Configuration NAT Utilisation de la commande outside source list ccnp_cch

Sommaire • Introduction • Configuration - Schéma du réseau - Configurations des routeurs • Résolution de problèmes • Résumé ccnp_cch

Introduction Ce document fournit un exemple de configuration avec l'utilisation de la commande ip nat outside source list et incluant une brève desrcription du processus NAT appliqué aux paquets IP. Ce document n'est pas restreint à une version matérielle ou logicielle spécifique. Configuration Ce document utilise la coniguration de réseau suivante: Inside Outside E1 E0 S1 S0 L0 R_Prov R_NAT R_Int 172.16.191.252/30 171.68.192.0/24 172.16.88.1/24 171.68.1.1/24 .201 .202 .254 .253 Un paquet généré par la commande ping depuis l'interface Loopback0 (172.16.88.1) du routeur R_Prov vers l'interface Loopback0 (171.68.1.1) du routeur R_Int arrive à destination. Sur l'interface de sortie (outside) du routeur R_NAT, le paquet a l'adresse source (SA) 172.16.88.1 et l'adresse destination (DA) 171.68.1.1. Si l'adresse SA est autorisée dans la liste d'accès 1 qui est utilisée par la commande ip nat outside source list, elle est traduite en une autre adresse prise dans le pool NAt nommé Net171. Notez que la commande ip nat outside source list fait référence au pool NAT "Net171". Dans ce cas précis l'adresse est traduite avec l'adresse 171.68.16.10. Après la traduc- tion, le routeur R_NAT regarde dans la table de routage pour la destination et route le paquet vers le routeur R_Int. Le routeur R_INt regarde le paquet arrivant sur son interface avec l'adresse source SA (171.68.16.10) et l'adresse destination DA égale à 171.68.1.1. Le routeur R_Int repond avec un message ICMP Echo Reply vers l'adresse 171.68.16.10. S'il n'a pas de route, le paquet sera éliminé. Dans ce cas précis, il a une route par défaut donc le paquet est transmis au routeur R_NAT avec l'adresse source (SA) 171.68.1.1 et l'adresse destination (DA) 171.68.16.10. Le routeur R_NAT reçoit le paquet et cherche une route pour la destination 171.68.16.10. S'il n'a pas de route, il répondra par un paquet ICMP "destination inaccessible". Dans ce cas précis, il a une route vers 171.68.16.10 aussi il réalise la traduction avec l'adresse 172.16.88.1 et transmet le paquet sur l'interface de sortie. ccnp_cch

Configurations des routeurs Routeur R_Prov hostname R_Prov ! interface Loopback0 ip address 172.16.68.1 255.255.255.0 ! interface Serial0 ip address 172.16.191.254 255.255.255.252 no ip mroute-cache ! ip classless ip route 0.0.0.0 0.0.0.0 172.16.191.253 Routeur R_NAT hostname R_NAT ! ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 ip nat outside source list 1 pool Net171 ! interface Ethernet1 ip address 171.168.192.202 255.255.255.0 ip nat inside no ip-mroute-cache no ip route-cache ! interface Serial1 ip address 172.16.191.253 255.255.255.252 ip nat outside no ip mroute-cache no ip route-cache clockrate 2000000 ip route 172.16.88.0 255.255.255.0 172.16.191.254 ip route 171.68.1.0 255.255.255.0 171.68.192.201 ip route 171.68.16.0 255.255.255.0 Serial1 access-list 1 permit 172.16.88.0 0.0.0.255 ! Routeur R_Int hostname R_Int ! interface Loopback0 ip address 171.68.1.1 255.255.255.0 ! interface Ethernet0 ip address 171.168.192.201 255.255.255.252 no ip mroute-cache ip route 0.0.0.0 0.0.0.0 171.168.192.202 ccnp_cch

Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre les problèmes de configuration. La sortie suivante est le résultat de l'exécution des commandes debug ip packet et debug ip nat sur le routeur R_NAT lors de l'exécution d'une commande ping depuis l'interface loopback0 du routeur R_NAT (172.16.88.1) vers l'interface loopback du routeur R_Int avec l'adresse 171.68.1.1. R_NAT# NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [40] IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.16.1.1, d=171.68.16.10->172.68.88.1 [40] IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [41] IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.16.1.1, d=171.68.16.10->172.68.88.1 [41] IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [42] IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.16.1.1, d=171.68.16.10->172.68.88.1 [42] IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [43] IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.16.1.1, d=171.68.16.10->172.68.88.1 [43] IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [44] IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.16.1.1, d=171.68.16.10->172.68.88.1 [44] IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 [40] à [44] correspond aux 5 messages ICMP transmis par la commande ping ccnp_cch

Résumé La différence majeure entre l'utilisation de la commande ip nat outside source list (NAT dynamique) et celle de la commande ip nat outside source static (NAT statique) est qu'il n'y a pas d'entrée dans la table de traduction jusqu'à ce que le routeur (confuguré pour NAT) vérifie les critères de traduction du paquet. Dans l'exemple ci- dessus le paquet avec l'adresse source (SA) 172.16.88.1 (arrivant sur l'interface "outside" du routeur R_NAT) satisfait l'access-list 1 qui est le critère utilisé par la commande ip nat outside siurce list. Pour cette raison , les paquets doivent provenir du réseau externe (Outside network) avant que les paquets du réseau interne (Inside Network) puissent communiquer avec l'interface Loopback0 du routeur R_Prov. Il y a deux choses importantes à noter dans cet exemple: - Premièrement, quand un paquet passe du réseau externe (outside) au réseau interne (inside) , la traduction est réalisée en premier puis la table de routage est consultée pour rechercher une route vers la destination. Quand le paquet passe du réseau interne (inside) vers le réseau externe (outside), la table de routage est d'abord utilisée pour chercher une route vers la destination puis la traduction est exécutée - Deuxièmement, il est important de noter quelle partie du paquet IP sera traduite quand on utilise les commandes citées ci-dessus. Commande Actions ip nat outside source list • Traduit l'adresse source des paquets IP qui passent du réseau "outside" vers le réseau "inside" • Traduit l'adresse destination des paquets IP qui passent du réseau "inside" vers le réseau "outside" ip nat inside source list • Traduit l'adresse source des paquets IP qui passent du réseau "inside" vers le réseau "outside" • Traduit l'adresse destination des paquets IP qui passent du réseau "outside" vers le réseau "inside" Les informations du tableau ci-dessus montrent qu'il y a plusieurs méthode pour traduire les adresses d'un paquet IP. Selon vos besoins particuliers, vous devez déterminer comment définir les interfaces NAT (inside et outside) et quelles routes la table de routage doit contenir avant ou après la traduction. Gardez en mémoire que la partie du paquet qui sera traduite dépend du sens de traversée du routeur NAT et comment NAT est configuré. ccnp_cch