La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

(Network Address Translation)

Publié parVirginie Larrivée Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "(Network Address Translation)"— Transcription de la présentation:

1 (Network Address Translation)
NAT (Network Address Translation) ccnp_cch

2 NAT et les adresses privées
• NAT, tel qu'il est défini dans le RFC 1631, est un processus de changement d'une adresse IP par une autre dans le paquet IP. • Dans la pratique NAT est utilisé pour permettre à des hosts avec des adresses privées d'accéder à Internet ccnp_cch

3 NAT - Network Address Translation
• Les Hosts du réseau interne (inside) avec des adresses privées transmettent des paquets vers le routeur NAT. • Les adresses privées sont converties en adresses IP publiques légales, autorisant les paquets à transiter sur des réseaux publics tel Internet. ccnp_cch

4 NAT - Network Address Translation
Outside Host B Inside 4 3 SA: DA: Internet E0 S0 DA: 5 2 SA: 1 Table NAT simple Adresse IP Locale Inside Adresse IP Globale ccnp_cch

5 Terminologie NAT Cisco
• Quand vous configurez NAT avec l'IOS Cisco, vous devez être capable de faire la distinction entre les adresses "INSIDE" et "OUTSIDE" Qu'une adresse soit "INSIDE" ou "OUTSIDE" cela dépend de votre point de vue. ccnp_cch

6 Terminologie NAT Cisco
• Les adresses que votre réseau utilise sont des adresses "INSIDE", sans tenir compte de leur appartenance à un espace d'adresses privées ou à un espace d'adresses publiques • Les adresses des systèmes hors de votre réseau sont considérées comme des adresses "OUTSIDE". (Qu'elles soient privées ou publiques) - Ainsi votre réseau peut avoir des adresse "inside local" (adresses privées) et des adresses "inside global" (adresses publiques fournies par votre opérateur). ccnp_cch

7 NAT - Network Address Translation
Internet SA: SA: Table NAT Adresses IP Inside Local Outside Global SA: Source Address ccnp_cch

8 NAT - Pour et Contre Avantages Inconvénients Conserve les adresses
légales enregistrées La traduction introduit une fonction de commutation Réduit les incidences dues au chevauchement d'adresses Perte de traçabilité IP de bout-en-bout Accroît la flexibilité lors d'une connexion à Internet Certaines applications ne fonctionnent pas avec NAT validé. Evite la renumérotation des adresses si le réseau change ccnp_cch

9 NAT - Network Address Translation
• Tous les hosts Internes au réseau n'ont pas besoin d'un accès externe au même moment: - NAT permet d'associer un grand nombre de hosts avec des adresses privées à un pool réduit d'adresses globales • NAT apparaît comme une solution pour les organisations dont le nombre d'adresses croit très vite. - Si une organisation avec une adresse de Classe C voit que le nombre de nœuds dépasser nécessitant un accès occasionnel à Internet dépasse devient supérieur à alors NAT (avec RFC1918) peut fournir une solution pratique. ccnp_cch ccnp_cch

10 NAT - Network Address Translation
• NAT cache la structure du réseau interne. NAT n'est pas un pare-feu mais il peut éviter les accès directs aux hosts internes sauf s'il existe une correspondance permanente des adresses dans la table NAT. • Si vous voulez que des utilisateurs externes puissent accéder au serveur Web interne, vous pouvez établir une correspondance statique entre une adresse publique ( ) et une adresse privée interne ( ) - La correspondance statique existe dans la table tant qu'elle n'est pas retirée par l'administrateur. - Les hosts Internet ou les DNS utilisent l'adresse publique pour accéder au serveur avec une adresse privée. ccnp_cch

11 NAT - Network Address Translation
• Comme CIDR (Classless Inter Domain Routing) place l'autorité qui assigne les adresses au niveau du FAI, si vous changez de FAI, vous aurez peut-être besoin de changez votre adressage par celui de votre nouveau FAI. - Au lieu de tout réadresser, NAT peut être déployé pour faire une traduction temporaire des anciennes adresses vers les nouvelles, avec une correspondance statique pour garder les services publics accessibles par l'extérieur. ccnp_cch

12 NAT - Types de NAT • NAT Statique • NAT Dynamique
• NAT Overloading ou PAT (Port Address Translation) • Chevauchement ccnp_cch

13 NAT - Network Address Translation
• NAT Statique - Etablit une correspondance une à une entre des adresses privées et des adresses publiques. Très utile quand un équipement à besoin d'être accessible par des hosts externes au réseau . Internet /24 Table NAT Host A Adresses IP Inside Local Outside Global Avec NAT Statique, l'adresse IP sera toujours traduite en adresse IP ccnp_cch

14 NAT - Network Address Translation
• NAT Dynamique - Fait correspondre à une adresse privée une adresse publique prise dans un groupe prédéfini. Internet /24 Table NAT Host A Adresses IP Inside Local Outside Global Groupe à Avec NAT Dynamique, l'adresse IP sera traduite avec la première adresse IP libre dans le groupe ccnp_cch

15 NAT - Network Address Translation
• NAT Overloading - Fait correspondre plusieurs adresses privées une seule adresse publique en utilisant des numéros de ports différents. Connu aussi sous le nom de PAT (Port Address Translation), NAT adresse unique ou Multiplexage de ports NAT . Internet /24 Table NAT Host A Adresses IP Inside Local Outside Global : 6000 : 6001 : 6002 Avec NAT Overloading, les adresses IP privées seront traduites avec la même adresse IP publique mais avec des numéros de ports source différents. ccnp_cch

16 NAT - Network Address Translation
• Chevauchement - Quand les adresses IP utilisées sur le réseau interne sont des adresses IP publiques utilisées sur un autre réseau, le routeur doit maintenir une table de correspondance pour intercepter ces adresses et les remplacer par des adresses IP publiques uniques. Host A /24 Internet Table NAT Adresses IP Inside Global Outside Global SA: SA: DA: DA: L'adresse IP interne est une adresse IP publique utilisée par un autre réseau. Le routeur doit traduire ces adresses pour éviter un conflit possible avec l'autre réseau. La traduction doit se faire dans les deux sens, de l'intérieur vers l'extérieur mais aussi de l'extérieur vers l'intérieur. ccnp_cch

17 Fonctions de NAT • Traduction des adresses locales internes
• Traduction avec PAT des adresses "inside global" • Distribution de la charge TCP • Gestion du chevauchement d'adresses ccnp_cch

18 Configuration de NAT - NAT Statique
Commandes: !-- Définition de l'interface interface pour NAT Routeur(config)# interface type slot/port Routeur(config-if)# ip nat inside !-- Définition de l'interface externe pour NAT Routeur(config-if)# ip nat outside !-- Traduction NAT statique Routeur(config)# ip nat inside source local-ip global-ip !-- Affiche la table des traductions NAT Routeur# show ip nat translations [verbose] !-- Affiche les statistiques NAT Routeur# show ip nat statistics ccnp_cch

19 Adresse IP Inside Local
Configuration de NAT - NAT Statique Internet Host B SA: DA: SA: DA: E0 S0 Inside Outside Adresse IP Inside Local ip nat inside source static ip nat inside source static ! interface Ethernet0 ip address ip nat inside interface Serial0 ip address ip nat outside ccnp_cch

20 Intervalle d'adresses à utiliser pour la traduction
Configuration de NAT - NAT Dynamique Commande: • Création du pool d'adresses Routeur(config)# ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length} [rotary] Nom du groupe d'adresses Routeur(config)# ip nat pool Mon_groupe netmask Intervalle d'adresses à utiliser pour la traduction ccnp_cch

21 Adresses internes autorisées
Configuration de NAT - NAT Dynamique Commandes: • Création d'une liste de contrôle d'accès pour autoriser la traduction des adresses internes Routeur(config)# access-list access-list-number permit source [source-wildcard] • Affectation du pool d'adresses Routeur(config)# ip nat inside source list access-list-number pool name Adresses internes autorisées pour la traduction Routeur(config)# access-list 2 permit Routeur(config)# ip nat inside source list 2 pool Mon_groupe ccnp_cch

22 Configuration de NAT - NAT Dynamique
Commandes: • Définition des interfaces internes et externes (identique à NAT Statique) Routeur(config)# interface type slot/port Routeur(config-if)# ip nat [inside|outside] Routeur(config)# interface Serial 0 Routeur(config-if)# ip nat outside Routeur(config-if)# interface Ethernet 0 Routeur(config-if)# ip nat inside ccnp_cch

23 Configuration de NAT - NAT Overload ou PAT
• La fonction la plus puissante des routeurs NAT est leur capacité à utiliser la traduction d'adresses avec des numéros de ports ou PAT (Port Address Translation) - Ceci est quelquefois appelé NAT "many-to-one" - Pratiquement des centaines de hosts avec des adresses privées peuvent accéder à Internet en utilisant une seule adresse publique. - NAT établit une correspondance entre les différentes adresses privées et l'adresse publique unique par une correspondance entre ports TCP ou UDP. - Ceci fonctionne très bien avec des applications clientes telles que les navigateurs Web qui utilisent des ports selon les besoins dans l'intervalle à usage général (de 1024 à 65535). ccnp_cch

24 Configuration de NAT - NAT Overload ou PAT
• Traduction NAT Overload Inside Addr Source Addr dest Host A Port source 2031 Port Dest Port xx Addr Source Addr dest Host A Port source 10000 Port Dest Port xx Internet Addr Source Addr dest Host B Port source 1056 Port Dest Port xx PAT Addr Source Addr dest Host B Port source 10001 Port Dest Port xx ccnp_cch

25 Configuration de NAT - NAT Overload ou PAT
Inside Internet Addr Source Addr dest Host B Port source 1056 Port Dest Port xx Addr Dest Addr Source Host B Port Dest Port 10001 Port source Port xx ccnp_cch

26 Configuration de NAT - NAT Overload ou PAT
Commande: • Affectation du pool d'adresses Routeur(config)# ip nat inside source list access-list-number pool name overload Routeur(config)# access-list 2 permit Routeur(config)# ip nat inside source list 2 pool Mon_groupe overload ccnp_cch

27 NAT et NAT Overload ou PAT
• NAT Overload est souvent utilisé de manière conjointe avec avec NAT dynamique. - Un routeur peut utiliser NAT dynamique en utilisant une à une toutes les adresses du pool. Quand presque toutes les adresses du pool sont utilisées, le routeur utilise PAT avec les adresses restantes - Sur un routeur Cisco, PAT sera utilisé sur la première adresse du pool jusqu'à ce qu'elle soit au maximum puis sur l'adresse suivante dans le pool et ainsi de suite. ccnp_cch

28 NAT - Distribution de charge TCP
• Les routeurs Cisco supportent la "Distribution de charge TCP" - Fait correspondre à une adresse publique globale plusieurs adresses internes pour distribuer les communications sur de multiples hosts. - Permet de supporter le "mirroring" de hosts ccnp_cch

29 Adresse Locale Adresse Globale
NAT - Distribution de charge TCP Table NAT Adresse Locale Adresse Globale www1 Internet E0 Routeur NAT S0 Distribution de charge TCP www2 ccnp_cch

30 NAT - Distribution de charge TCP
Commandes: • Création du pool d'adresses avec le mot-clé rotary Routeur(config)# ip nat pool webservers netmask type rotary • Création d'une liste d'accès pour autoriser l'accès depuis l'extérieur Routeur(config)# access-list 2 permit host • Affectation du pool d'adresses Routeur(config)# ip nat inside list 2 pool webservers • Affectation des interfaces Routeur(config)# interface Serial 0 Routeur(config-if)# ip nat outside Routeur(config-if)# interface Ethernet 0 Routeur(config-if)# ip nat inside ccnp_cch

31 NAT - Inconvénients • Le compromis de la traduction d'adresse entraine une perte de fonctionnalité pour des applications qui transmettent l'adresse IP de l'émetteur en dehors de l'en-tête IP. Les types de trafic suivants ne sont pas supportés par l'IOS Cisco NAT. - Mise à jour de tables de routage - Transferts de zones DNS - Talk, Ntalk - SNMP (Simple Network Management Protocol) - NetShow ccnp_cch

Télécharger ppt "(Network Address Translation)"

Présentations similaires

– NAT et PAT.

– NAT et PAT.
Configuration de NAT & PAT

Configuration de NAT & PAT
Multicast Routing Monitor

Multicast Routing Monitor
– NAT et PAT - 1.

– NAT et PAT - 1.
Brève histoire d’Internet

Brève histoire d’Internet
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - Quiz ccnp_cch.

Sécurité - Quiz ccnp_cch.
Configuration PIX avec deux Routeurs

Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un

Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
CCNP Routage Chapitre 8 - Questionnaire N°1

CCNP Routage Chapitre 8 - Questionnaire N°1
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP

Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
CCNP Routage Chapitre 4 - Questionnaire N°1

CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Overload (PAT)

Configuration NAT Overload (PAT)

Présentations similaires

Annonces Google