLS (Multi-Protocol Label Switching) d'être configurés sur un seul équipement pour qu'ils fonctionnent ensemble. NAT peut différencier de quel VPN il reçoit le trafic même si tous les VPN MPLS utilisent le même adressage IP. Cette amélioration permet à plusieurs clients VPN MPLS de partager les services tout en assurant que chaque VPN MPLS est complètement séparé des autres. Contenu • Prérequis pour l'intégration de NAT avec les VPNs MPLS • Restrictions pour l'intégration de NAT avec les VPNs MPLS • Informations sur l'intégration de NAT avec les VPNs MPLS • Comment intégrer NAT avec les VPNs MPLS • Exemples de configuration pour l'intégration de NAT avec les VPNs MPLS • Pour continuer • Références additionnelles Prérequis pour l'intégration de NAT avec les VPNs MPLS • Avant de réaliser ces tâches, vous devez être familier avec les concepts décrits dans "Configuring NAT for IP address Conservation". • Toutes les listes d'accès requises pour être utilisées dans ce document doivent être configurées avant de commencer la configuration. Note: Si vous spécifiez une liste d'accès dans la commande nat, n'utilisez pas la syntaxe ip permit any any car celle-ci n'est pas supportée par NAT. Restrictions pour l'intégration de NAT avec les VPNs MPLS VPN à VPN en interne avec NAT n'est pas supporté. Informations pour l'intégration de NAT avec les VPNs MPLS Pour intégrer NAT avec les VPNs MPLS, vous devez comprendre les concepts suivants: • Avantages de l'intégration de NAT avec VPN MPLS • Options d'implémentation pour l'intégration de NAT avec les VPNs MPLS • Scénarios pour l'implémentation de NAT sur un routeur PE ccnp_cch

Avantages de l'intégration de NAT avec VPN MPLS Les fournisseurs de service MPLS veulent fournir des services à valeur ajoutée tels que la connectivité Internet, des serveurs DNS et de la voix sur IP à leurs clients. Les fournisseurs de service exigent que les adresses IP de leurs clients soient différentes pour atteindre les services. Comme les VPNs MPLS autorisent les clients à utiliser des adresses IP qui se recouvrent dans leurs réseaux, NAT doit être implémenté pour rendre le service possible. Options d'implémentation pour l'intégration de NAT avec les VPNs MPLS Il y a deux approches pour implémenter NAT dans le réseau VPN MPLS. NAT peut être implémenté sur le routeur de périphérie du client (CE) qui supporte déjà NAT ou peut être implémenté sur le routeur de périphérie de l'opérateur (PE). L'intégration de NAT avec la fonctionnalité MPLS VPN permet l'implémentation de NAT sur un rou- teur PE dans un environnement MPLS. Scénarios pour l'implémentation de NAT sur un routeur PE NAT peut être implémenté sur le routeur PE dans les scénarios suivants: • Point de service : Un accès partagé peut former une interface générique à partir d'une interface VPN. • Point NAT : NAT peut être configuré sur le routeur PE qui est directement connecté à la passerelle d'accès partagé ou sur le routeur PE qui n'est pas directement con- necté à la passerelle d'accès partagé. • Interface NAT : L'interface de la passerelle d'accès partagé est très souvent configu- rée comme l'interface externe du NAT. L'interface interne du NAT peut être soit l'interface PE-CE du VPN, l'interface du backbone MPLS ou les deux. L'interface de la passerelle d'accès partagée peut être également configurée comme l'interface interne. • Type de routage : Le service commun peut être la connectivité Internet ou un ser- veur commun. Pour la connectivité Internet, une route par défaut doit être propagée vers tous les clients VPN qui utilisent ce service. Pour l'accès au serveur commun, une route statique ou apprise dynamiquement doit être propagée vers les clients VPN. • Configuration NAT : NAT peut avoir des configurations différentes : statique, dyna- mique, pool/interface PAT et route-map. La figure suivante montre une intégration NAT typique avec les VPNs MPLS. Le rou- teur PE connecté à Internet et au service mail centralisé est utilisé pour faire la tra- duction d'adresse. ccnp_cch

Comment intégrer NAT avec les VPNs MPLS 192.1.1.4 CE1-Shop Out 10.1.1.1 10.1.1.0/24 In Out In CE1-Bank In NAT-PE 10.1.1.1 10.1.1.0/24 Réseau MPLS CE2-Shop 10.1.2.1 10.1.2.0/24 CE2-Bank PE-2 10.1.2.1 10.1.2.0/24 Comment intégrer NAT avec les VPNs MPLS Exécutez une ou plusieurs de ces tâches selon le type de traduction que vous désirez configurer sur votre réseau: • Configuration de NAT dynamique inside avec les VPNs MPLS (optionnel) • Configuration de NAT statique inside avec les VPNs MPLS (optionnel) • Configuration de NAT dynamique outside avec les VPNs MPLS (optionnel) • Configuration de NAT statique outside avec les VPNs MPLS (optionnel) ccnp_cch

Configuration de NAT dynamique inside avec les VPNs MPLS Exécutez cette tâche pour configurer votre routeur NAT PE pour des traductions dynamiques inside à intégrer avec des VPNs MPLS. Résumé des étapes 1. enable 2. configure terminal 3. ip nat pool name start-ip end-ip netmask netmask 4. ip nat [inside|outside] source [list {access-list-number|access-list-name}| route-map name] [interface type number|pool pool-name] vrf vrf-name [overload] 5. Répétez l'étape 4 pour tous les VPNs configurés 6. ip route vrf vrf-name prefix mask interface-type interface-number next-hop-address 7. Répétez l'étape 6 pour tous les VPNs en cours de configuration 8. exit 9. show ip nat translations vrf vfr-name Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié ● Entrez le mot de passe si celui-ci est demandé configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global ip nat pool name start-ip end-ip netmask netmask Exemple: Routeur(config)# ip nat pool inside 2.2.2.10 2.2.2.10 netmask 255.255.255.0 Définit un pool d'adresses IP pour NAT. ip nat [inside | outside] source [list {access-list-number | access-list-name} | route-map name] [interface type number | pool pool-name] vrf vrf-name [overload] Routeur(config)# ip nat inside source list 1 pool mypool vrf shop overload Autorise NAT à être configuré sur un VPN particulier. ccnp_cch

Configuration de NAT statique inside avec les VPNs MPLS Commande ou Action But Répétez l'étape précédente pour chaque VPN devant être configuré. Autorise NAT à être configuré sur un VPN particulier. ip route vrf vrf-name prefix mask interface-type interface-number next-hop-address Exemple: Routeur(config)# ip route vrf shop 0.0.0.0 0.0.0.0 ethernet 0 168.58.88.2 exit Routeur# exit Retour en mode EXEC privilégié. show ip nat translations vrf vrf-name Routeur# show ip nat translations vrf shop (Optionnel) Affiche les paramètres utilisés par la table des traductions le VRF ( Virtual Routing Forwarding). Configuration de NAT statique inside avec les VPNs MPLS Exécutez cette tâche pour configurer votre routeur NAT PE pour des traductions statiques à intégrer avec des VPNs MPLS. Résumé des étapes 1. enable 2. configure terminal 3. ip nat inside source [static {esp local-ip interface type-number|local-ip global-ip}} [extendable|mapping-id map-id|no alias|no-payload|redundancy group-name| route-map|vrf name] 4. Répétez l'étape 3 pour chaque VPN en cours de configuration 5. ip route vrf vrf-name prefix mask next-hop-address global 6. Répétez l'étape 5 pour tous les VPNs en cours de configuration 8. exit 9. show ip nat translations vrf vfr-name ccnp_cch

ccnp_cch Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié ● Entrez le mot de passe si celui-ci est demandé configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global ip nat inside source {static {esp local-ip interface type number | local-ip global-ip}} [extendable | mapping-id map-id|no-alias | no-payload | redundancy group-name | route-map | vrf name] Exemple: Routeur(config)# ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop Valide la traduction statique inside sur le VRF. Répétez l'étape précédente pour chaque VPN en cours de configuration. ip route vrf vrf-name prefix prefix mask next-hop-address global Routeur(config)# ip route vrf shop 0.0.0.0 0.0.0.0 168.58.88.2 global Autorise la route à être partagée par plusieurs clients. exit Routeur# exit Retour en mode EXEC privilégié. show ip nat translations vrf vrf-name Routeur# show ip nat translations vrf shop (Optionnel) Affiche les paramètres utilisés par la table des traductions le VRF ( Virtual Routing Forwarding). ccnp_cch

Configuration de NAT dynamique outside avec les VPNs MPLS Exécutez cette tâche pour configurer votre routeur NAT PE pour des traductions dynamiques outside à intégrer avec des VPNs MPLS. Résumé des étapes 1. enable 2. configure terminal 3. ip nat pool outside global-ip local-ip netmask netmask 4. ip nat inside source static local-ip global-ip vrf vrf-name 5. Répétez l'étape 4 pour chaque VPN en cours de configuration 6. ip nat outside source static global-ip local-ip vrf vrf-name 7. Répétez l'étape 6 pour tous les VPNs en cours de configuration 8. exit 9. show ip nat translations vrf vfr-name Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié ● Entrez le mot de passe si celui-ci est demandé configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global ip nat pool outside global-ip local-ip netmask netmask Exemple: Routeur(config)# ip nat pool outside 4.4.4.1 4.4.4.254 netmask 255.255.255.00 Autorise le VRF configuré à être associé à la règle de traduction NAT. ip nat inside source static local-ip global-ip vrf vrf-name Routeur(config)# ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop Permet à la route d'être partagée par plusieurs clients. Répétez l'étape précédente pour chaque VRF en cours de configuration. ccnp_cch

Configuration de NAT statique outside avec les VPNs MPLS Commande ou Action But ip nat outside source static global-ip local-ip vrf vrf-name Exemple: Routeur(config)# ip nat outside source static 168.58.88.2 4.4.4.1 vrf shop Permet la traduction NAT de l'adresse source externe. exit Routeur(config)# exit Retour en mode EXEC privilégié. show ip nat translations vrf vrf-name Routeur# show ip nat translations vrf shop (Optionnel) Affiche les configurations utilisées par les traductions VRF. Configuration de NAT statique outside avec les VPNs MPLS Exécutez cette tâche pour configurer votre routeur NAT PE pour des traductions statiques outside à intégrer avec des VPNs MPLS. Résumé des étapes 1. enable 2. configure terminal 3. ip nat pool inside global-ip local-ip netmask netmask 4. Répétez l'étape 3 pour chaque pool en cours de configuration 5. ip nat inside source list access-list-number pool pool-name vrf vrf-name 6. Répétez l'étape 5 pour chaque pool en cours de configuration 7. ip nat outside source static global-ip local-ip vrf vrf-name 8. Répétez l'étape 7 pour tous les VPNs en cours de configuration 9. exit 9. show ip nat translations vrf vfr-name ccnp_cch

ccnp_cch Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié ● Entrez le mot de passe si celui-ci est demandé configure {terminal|memory|network) Exemple: Routeur# configure terminal Entrée en mode de configuration global ip nat pool inside global-ip local-ip netmask netmask Exemple: Routeur(config)# ip nat pool inside1 2.2.1.1 2.2.1.254 netmask 255.255.255.0 Autorise le VRF configuré à être associé avec la règle de traduction NAT. Répétez l'étape précédente pour chaque pool en cours de configuration. Autorise le VRF configuré à être associé avec la règle de traduction NAT. ip nat inside source list access-list-number pool pool-name vrf vrf- name Routeur(config)# ip nat inside source list 1 pool inside2 vrf shop Autorise la route à être partagée par plusieurs clients. Repeat Step 5 for each pool being configured. Définit la liste d'accès. ip nat outside source static global-ip local-ip vrf vrf-name Routeur(config)# ip nat outside source static 168.58.88.2 4.4.4.1 vrf shop Répétez l'étape précédente pour tous les VPNs en cours de configuration. exit Routeur(config)# exit Retour en mode EXEC privilégié. show ip nat translations vrf vrf-name Routeur# show ip nat translations vrf shop (Optionnel) Affiche les configurations utilisées par les traductions VRF. ccnp_cch

Exemples de configuration pour l'intégration de NAT avec les VPNs MPLS Cette section fournit les exemples de configuration suivants: • Configuration de NAT dynamique inside avec les VPNs MPLS • Configuration de NAT statique inside avec les VPNs MPLS • Configuration de NAT dynamique outside avec les VPNs MPLS • Configuration de NAT statique outside avec les VPNs MPLS Configuration de NAT dynamique inside avec les VPNs MPLS L'exemple suivant montre comment configurer le NAT dynamique inside avec les VPNs MPLS. ! ip nat pool inside 2.2.2.10 2.2.2.10 netmask 255.255.255.0 ip nat inside source list 1 pool inside vrf bank overload ip nat inside source list 1 pool inside vrf park overload ip nat inside source list 1 pool inside vrf shop overload ! ip route vrf shop 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2 ip route vrf bank 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2 ip route vrf park 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2 access-list 1 permit 192.168.0.0 0.0.255.255 Configuration de NAT statique inside avec les VPNs MPLS L'exemple suivant montre comment configurer le NAT statique inside avec les VPNs MPLS. ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop ip nat inside source static 192.168.122.49 2.2.2.2 vrf shop ip nat inside source static 192.168.121.113 2.2.2.3 vrf bank ip nat inside source static 192.168.22.49 2.2.2.4 vrf bank ip nat inside source static 192.168.121.113 2.2.2.5 vrf park ip nat inside source static 192.168.22.49 2.2.2.6 vrf park ip nat inside source static 192.168.11.1 2.2.2.11 vrf shop ip nat inside source static 192.168.11.3 2.2.2.12 vrf shop ip nat inside source static 140.48.5.20 2.2.2.13 vrf shop ip route 2.2.2.1 255.255.255.255 Ethernet1/0 192.168.121.113 ip route 2.2.2.2 255.255.255.255 Ethernet1/0 192.168.121.113 ip route 2.2.2.3 255.255.255.255 Serial2/1.1 192.168.121.113 ip route 2.2.2.4 255.255.255.255 Serial2/1.1 192.168.121.113 ip route 2.2.2.5 255.255.255.255 FastEthernet0/0 192.168.121.113 ip route 2.2.2.6 255.255.255.255 FastEthernet0/0 192.168.121.113 ip route 2.2.2.11 255.255.255.255 Ethernet1/0 192.168.121.113 ip route 2.2.2.12 255.255.255.255 Ethernet1/0 192.168.121.113 ip route 2.2.2.13 255.255.255.255 Ethernet1/0 192.168.121.113 ccnp_cch

Configuration de NAT dynamique outside avec les VPNs MPLS L'exemple suivant montre comment configurer le NAT dynamique outside avec les VPNs MPLS. ! ip nat pool outside 4.4.4.1 4.4.4.254 netmask 255.255.255.0 ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop ip nat inside source static 192.168.122.49 2.2.2.2 vrf shop ip nat inside source static 192.168.121.113 2.2.2.3 vrf bank ip nat inside source static 192.168.22.49 2.2.2.4 vrf bank ip nat inside source static 192.168.121.113 2.2.2.5 vrf park ip nat inside source static 192.168.22.49 2.2.2.6 vrf park ip nat outside source list 1 pool outside ! Configuration de NAT statique outside avec les VPNs MPLS L'exemple suivant montre comment configurer le NAT statique outside avec les VPNs MPLS. ip default-gateway 10.1.15.1 ip nat pool inside1 2.2.1.1 2.2.1.254 netmask 255.255.255.0 ip nat pool inside2 2.2.2.1 2.2.2.254 netmask 255.255.255.0 ip nat pool inside3 2.2.3.1 2.2.3.254 netmask 255.255.255.0 ip nat inside source list 1 pool inside2 vrf bank ip nat inside source list 1 pool inside3 vrf park ip nat inside source list 1 pool inside1 vrf shop ip nat outside source static 168.58.88.2 4.4.4.1 vrf bank ip nat outside source static 18.68.58.1 4.4.4.2 vrf park ip nat outside source static 168.58.88.1 4.4.4.3 vrf shop ip classless ip route 192.170.10.0 255.255.255.0 Ethernet1/0 192.168.121.113 ip route 192.170.11.0 255.255.255.0 Serial2/1.1 192.168.121.113 ip route 192.170.12.0 255.255.255.0 FastEthernet0/0 192.168.121.113 ip route vrf shop 0.0.0.0 0.0.0.0 168.58.88.2 global ip route vrf bank 0.0.0.0 0.0.0.0 168.58.88.2 global ip route vrf park 0.0.0.0 0.0.0.0 168.58.88.2 global no ip http server access-list 1 permit 192.168.0.0 0.0.255.255 Pour continuer • Pour en apprendre plus au sujet de Network Address Translation et configurer NAT pour de l'économie d'adresses IP, voir le document "Configuring NAT for IP Address Conservation". • Pour vérifier, superviser et maintenir NAT, voir le document "Monitoring and Main- taining NAT". • Pour utiliser NAT avec des passerelles applicatives, voir le document "Using Appli- cation Level Gateways with NAT". • Pour configurer NAT pour de la haute disponibilité, voir le document "Configuring NAT for High Availability". ccnp_cch

Références additionnelles Documents liés Sujet traité Titre du document Commandes NAT: Syntaxe complète des commandes, mode de commande, histo- rique des commandes, valeurs par défaut, conseils d'utilisation et exemples. "IP Addressing Commands" chapitre dans "Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.3" NAT haute disponibilité "Configuring NAT for High Availability" Passerelles applicatives "Using Application Level Gateways with NAT" Maintenir et superviser NAT "Monitoring and Maintaining NAT" Economie d'adresses IP "Configuring NAT for IP Address Conservation" Standards Standards Titre Aucun MIBs MIBs Lien MIB Aucune Pour localiser et télécharger les MIBs pour les plateformes spécifiées, les releases d'IOS Cisco et les ensembles de fonctionna- lités, utilisez Cisco MIB Locator situé à cette URL: http://www.cisco.com/go/mibs RFCs RFCs1 Titre RFC 2547 BGP/MPLS VPNs 1. Tous les RFC s supportés ne sont pas listés ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.