Configuration NAT Statique Station B S 00 FAI
Configuration NAT Statique Station B S 0/0 FAI S 0/0 E 0/0 Lyon 1 Lo 0 Station A Objectif Le but est de configurer la traduction NAT (Network Address Translation) pour fournir un accès fiable à des serveurs internes par des utilisateurs externes.
Scénario La société IFC a étendu et mis à jour son réseau. Elle a choisi l'adresse de réseau privée 192. 168. 0. 0/24 et NAT pour gérer la connectivité avec le monde extérieur. Dans le but de sécuriser son accès avec son FAI, la société IFC doit payer une abonnement par mois et par adresse IP. La société IFC vous demande de tester une série de configurations pour démontrer les capacités du NAT pour être en conformité avec les spécifications d'IFC. La société IFC espère obtenir 14 adresses IP publiques (42. 0. 0. 48/28). Pour diverses raisons dont la sécurité, la société IFC désire cacher la vue du réseau interne au utilisateurs externes. Données de configuration Routeur : "FAI 1" : - Nom du routeur : FAI 1 - Interface S 0/0 - Adresse IP: 10. 0. 0. 5/30 - Interface Lo 0 - Adresse IP: 10. 0. 1. 2/30 Routeur "Lyon 1" : - Nom du routeur : Lyon 1 - Interface S 0/0 - Adresse IP: 10. 0. 0. 6/30 - Interface E 0/0 - Adresse IP : 192. 168. 0. 1/24 Station B : Adresse IP: 192. 168. 0. 20/24 Station A : Adresse IP: 192. 168. 0. 5/24
Configuration des routeurs - Avant d'effectuer toute configuration, effacer la configuration en NVRAM et recharger le routeur. 1) Configurez les routeurs d'après le schéma du réseau et des données de configuration. Cette configuration nécessite l'utilisation du sous-réseau numero zéro. Vous devez entrer la commande suivante, sur les deux routeurs : Lyon 1(config)#ip subnet-zero Configurez Lyon 1 avec une route par défaut vers le FAI: Lyon 1(config)#ip route 0. 0 10. 0. 0. 5 La station A représente les serveurs partagés faisant partie d'un LAN Ethernet attaché au routeur Lyon 1. La station B représente un utilisateur du réseau de la société IFC. 2) Vérifiez votre configuration en utilisant la commande show run Vérifiez que la commande ping depuis Lyon 1 vers l'interface série (10. 0. 0. 5) du routeur FAI 1 réussit et que la commande ping depuis FAI 1 vers l'interface série (10. 0. 0. 6) du routeur Lyon 1 réussit. A ce point , la commande ping depuis le routeur FAI 1 vers les deux stations ou vers l'interface Ethernet 0/0(192. 168. 0. 1) du routeur Lyon 1 échoue. 1. La commande ping réussit d'une station vers l'autre et vers l'adresse 10. 0. 0. 6 mais pas vers l'adresse 10. 0. 0. 5. Pourquoi cette dernière commande ping échoue? ______________________________________________________________________________ 3) Lyon 1 est le routeur frontière sur lequel vous allez configurer le NAT. Le routeur traduira les adresses locales internes en adresses globales internes, autrement dit, convertira les adresses privées internes en adresses publiques légales utilisées sur Internet. Sur le routeur Lyon 1, créez la traduction statique des adresses internes locales en adresses internes globales en utilisant les commandes suivantes: Lyon 1(config)#ip nat inside source static 192. 168. 0. 3 42. 0. 0. 49 Lyon 1(config)#ip nat inside source static 192. 168. 0. 4 42. 0. 0. 50 Lyon 1(config)#ip nat inside source static 192. 168. 0. 5 42. 0. 0. 51 2. Si vous aviez besoin de configurer un quatrième serveur(192. 168. 0. 6), quelle serait la commande appropriée? _______________________________________
4) Maintenant vous devez précisez quelle interface du routeur Lyon 1 doit être utilisée par le réseau interne pour la traduction d'adressess. Lyon 1(config)#interface Ethernet 0/0 Lyon 1(config-if)#ip nat inside Vous devez aussi préciser quelle interface doit être utilisée pour le NAT externe: Lyon 1(config)#interface Serial 0/0 Lyon 1(config-if)#ip nat outside 5) Pour voir les traductions, utilisez la commande show ip nat translations. Le résultat doit être le suivant: Lyon 1#show ip nat translations Pro Inside global Inside local --- 42. 0. 0. 49 192. 168. 0. 3 --- 42. 0. 0. 50 192. 168. 0. 4 --- 42. 0. 0. 51 192. 168. 0. 5 Lyon 1# Outside local ------- Outside global ------- Pour visualiser l'activité NAT, utilisez la commande show ip nat statistics. Le résultat doit être celui-ci: Lyon 1#show ip nat statistics Total active translations: 3 (3 static, 0 dynamic; 0 extended) Outside interfaces: Serial 0/0 Inside interfaces: Ethernet 0/0 Hits: 0 Misses: 0 Expired translations: 0 Dynamic mappings: Lyon 1# Notez que la valeur Hits est à zéro.
6) Exécutez une commande ping vers 10. 0. 0. 5(Interface serial de FAI 1) depuis la station A. La commade doit toujours échouer car le routeur FAI 1 n'a pas de route vers le réseau 192. 168. 0. 0. /24 dans sa table de routage. Exécutez de nouveau la comande show ip nat statistics sur la console de Lyon 1#show ip nat statistics Total active translations: 3 (3 static, 0 dynamic; 0 extended) Outside interfaces: Serial 0/0 Inside interfaces: Ethernet 0/0 Hits: 4 Misses: 0 Expired translations: 0 Dynamic mappings: Lyon 1# Vous pouvez voir maintenant que le nombre de Hits est égal à 4. Cela indique la traduction a lieu même si vous n'obtenez pas de réponse par la comande ping. Rappelez vous que la commande ping échoue car le routeur FAI 1 n'a pas de route vers le routeur Lyon 1 dans sa table de routage. Nous allons remédier à ce problème. 7) Sur le routeur FAI 1, configurez la route statique suivante pour les adresses globales utilisées par le routeur Lyon. A. FAI 1(config)#ip route 42. 0. 0. 48 255. 240 10. 0. 0. 6 Le masque de sous-réseau définit le bloc d'adresses Ip comme étant 42. 0. 0. 48/28 La commande ping vers 42. 0. 0. 51 doit réussir. C'est l'adresse 192. 168. 0. 5 traduite. La commande show ip route confirme la présence de la route statique. FAI 1#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N 1 - OSPF NSSA external type 1, N 2 - OSPF NSSA external type 2 E 1 - OSPF external type 1, E 2 - OSPF external type 2, E - EGP i - IS-IS, L 1 - IS-IS level-1, L 2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 42. 0. 0. 0/28 is subnetted, 1 subnets 42. 0. 0. 48 [1/0] via 10. 0. 0. 6 10. 0/30 is subnetted, 1 subnets C 10. 0. 0. 4 is directly connected, Serial 0/0 FAI 1# S
8) Exécutez une commande ping de la station A vers 10. 0. 0. 5(Interface serial de FAI 1). La commade doit maintenant réussir. Vous devez pouvoir passer une commande ping vers l'interface loopback 0(10. 0. 1. 2). A partir de la console du routeur Lyon 1, passez la commande show ip nat statistics et analysez le résultat. Le nombre de "Hits" doit être plus important que lors de la commande précédente. Passez la comande show ip nat translations verbose Lyon 1#show ip nat translations verbose Pro Inside global Inside local --- 42. 0. 0. 49 192. 168. 0. 3 create 00: 16, use 00: 16, flags: static, use_count: 0 --- 42. 0. 0. 50 192. 168. 0. 4 create 00: 09: 55, use 00: 09: 55, flags: static, use_count: 0 --- 42. 0. 0. 51 192. 168. 0. 5 create 00: 09: 44, use 00: 47, flags: static, use_count: 0 Outside local --- Outside global --- --- --- Note: L'option verbose donne des informations sur les traductions les plus recenment utilisées. 9) A partir du routeur Lyon 1, utilisez la commande show ip nat statistics et notez le nombre de "Hits". Depuis la station B exécutez une commande ping vers 10. 0. 0. 5 et 10. 0. 1. 2 3. Les deux commandes échouent. Pourquoi? __________________________________________________________________________________ A partir du routeur Lyon 1, utilisez de nouveau la commande show ip nat statistics et notez que le nombre de "Hits" reste inchangé. Le problème est que le NAT ne traduit pas l'adresse IP de la station B(192. 168. 0. 20) en une adresse globale. La commande show ip nat translation doit confirmer cela. Vous n'avez pas configuré de traduction statique d'adresse pour la station B, qui représente un utilisateur du LAN. Bien que vous êtes en mesure de configurer rapidement une traduction statique pour cet utilisateur, configurer des adresses statiques pour des centaines d'utilisateur peut devenir une tâche extrêmement fastidieuse. Le NAT dynamique vous permet de configurer le routeur pour qu'il assigne des adresses globales de manière dynamique à la demande. Si l'utilisation de NAT statique semble appropriée pour les serbveurs, l'utilisation de NAT dynamique est la plus appropriée pour les stations des utilisateurs.
- Slides: 6