Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)

Slides:



Advertisements
Présentations similaires
11 - Composants dun routeur. Sommaire 1)Sources de configuration externes 1)Composants de configuration internes et commandes détat associées.
Advertisements

11 - Composants d’un routeur
TD (issu de l’Exonet 23 – Site du CERTA)
Page d accueil.
Routage Statique AfNOG 2003 PLAN Quest ce que le routage ? Pourquoi faire du routage sur un réseau ? PRINCIPES DU ROUTAGE IP PROTOCOLES DE ROUTAGE IP Définition.
– Routage. Sommaire 1)Principes fondamentaux 1)Routage statique et dynamique 1)Convergence 1)Routage à vecteur de distance 1)Routage à état de liens 1)Systèmes.
Protocole IGRP* *Interior Gateway Routing Protocol.
– NAT et PAT.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
Firewall sous Linux Netfilter / iptables.
13 - Plate-forme logicielle Cisco IOS
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Série NetDefend Comment configurer des VLANs
Cours Présenté par …………..
Configuration NAT Router Firewall RE16.
PLAN Qu’est ce que le routage ?
Le Protocole OSPF.
Digi_TransportWR44 Mise en Route Mode Opératoire.
SARRAZIN – RAIMBAULT SOKHNA
Interconnexion des réseaux Chapitre 4 : Les routeurs et le routage
SIO SISR2 : Conception des Infrastructures Réseaux
Préparer par : Badr Mahdari Othmane Habachi Encadrer par:
Répartition des adresses IP
Le Routage.
Exemples de paramètrage ACL VLAN niveau 3
05 – Couche 3 - Couche réseau Terme anglais = The Network Layer.
Configuration de NAT & PAT
Les réseaux sans fil « Scénario N=° 3».
TP VLAN Objectifs Données de configuration
Le protocole DHCP.
Création d’un domaine Il faut :
PLAN Qu’est ce que le routage ?
1 IP : Couche réseau 2 Introduction : Connections de LANs indépendants D. Diffusion Réseau IP En local = Même D. de diffusion Switch.
Mise en place de translation d’adresses NAT/PAT
CCNP 1 Chapitre 3 – Routage IP.
UE4 – Protocoles de Routage
DU-ASRE – UE4 Protocoles de Routage
INFO0913 – Interconnexion des Réseaux
Routing Information Protocol v1 – RIPv1
-7- Notions de Routage.
V- Identification des ordinateurs sur le réseau
Configuration OSPF Area 0
Configuration NAT Dynamique
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
– NAT et PAT - 1.
Configurer NAT et PAT statique pour support d'un serveur Web interne
Configuration OSPF Multi-Area
Configuration EIGRP et IGRP
Configuration Frame Relay "Hub-and-Spoke"
Configuration NAT Overload (PAT)
Configuration BGP de base
Station A Station B RNIS Fa0/0 BRI0/0 BRI0/0 Fa0/0 Rouen Le Havre S0/0
show ip nat translations
Paris S0/0 500 Kb/s S0/0 Switch S0/2 S0/1 128 Kb/s 128 Kb/s S0/0 S0/0
MPLS - Accès Internet à partir d'un VPN MPLS
Commande show ip route ccnp_cch ccnp_cch.
Configuration d'une Passerelle par défaut avec les commandes IP
Configuration d'un - VPN MPLS de base.
Configuration NAT Utilisation de la commande outside source list
Spécifier une Adresse IP
Configuration de routes Statiques Flottantes
Configuration OSPF Virtual Link
Configuration Frame Relay "Full-Mesh" ou "Totalement maillé"
Configuration EIGRP - Agrégation de routes
Configuration "On Demand Routing"
Configuration Frame Relay "Hub-and-Spoke"
Configuration NAT Statique
Configuration NAT Dynamique
Transcription de la présentation:

Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation) pour fournir un accès fiable à des serveurs internes par des utilisateurs externes.

Scénario La société IFC a étendu et mis à jour son réseau. Elle a choisi l'adresse de réseau privée /24 et NAT pour gérer la connectivité avec le monde extérieur. Dans le but de sécuriser son accès avec son FAI, la société IFC doit payer une abonnement par mois et par adresse IP. La société IFC vous demande de tester une série de configurations pour démontrer les capacités du NAT pour être en conformité avec les spécifications d'IFC. La société IFC espère obtenir 14 adresses IP publiques ( /28). Pour diverses raisons dont la sécurité, la société IFC désire cacher la vue du réseau interne au utilisateurs externes. Données de configuration Routeur : "FAI1" :Station B : - Nom du routeur : FAI1 Adresse IP: /24 - Interface S0/0 - Adresse IP: /30 - Interface Lo0 - Adresse IP: /30 Routeur "Lyon1" :Station A : - Nom du routeur : Lyon1Adresse IP: /24 - Interface S0/0 - Adresse IP: /30 - Interface E0/0 - Adresse IP : /24

Configuration des routeurs - Avant d'effectuer toute configuration, effacer la configuration en NVRAM et recharger le routeur. 1) Configurez les routeurs d'après le schéma du réseau et des données de configuration. Cette configuration nécessite l'utilisation du sous-réseau numero zéro. Vous devez entrer la commande suivante, sur les deux routeurs : Lyon1(config)#ip subnet-zero Configurez Lyon1 avec une route par défaut vers le FAI: Lyon1(config)#ip route La station A représente les serveurs partagés faisant partie d'un LAN Ethernet attaché au routeur Lyon1. La station B représente un utilisateur du réseau de la société IFC. 2) Vérifiez votre configuration en utilisant la commande show run Vérifiez que la commande commande ping depuis Lyon1 vers l'interface série ( ) du routeur FAI1 réussit et que la commande ping depuis FAI1 vers l'interface série ( ) du routeur Lyon1 réussit. A ce point, la commande ping depuis le routeur FAI1 vers les deux stations ou vers l'interface Ethernet0/0( ) du routeur Lyon1 échoue. 1. La commande ping réussit d'une station vers l'autre et vers l'adresse mais pas vers l'adresse Pourquoi cette dernière commande ping échoue? ______________________________________________________________________________ ______________________________________________________________________________ 3) Lyon1 est le routeur frontière sur lequel vous allez configurer le NAT. Le routeur traduira les adresses locales internes en adresses globales internes, autrement dit, convertira les adresses privées internes en adresses publiques légales utilisées sur Internet. Sur le routeur Lyon1, créez la traduction statique des adresses internes locales en adresses internes globales en utilisant les commandes suivantes: Lyon1(config)#ip nat inside source static Lyon1(config)#ip nat inside source static Lyon1(config)#ip nat inside source static Si vous aviez besoin de configurer un quatrième serveur( ), quelle serait la commande appropriée? _____________________________________________________________________________

4) Maintenant vous devez précisez quelle interface du routeur Lyon1 doit être utilisée par le réseau interne pour la traduction d'adressess. Lyon1(config)#interface Ethernet0/0 Lyon1(config-if)#ip nat inside Vous devez aussi préciser quelle interface doit être utilisée pour le NAT externe: Lyon1(config)#interface Serial0/0 Lyon1(config-if)#ip nat outside 5) Pour voir les traductions, utilisez la commande show ip nat translations. Le résultat doit être le suivant: Lyon1#show ip nat translations Pro Inside global Inside local Outside local Outside global Lyon1# Pour visualiser l'activité NAT, utilisez la commande show ip nat statistics. Le résultat doit être celui-ci: Lyon1#show ip nat statistics Total active translations: 3 (3 static, 0 dynamic; 0 extended) Outside interfaces: Serial0/0 Inside interfaces: Ethernet0/0 Hits: 0 Misses: 0 Expired translations: 0 Dynamic mappings: Lyon1# Notez que la valeur Hits est à zéro.

6) Exécutez une commande ping vers (Interface serial de FAI1) depuis la station A. La commade doit toujours échouer car le routeur FAI1 n'a pas de route vers le réseau /24 dans sa table de routage. Exécutez de nouveau la comande show ip nat statistics sur la console de Lyon1 Lyon1#show ip nat statistics Total active translations: 3 (3 static, 0 dynamic; 0 extended) Outside interfaces: Serial0/0 Inside interfaces: Ethernet0/0 Hits: 4 Misses: 0 Expired translations: 0 Dynamic mappings: Lyon1# Vous pouvez voir maintenant que le nombre de Hits est égal à 4. Cela indique que la traduction a lieu même si vous n'obtenez pas de réponse par la comande ping. Rappelez vous que la commande ping échoue car le routeur FAI1 n'a pas de route vers le routeur Lyon1 dans sa table de routage. Nous allons remédier à ce problème. 7) Sur le routeur FAI1, configurez la route statique suivante pour les adresses globales utilisées par le routeur LyonA. FAI1(config)#ip route Le masque de sous-réseau définit le bloc d'adresses Ip comme étant /28 La commande ping vers doit réussir. C'est l'adresse traduite. La commande show ip route confirme la présence de la route statique. FAI1#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set /28 is subnetted, 1 subnets S [1/0] via /30 is subnetted, 1 subnets C is directly connected, Serial0/0 FAI1#

8) Exécutez une commande ping de la station A vers (Interface serial de FAI1). La commade doit maintenant réussir. Vous devez pouvoir passer une commande ping vers l'interface loopback0( ). A partir de la console du routeur Lyon1, passez la commande show ip nat statistic s et analysez le résultat. Le nombre de "Hits" doit être plus important que lors de la commande précédente. Passez la comande show ip nat translations verbose Lyon1#show ip nat translations verbose Pro Inside global Inside local Outside local Outside global create 00:10:16, use 00:10:16, flags: static, use_count: create 00:09:55, use 00:09:55, flags: static, use_count: create 00:09:44, use 00:00:47, flags: static, use_count: 0 Note: L'option verbose donne des informations sur les traductions les plus recenment utilisées. 9) A partir du routeur Lyon1, utilisez la commande show ip nat statistics et notez le nombre de "Hits". Depuis la station B exécutez une commande ping vers et Les deux commandes échouent. Pourquoi? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________ A partir du routeur Lyon1, utilisez de nouveau la commande show ip nat statistics et notez que le nombre de "Hits" reste inchangé. Le problème est que le NAT ne traduit pas l'adresse IP de la station B( ) en une adresse globale. La commande show ip nat translation doit confirmer cela. Vous n'avez pas configuré de traduction statique d'adresse pour la station B, qui représente un utilisateur du LAN. Bien que vous êtes en mesure de configurer rapidement une traduction statique pour cet utilisateur, configurer des adresses statiques pour des centaines d'utilisateur peut devenir une tâche extrêmement fastidieuse. Le NAT dynamique vous permet de configurer le routeur pour qu'il assigne des adresses globales de manière dynamique à la demande. Si l'utilisation de NAT statique semble appropriée pour les serbveurs, l'utilisation de NAT dynamique est la plus appropriée pour les stations des utilisateurs.