Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parJean-Louis Morency Modifié depuis plus de 6 années
1
Configurer NAT et PAT statique pour support d'un serveur Web interne
ccnp_cch
2
Sommaire • Introduction - Rappels • Configuration - Schéma du réseau
• Vérification • Résolution de problèmes ccnp_cch
3
Introduction NAT (Netwarok Address Translation) de l'IOS Cisco est conçu pour simplifier l'adres- sage IP et économiser des adresses. Il permet à des réseaux privés qui utilisent des adresses privées de se connecter à Internet. NAT opère sur un routeur Cisco qui con- necte deux réseaux et traduit les adresses privées (inside local) du réseau interne en adresses publiques (outside local) avant que les paquets soient acheminés vers un autre réseau. Une fonctionnalité de NAT vous permet de le configurer pour qu'il uti- lise une seule adresse pour le réseau vers le monde externe. Ceci cache le réseau in- terne du monde externe et par conséquent fournit une sécurité supplémentaire. Rappels Une des principales fonctionnalités de Nat est PAT (Port Address Translation) qui est également référencé "overload" dans la configuration de l'IOS Cisco. PAT Statique est conçu autoriser la correspondance une à une entre des adresses globales et des adresses locales. Un usage commun pour PAT Statique est d'autoriser des utilisa- teurs Internet d'accèder à un serveur Web situé dans un réseau privé. Ce tableau montre les trois espaces d'adresses disponibles pour les réseaux privés. Espaces d'adresses IP Classe − (/8 préfixe ou masque ) Class A − (/16 préfixe ou masque ) Class B − (/24 préfixe ou masque ) Class C Dans cet exemple le FAI (Fournisseur d'Accès Internet) affecte à l'abonné DSL une adresse IP unique /24. L'adresse IP affectée est une adrese IP publique appelée inside global. Cette adresse IP publique est utilisée par le réseau privé pour accèder à Internet et également par les utilisateurs du réseau public Internet pour atteindre le serveur Web interne du réseau privé. Le réseau LAN privé, /24, est connecté à l'interface Ethernet du routeur NAT. Ce réseau LAN privé contient plusieurs PCs et un serveur Web. Le routeur NAT est configuré pour traduire les adresses IP privées (adresses inside local) qui viennent des PCs en une seule adresse IP publique (adresse inside global ) pour accéder à Internet. L'adresse IP (Serveur Web) est una dresse privée qui ne peut pas être routée dans Internet. La seule adresse IP visible par les utilisateurs Internet pour atteindre le serveur Web est Par conséquent le routeur NAT est configu- ré pour exécuter un mapping de une à une entre l'adresse IP port 80 (le port 80 est utilisé pour accéder au service Web) et port 80. Cette corres- pondance permet aux utilisateurs d'internet d'avoir accès au serveur Web interne. Cette topologie de réseau et cette configuration peuvent être utilisées pour des rou- teurs Cisco 827, 1417, SOHO77 et ADSL WIC 1700/2600/3600. ccnp_cch
4
Configuration Ce document utilise la coniguration de réseau suivante:
Réseau Privé Réseau Public (inside local) (outside local) Internet PC E0 ATM0 Cisco 827 Utilisateur Internet Serveur Web Cisco 827 Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime hostname 827 ip subnet−zero no ip domain−lookup bridge irb interface Ethernet0 ip address ip nat inside !−−− C'est l'adresse IP inside local, c'est une adresse IP privée. interface ATM0 no ip address no atm ilmi−keepalive pvc 0/35 encapsulation aal5snap bundle−enable dsl operating−mode auto bridge−group 1 ccnp_cch
5
interface BVI1 ip address ip nat outside !−−− C'est l'adresse IP inside global. !−−− C'est votre adresse IP publique fournie par votre FAI. ! ip nat inside source list 1 interface BVI1 overload !−−− Cette instruction fait que le routeur exécute PAT pour toutes les !−−− stations derrière l'interface Ethernet qui utilise les adresses !−−− privées définies par la liste d'accès 1. ip nat inside source static tcp extendable !−−− Cette instruction réalise la traduction statique pour le serveur !−−− Web. Avec cette instruction , les utilisateurs qui essaient d'at- !--- taindre port 80 (www) sont automatiquement redirigés !−−− vers port 80 (www). ip classless ip route !−−− L'adresse IP est celle de la passerelle par défaut. !−−− Elle vous est donnée par votre FAI. access−list 1 permit !−−− Cette liste d'accès définie le réseau privé dont les adresses !−−− doivent être traduite. bridge 1 protocol ieee bridge 1 route ip end Vérification A partir de la sortie de la commande show ip nat translation, on peut voir que "Inside Local" est l'adresse IP configurée et affectée au serveur Web sur le réseau interne. Notez que est une adresse de l'espace d'adressage privé qui ne peut pas être routé sur Internet. "Inside Global" est l'adresse IP du host telle qu'elle apparaît sur le réseau externe. Cette adresse est celle qui est connue d'Internet pour accèder au serveur Web à partir d'Internet. "Outside Local" est l'adresse IP du host externe tel qu'il apparaît sur le réseau interne , ce n'est pas obligatoirement une adresse publique. Mais celle-ci est généralement allouée à partir d'un espace d'adresses qui peut être routé sur Internet. Notez que l'adresse port numéro 80 et traduite en port 80 et vice versa. Par conséquent, les utilisateurs Internet peuvent accéder au serveur Web bien que celui-ci soit sur un réseau privé avec une adresse privée. ccnp_cch
6
Résolution de problèmes
827# 827#show ip nat translation Pro Inside global Inside local Outside local Outside global tcp : :80 −−− −−− tcp : : : :11000 Résolution de problèmes Pour résoudre les problèmes de traduction d'adresses vous pouvez entrer les com- mandes treminal monitor et debug ip nat detailed sur le routeur pour voir si les adresses sont traduites correctement. L'adresse IP visible par les utilisateurs externes est port 80 (www) . Par exemple les utilisateurs du côté public (Internet) qui tente d'atteindre port 80 (www) sont redirigés vers port 80 (www) qui est le serveur Web. 827#term mon 827#debug ip nat detailed IP NAT detailed debugging is on 03:29:49: NAT: creating portlist proto 6 globaladdr 03:29:49: NAT: Allocated Port for −> : wanted 80 got 80 03:29:49: NAT: o: tcp ( , 11000) −> ( , 80) [0] <... partie supprimée...> ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.