Configuration NAT Statique

Slides:



Advertisements
Présentations similaires
Configuration NAT Dynamique
Advertisements

Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)
Terminaux virtuels (VTY)
– NAT et PAT - 1.
MPLS - Configuration d'un VPN MPLS basique
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Configuration OSPF Multi-Area
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Configuration Frame Relay "Hub-and-Spoke"
pleine Classe et sans Classe
Configuration NAT Overload (PAT)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration sessions IBGP et EBGP
Configuration BGP de base
Réseau informatique Sorenza Laplume 1.
Station A Station B RNIS Fa0/0 BRI0/0 BRI0/0 Fa0/0 Rouen Le Havre S0/0
(Network Address Translation)
OSPF - Election "DR/ BDR" AREA 0 Paris6 Fa0/0 Fa0/0 Fa0/0 Paris20
Configuration OSPF sur Frame Relay Point à Multipoint
Configuration BGP avec routage par défaut
TP VLAN Trunking VTP Server, Transparent, Client
Comportement de RIP & IGRP avec les mises à jour de Routage
Adressage IPv4 ccnp_cch.
show ip nat translations
Paris S0/0 500 Kb/s S0/0 Switch S0/2 S0/1 128 Kb/s 128 Kb/s S0/0 S0/0
MPLS - Accès Internet à partir d'un VPN MPLS
- TP Listes d'Accès multiples
Configuration Routeur SOHO77
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
Commande show ip route ccnp_cch ccnp_cch.
EIGRP - Créer une Route Préférée en Influençant la Métrique
NAT - Supervision et Maintenance
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
Configuration d'une Passerelle par défaut avec les commandes IP
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - TP Listes d'Accès Standard
Configuration d'un - VPN MPLS de base.
Intégration de NAT avec les VPNs MPLS
Redistribution de Routes.
Configuration NAT Utilisation de la commande outside source list
RIP Version 2 ccnp_cch.
RIP - Configuration des Extensions.
Spécifier une Adresse IP
Sécurité - VLANs privés
DHCP et IP helper Host B Client DHCP Hub E0/0 Paris S0/0
Configuration Frame Relay "Priority Queuing"
Configuration de routes Statiques Flottantes
Configuration OSPF Virtual Link
Configuration Frame Relay "Full-Mesh" ou "Totalement maillé"
Comment Résoudre des Problèmes VPN MPLS
- Configuration ASA/PIX
OSPF - Routage Inter-Area
Configuration EIGRP - Agrégation de routes
TP - IPv6 Tunnels Manuels
Configuration "On Demand Routing"
Configuration Frame Relay "Hub-and-Spoke"
Configuration Frame Relay avec un routeur commutateur Frame Relay
Configuration de base EIGRP
Configuration Frame Relay "Weighted Fair Queuing"
Configuration NAT Dynamique
Le routage IP statique Le routeur. La table de routage Le routage statique par opposition au routage dynamique, consiste à saisir manuellement les routes.
Chapitre 6 : La couche réseau
Transcription de la présentation:

Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation) pour fournir un accès fiable à des serveurs internes par des utilisateurs externes.

Scénario La société IFC a étendu et mis à jour son réseau Scénario La société IFC a étendu et mis à jour son réseau. Elle a choisi l'adresse de réseau privée 192.168.0.0/24 et NAT pour gérer la connectivité avec le monde extérieur. Dans le but de sécuriser son accès avec son FAI, la société IFC doit payer une abonnement par mois et par adresse IP. La société IFC vous demande de tester une série de configurations pour démontrer les capacités du NAT pour être en conformité avec les spécifications d'IFC. La société IFC espère obtenir 14 adresses IP publiques (42.0.0.48/28). Pour diverses raisons dont la sécurité, la société IFC désire cacher la vue du réseau interne au utilisateurs externes. Données de configuration Routeur :   "FAI1" : Station B : - Nom du routeur : FAI1 Adresse IP: 192.168.0.20/24 - Interface S0/0 - Adresse IP: 10.0.0.5/30 - Interface Lo0 - Adresse IP: 10.0.1.2/30 Routeur "Lyon1" : Station A : - Nom du routeur : Lyon1 Adresse IP: 192.168.0.5/24 - Interface S0/0 - Adresse IP: 10.0.0.6/30 - Interface E0/0 - Adresse IP : 192.168.0.1/24

Configuration des routeurs - Avant d'effectuer toute configuration, effacer la configuration en NVRAM et recharger le routeur. 1) Configurez les routeurs d'après le schéma du réseau et des données de configuration. Cette configuration nécessite l'utilisation du sous-réseau numero zéro. Vous devez entrer la commande suivante, sur les deux routeurs : Lyon1(config)#ip subnet-zero Configurez Lyon1 avec une route par défaut vers le FAI: Lyon1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.5 La station A représente les serveurs partagés faisant partie d'un LAN Ethernet attaché au routeur Lyon1. La station B représente un utilisateur du réseau de la société IFC. 2) Vérifiez votre configuration en utilisant la commande show run Vérifiez que la commande commande ping depuis Lyon1 vers l'interface série (10.0.0.5) du routeur FAI1 réussit et que la commande ping depuis FAI1 vers l'interface série (10.0.0.6) du routeur Lyon1 réussit. A ce point , la commande ping depuis le routeur FAI1 vers les deux stations ou vers l'interface Ethernet0/0(192.168.0.1) du routeur Lyon1 échoue. 1. La commande ping réussit d'une station vers l'autre et vers l'adresse 10.0.0.6 mais pas vers l'adresse 10.0.0.5. Pourquoi cette dernière commande ping échoue? ______________________________________________________________________________ ______________________________________________________________________________ 3) Lyon1 est le routeur frontière sur lequel vous allez configurer le NAT. Le routeur traduira les adresses locales internes en adresses globales internes, autrement dit, convertira les adresses privées internes en adresses publiques légales utilisées sur Internet. Sur le routeur Lyon1, créez la traduction statique des adresses internes locales en adresses internes globales en utilisant les commandes suivantes: Lyon1(config)#ip nat inside source static 192.168.0.3 42.0.0.49 Lyon1(config)#ip nat inside source static 192.168.0.4 42.0.0.50 Lyon1(config)#ip nat inside source static 192.168.0.5 42.0.0.51 2. Si vous aviez besoin de configurer un quatrième serveur(192.168.0.6), quelle serait la commande appropriée? _____________________________________________________________________________

Total active translations: 3 (3 static, 0 dynamic; 0 extended) 4) Maintenant vous devez précisez quelle interface du routeur Lyon1 doit être utilisée par le réseau interne pour la traduction d'adressess. Lyon1(config)#interface Ethernet0/0 Lyon1(config-if)#ip nat inside Vous devez aussi préciser quelle interface doit être utilisée pour le NAT externe: Lyon1(config)#interface Serial0/0 Lyon1(config-if)#ip nat outside 5) Pour voir les traductions, utilisez la commande show ip nat translations. Le résultat doit être le suivant: Lyon1#show ip nat translations Pro Inside global Inside local Outside local Outside global --- 42.0.0.49 192.168.0.3 --- --- --- 42.0.0.50 192.168.0.4 --- --- --- 42.0.0.51 192.168.0.5 --- --- Lyon1# Pour visualiser l'activité NAT, utilisez la commande show ip nat statistics. Le résultat doit être celui-ci: Lyon1#show ip nat statistics Total active translations: 3 (3 static, 0 dynamic; 0 extended) Outside interfaces: Serial0/0 Inside interfaces: Ethernet0/0 Hits: 0 Misses: 0 Expired translations: 0 Dynamic mappings: Lyon1# Notez que la valeur Hits est à zéro.

Total active translations: 3 (3 static, 0 dynamic; 0 extended) 6) Exécutez une commande ping vers 10.0.0.5(Interface serial de FAI1) depuis la station A. La commade doit toujours échouer car le routeur FAI1 n'a pas de route vers le réseau 192.168.0.0./24 dans sa table de routage. Exécutez de nouveau la comande show ip nat statistics sur la console de Lyon1 Lyon1#show ip nat statistics Total active translations: 3 (3 static, 0 dynamic; 0 extended) Outside interfaces: Serial0/0 Inside interfaces: Ethernet0/0 Hits: 4 Misses: 0 Expired translations: 0 Dynamic mappings: Lyon1# Vous pouvez voir maintenant que le nombre de Hits est égal à 4. Cela indique que la traduction a lieu même si vous n'obtenez pas de réponse par la comande ping. Rappelez vous que la commande ping échoue car le routeur FAI1 n'a pas de route vers le routeur Lyon1 dans sa table de routage. Nous allons remédier à ce problème. 7) Sur le routeur FAI1, configurez la route statique suivante pour les adresses globales utilisées par le routeur LyonA. FAI1(config)#ip route 42.0.0.48 255.255.255.240 10.0.0.6 Le masque de sous-réseau définit le bloc d'adresses Ip comme étant 42.0.0.48/28 La commande ping vers 42.0.0.51 doit réussir. C'est l'adresse 192.168.0.5 traduite. La commande show ip route confirme la présence de la route statique. FAI1#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 42.0.0.0/28 is subnetted, 1 subnets S 42.0.0.48 [1/0] via 10.0.0.6 10.0.0.0/30 is subnetted, 1 subnets C 10.0.0.4 is directly connected, Serial0/0 FAI1#

8) Exécutez une commande ping de la station A vers 10 8) Exécutez une commande ping de la station A vers 10.0.0.5(Interface serial de FAI1). La commade doit maintenant réussir. Vous devez pouvoir passer une commande ping vers l'interface loopback0(10.0.1.2). A partir de la console du routeur Lyon1, passez la commande show ip nat statistics et analysez le résultat. Le nombre de "Hits" doit être plus important que lors de la commande précédente. Passez la comande show ip nat translations verbose Lyon1#show ip nat translations verbose Pro Inside global Inside local Outside local Outside global --- 42.0.0.49 192.168.0.3 --- --- create 00:10:16, use 00:10:16, flags: static, use_count: 0 --- 42.0.0.50 192.168.0.4 --- --- create 00:09:55, use 00:09:55, --- 42.0.0.51 192.168.0.5 --- --- create 00:09:44, use 00:00:47, flags: static, use_count: 0 Note: L'option verbose donne des informations sur les traductions les plus recenment utilisées. 9) A partir du routeur Lyon1, utilisez la commande show ip nat statistics et notez le nombre de "Hits". Depuis la station B exécutez une commande ping vers 10.0.0.5 et 10.0.1.2 3. Les deux commandes échouent. Pourquoi? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________ A partir du routeur Lyon1, utilisez de nouveau la commande show ip nat statistics et notez que le nombre de "Hits" reste inchangé. Le problème est que le NAT ne traduit pas l'adresse IP de la station B(192.168.0.20) en une adresse globale. La commande show ip nat translation doit confirmer cela. Vous n'avez pas configuré de traduction statique d'adresse pour la station B, qui représente un utilisateur du LAN. Bien que vous êtes en mesure de configurer rapidement une traduction statique pour cet utilisateur, configurer des adresses statiques pour des centaines d'utilisateur peut devenir une tâche extrêmement fastidieuse. Le NAT dynamique vous permet de configurer le routeur pour qu'il assigne des adresses globales de manière dynamique à la demande. Si l'utilisation de NAT statique semble appropriée pour les serbveurs, l'utilisation de NAT dynamique est la plus appropriée pour les stations des utilisateurs.