Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parLucie Laframboise Modifié depuis plus de 6 années
1
Configuration NAT Utilisation de la commande ip nat outside source static
2
Sommaire • Introduction • Configuration - Schéma du réseau
- Configuration des routeurs • Résolution de problèmes • Résumé
3
Introduction Ce document fournit un exemple de configuration avec l'utilisation de la commande ip nat outside source static et incluant une brève desrcription du processus NAT appliqué aux paquets IP. Ce document n'est pas restreint à une version matérielle ou logicielle spécifique. Configuration Ce document utilise la coniguration de réseau suivante: Inside Outside E1 E0 S1 S0 L0 L1 R_Prov R_NAT R_Int /30 /24 /24 /24 .201 .202 .254 .253 Un paquet généré par la commande ping depuis l'interface Loopback1 ( ) du routeur R_Prov vers l'interface Loopback0 ( ) du routeur R_Int arrive à destination. Sur l'interface de sortie (outside) du routeur R_NAT, le paquet a l'adresse source (SA) et l'adresse destination (DA) Le processus NAT traduit l'adresse source (SA) en une adresse interne globale (inside globale) (d'après la commande ip nat outside source static configurée sur le routeur R_NAT). Le routeur R_NAT recherche dans la table de routage la route pour la destination Si la route n'exista pas, le routeur R_NAT élimine le paquet. Dans ce cas précis, le routeur R_NAT a une route vers par la route statique vers le réseau /24 donc le paquet est transmis vers la destination. Le routeur R_Int voit un paquet arrivant sur son interface d'entrée avec une adresse source (SA) et une adresse destination (DA) Le routeur R_Int répond en transmettant un paquet ICMP "echo reply" vers S'il n'a pas de route, le paquet est éliminé. Dans ce cas précis, le routeur R_Int a une route et transmet le paquet vers le routeur R_NAt avec une adresse source (SA) et une adresse destination (DA) le routeur R_NAT reçoit le paquet et cherche dans sa table de routage une route S'il n'a pas de route, le paquet est éliminé et répond par un paquet ICMP "destination unreachable". Dans ce cas précis, il a une route vers (route statique) donc il traduit l'adresse destination du paquet en et transmet le paquet sur son interface de sortie.
4
Configurations des routeurs Routeur R_Prov
hostname R_Prov ! interface Loopback1 ip address ! interface Serial0 ip address no ip mroute-cache ! ip classless ip route Routeur R_NAT hostname R_NAT ! ip nat outside source static ! interface Ethernet1 ip address ip nat inside no ip-mroute-cache no ip route-cache ! interface Serial1 ip address ip nat outside no ip mroute-cache no ip route-cache clockrate ip route ip route ip route access-list 1 permit ! Routeur R_Int hostname R_Int ! interface Loopback0 ip address ! interface Ethernet0 ip address no ip mroute-cache ip route
5
Résolution de problèmes
Cette exemple utilise les commandes debug relatives à la traduction NAT et au trafic IP pour montrer les actions du processus NAT.. Note: Comme les commandes debug génèrent un volume de messages significatifs, utilisez les lorsque le trafic IP de votre réseau est faible, ainsi les autres activités sur le système ne seront pas affectées. La sortie suivante montre le premier paquet arrivant sur l'interface "outside" du routeur R_NAT. L'adresse source est traduite en Le paquet ICMP est acheminé vers la destination par l'interface Ethernet R_NAT# NAT*: s= > , d= [15] IP: s= (Serial1), d= (Ethernet1), g= , len 100, forward ICMP type=8, code=0 La sortie suivante montre le paquet retourné par la source avec une adresse destination traduite en une adresse Le paquet est transmis sur l'interface de sortie Serial1. NAT: s= , d= > [15] IP: s= (Ethernet1), d= (Serial1), g= , len 100, forward ICMP type=0, code=0 Les paquets suivants échangés sont listés ci dessous. NAT*: s= > , d= [16] IP: s= (Serial1), d= (Ethernet1), g= , len 100, forward ICMP type=8, code=0 NAT: s= , d= > [16] IP: s= (Ethernet1), d= (Serial1), g= , len 100, forward ICMP type=0, code=0 NAT*: s= > , d= [17] IP: s= (Serial1), d= (Ethernet1), g= , len 100, forward ICMP type=8, code=0 NAT: s= , d= > [17] IP: s= (Ethernet1), d= (Serial1), g= , len 100, forward ICMP type=0, code=0 NAT*: s= > , d= [18] IP: s= (Serial1), d= (Ethernet1), g= , len 100, forward ICMP type=8, code=0 NAT: s= , d= > [18] IP: s= (Ethernet1), d= (Serial1), g= , len 100, forward ICMP type=0, code=0 NAT:* s= > , d= [19] IP: s= (Serial1), d= (Ethernet1), g= , len 100, forward ICMP type=8, code=0 NAT: s= , d= > [19] IP: s= (Ethernet1), d= (Serial1), g= , len 100, forward ICMP type=0, code=0
6
Résumé Il y a deux choses importantes à noter dans cet exemple: - Premièrement, quand un paquet passe du réseau externe (outside) au réseau interne (inside) , la traduction est réalisée en premier puis la table de routage est consultée pour rechercher une route vers la destination. Quand le paquet passe du réseau interne (inside) vers le réseau externe (outside), la table de routage est d'abord utilisée pour chercher une route vers la destination puis la traduction est exécutée - Deuxièmement, il est important de noter quelle partie du paquet IP sera traduite quand on utilise les commandes citées ci-dessus. Commande Actions ip nat outside source static • Traduit l'adresse source des paquets IP qui passent du réseau "outside" vers le réseau "inside" • Traduit l'adresse destination des paquets IP qui passent du réseau "inside" vers le réseau "outside" ip nat inside source static • Traduit l'adresse source des paquets IP qui passent du réseau "inside" vers le réseau "outside" • Traduit l'adresse destination des paquets IP qui passent du réseau "outside" vers le réseau "inside" Les informations du tableau ci-dessus montrent qu'il y a plusieurs méthode pour traduire les adresses d'un paquet IP. Selon vos besoins particuliers, vous devez déterminer comment définir les interfaces NAT (inside et outside) et quelles routes la table de routage doit contenir avant ou après la traduction. Gardez en mémoire que la partie du paquet qui sera traduite dépend du sens de traversée du routeur NAT et comment NAT est configuré.
7
Methode 2: Interfaces physiques RNIS Multiples, synchrones ou asynchrones série. Dans le cas où deux voir plusieurs interfaces doivent être groupées ( par exemple, utilisation d'interfaces asynchrones ou synchrones série ou plusieurs interfaces RNIS) , une méthode différente doit être utilisée. Dans ce cas là, un "dialer rotary group" doit être configuré et une interface dialer doit être ajoutée à la configuration du routeur dans le but de controler la connexion PPP Multilink. En bref, une interface "logique" doit controler les interfaces physiques. Pour accomplir cela, vous devez : Placer les interfaces physiques dabs un "rotary group" Créer une interface logique (Dialer) pour créer un lien avec le "rotary group" Configurer l'interface Dialer pour du PPP Multilink Exécutez les étapes suivantes pour configurer PPP Multilink sur plusieurs interfaces Placer les interfaces physiques dans un "rotary group" en utilisant la commande dialer rotary-group number. Dans cet exemple, l'interface asynchrone est placée dans le "rotary group 1" Routeur(config)#interface async Routeur(config-if)#dialer rotary-group Routeur(config-if)# Note: Utilisez la commande no shutdown en mode de configuration interface si le routeur n'a jamais été configuré ou si le routeur a repris sa configuration par défaut Pour créer une interface Dialer, utilisez la commande interface dialer number en mode de configuration global. Dans l'exemple suivant, l'interface Dialer est crée Routeur(config)#interface dialer Routeur(config-if)# Note: Le nombre argument de la commande interface dialer doit être le même que le rotary-group configuré en 1. Utilisez la commande show running-config pour afficher la configuration par défaut d'une interface dialer. ! interface Dialer1 no ip address no cdp enable !
8
3. Configurez l'interface Dialer pour pouvoir initier des appels ou en recevoir Les commandes essentielles pou PPP Mukltilink sont les mêmes que celles de l'étape interface Dialer1 ip address encapsulation ppp dialer in-band dialer idle-timeout dialer map ip name ROUTEUR1 broadcast dialer load-threshold dialer-group no fair queue ppp multilink ppp authentication chap Les Dialer Profiles Configurer PPP Multilink avec des Dialer Profiles est similaire au DDR standard. La commande ppp multilink doit être configurée sur l'interface physique et sur l'interface Dialer. La commande dialer load-threshold doit être configurée sur l'interface Dialer. Exemple: Interface Dialer1 ppp multilink dialer load-threshold x Interface BRI0 ppp multilink BRI0 RNIS ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 no cdp enable ppp authentication chap ppp multilink !--- Configuration de PPP multilink sur l'interface physique !--- et sur l'interface Dialer interface Dialer1 ip address encapsulation ppp dialer pool 1 !--- Définition du pool d'interfaces physiques dans lequel !--- l'interface Dialer pourra utiliser les canaux B au besoin
9
Vérification du fonctionnement de PPP Multilink
dialer remote-name R1 dialer string dialer load-threshold 128 outbound dialer-group 5 no cdp enable ppp authentication chap ppp multilink !--- Configuration du PPP Multilink Vérification du fonctionnement de PPP Multilink Pour vérifier le bon fonctionnement d'une connexion PPP Multilink, utilisez la com- mande debug ppp negotiation. Les éléments critiques qui doivent être négociés dans la phase LCP sont le MRRU (Maximum Receive Reconstructed Unit) et le Endpoint Discriminator (EndpointDisc). As1 LCP: O CONFREQ [Listen] id 1 len 26 As1 LCP: AuthProto CHAP (0x0305C22305) As1 LCP: MagicNumber 0x10963BD1 (0x BD1) As1 LCP: MRRU 1524 (0x110405F4) As1 LCP: EndpointDisc 1 Local (0x ) As1 LCP: I CONFREQ [RESsent] id 3 len 27 As1 LCP: MRU 1500 (0x010405DC) As1 LCP: MagicNumber 0x2CBF9DAE (0x05062CBF9DAE) As1 LCP: MRRU 1500 (0x110405DC) As1 LCP: EndpointDisc 1 Local (0x AC16D) As1 LCP: I CONFACK [REQsent] id 1 len 26 As1 LCP: AuthProto CHAP (0x0305C22305) As1 LCP: MagicNumber 0x10963BD1 (0x BD1) As1 LCP: MRRU 1524 (0x110405F4) As1 LCP: EndpointDisc 1 Local (0x ) As1 LCP: O CONFACK [ACKrcvd] id 3 len 24 As1 LCP: MRU 1500 (0x010405DC) As1 LCP: MagicNumber 0x2CBF9DAE (0x05062CBF9DAE) As1 LCP: MRRU 1500 (0x110405DC) As1 LCP: EndpointDisc 1 Local (0x AC16D) AS1 LCP: State is Open Comme avec d'autres éléments de la négociation LCP, le MRRU et le EndpointDisc doivent être agrées par les deux extrémités de la connexion durant l'échange des messages CONFREQ et CONFACK. Les dux extrémités de la liaison doivent trans- mettre un message CONFACK pour que le protocole soit établi. Après le succès de la négociation dans la phase LCP de la négociation PPP et que l'authentification CHAP ou PAP a été réalisée avec succès, une interface "Virtual Access" sera crée par l'IOS Cisco pour représenter le groupement PPP Multilink. Pour plus d'information sur l'utilisation et la théorie des interfaces Virtual Access, consultez le document "Fonctionnalités des Vitual Access PPP avec l'IOS Cisco"
10
La création d'une interface "Virtual Access" est signalée par le message: As1 PPP: Phase is VIRTUALIZED A partir de ce point, la négociation PPP pour le NCP(Network Control Protocol) est gérée par l'interfae Virtual Access. Vi1 PPP: Treating connection as a dedicated line Vi1 PPP: Phase is ESTABLISHING, Active Open Vi1 LCP: O CONFREQ [Closed] id 1 Len Vi1 PPP: Phase is UP Vi1 OPCP: O CONFREQ [Closed] id 1 len 10 Vi1 IPCP: Address (0x0306C0A80A01) Une fois que la connexion PPP Multilink a été établie, les informations la concernant peuvent être affichées par la commande show ppp multilink. routeur#show ppp multilink Virtual-Access, bundle name is R_3640_NAS lost fragments, 0 reordered, 0 unassigned, sequence 0x29/0x17 rcvd/sent discarded, 0 lost received, 1/255 load Member links: 1 (max not set, min not set) Async1 Le bundle name est le username authentifié du client connecté. Member links est une liste d'interfaces physiques qui sont des membres actifs du groupe. Dans l'exemple ci-dessus, seule une est activée, cepedant le routeur peut ajouter d'autres lignes dans le groupement. Pour déconnecter une particulière (plutot que tout le groupement) utilisez la commande clear interface interface. Le nom du groupement peut être changé par la commande multilink bundle-name En plus, la commande show interface est aussi valide pour l'interface Virtual Access comme pour toute interface physique ou logique. Le même type d'informations sera affiché tel qu'il apparaît dans la sortie de la com- mande show interface.
11
router#show interface virtual-access 1 Virtual-Access1 is up, line protocol is up Hardware is Virtual Access Interface Description: Multilink PPP to R_3640_NAS !--- Cette interface Virtaul Access est connectée au routeur !--- R_3640_NAS Internet address is /24 MTU 1500 bytes, BW 7720 Kbit, DLY µsec, reliability 1/255 ,txload 1/255, rxload 1/255 encapsulation PPP, loopback not set Keepalive set (10 sec) DTR is pulsed for 5 seconds on reset LCP Open, multilink Open !--- L'état multilink doit être ouvert pour une connexion valide Open: IPCP Last input 00:00:01, output never, output hang never Last clearing of "show interface" counters 04:25:13 Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate bits/sec, 2 packets/sec 5 minute output rate bits/sec, 2 packets/sec 2959 packets input, bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0overrun, 0 ignored, 0 abort 2980 packets output, bytes, 0 underruns 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.