Configuration NAT pour

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

Gateway Load Balancing
– NAT et PAT - 1.
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Commande show cluster ccnp_cch ccnp_cch.
Configuration Routeur SOHO77
utilisant l'exploitation
Configuration d'un accès
IS-IS - Adjacence Point à Point
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Comprendre la politique
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Commande show standby ccnp_cch ccnp_cch.
(Switch Database Management)
HSRP (Hot Standby Routing Protocol)
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
Routage S 7 - Questionnaire N°1
Sécurité - Configuration de
Commande show ip eigrp topology
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
QoS - Configuration RSVP
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de -
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
trois réseaux internes
Commande show dialer ccnp_cch ccnp_cch.
Sécurité - Configuration d'un
Configuration d'un accès
OSPF - Routage Inter-Area
Configuration EIGRP - Agrégation de routes
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Ajustement Automatique de la Bande passante pour les tunnels TE
QoS - Configuration Fragmentation
Configuration Routeur SOHO77
QoS - Configuration de COPS pour RSVP
Configuration NAT Statique
Configuration NAT Dynamique
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
Transcription de la présentation:

Configuration NAT pour Haute disponibilité ccnp_cch

Sommaire disponibilité • Introduction - Contenu • Prérequis pour la configuration de NAT pour haute disponibilité • Restrictions pour la configuration de NAT pour haute disponibilité • Informations pour la configuration de NAT pour haute - NAT stateful - Secours NAT stateful pour le support de Outside vers Inside Assymétrique et passerelle de couche application - Interaction avec HSRP - Traduction de groupe - Résolution d'adresse source • Comment configurer NAT pour haute disponibilité - Configurer le secours de NAT stateful - Configurer le secours NAT Secours NAT stateful pour le support de Outside vers Inside Assymétrique et passerelle de couche application - Configurer le support du mapping NAT statique pour HSRP • Exemples de configuration NAT pour haute disponibilité - Configuration NAT stateful - Configuration du secours NAT stateful pour le support de Outside vers Inside Assymétrique et passerelle de couche - Configuration de NAT statique dans un environnement HSRP • Références additionnelles - Documents liés - Standards - MIBs - RFCs ccnp_cch

Prérequis pour la configuration de NAT pour haute disponibilité Introduction Ce document contient les procédures pour la configuration de NAT (Network Address Translation) pour supporter le besoin croissant de haute disponibilité des réseaux IP. Cette résilience de réseau est requise quand la connectivité de l'application a besoin de continuer sans être affecter par les défaillances de liaisons et de routeurs à la frontière NAT. Contenu • Prérequis pour la configuration de NAT pour haute disponibilité • Restrictions pour la configuration de NAT pour haute disponibilité • Informations pour la configuration de NAT pour haute disponibilité • Comment configurer NAT pour haute disponibilité • Exemples de configuration NAT pour haute disponibilité • Références additionnelles Prérequis pour la configuration de NAT pour haute disponibilité • Avant de réaliser les tâches de ce module vous devez être familier avec les concepts décrits dans le module "Configuration NAT for Address IP Conservation". • Toutes les listes d'accès requises à utiliser avec les tâches de ce module doivent être configurées les tâches de configuration. Note: si vous spécifiez une liste d'accès à utiliser avec une commande NAT, NAT ne supporte pas la commande communément utilisée permit ip any any dans la liste d'accès. Restrictions pour la configuration de NAT pour haute disponibilité Les requêtes ARP (Address Resolution Protocol) ont toujours des réponses faites par le routeur HSRP (Hot Standby Routing Protocol) actif. Si le routeur HSRP actif est défaillant, les équipements amont pointeront vers le nouveau routeur HSRP actif et n'auront pas d'entrée ARP pointant vers le routeur actif original qui n'est plus dispo- nible. ccnp_cch

Informations pour la configuration de NAT pour haute disponibilité Pour configurer NAT pour haute disponibilité, vous devez comprendre les concepts suivants: • NAT Stateful • Secours NAT stateful pour le support de Outside vers Inside assymétrique et passerelle de couche application • Interaction avec HSRP • Groupe de traduction • Résolution d'adresse avec ARP NAT Stateful NAT Stateful (SNAT) permet la continuité de service pour des sessions NAT mappées dynamiquement. Les sessions qui sont définies de manière statique bénéficient de la redondance sans avoir besoin de SNAT. En l'absence de SNAT, les sessions qui utilisent des mappings NAT dynamiques seraient détruits et devraient être de nou- veau établis. SNAT peut être utilisé avec les protocoles qui n'ont pas besoin de traduction de char- ge utile. Support NAT Stateful pour Outside vers Inside Assymétrique et passerelle de couche application Le support de NAT stateful pour Outside vers Inside Assymétrique et passerelle de couche application améliore la capacité de gérer les chemins assymétriques en au- torisant de multiples chemins de routage de Outside vers Inside et l'équilibrage de charge par paquet. Cette fonctionnalité fournit un équivalent du secours de sessions IP traduites avec du trafic qui inclut l'adresse IP embarquée telles que les applica- tions VoIP, FTP et DNS (Domain Name System). Interaction avec HSRP SNAT peut être configuré pour fonctionner avec HSRP (Hot Standby Routing Proto- col) pour fournir de la redondance. Les changements d'état actif et standby sont gé- rés par HSRP. SNAT applique un contexte plus global à la tâche d'acheminement d'un datagramme particulier. De l'importance est donnée pour la compréhension de l'état de l'applica- tion par rapport à l'acheminement. Les équipements peuvent prendre des actions pour éviter des défaillances potentielles qui auront moins d'impact sur le flux et l'application qui transmet des données. Des routeurs NAT multiples qui partagent un contexte stateful peuvent travailler de manière coopérative et par ce biais accroî- tre la disponibilité du service. ccnp_cch

Groupe de traduction Deux ou plusieurs traducteurs d'adresses réseau fonctionnent comme un groupe de traduction. Un membre du groupe gère le trafic requérant l'information de traduc- tion d'adresse IP. Il informe également le traducteur de secours des flux actifs dès qu'ils se présentent. Le traducteur de secours peut ensuite utiliser l'information de traduction issue du traducteur pour préparer la duplication des entrées de table de traduction et dans le cas où traducteur actif est bloqué par une défaillance sévère, le trafic peut être commuté rapidement vers le secours. Le flux de trafic continue car les mêmes adresses de traduction sont utilisées et les états de ces traductions ont déjà été définies. Résolution d'adresse ARP Un équipement dans IP peut avoir une adresse locale ( laquelle identifie de manière unique l'équipement sur le segment local ou LAN) et une adresse de réseau (laquelle identifie le réseau auquel l'équipement appartient). L'adresse locale est plus connue comme adresse de liaison de données car elle contient la partie liaison de données (couche 2 du modèle OSI) de l'en-tête du paquet et celle-ci est lue par les équipe- ments de couche liaison (ponts, commutateurs, interfaces). L'adresse locale fait ré- férence à l'adresse MAC pour les LANs car la sous-couche MAC de la couche liaison gère les adresses de cette couche. Pour communiquer avec un équipement sur Ethernet, l'IOS Cisco doit déterminer l'adresse MAC 48 bits ou l'adresse de liaison de données locale de cet équipement. Le processus de détermination de l'adresse locale de couche liaison à partir d'une adresse IP est appelé résolution d'adresse. Le processus de détermination de l'adres- se IP à partir de l'adresse de couche liaison de données est appelé résolution d'a- dresse inverse. Le logiciel utilise trois formes de résolution d'adresse: ARP (Address Resolution Protocol), Proxy ARP et RARP (Reverse Address Resolution Protocol). ARP, Proxy ARP et RARP sont définis respectivement par les RFCs 826, 1027 et 903. Probe est un protocole développé par la société Hewlett-Packard (HP) pour utilisation dans des réseaux IEEE 802.3. ARP est utilisé pour associer l'adresse IP avec l'adresse MAC. En prenant une adres- se IP en entrée, ARP détermine l'adresse média associée. Une fois que l'adresse mé- dia ou l'adresse MAC est déterminée, l'association adresse IP et adresse média est stockée dans un cache ARP pour récupération rapide. Ensuite le paquet IP est encapsulé dans une trame de couche liaison de données et transmis sur le réseau. L'encapsulation des paquets IP, des requêtes et des réponses ARP sur des réseaux IEEE 802 autres que Ethernet est spécifiée par SNAP (SubNetwork Access Protocol). ccnp_cch

Comment configurer NAT pour haute disponibilité Ce document décrit deux méthodes pour configurer NAT pour de la haute disponibili- té : ● Configuration du secours NAT stateful (Optionnel) ● Configuration du support du secours NAT Stateful pour Outside vers Inside et passerelle de couche application (Optionnel) ● Configuration du support mapping statique NAT pour HSRP (Optionnel) Configuration du secours NAT stateful La fonctionnalité de NAT stateful représente la phase 1 de la capacité de secours sta- teful. Elle introduit la possibilité pour deux ou plusieurs traducteurs d'adresse de fonctionner comme un groupe de traduction. Un routeur de secours opérant avec NAT fournit des services de traduction dans l'éventualité d'une défaillance du traduc- teur actif. Les protocoles qui n'ont pas besoin de traduction de la charge utile tel que HTTP et Telnet sont supporté pat NAT Stateful (SNAT). Cette section contient les procédures suivantes: ● Configuration de NAT stateful avec HSRP (Optionnel) ● Configuration de NAT stateful sur le routeur primaire (active) (Optionnel) ● Configuration de NAT stateful sur le routeur de secours (standby) (Optionnel) Restrictions pour la configuration du secours de NAT stateful Les applications et protocoles suivants ne sont pas supportés dans la phase 1: • Application Level Gateway (ALG) • FTP • NetMeeting Directory (ILS) • RAS • SIP • Skinny • TFTP • Asymmetrical routing ccnp_cch

Configuration de NAT stateful avec HSRP Exécutez cette tâche pour configurer NAT stateful en utilisant HSRP pour fournir des facilités de routeur de secours. Note: Cette tâche doit être effectuée sur les routeurs "active" et "standby". Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. standby [group-name] ip [ip-address [secondary]] 5. exit 6. ip nat stateful id id-number {redundancy name mapping-id map-number} 7. ip nat pool name start-ip end-ip prefix-length prefix-length 8. ip nat inside source {route-map name pool pool-name mapping-id map-number} [overload] 9. exit 10. show ip snat distributed verbose Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide les niveaux de privilège élevés tel que le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé. configure terminal Routeur# configure terminal Entrée en mode configuration global. interface type number Routeur(config)# interface ethernet 1/1 Entrée en mode de configuration interface. standby [group-name] ip [ip-address [secondary]] Routeur(config-if)# standby SNATHSRP ip 10.1.1.1 secondary Valide le protocole HSRP. exit Routeur(config-if)# exit Retour en mode configuration global. ccnp_cch

NAT stateful sur le routeur de secours (standby)". Commande ou Action But ip nat stateful id id-number {redundancy name mapping-id map-number} Exemple: Routeur(config)# ip nat stateful id 1 redundancy snathsrp mapping-id 10 Spécifie SNAT sur les routeurs configurés pour HSRP. ip nat pool name start-ip end-ip prefix-length prefix-length Routeur(config)# ip nat pool snatpool1 10.1.1.1 10.1.1.9 prefix-length 24 Définit un pool d'adresses IP. ip nat inside source {route-map name pool pool-name mapping-id map-number} [overload] Routeur(config)# ip nat inside source route-map rm-101 pool snatpool1 mapping-id 10 overload Valide NAT stateful pour le groupe de traduc-tion HSRP. exit Routeur# exit Retour en mode EXEC privilégié. show ip snat distributed verbose Routeur# show ip snat distributed verbose (Optionnel) Affiche les traductions NAT stateful NAT actives. Configuration de NAT stateful sur le routeur primaire (Active) Exécutez cette tâche pour configurer manuellement votre routeur SNAT primaire. Quand vous avez terminé cette tâche, exécutez les étapes dans " Configuration de NAT stateful sur le routeur de secours (standby)". Résumé des étapes 1. enable 2. configure terminal 3. ip nat stateful id id-number primary ip-address peer ip-address mapping-id map-number 4. ip nat pool name start-ip end-ip {prefix-length prefix-length} 5. ip nat inside source route-map name pool pool-name mapping-id map-number [overload] 6. exit 7. show ip snat distributed verbose ccnp_cch

Etapes détaillées ccnp_cch Commande ou Action But enable Exemple: Routeur> enable Valide les niveaux de privilège élevés tel que le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé. configure terminal Routeur# configure terminal Entrée en mode configuration global. ip nat stateful id id-number primary ip-address peer ip-address mapping-id map-number Routeur(config)# ip nat stateful id 1 primary 10.10.10.10 peer 10.22.22.22 mapping-id 10 Spécifie NAT stateful sur le routeur primaire. ip nat pool name start-ip end-ip prefix-length prefix-length Routeur(config)# ip nat pool SNATPOOL1 10.1.1.1 10.1.1.9 prefix-length 24 Définit un pool d'adresses IP. ip nat inside source route-map name pool pool-name mapping-id map-number [overload] Routeur(config)# ip nat inside source route-maprm-101 pool snatpool1 mapping-id 10 overload Valide NAT stateful pour le groupe de traduc- tion HSRP. exit Routeur# exit Retour en mode EXEC privilégié. show ip snat distributed verbose Routeur# show ip snat distributed verbose (Optionnel) Affiche les traductions NAT stateful NAT actives. ccnp_cch

4. ip nat pool name start-ip end-ip prefix-length prefix-length Configuration de NAT stateful sur le routeur de secours (standby) Exécutez cette tâche pour configurer manuellement votre routeur SNAT de secours (standby). Résumé des étapes 1. enable 2. configure terminal 3. ip nat stateful id id-number back-up ip-address peer ip-address mapping-id map-number 4. ip nat pool name start-ip end-ip prefix-length prefix-length 5. ip nat inside source route-map name pool pool-name mapping-id map-number [overload] 6. exit 7. show ip snat distributed verbose Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide les niveaux de privilège élevés tel que le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé. configure terminal Routeur# configure terminal Entrée en mode configuration global. ip nat stateful id id-number backup ip-address peer ip-address mapping-id map-number Routeur(config)# ip nat stateful id 1 backup 10.2.2.2 peer 10.10.10.10 mapping-id 10 Spécifie NAT stateful sur le routeur de secours. ip nat pool name start-ip end-ip prefix-length prefix-length Routeur(config)# ip nat pool SNATPOOL1 10.1.1.1 10.1.1.9 prefix-length 24 Définit un pool d'adresses IP. ip nat inside source route-map name pool pool-name mapping-id map-number [overload] Routeur(config)# ip nat inside source route-map rm-101 pool snatpool1 mapping-id 10 overload Valide NAT stateful pour le groupe de traduc-HSRP. ccnp_cch

● Configuration de SNAT avec HSRP (Requis) Commande ou Action But exit Exemple: Routeur# exit Retour en mode EXEC privilégié. show ip snat distributed verbose Routeur# show ip snat distributed verbose (Optionnel) Affiche les traductions NAT stateful NAT actives. Secours NAT stateful pour le support de Outside vers Inside assymétrique et passerelle de couche application NAT stateful phase 1 requiert que toutes les sessions passent par le routeur NAT pri- maire qui contrôle les entrées de traduction NAT sauf si le routeur primaire est indis- ponible. Cette exigence assure l'intégrité des informations de traduction en se proté- geant de la possibilité pour certains paquets relevant du contrôle NAT, de traverser le routeur de secours sans que le routeur primaire soit au courant. Sans synchroni- sation les sessions IP NAT peuvent faire expirer les entrées de sessions IP ce qui en- traine des états de sessions IP hors séquence. Cette section contient les procédures suivantes: ● Configuration de SNAT avec HSRP (Requis) ● Configuration de SNAT primaire et secours ( Requis) Prérequis pour la configuration du Secours NAT stateful pour le support de Outside vers Inside assymétrique et passerelle de couche application Chaque routeur doit avoir la même configuration NAT (Network Address Translation). Avantages de la configuration du Secours NAT stateful pour le support de L'amélioration du secours de Outside vers Inside assymétrique fournit les avantages suivants: ● Capacité de supporter plusieurs chemins de routage Outside vers inside ● Capacité de gérer l'équilibrage de charge par paquet pour du routage assymétrique de Outside vers Inside. ccnp_cch

Comment fonctionne le support du secours NAT stateful pour Outside vers Inside assymétrique Le support du secours NAT stateful de Outside vers Inside assymétrique permet à deux routeurs NAT de participer à l'architecture Primaire-Secours. Un des routeurs est élu comme routeur NAT primaire et le second agit comme routeur de secours. Comme le trafic est activement traduit par le routeur NAT primaire, celui-ci met à jour le routeur NAT de secours avec l'état de traduction NAT à partir des entrées de traduction NAT. Si le routeur NAT primaire est défaillant ou est hors service, le rou- teur NAT de secours prend automatiquement la place du routeur hors service. Lors- que le routeur primaire passe de nouveau en service, celui-ci reprend son rôle et de- mande une mise à jour au routeur NAT de secours. Le trafic NAT de retour est géré soit par le routeur NAT primaire soit par le routeur NAT de secours et l'intégrité de la traduction NAT est préservée. Quand le routeur NAT de secours reçoit du trafic IP assymétrique et exécute NAT pour les paquets, il met à jour le routeur NAT primaire et assure que les tables de traduction NAT primaire et de secours restent synchronisées. La figure suivante montre une configuration typique qui utilise le secours NAT state- ful pour le support Outside vers Inside assymétrique et passerelle de couche applica- tion. Réseau Opérateur A Réseau Opérateur B Entrée NAT dynamique IL:192.168.123.4:1001 IG:11.1.1:1001 OG:12.1.1.1:80 OL:12.1.1.1:80 Entrée NAT dynamique IL: 192.168.123.4:1001 IG:11.1.1:1001 OG:12.1.1.1:80 OL:12.1.1.1:80 HSRP IP Virtuelle 192.168.123.1 NAT Primaire NAT Secours .2 .3 192.168.123.4 192.168.123.5 ccnp_cch

● Correspondance avec un intervalle d'adresses source Comment fonctionne le support du secours NAT stateful pour passerelle de couche application L'adressage embarqué amélioré du secours NAT stateful permet au routeur NAT de secours de gérer correctement NAT et la remise de trafic IP. NAT inspecte tout le tra- fic IP entrant de toutes les interfaces qui ont été configurées avec la fonctionnalité NAT. L'inspection consiste à trouver une correspondance entre le trafic entrant et un ensemble de règles de traduction et de réaliser la traduction d'adresse si une cor- respondance est trouvée. Voici quelques exemples : ● Correspondance avec un intervalle d'adresses source ● Correspondance avec une adresse destination particulière ● Correspondance avec une liste d'applications connues de NAT qui peuvent requérir un port source spécifique pour la négociation du plan contrôle ou une adresse IP source embarquée dans le protocole de l'application. Quelques applications et protocoles qui embarquent des informations de port source ou d'adresse IP sont: ● Protocole d'Enregistrement, d'Admission et d'Etats H.323 (RAS) ● Requête DNS ● NetMeeting Internet Locator Server (ILS) ● ICMP (Internet Control Message Protocol) ● SMTP (Simple Mail Transfer Protocol) ● PPTP (Point to Point Protocol) ● NFS (Network File System) ● Client SCCP (Skinny Client control Protocol) Une liste des protocoles de couche application supportées par Cisco IOS NAT peut être trouvée à l'URL suivant: http://www.cisco.com/en/US/tech/tk648/tk361/tech_brief09186a00801af2b9.html ccnp_cch

utilisez les commandes suivantes: Résumé des étapes 1. enable Configuration SNAT avec HSRP Pour configurer votre routeur HSRP (Hot Standby Routing Protocol) avec NAT stateful utilisez les commandes suivantes: Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. standby [group-name] ip [ip-address [secondary]] 5. exit 6. ip nat stateful id ip-address redundancy group-name mapping-id map-id 7. ip nat pool name start-ip end-ip prefix-length prefix-length 8. ip nat inside source route-map name pool pool-name mapping-id map-id [overload] 9. ip nat inside destination list number pool name mapping-id map-id 10. ip nat outside source static global-ip local-ip extendable mapping-id map-id 11. end Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide les niveaux de privilège élevés tel que le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé. configure terminal Routeur# configure terminal Entrée en mode configuration global. interface type number Routeur(config)# interface ethernet 1/1 Entrée en mode de configuration interface. standby [group-name] ip [ip-address [secondary]] Routeur(config-if)# standby SNATHSRP ip 11.1.1.1 secondary Valide le protocole HSRP. exit Routeur(config-if)# exit Retour en mode configuration global. ccnp_cch

ccnp_cch Commande ou Action But ip nat stateful id ip-address redundancy group-name mapping-id map-id Exemple: Routeur(config)# ip nat stateful id 1 redundancy snathsrp mapping-id 10 Spécifie SNAT sur les routeurs configurés avec HSRP. ip nat pool name start-ip end-ip prefix-length prefix-length Routeur(config)# ip nat pool snatpool1 11.1.1.1 11.1.1.9 prefix-length 24 Définit un pool d'adresses IP. Step 8 ip nat inside source static route-map name pool pool-name mapping-id map-id [overload] Routeur(config)# ip nat inside source static route-map rm-101 pool snatpool2 mapping-id 10 overload Valide NAT stateful pour le groupe de traduction HSRP. ip nat inside destination list number pool name mapping-id map-id Routeur(config)# ip nat inside destination list 1 pool snatpool2 mapping-id 10 Permet au routeur SNAT local de distribuer un ensemble particulier d'entrées crées localement vers un routeur SNAT voisin. ip nat outside source static global-ip local-ip extendable mapping-id map-id Routeur(config)# ip nat outside source static 1.1.1.1 2.2.2.2 extendable mapping-id 10 end Routeur(config)# end Sortie du mode de configuration global. ccnp_cch

6. ip nat inside destination list number pool name mapping-id map-id Configuration SNAT Primaire/Secours Utilisez les commandes suivantes pour valider la fonctionnalité support secours NAT stateful pour Outside vers Inside assymétrique et passerelle de couche application. Résumé des étapes 1. enable 2. configure terminal 3. ip nat stateful id id-number primary ip-address peer ip-address mapping-id map-number 4. ip nat pool name start-ip end-ip prefix-length prefix-length 5. ip nat inside source static route-map name pool pool-name mapping-id map-id [overload] 6. ip nat inside destination list number pool name mapping-id map-id 7. ip nat outside source static global-ip local-ip extendable mapping-id map-id 8. end Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide les niveaux de privilège élevés tel que le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé. configure terminal Routeur# configure terminal Entrée en mode configuration global. ip nat stateful id id-number primary ip-address peer ip-address mapping-id map-id Routeur(config)# ip nat stateful id 1 primary 1.1.1.1 peer 2.2.2.2 mapping-id 10 Spécifie NAT stateful sur le routeur primaire. ip nat pool name start-ip end-ip prefix-length prefix-length Routeur(config)# ip nat pool snatpool1 11.1.1.1 11.1.1.9 prefix-length 24 Définit un pool d'adresses IP. ip nat inside source static route-map name pool pool-name mapping-id map-id [overload] Routeur(config)# ip nat inside source static route-map rm-101 pool snatpool2 mapping-id 10 overload Permet au routeur SNAT local de distribuer un ensemble particulier d'entrées crées localement vers un routeur SNAT voisin. ccnp_cch

Commande ou Action But ip nat inside destination list number pool name mapping-id map-id Exemple: Routeur(config)# ip nat inside destination list 1 pool snatpool2 mapping-id 10 overload Définit l'adresse destination interne qui permet au routeur SNAT local de distribuer les entrées crées localement vers un routeur SNAT voisin. ip nat outside source Static global-ip local-ip extendable mapping-id map-id Routeur(config)# ip nat outside source static 1.1.1.1 2.2.2.2 extendable mapping-id 10 Définit l'adresse destination externe qui permet au routeur SNAT local de distribuer les entrées créees localement vers un routeur SNAT voisin. end Routeur(config)# end Sortie du mode de configuration global. Configuration du support du mapping NAT statique pour HSRP Quand une requête ARP est faite pour une adresse qui est configurée avec un map- ping NAT statique détenue par le routeur, NAT répond avec l'adresse MAC gravée (BIA MAC) sur l'interface vers laquelle ARP pointe. Deux routeurs agissent comme HSRP "active" et "standby". Leurs interfaces NAT internes doivent être validées et configurées pour appartenir à un groupe. Les deux tâches suivantes sont requises et doivent être réalisées sur les routeurs "active" et "standby" pour configurer le support du mapping NAT statique pour HSRP. ● Validation de HSRP sur l'interface NAT (Requis) ● Validation de NAT statique dans un environnement HSRP (Requis) Restrictions pour la configuration du support du mapping NAT statique pour HSRP ● La configuration du support du mapping statique pour HSRP fournit le support NAT avec la présence de HSRP en utilisant une configuration de mapping statique uniquement. ● Les mappings NAT statiques doivent être recopiés sur deux ou plusieurs routeurs HSRP car l'état NAT n'est pas échangé entre routeurs opérant avec NAT dans un groupe HSRP. ● Le comportement est imprévisible si les deux routeurs HSRP ont le même NAT statique et ne sont pas configurés avec le mot-clé hsrp les reliant au même grou- pe. ccnp_cch

configuré avec une adresse NAT. Validation de HSRP sur l'interface NAT Avantages de la configuration du support du mapping NAT statique pour HSRP ● Avec l'utilisation du support mapping statique pour HSR, le secours est assuré sans avoir de délai d'expiration et de nouveau remplissage du cache ARP dans un environnement haute disponibilité dans lequel les paires de routeurs HSRP ont une configuration NAT identique pour la redondance. ● Le support de mapping statique pour HSRP autorise l'option d'avoir uniquement le routeur HSRP "active" qui répond à une requête ARP entrante pour un routeur configuré avec une adresse NAT. Validation de HSRP sur l'interface NAT Réalisez cette tâche pour valider HSRP sur l'interface NAT des routeurs "active" et "standby". Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ip address ip-address mask 5. no ip redirects 6. ip nat {inside | outside} 7. standby [group-number] ip [ip-address [secondary]] 8. standby name [group-name] 9. end 10. show standby 11. show ip nat translations [verbose] Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide les niveaux de privilège élevés tel que le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé. configure terminal Routeur# configure terminal Entrée en mode configuration global. interface type number Routeur(config)# interface ethernet 1/1 Entrée en mode de configuration interface. ccnp_cch

Commande ou Action But ip address ip-address mask Exemple: Routeur(config-if)# ip address 192.168.1.27 255.255.255.0 Fixe l'adresse IP primaire de l'interface. no ip redirects Routeur(config-if)# no ip redirects Dévalide l'émission de messages ICMP redirect. ip nat {inside | outside} Routeur(config)# ip nat inside Marque l'interface comme interne ou externe. standby [group-number] ip [ip-address [secondary]] Routeur(config-if)# standby 10 ip 192.168.5.30 Valide le protocole HSRP. Step 8 standby [group-number] name [group-name] Routeur(config-if)# standby 10 name HSRP1 Fixe le nom de groupe HSRP. end Routeur(config-if)# end Retour en mode EXEC privilégié. show standby Routeur# show standby (Optionnel) Affiche les informations HSRP. Step 11 show ip nat translations [verbose] Routeur# show ip nat translations verbose (Optionnel) Affiche les traductions NAT actives. Que faire ensuite Allez à la section suivante et validez NAT statique dans un environnement HSRP. ccnp_cch

Validation de NAT statique dans un environnement HSRP Pour valider le support du mapping NAT statique pour haute disponibilité avec HSRP , réalisez cette tâche sur les routeurs "active" et "standby". Résumé des étapes 1. enable 2. configure terminal 3. ip nat inside source {list {access-list-number | access-list-name} pool pool-name} [overload] | static local-ip global- ip redundancy group-name} 4. ip nat outside source {list {access-list-number | access-list-name} pool pool-name} [overload] |static local-ip global- ip redundancy group-name} 5. exit 6. show ip nat translations [verbose] Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide les niveaux de privilège élevés tel que le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé. configure terminal Routeur# configure terminal Entrée en mode configuration global. ip nat inside source {list {access-list-number | access-list-name} pool pool-name} [overload] | static local-ip global-ip redundancy group-name} Exemple: Routeur(config)# ip nat inside source static 192.168.5.33 10.10.10.5 redundancy HSRP1 Permet au routeur de répondre aux requêtes ARP en utilisant l'adresse MAC BIA si HSRP est configuré sur l'interface NAT interne. ip nat outside source {list {access-list-number | access-list-name} pool pool-name} [overload]| static local-ip global-ip redundancy group-name} Exemple: Routeur(config)# ip nat outside source static 192.168.5.33 10.10.10.5 redundancy HSRP1 Permet au routeur de répondre aux requêtes ARP en utilisant l'adresse MAC BIA si HSRP est configuré sur l'interface NAT externe. end Routeur(config-if)# end Retour en mode EXEC privilégié. show ip nat translations [verbose] Routeur# show ip nat translations verbose (Optionnel) Affiche les traductions NAT actives. ccnp_cch

Exemples de configuration NAT pour haute disponibilité Cette section fournit les exemples de configuration suivants: ● Configuration NAT stateful ● Configuration du secours NAT stateful pour le support de Outside vers Inside Assymétrique et passerelle de couche application ● Configuration de NAT statique dans un environnement HSRP Configuration NAT stateful Les exemples suivants montrent la configuration de NAT stateful avec HSRP et la con- figuration des routeurs NAT stateful primaire et secours. SNAT avec HSRP ip nat Stateful id 1 redundancy SNATHSRP mapping-id 10 ip nat pool SNATPOOL1 10.1.1.1 10.1.1.9 prefix-length 24 ip nat inside source route-map rm-101 pool SNATPOOL1 mapping-id 10 overload ip classless ip route 10.1.1.0 255.255.255.0 Null0 no ip http server ip pim bidir-enable Configuration de SNAT Primaire/Secours ip nat Stateful id 1 primary 10.88.194.17 peer 10.88.194.18 ! ip nat Stateful id 2 backup 10.88.194.18 peer 10.88.194.17 Configuration du secours NAT stateful pour le support de Outside vers Inside Assymétrique et passerelle de couche application Cette section contient les exemples suivants: ● Configuration de NAT avec HSRP ● Validation de HSRP sur l'interface NAT ccnp_cch

L'exemple suivant montre comment configurer SNAT avec HSRP. Configuration de SNAT avec HSRP L'exemple suivant montre comment configurer SNAT avec HSRP. ip nat Stateful id 1 redundancy SNATHSRP mapping-id 10 ip nat pool SNATPOOL1 11.1.1.1 11.1.1.9 prefix-length 24 ip nat inside source route-map rm-101 pool SNATPOOL1 mapping-id 10 overload ip classless ip route 11.1.1.0 255.255.255.0 Null0 no ip http server ip pim bidir-enable Configuration de SNAT Primaire/Secours L'exemple suivant montre comment configurer SNAT sur le routeur Primaire/Secours. primary 10.88.194.17 peer 10.88.194.18 ! ip nat Stateful id 2 backup 10.88.194.17 peer 10.88.194.17 Configuration de NAT statique dans un environnement HSRP L'exemple suivant montre le support NAT avec une configuration statique dans un environnement HSRP. Deux routeurs agissent comme HSRP "active" et "standby" et les interfaces internes HSRP sont validées et configurées pour appartenir au groupe HSRP1. Configuration du routeur "Active" interface BVI10 ip address 192.168.5.54 255.255.255.255.0 no ip redirects ip nat inside standby 10 priority 105 preempt standby 10 name HSRP1 standby 10 ip 192.168.5.30 standby 10 track Ethernet2/1 ip default-gateway 10.0.18.126 ip nat inside source static 192.168.5.33 10.10.10.5 redundancy HSRP1 ip route 10.10.10.0 255.255.255.0 Ethernet2/1 ip route 172.22.33.0 255.255.255.0 Ethernet2/1 ccnp_cch

Références additionnelles Configuration du routeur "Standby" interface BVI10 ip address 192.168.5.56 255.255.255.255.0 no ip redirects ip nat inside standby 10 priority 100 preempt standby 10 name HSRP1 standby 10 ip 192.168.5.30 standby 10 track Ethernet3/1 ! ip default-gateway 10.0.18.126 ip nat inside source static 192.168.5.33 3.3.3.5 redundancy HSRP1 ip classless ip route 10.0.32.231 255.255.255 Ethernet3/1 ip route 10.10.10.0 255.255.255.0 Ethernet3/1 no ip http server Références additionnelles Documents liés Sujet traité Titre du document Tâches de configuration NAT Configuring NAT for IP Address Conservation Utilisation NAT avec des VPNs MPLS Integrating NAT with MPLS VPNs Maintenance NAT Monitoring and Maintaining NAT Commandes NAT additionnelles NAT : syntax complète de commande, mode de commande, historique des com-mandes, conseils d'utilisation et exemples. Chapitre “IP Addressing Commands” dans Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.3 Standards Standards Titre Aucun __ MIBs MIBs Lien MIBs Aucune Pour localiser et télécharger les MIBs pour des plateformes, l'IOS Cisco, des ensembles de fonctionnalités, utilisez le Cisco MIB Locator situé à l'URL suivante: http://www.cisco.com/go/mibs ccnp_cch

RFCs ccnp_cch RFCs Titre RFC 903 Reverse Address Resolution Protocol Ethernet Address Resolution Protocol: Or converting network protocol addresses to 48.bit Ethernet address for transmission on Ethernet hardware RFC 1027 Using ARP to implement transparent subnet gateways ccnp_cch