Exemple de configuration à l'aide de la commande ip nat outside source list

Documents pareils
Configuration des routes statiques, routes flottantes et leur distribution.

Exercice : configuration de base de DHCP et NAT

Travaux pratiques : Configuration de base d une route statique

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Mise en service d un routeur cisco

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Présentation et portée du cours : CCNA Exploration v4.0

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Travaux pratiques : configuration des routes statiques et par défaut IPv6

1. Warm up Activity: Single Node

Configuration réseau Basique

I. Adresse IP et nom DNS

Internet Protocol. «La couche IP du réseau Internet»

Travaux pratiques : collecte et analyse de données NetFlow

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Présentation et portée du cours : CCNA Exploration v4.0

TP SECU NAT ARS IRT ( CORRECTION )

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Formation Iptables : Correction TP

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

comment paramétrer une connexion ADSL sur un modemrouteur

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

MAUREY SIMON PICARD FABIEN LP SARI

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

TAGREROUT Seyf Allah TMRIM

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Les réseaux /24 et x0.0/29 sont considérés comme publics

TP Configuration de l'authentification OSPF

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

FILTRAGE de PAQUETS NetFilter

Les systèmes pare-feu (firewall)

Olympiades canadiennes des métiers et des technologies

Note d Application. Bascule d ALOHA via injection de route en BGP

Cisco Certified Network Associate Version 4

acpro SEN TR firewall IPTABLES

Réseaux IUP2 / 2005 IPv6

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Administration UNIX. Le réseau

Les clés d un réseau privé virtuel (VPN) fonctionnel

Administration Réseaux

Programme formation pfsense Mars 2011 Cript Bretagne

Travaux pratiques IPv6

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Administration de Réseaux d Entreprises

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Configuration du matériel Cisco. Florian Duraffourg

Fiche descriptive de module

DIFF AVANCÉE. Samy.

Dispositif sur budget fédéral

Routage dynamique avec OSPF

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

COMMANDES RÉSEAUX TCP/IP WINDOWS.

Ed 03/95 PAQ 1530 NON URGENTE (INFO PRODUIT) TEMPORAIRE DEFINITIVE

Fonctions Réseau et Télécom. Haute Disponibilité

GNS 3 Travaux pratiques

Guide de démarrage du système modulaire Sun Blade 6000

Systèmes vidéo Cisco TelePresence

Pare-feu VPN sans fil N Cisco RV120W

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

TP : Introduction à TCP/IP sous UNIX

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Chapitre 1 Le routage statique

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

ROUTEURS CISCO, PERFECTIONNEMENT

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

Augmenter la portée de votre WiFi avec un répéteur

Chap.9: SNMP: Simple Network Management Protocol

(1) Network Camera

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Serveur DHCP et Relais DHCP (sous Linux)

TP réseaux Translation d adresse, firewalls, zonage

Configuration et listes d accès pour un routeur CISCO. commandes et exemples

7.3 : Ce qu IPv6 peut faire pour moi

Figure 1a. Réseau intranet avec pare feu et NAT.

Mise en place d'un Réseau Privé Virtuel

Chapitre 3 Configuration et maintenance

Intégration de Cisco CallManager IVR et Active Directory

Sécurité GNU/Linux. Iptables : passerelle

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Internet. Licence Pro R&S. TD 5 - Wifi / Radius. 1 Sur le réseau de distribution (DS) 1.1 Configuration des routeurs PC6

WiFi Security Camera Quick Start Guide. Guide de départ rapide Caméra de surveillance Wi-Fi (P5)

Transcription:

Exemple de configuration à l'aide de la commande ip nat outside source list Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Configurez Diagramme du réseau Configurations Vérifiez Dépannez Résumé Informations connexes Introduction Ce document fournit un exemple de configuration avec la commande ip nat outside source list et comporte une brève description de ce qui arrive au paquet IP pendant le processus NAT. Vous pouvez utiliser cette commande pour traduire l'adresse source des paquets IP qui circulent de l'extérieur du réseau vers l'intérieur du réseau. Cette action traduit l'adresse de destination des paquets IP qui voyagent dans la direction opposée de l'intérieur vers l'extérieur du réseau. Cette commande est utile dans les situations telles que les réseaux en superposition, où les adresses de réseau interne chevauchent les adresses qui sont à l'extérieur du réseau. Considérons comme exemple le diagramme de réseau. Conditions préalables Conditions requises Aucune spécification déterminée n'est requise pour ce document. Composants utilisés Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques. Cependant, les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Routeurs de la gamme Cisco 2500

Exécution de version de logiciel 12.2(24a) de Cisco IOS sur tous les Routeurs Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurezvous que vous comprenez l'effet potentiel de toute commande. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco. Configurez Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document. Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'outil de recherche de commande (clients enregistrés seulement). Diagramme du réseau Ce document utilise la configuration réseau suivante : Quand le ping est créé depuis le routeur de l'interface 2514W Loopback0 (172.16.88.1) vers le routeur de l'interface 2501E Loopback0 (171.68.1.1), ceci se produit : Le routeur 2514W transmet les paquets au routeur 2514X parce qu'il est configuré avec une route par défaut. Sur l'interface extérieure du routeur 2514X, le paquet a une adresse source (SA) de 172.16.88.1 et une adresse de destination (DA) de 171.68.1.1. Puisque la SA est autorisée dans la liste d'accès 1, qui est utilisée par la commande ip nat outside source list, elle est traduite en adresse depuis le groupe NAT Net171. Notez que la commande ip nat outside source list se rapporte au groupe NAT "Net171". Dans ce cas, l'adresse est traduite en 171.68.16.10 qui est la première adresse disponible dans le groupe NAT. Après la traduction, le routeur 2514X recherche la destination dans la table de routage et dirige le paquet. Le routeur 2501E voit le paquet sur son interface entrante avec une SA de 171.68.16.10 et une DA de 171.68.1.1. Il répond en envoyant une réponse écho Internet Control Message Protocol (ICMP) à 171.68.16.10. S'il n'a pas de route, il rejette le paquet. Dans ce cas, il a une route (par défaut), ainsi il envoie un paquet vers le routeur à 2514X, en utilisant une SA de 171.68.1.1 et une DA de 171.68.16.10. Le routeur 2514X voit le paquet sur son interface interne et vérifie une route à l'adresse 171.68.16.10. S'il n'en a pas, il répond avec une réponse d'icmp inaccessible. Dans ce cas, il a une route vers 171.68.16.10, en raison du fait que l'option add-route de la commande ip nat outside source qui ajoute une route hôte basée sur la traduction entre l'adresse globale et l'adresse locale extérieures, ce qui signifie qu'elle traduit le paquet de nouveau vers l'adresse 172.16.88.1 et dirige le paquet en dehors de son interface externe. Configurations Routeur 2514W hostname 2514W

--- Output suppressed. interface Loopback0 ip address 172.16.88.1 255.255.255.0 --- Output suppressed. interface Serial0 ip address 172.16.191.254 255.255.255.252 no ip mroute-cache --- Output suppressed. ip classless ip route 0.0.0.0 0.0.0.0 172.16.191.253 --- Default route to forward packets to 2514X. --- Output suppressed. Routeur 2514X hostname 2514X --- Output suppressed. interface Ethernet1 ip address 171.68.192.202 255.255.255.0 ip nat inside no ip mroutecache no ip route-cache --- Output suppressed. interface Serial1 ip address 172.16.191.253 255.255.255.252 ip nat outside no ip mroute-cache no ip route-cache clockrate 2000000 ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 --- NAT pool defining Outside Local addresses to be used for translation. ip nat outside source list 1 pool Net171 add-route --- Configures translation for Outside Global addresses --- with the NAT pool. ip classless ip route 172.16.88.0 255.255.255.0 172.16.191.254 ip route 171.68.1.0 255.255.255.0 171.68.192.201 --- Static routes for reaching the loopback interfaces --- on 2514W and 2501E. access-list 1 permit 172.16.88.0 0.0.0.255 --- Access-list defining Outside Global addresses to be translated. --- Output suppressed. Routeur 2501E hostname 2501E --- Output suppressed. interface Loopback0 ip address 171.68.1.1 255.255.255.0 interface Ethernet0 ip address 171.68.192.201 255.255.255.0 --- Output suppressed. ip classless ip route 0.0.0.0 0.0.0.0 171.68.192.202 --- Default route to forward packets to 2514X. --- Output suppressed. Vérifiez Cette section fournit des informations qui vous permettront de confirmer que votre configuration fonctionne correctement. Certaines commandes show sont prises en charge par l'output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show. La commande show ip nat translations peut être utilisée pour contrôler les entrées de traduction, suivant les indications de la sortie ci-dessous. 2514X# show ip nat translations Pro Inside global Inside local Outside local Outside global --- 171.68.1.1 171.68.1.1 171.68.16.10 172.16.88.1 --- --- --- 171.68.16.10 172.16.88.1 2514X# La sortie ci-dessus montre que l'adresse globale externe 172.16.88.1, qui est l'adresse sur l'interface Loopback0 du routeur 2514W, est traduite en l'adresse locale externe 171.68.16.10. Vous pouvez utiliser la commande show ip route pour contrôler les entrées de la table de routage, comme indiqué : 2514X# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D

- EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks C 171.68.192.0/24 is directly connected, Ethernet1 S 171.68.1.0/24 [1/0] via 171.68.192.201 S 171.68.16.10/32 [1/0] via 172.16.88.1 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks S 172.16.88.0/24 [1/0] via 172.16.191.254 C 172.16.191.252/30 is directly connected, Serial1 2514X# La sortie montre une route /32 pour l'adresse locale externe 171.68.16.10, qui est créée en raison de l'option ajouter-route de la commande ip nat outside source. Cette route est utilisée pour diriger et traduire les paquets qui circulent de l'intérieur vers l'extérieur du réseau. Dépannez Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Cette sortie est le résultat d'exécuter le debug ip packet et les commandes de debug ip nat sur le routeur 2514X, tout en cinglant de l'adresse d'interface du routeur 2514W loopback0 (172.16.88.1) à l'adresse d'interface du routeur 2501E loopback0 (171.68.1.1) : *Mar 1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95] --- The source address in the first packet arriving on --- the outside interface is first translated. *Mar 1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via RIB *Mar 1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward --- The ICMP echo request packet with the translated source address --- is routed and forwarded on the inside interface. *Mar 1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via RIB --- The ICMP echo reply packet arriving on the inside interface --- is first routed based on the destination address. *Mar 1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95] --- The destination address in the packet is then translated. *Mar 1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1 00, forward --- The ICMP echo reply packet with the translated destination --- address is forwarded on the outside interface. La procédure ci-dessus est répétée pour chaque paquet reçu sur l'interface externe. Résumé La principale différence entre l'utilisation de la commande ip nat outside source list (NAT dynamique) plutôt que la commande ip nat outside source static (NAT statique) est qu'il n'y a aucune entrée dans la table de traduction jusqu'à ce que le routeur (configuré pour NAT) vérifie les critères de traduction du paquet. Dans l'exemple ci-dessus, le paquet avec la SA 172.16.88.1 (qui entre dans l'interface externe du routeur 2514X) satisfait à la liste d'accès 1, les critères utilisés par la commande ip nat outside source list. Pour cette raison, les paquets doivent provenir du réseau externe avant que les paquets du réseau interne puissent communiquer avec l'interface loopback0 du routeur 2514W. Il y a deux choses importantes à noter dans cet exemple. D'abord, quand le paquet circule de l'extérieur vers l'intérieur, la traduction se produit, puis la table de routage est examinée vis-à-vis de la destination. Lorsque le paquet circule de l'intérieur vers l'extérieur, d'abord la table de routage est examinée vis-à-vis de la destination, puis la traduction se produit. Ensuite, il est important de noter quelle partie du paquet IP est traduite lors de l'utilisation de

chacune des commandes ci-dessus. Le tableau suivant contient une ligne directrice : Commande ip nat outside source list ip nat inside source list Action traduit la source des paquets IP qui circulent de l'extérieur vers l'intérieur traduit la destination des paquets IP qui circulent de l'intérieur vers l'extérieur traduit la source des paquets IP qui circulent de l'intérieur vers l'extérieur traduit la destination des paquets IP qui circulent de l'extérieur vers l'intérieur Ce que les lignes directrices ci-dessus indiquent est qu'il y a plus d'une façon pour traduire un paquet. Selon vos besoins spécifiques, vous devriez déterminer comment définir les interfaces NAT (intérieur ou extérieur) et quelles routes les tables de routage devraient contenir avant ou après la traduction. Gardez présent à l'esprit que la partie du paquet qui sera traduite dépend de la direction dans laquelle le paquet circule et de la façon dont vous avez configuré NAT. Informations connexes Traduction d'adresses de réseau sur une barrette Page de support technologique NAT Support technique - Cisco Systems

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back