La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Configuration NAT Dynamique

Publié parClementine Morneau Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "Configuration NAT Dynamique"— Transcription de la présentation:

1 Configuration NAT Dynamique
Lyon1 FAI S0/0 E0/0 Station A Station B Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation) pour fournir des accès à des ressources externes à des utilisateurs possédant une adresse privée.

2 Scénario La société IFC a étendu et mis à jour son réseau
Scénario La société IFC a étendu et mis à jour son réseau. Elle a choisi l'adresse de réseau privée /24 et NAT pour gérer la connectivité avec le monde extérieur. Dans le but de sécuriser son accès avec son FAI, la société IFC doit payer une abonnement par mois et par adresse IP. La société IFC vous demande de tester une série de configurations pour démontrer les capacités du NAT pour être en conformité avec les spécifications d'IFC. La société IFC espère obtenir 14 adresses IP publiques ( /28). Pour diverses raisons dont la sécurité, la société IFC désire cacher la vue du réseau interne au utilisateurs externes. La société IFC espère limiter les accès à Internet et aux ressources externes en limitant le Nombre de connexions. Vous avez été pressenti pour tester la traduction dynamique et vérifier si celle-ci correspond aux objectifs d'IFC. Données de configuration Routeur :   "FAI1" : Station B : - Nom du routeur : FAI Adresse IP: / Interface S0/ Adresse IP: / Interface Lo Adresse IP: /30 Routeur "Lyon1" : Station A : - Nom du routeur : Lyon1 Adresse IP: / Interface S0/ Adresse IP: / Interface E0/ Adresse IP : /24

3 Configuration des routeurs Avant d'effectuer toute configuration, effacer la configuration en NVRAM et recharger le routeur ) Configurez les routeurs d'après le schéma du réseau et des données de configuration. Les stations A et B représentent des utilisateurs du réseau IFC Cette configuration nécessite l'utilisation du sous-réseau numero zéro Vous devez entrer la commande suivante, sur les deux routeurs : Lyon1(config)#ip subnet-zero Configurez Lyon1 avec une route par défaut vers le FAI: Lyon1(config)#ip route Sur le routeur FAI1 configurez une route statique vers l'adresse globale utilisée par Lyon1 pour le NAT. FAI1(config)#ip route ) Définissez un bloc d'adresses globales devant être allouées par le processus NAT de traduction dynamique d'adresses Lyon1(config)#ip nat pool IFC_pool netmask Le nom IFC_pool est le nom pour les adresses du bloc. La première adresse de la ligne de commande est la première adresse du bloc. La second adresse est la dernière adresse du bloc. Cette commande crée un bloc contenant une seule adresse. Normalement, vous devez utiliser un nombre d'adresses plus grand. Pour l'instant une seule adresse suffira. Maintenant vous devez configurer une liste de contrôle d'accès pour définir quelles adresses source internes peuvent être traduites. Comme vous traduisez les adreses de n'importe quel utilisateur du réseau IFC, utilisez la commande suivante: Lyon1(config)#access-list 2 permit Pour établir la traduction source dynamique, vous devez lier la liste de contrôle d'accès au nom du bloc d'adresses NAT comme suit: Lyon1(config)#ip nat inside source list 2 pool IFC_pool

4 uniquement lorsqu'elles sont actives. Lyon1#show ip nat translations
2(suite) Maintenant vous devez précisez quelle interface du routeur Lyon1 doit être utilisée par les machines du réseau interne nécessitant une traduction d'adresse Lyon1(config)#interface Ethernet0/0 Lyon1(config-if)#ip nat inside Vous devez aussi préciser quelle interface doit être utilisée comme interface NAT externe: Lyon1(config)#interface Serial0/0 Lyon1(config-if)#ip nat outside 3) Pour voir les traductions, utilisez la commande show ip nat translations. Contrairement aux traductions statiques, qui sont permanentes et restent inscrites dans la table de traduction, les traductions dynamyques sont faites à la demande et apparaissent uniquement lorsqu'elles sont actives. Lyon1#show ip nat translations Lyon1# Exécutez une commande ping depuis la station A vers les adresses de l'interface Serial et de l'interface loopback de FAI1. Les deux commandes ping doivent réussir. Exécutez la commande show ip nat translations sur Lyon1. Vous devez obtenir ceci: Lyon1#sh ip nat translations Pro Inside global Inside local Outside local Outside global Depuis la station b, exécutez une commande ping vers les adresses de l'interface Serial et de l'interface loopback de FAI1. Les deux commandes ping doivent échouer. La seule adresse disponible dans le bloc est déjà utilisée par une autre station. Si vous aviez assigné une nombre d'adresses plus grand dans le bloc, la station B aurait pu obtenir une adresse du bloc. 4) Exécutez la commande show ip translations verbose et examiner le résultat Lyon1#show ip nat translations verbose create 00:02:50, use 00:02:41, left 23:57:18, flags: none, use_count: 0 Lyon1# 1. D'après le résultat de cette dcommande, combien de temps reste-t-il avant que la traduction d'adresse dynamique expire? _________________________________________________________________________________ La valeur par défaut du délai d'expiration des traduction d'adresses dynamiques NAT est de 24 heures

5 4) Suite Maintenant exécutez la commande show ip nat statistics. Notez que cette commande donne un résumé des traductions, indique le bloc d'adresses globales et montre qu'une seule adresse a été allouée ou traduite. Lyon1#show ip nat statistics Total active translations: 1 (0 static, 1 dynamic; 0 extended) Outside interfaces: Serial0/0 Inside interfaces: Ethernet0/0 Hits: 54 Misses: 0 Expired translations: 0 Dynamic mappings: -- Inside Source access-list 2 pool IFC_pool refcount 1 pool IFC_pool: netmask start end type generic, total addresses 1, allocated 1 (100%), misses 4 Lyon1# Pour changer la valeur par défaut du délai d"expiration de la traduction NAT dynamique qui est de 24 heures à 120 secondes, exécutez la commande suivante: Lyon1(config)#ip nat translation timeout 120 Vous devez effacer les allocations d'adresses existantes avant que le nouveau délai prenne effet. Tapez la commande suivante pour effacer immédiatement la table de traduction. Lyon1#clear ip nat translation * Maintenant, depuis la station B, exécutez un commande ping vers l' adresse de l'interface Serial ou de l'interface loopback de FAI1. La commande doit réussir. Utilisez les commandes show ip nat translations et show ip nat translations verbose pour vérifier la traduction et voir que le nouveau délai d'expiration est de deux minutes. Maintenant, depuis la station B, et exécutez la commande show ip nat translations verbose de nouveau. Vous devez voir que l'indication "time left" du timer a été remise à zéro. Cela indique que les autres stations n'auront pas d'adresse allouée avant la fin du délai d'expiration.

6 5) A cette étape vous configurez le bloc d'adresses NAT pour y inclure une intervalles d'adresses
globales utilisables par la société IFC. Exécutez la commande suivante sur Lyon1: Lyon1(config)#ip nat pool IFC_pool netmask La commande ci-dessus redéfinit le bloc IFC_pool pour qu'il contienne huit adresses. Maintenant des commandes ping à destination des deux stations doivent réussir La commande show ip nat translations confirme que que les deux traductions ont bien été réalisées: Lyon1#sh ip nat translations Pro Inside global Inside local Outside local Outside global Lyon1# Augmenter le nombre d'adresses dans le bloc permet à plus de machines de demander la traduction d'un plus grand nombre d'adresses. Si toutes les adresses du bloc sont allouées, la période de validité des adresses doit expirer pour q'une autre machine puisse obtenir une adresse.

Télécharger ppt "Configuration NAT Dynamique"

Présentations similaires

Sécurité informatique

Sécurité informatique
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
Module Architectures et Administration des réseaux

Module Architectures et Administration des réseaux
11 - Composants dun routeur. Sommaire 1)Sources de configuration externes 1)Composants de configuration internes et commandes détat associées.

11 - Composants dun routeur. Sommaire 1)Sources de configuration externes 1)Composants de configuration internes et commandes détat associées.
11 - Composants d’un routeur

11 - Composants d’un routeur
TD (issu de l’Exonet 23 – Site du CERTA)

TD (issu de l’Exonet 23 – Site du CERTA)
Page d accueil.

Page d accueil.
Liste de contrôle d’accès

Liste de contrôle d’accès
Routage Statique AfNOG 2003 PLAN Quest ce que le routage ? Pourquoi faire du routage sur un réseau ? PRINCIPES DU ROUTAGE IP PROTOCOLES DE ROUTAGE IP Définition.

Routage Statique AfNOG 2003 PLAN Quest ce que le routage ? Pourquoi faire du routage sur un réseau ? PRINCIPES DU ROUTAGE IP PROTOCOLES DE ROUTAGE IP Définition.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
– NAT et PAT.

– NAT et PAT.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.

14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
Firewall sous Linux Netfilter / iptables.

Firewall sous Linux Netfilter / iptables.
13 - Plate-forme logicielle Cisco IOS

13 - Plate-forme logicielle Cisco IOS
Module 6 : Gestion et analyse du système DNS

Module 6 : Gestion et analyse du système DNS
Cours Présenté par …………..

Cours Présenté par …………..
Configuration NAT Router Firewall RE16.

Configuration NAT Router Firewall RE16.
PLAN Qu’est ce que le routage ?

PLAN Qu’est ce que le routage ?
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
Le Protocole OSPF.

Le Protocole OSPF.

Présentations similaires

Annonces Google