Sommaire • Introduction • Configuration - Schéma du réseau

Slides:



Advertisements
Présentations similaires
– NAT et PAT - 1.
Advertisements

Configuration RNIS Accès de Base (BRI)
show dialer interface bri
Remote Desktop Protocol l'Appliance de Sécurité
Application Inverse MUX
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Plateformes supportées d'adresse MAC unique sur des interfaces VLAN
Configuration Routeur SOHO77
Configuration Frame Relay "Custom Queuing"
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
Comprendre la politique
show interfaces ethernet
Station A Station B RNIS Fa0/0 BRI0/0 BRI0/0 Fa0/0 Rouen Le Havre S0/0
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Commande show standby ccnp_cch ccnp_cch.
show interfaces fastethernet
Configuration Routeur SOHO77
OSPF - Configuration initiale sur Liaisons Non-Broadcast
show ip nat translations
Paris S0/0 500 Kb/s S0/0 Switch S0/2 S0/1 128 Kb/s 128 Kb/s S0/0 S0/0
Configuration DDR Peer to Peer avec
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
EIGRP - Créer une Route Préférée en Influençant la Métrique
Sécurité - Configuration de
PPP Multilink avec DDR Configuration de Base
Intégration de NAT avec les VPNs MPLS
DDR Backup avec Interface BRI & Dialer-Watch
DDR Backup avec Interface BRI & Commande Backup Interface
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Configuration et résolution de problèmes avec
Comprendre la sortie de la commande debug ppp negotiation
QoS - Configuration RSVP
OSPF - Commande show ip ospf neighbor.
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration EtherChannel
Changer les critères de nommage
XDSL - G.SHDSL Configuration Back to Bacck (carte WIC 1-SHDSL)
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
trois réseaux internes
Configuration DDR Standard avec interfaces RNIS BRI
interfaces de couche 3 Commutateur Catalyst 4006
Configuration OSPF Virtual Link
Commande show dialer ccnp_cch ccnp_cch.
Sécurité - Configuration d'un
Configuration d'un accès
OSPF - Routage Inter-Area
Configuration DDR Standard Sites multiples aves RNIS
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
Configuration DDR RNIS avec encapsulations dynamiques multiples
Configuration Frame Relay avec un routeur commutateur Frame Relay
QoS - Configuration Fragmentation
Commande show interfaces
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration Frame Relay "Weighted Fair Queuing"
Configuration NAT Statique
Configuration NAT Dynamique
Transcription de la présentation:

Configuration NAT Utilisation de la commande ip nat outside source static

Sommaire • Introduction • Configuration - Schéma du réseau - Configuration des routeurs • Résolution de problèmes • Résumé

Introduction Ce document fournit un exemple de configuration avec l'utilisation de la commande ip nat outside source static et incluant une brève desrcription du processus NAT appliqué aux paquets IP. Ce document n'est pas restreint à une version matérielle ou logicielle spécifique. Configuration Ce document utilise la coniguration de réseau suivante: Inside Outside E1 E0 S1 S0 L0 L1 R_Prov R_NAT R_Int 172.16.191.252/30 171.68.192.0/24 172.16.89.32/24 171.68.1.1/24 .201 .202 .254 .253 Un paquet généré par la commande ping depuis l'interface Loopback1 (172.16.89.32) du routeur R_Prov vers l'interface Loopback0 (171.68.1.1) du routeur R_Int arrive à destination. Sur l'interface de sortie (outside) du routeur R_NAT, le paquet a l'adresse source (SA) 172.16.89.32 et l'adresse destination (DA) 171.68.1.1. Le processus NAT traduit l'adresse source (SA) en une adresse interne globale (inside globale) 171.68.16.15 (d'après la commande ip nat outside source static configurée sur le routeur R_NAT). Le routeur R_NAT recherche dans la table de routage la route pour la destination 171.68.1.1. Si la route n'exista pas, le routeur R_NAT élimine le paquet. Dans ce cas précis, le routeur R_NAT a une route vers 171.68.1.1 par la route statique vers le réseau 171.68.1.0/24 donc le paquet est transmis vers la destination. Le routeur R_Int voit un paquet arrivant sur son interface d'entrée avec une adresse source (SA) 171.68.16.5 et une adresse destination (DA) 171.68.1.1. Le routeur R_Int répond en transmettant un paquet ICMP "echo reply" vers 171.68.16.5. S'il n'a pas de route, le paquet est éliminé. Dans ce cas précis, le routeur R_Int a une route et transmet le paquet vers le routeur R_NAt avec une adresse source (SA) 171.68.1.1 et une adresse destination (DA) 171.68.16.5. le routeur R_NAT reçoit le paquet et cherche dans sa table de routage une route 171.68.16.5. S'il n'a pas de route, le paquet est éliminé et répond par un paquet ICMP "destination unreachable". Dans ce cas précis, il a une route vers 171.68.16.5 (route statique) donc il traduit l'adresse destination du paquet en 172.16.89.32 et transmet le paquet sur son interface de sortie.

Configurations des routeurs Routeur R_Prov hostname R_Prov ! interface Loopback1 ip address 172.16.89.32 255.255.255.0 ! interface Serial0 ip address 172.16.191.254 255.255.255.252 no ip mroute-cache ! ip classless ip route 0.0.0.0 0.0.0.0 172.16.191.253 Routeur R_NAT hostname R_NAT ! ip nat outside source static 172.16.89.32 171.68.16.5 ! interface Ethernet1 ip address 171.168.192.202 255.255.255.0 ip nat inside no ip-mroute-cache no ip route-cache ! interface Serial1 ip address 172.16.191.253 255.255.255.252 ip nat outside no ip mroute-cache no ip route-cache clockrate 2000000 ip route 172.16.89.0 255.255.255.0 172.16.191.254 ip route 171.68.1.0 255.255.255.0 171.68.192.201 ip route 171.68.16.0 255.255.255.0 172.16.191.254 access-list 1 permit 172.16.88.0 0.0.0.255 ! Routeur R_Int hostname R_Int ! interface Loopback0 ip address 171.68.1.1 255.255.255.0 ! interface Ethernet0 ip address 171.168.192.201 255.255.255.252 no ip mroute-cache ip route 0.0.0.0 0.0.0.0 171.168.192.202

Résolution de problèmes Cette exemple utilise les commandes debug relatives à la traduction NAT et au trafic IP pour montrer les actions du processus NAT.. Note: Comme les commandes debug génèrent un volume de messages significatifs, utilisez les lorsque le trafic IP de votre réseau est faible, ainsi les autres activités sur le système ne seront pas affectées. La sortie suivante montre le premier paquet arrivant sur l'interface "outside" du routeur R_NAT. L'adresse source 172.16.89.32 est traduite en 171.69.16.5. Le paquet ICMP est acheminé vers la destination par l'interface Ethernet1 R_NAT# NAT*: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [15] IP: s=171.68.16.5 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 La sortie suivante montre le paquet retourné par la source 171.68.1.1 avec une adresse destination 171.68.16.5 traduite en une adresse 172.16.89.32. Le paquet est transmis sur l'interface de sortie Serial1. NAT: s=171.68.1.1, d=171.68.16.5->172.68.89.32 [15] IP: s=171.68.1.1 (Ethernet1), d=171.16.89.32 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 Les paquets suivants échangés sont listés ci dessous. NAT*: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [16] IP: s=171.68.16.5 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [16] IP: s=171.68.1.1 (Ethernet1), d=172.16.89.32 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 NAT*: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [17] IP: s=171.68.16.5 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [17] IP: s=171.68.1.1 (Ethernet1), d=172.16.89.32 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 NAT*: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [18] IP: s=171.68.16.5 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [18] IP: s=171.68.1.1 (Ethernet1), d=172.16.89.32 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0 NAT:* s=172.16.88.1->171.68.16.5, d=171.68.1.1 [19] IP: s=171.68.16.5 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward ICMP type=8, code=0 NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [19] IP: s=171.68.1.1 (Ethernet1), d=172.16.89.32 (Serial1), g=172.16.191.254, len 100, forward ICMP type=0, code=0

Résumé Il y a deux choses importantes à noter dans cet exemple: - Premièrement, quand un paquet passe du réseau externe (outside) au réseau interne (inside) , la traduction est réalisée en premier puis la table de routage est consultée pour rechercher une route vers la destination. Quand le paquet passe du réseau interne (inside) vers le réseau externe (outside), la table de routage est d'abord utilisée pour chercher une route vers la destination puis la traduction est exécutée - Deuxièmement, il est important de noter quelle partie du paquet IP sera traduite quand on utilise les commandes citées ci-dessus. Commande Actions ip nat outside source static • Traduit l'adresse source des paquets IP qui passent du réseau "outside" vers le réseau "inside" • Traduit l'adresse destination des paquets IP qui passent du réseau "inside" vers le réseau "outside" ip nat inside source static • Traduit l'adresse source des paquets IP qui passent du réseau "inside" vers le réseau "outside" • Traduit l'adresse destination des paquets IP qui passent du réseau "outside" vers le réseau "inside" Les informations du tableau ci-dessus montrent qu'il y a plusieurs méthode pour traduire les adresses d'un paquet IP. Selon vos besoins particuliers, vous devez déterminer comment définir les interfaces NAT (inside et outside) et quelles routes la table de routage doit contenir avant ou après la traduction. Gardez en mémoire que la partie du paquet qui sera traduite dépend du sens de traversée du routeur NAT et comment NAT est configuré.

Methode 2: Interfaces physiques RNIS Multiples, synchrones ou asynchrones série. Dans le cas où deux voir plusieurs interfaces doivent être groupées ( par exemple, utilisation d'interfaces asynchrones ou synchrones série ou plusieurs interfaces RNIS) , une méthode différente doit être utilisée. Dans ce cas là, un "dialer rotary group" doit être configuré et une interface dialer doit être ajoutée à la configuration du routeur dans le but de controler la connexion PPP Multilink. En bref, une interface "logique" doit controler les interfaces physiques. Pour accomplir cela, vous devez : 1. Placer les interfaces physiques dabs un "rotary group" 2. Créer une interface logique (Dialer) pour créer un lien avec le "rotary group" 3. Configurer l'interface Dialer pour du PPP Multilink Exécutez les étapes suivantes pour configurer PPP Multilink sur plusieurs interfaces. 1. Placer les interfaces physiques dans un "rotary group" en utilisant la commande dialer rotary-group number. Dans cet exemple, l'interface asynchrone est placée dans le "rotary group 1". Routeur(config)#interface async 1 Routeur(config-if)#dialer rotary-group 1 Routeur(config-if)# Note: Utilisez la commande no shutdown en mode de configuration interface si le routeur n'a jamais été configuré ou si le routeur a repris sa configuration par défaut. 2. Pour créer une interface Dialer, utilisez la commande interface dialer number en mode de configuration global. Dans l'exemple suivant, l'interface Dialer 1 est crée. Routeur(config)#interface dialer 1 Routeur(config-if)# Note: Le nombre argument de la commande interface dialer doit être le même que le rotary-group configuré en 1. Utilisez la commande show running-config pour afficher la configuration par défaut d'une interface dialer. ! interface Dialer1 no ip address no cdp enable !

3. Configurez l'interface Dialer pour pouvoir initier des appels ou en recevoir. Les commandes essentielles pou PPP Mukltilink sont les mêmes que celles de l'étape 1. interface Dialer1 ip address 192.168.10.1 255.255.255.0 encapsulation ppp dialer in-band dialer idle-timeout 300 dialer map ip 192.168.10.1 name ROUTEUR1 broadcast 0145667788 dialer load-threshold 100 dialer-group 1 no fair queue ppp multilink ppp authentication chap Les Dialer Profiles Configurer PPP Multilink avec des Dialer Profiles est similaire au DDR standard. La commande ppp multilink doit être configurée sur l'interface physique et sur l'interface Dialer. La commande dialer load-threshold doit être configurée sur l'interface Dialer. Exemple: Interface Dialer1 ppp multilink dialer load-threshold x Interface BRI0 ppp multilink BRI0 RNIS ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 no cdp enable ppp authentication chap ppp multilink !--- Configuration de PPP multilink sur l'interface physique !--- et sur l'interface Dialer interface Dialer1 ip address 172.22.85.1 255.255.255.0 encapsulation ppp dialer pool 1 !--- Définition du pool d'interfaces physiques dans lequel !--- l'interface Dialer pourra utiliser les canaux B au besoin

Vérification du fonctionnement de PPP Multilink dialer remote-name R1 dialer string 0145667788 dialer load-threshold 128 outbound dialer-group 5 no cdp enable ppp authentication chap ppp multilink !--- Configuration du PPP Multilink Vérification du fonctionnement de PPP Multilink Pour vérifier le bon fonctionnement d'une connexion PPP Multilink, utilisez la com- mande debug ppp negotiation. Les éléments critiques qui doivent être négociés dans la phase LCP sont le MRRU (Maximum Receive Reconstructed Unit) et le Endpoint Discriminator (EndpointDisc). As1 LCP: O CONFREQ [Listen] id 1 len 26 As1 LCP: AuthProto CHAP (0x0305C22305) As1 LCP: MagicNumber 0x10963BD1 (0x050610963BD1) As1 LCP: MRRU 1524 (0x110405F4) As1 LCP: EndpointDisc 1 Local (0x13070174657374) As1 LCP: I CONFREQ [RESsent] id 3 len 27 As1 LCP: MRU 1500 (0x010405DC) As1 LCP: MagicNumber 0x2CBF9DAE (0x05062CBF9DAE) As1 LCP: MRRU 1500 (0x110405DC) As1 LCP: EndpointDisc 1 Local (0x1306011AC16D) As1 LCP: I CONFACK [REQsent] id 1 len 26 As1 LCP: AuthProto CHAP (0x0305C22305) As1 LCP: MagicNumber 0x10963BD1 (0x050610963BD1) As1 LCP: MRRU 1524 (0x110405F4) As1 LCP: EndpointDisc 1 Local (0x13070174657374) As1 LCP: O CONFACK [ACKrcvd] id 3 len 24 As1 LCP: MRU 1500 (0x010405DC) As1 LCP: MagicNumber 0x2CBF9DAE (0x05062CBF9DAE) As1 LCP: MRRU 1500 (0x110405DC) As1 LCP: EndpointDisc 1 Local (0x1306011AC16D) AS1 LCP: State is Open Comme avec d'autres éléments de la négociation LCP, le MRRU et le EndpointDisc doivent être agrées par les deux extrémités de la connexion durant l'échange des messages CONFREQ et CONFACK. Les dux extrémités de la liaison doivent trans- mettre un message CONFACK pour que le protocole soit établi. Après le succès de la négociation dans la phase LCP de la négociation PPP et que l'authentification CHAP ou PAP a été réalisée avec succès, une interface "Virtual Access" sera crée par l'IOS Cisco pour représenter le groupement PPP Multilink. Pour plus d'information sur l'utilisation et la théorie des interfaces Virtual Access, consultez le document "Fonctionnalités des Vitual Access PPP avec l'IOS Cisco"

La création d'une interface "Virtual Access" est signalée par le message: As1 PPP: Phase is VIRTUALIZED A partir de ce point, la négociation PPP pour le NCP(Network Control Protocol) est gérée par l'interfae Virtual Access. Vi1 PPP: Treating connection as a dedicated line Vi1 PPP: Phase is ESTABLISHING, Active Open Vi1 LCP: O CONFREQ [Closed] id 1 Len 37 ... Vi1 PPP: Phase is UP Vi1 OPCP: O CONFREQ [Closed] id 1 len 10 Vi1 IPCP: Address 192.168.10.1 (0x0306C0A80A01) Une fois que la connexion PPP Multilink a été établie, les informations la concernant peuvent être affichées par la commande show ppp multilink. routeur#show ppp multilink Virtual-Access, bundle name is R_3640_NAS 0 lost fragments, 0 reordered, 0 unassigned, sequence 0x29/0x17 rcvd/sent 0 discarded, 0 lost received, 1/255 load Member links: 1 (max not set, min not set) Async1 Le bundle name est le username authentifié du client connecté. Member links est une liste d'interfaces physiques qui sont des membres actifs du groupe. Dans l'exemple ci-dessus, seule une est activée, cepedant le routeur peut ajouter d'autres lignes dans le groupement. Pour déconnecter une particulière (plutot que tout le groupement) utilisez la commande clear interface interface. Le nom du groupement peut être changé par la commande multilink bundle-name En plus, la commande show interface est aussi valide pour l'interface Virtual Access comme pour toute interface physique ou logique. Le même type d'informations sera affiché tel qu'il apparaît dans la sortie de la com- mande show interface.

router#show interface virtual-access 1 Virtual-Access1 is up, line protocol is up Hardware is Virtual Access Interface Description: Multilink PPP to R_3640_NAS !--- Cette interface Virtaul Access est connectée au routeur !--- R_3640_NAS Internet address is 192.168.10.1/24 MTU 1500 bytes, BW 7720 Kbit, DLY 100000 µsec, reliability 1/255 ,txload 1/255, rxload 1/255 encapsulation PPP, loopback not set Keepalive set (10 sec) DTR is pulsed for 5 seconds on reset LCP Open, multilink Open !--- L'état multilink doit être ouvert pour une connexion valide Open: IPCP Last input 00:00:01, output never, output hang never Last clearing of "show interface" counters 04:25:13 Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 12000 bits/sec, 2 packets/sec 5 minute output rate 12000 bits/sec, 2 packets/sec 2959 packets input, 2075644 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0overrun, 0 ignored, 0 abort 2980 packets output, 2068142 bytes, 0 underruns 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions