Академический Документы
Профессиональный Документы
Культура Документы
eLearnCisco 2010 1
Principe du NAT
eLearnCisco 2010 2
Quatre possibilits
NAT Statique
NAT Dynamique
PAT Statique
PAT Dynamique
eLearnCisco 2010 3
NAT Statique
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
Objectif :
permettre aux clients daccder mon serveur web
Problme :
10.0.0.100 est interdit sur internet
Solution :
1. prtendre que mon serveur web est accessible sur 5.5.5.2
2. translater 5.5.5.2 en 10.0.0.100
eLearnCisco 2010 4
NAT Statique
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
conf t
int fa0/0
ip nat inside
int fa0/1
ip nat outside
ip nat inside source static 10.0.0.100 5.5.5.2
eLearnCisco 2010 5
NAT Statique
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
10.0.0.200
Objectif :
permettre aux clients daccder mes 2 serveurs
(web, smtp)
Solution n1:
prtendre que mon serveur web est accessible sur
5.5.5.2 + translater 5.5.5.2 en 10.0.0.100
prtendre que mon serveur smtp est accessible sur
5.5.5.3 + translater 5.5.5.3 en 10.0.0.200
eLearnCisco 2010 6
NAT Statique
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
10.0.0.200
conf t
int fa0/0
ip nat inside
int fa0/1
ip nat outside
ip nat inside source static 10.0.0.100 5.5.5.2
ip nat inside source static 10.0.0.200 5.5.5.3
ncessite lacquisition de 2 adresses publiques
eLearnCisco 2010 7
PAT Statique
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
10.0.0.200
Objectif :
permettre aux clients daccder mes 2 serveurs (web, smtp)
utiliser une seule adresse publique pour accder aux 2 serveurs
Solution n2:
prtendre que mon serveur web est accessible sur le port 80 de
5.5.5.2 + translater 5.5.5.2 en 10.0.0.100
prtendre que mon serveur smtp est accessible sur le port 25
de 5.5.5.2 + translater 5.5.5.2 en 10.0.0.200
eLearnCisco 2010 8
PAT Statique
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
10.0.0.200
Objectif WEB :
mon serveur web en 10.0.0.100 rpond sur le port 80
les clients doivent attaquer mon serveur web en
allant sur 5.5.5.2 port 80.
Objectif SMTP :
mon serveur smtp 10.0.0.200 rpond sur le port 25
les clients doivent attaquer mon serveur smtp en
allant sur 5.5.5.2 port 25.
eLearnCisco 2010 9
PAT Statique
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
10.0.0.200
conf t
int fa0/0
ip nat inside
int fa0/1
ip nat outside
ip nat inside source static tcp 10.0.0.100 80 5.5.5.2 80
ip nat inside source static tcp 10.0.0.200 25 5.5.5.2 25
eLearnCisco 2010 10
Exercice
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
10.0.0.200
Objectif WEB :
mon serveur web en 10.0.0.100 rpond sur le port 80
les clients doivent attaquer mon serveur web en
allant sur 5.5.5.2 port 8080.
Objectif TELNET :
mon serveur telnet 10.0.0.200 rpond sur le port 23
les clients doivent attaquer mon serveur telnet en
allant sur 5.5.5.2 port 2323.
eLearnCisco 2010 11
Solution
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
10.0.0.200
conf t
int fa0/0
ip nat inside
int fa0/1
ip nat outside
ip nat inside source static tcp 10.0.0.100 80 5.5.5.2 8080
ip nat inside source static tcp 10.0.0.200 23 5.5.5.2 2323
eLearnCisco 2010 12
NAT Dynamique
Objectif :
permettre mon rseau interne daccder internet.
Problme :
toutes mes adresses internes (10.0.0.1, 10.0.0.2 etc..) sont interdites
sur internet.
Solution :
1. prtendre que mon rseau interne est en 5.5.5.X
2. translater 10.0.0.1 en 5.5.5.1
3. translater 10.0.0.2 en 5.5.5.2
4. etc
eLearnCisco 2010 13
NAT Dynamique
int fa0/0
ip nat inside
int fa0/1
ip nat outside
access-list 1 permit 10.0.0.0 0.0.0.255
ce sont les adresses qui seront translates
ip nat pool TOTO 5.5.5.1 5.5.5.253 netmask 255.255.255.0
ce sont les adresses fictives qui seront attribues aux adresses
translates
ip nat inside source list 1 pool TOTO
pour activer le NAT
eLearnCisco 2010 14
NAT dynamique
ip nat pool TOTO 5.5.5.1 5.5.5.253
netmask 255.255.255.0
ce sont les adresses fictives qui seront
attribues aux adresses translates
eLearnCisco 2010 15
PAT dynamique
int fa0/0
ip nat inside
int fa0/1
ip nat outside
access-list 1 permit 10.0.0.0 0.0.0.255
ce sont les adresses qui seront translates
ip nat inside source list 1 interface fa0/1 overload
toutes les adresses natts se verront attribues ladresse IP de
linterface fa0/1 i.e. 5.5.5.254
eLearnCisco 2010 16
Nomenclature
O est plac lquipement :
Inside = quipement physiquement situ ct inside
Outside = quipement physiquement situ ct outside
De quel point de vue je me place :
Local = point de vue dun quipement situ inside
Global = point de vue dun quipement situ outside
Dfinitions :
Inside Local = @ IP dun quipement situ dans inside du point
de vue dun quipement situ dans inside
Inside Global = @ IP dun quipement situ dans inside du point
de vue dun quipement situ dans outside
Outside Local = @ IP dun quipement situ dans outside du
point de vue dun quipement situ dans inside
Outside Global = @ IP dun quipement situ dans outside du
point de vue dun quipement situ dans outside
eLearnCisco 2010 17
Exemple 1 NAT dynamique
eLearnCisco 2010 19
Exemple 3 NAT statique
Fa0/0 Fa0/1 2.2.2.2
10.0.0.100 10.0.0.254 5.5.5.1/24
eLearnCisco 2010 20