R1config-if)#ip nat inside 2. The command for enabling NAT on the outside interface is: R1(config-if)#ip nat outside Remember to enter into appropriate configuration modes before entering the commands. Usually, the inside NAT will be configured on an Ethernet interface, whereas the outside NAT is configured on a serial interface.
You are here Home / Cisco Routers / Configuring NAT on Cisco Routers Step-by-Step PAT, Static NAT, Port Redirection The depletion of the public IPv4 address space has forced the internet community to think about alternative ways of addressing networked hosts. Network Address Translation NAT therefore was introduced to overcome these addressing problems that occurred with the rapid expansion of the Internet. Even if NAT was suggested as a temporary solution, it has been adopted by all network hardware manufacturers, and it is considered a very useful technology, not only for IP address conservation, but also for many other purposes including security. Basically NAT allows a single network device a router, firewall etc to act as an agent between a private local area network and a public network such as the Internet. The purpose of this NAT device is to translate the source IP addresses of the internal network hosts into public routable IP addresses in order to communicate with the Internet. Some of the advantages of using NAT in IP networks are the following NAT helps to mitigate the depletion of the global public IP address space Networks can now use the RFC 1918 private address space internally and still have a way to access the Internet using NAT. NAT increases security by hiding the internal network topology and addressing scheme. Cisco IOS routers support different types of NAT as will be explained below. NAT has many forms and can work in several ways, but in this post I will explain the most important types of NAT. For the next 2 scenarios we will be using the following simple network 1. Overloading or Port Address Translation PAT This is the most frequently used form of NAT in IP networks. It uses the concept of “many-to-one” translation where multiple connections from different internal hosts are “multiplexed” into a single registered public IP address using different source port numbers. This type of NAT allows a maximum of 65,536 internal connections to be translated into a single public IP. This type of NAT is very useful in situations where our ISP has assigned us only a single public IP address, as shown on the diagram below. All IP addresses of the LAN network will be translated using the public IP of the router interface FastEthernet0/0 ip address ip nat outside ! interface FastEthernet0/1 ip address ip nat inside ! access-list 1 permit ip nat inside source list 1 interface FastEthernet0/0 overload 2. Static Port Address Translation Port Redirection Assume now that we have only one public IP address which is the one configured on the outside interface of our border router. We want traffic hitting our router’s public IP on port 80 to be redirected to our internal Web Server at IP interface FastEthernet0/0 ip address ip nat outside ! interface FastEthernet0/1 ip address ip nat inside ! ip nat inside source static tcp 80 80 3. Configuring Static NAT NAT can be performed both statically and dynamically. Static NAT simply maps one private IP address to a single public IP address, and this is the flavor of NAT we are discussing in this section. A Cisco router performing NAT divides its universe into the inside and the outside. Typically the inside is a private enterprise, and the outside is the public Internet. In addition to the notion of inside and outside, a Cisco NAT router classifies addresses as either local or global. A local address is an address that is seen by devices on the inside, and a global address is an address that is seen by devices on the outside. Given these four terms, an address may be one of four types Inside local addresses are assigned to inside devices. These addresses are not advertised to the outside. Inside global are addresses by which inside devices are known to the outside. Outside local are addresses by which outside devices are known to the inside. Outside global addresses are assigned to outside devices. These addresses are not advertised to the inside. Let’s jump right into static NAT configuration on a Cisco router as shown in the Figure below R1 is the router performing Network Address Translation NAT and has two interfaces Fa0/0 on the inside and Fa0/1 on the outside. The specific IP addresses involved are NAT Address Type IP Address Inside local Inside global Outside local Outside global Table 1 NAT Addresses for Figure Above You probably know very well how to configure IP addresses on router interfaces, so we skip those configuration steps and move straight to the interesting stuff. First, we have to assign Fa0/0 as NAT inside interface and Fa0/1 as NAT outside interface on R1. This would tell the router that interesting traffic entering or exiting these two interfaces will be subject to address translation. R1conf term Enter configuration commands, one per line. End with CNTL/Z. R1configinterface Fa0/0 R1config-ifip nat inside R1config-ifinterface Fa0/1 R1config-ifip nat outside R1config-ifend Now we would tell the router how to perform address translation and mention which IP addresses source or destination to re-write in packets moving between the inside and outside interfaces. Here we go R1configip nat inside source static Here, we are telling the router to perform NAT on packets coming into the router on the inside interface Fa0/0. More specifically the router would identify which of these packets have a source IP address of and would change it to before forwarding the packet out the outside interface Fa0/1. Similarly, return packets coming in at outside interface Fa0/1 would undergo translation of destination IP address. Let’s now verify if NAT is actually working as it is supposed to work. There are a couple of very useful Cisco IOS commands that can be used to do just that. Command show ip nat statistics displays the number of static and dynamic NAT translations, inside and outside interfaces, and the number of hits and misses. R1show ip nat statistics Total active translations 1 1 static, 0 dynamic; 0 extended Outside interfaces FastEthernet0/1 Inside interfaces FastEthernet0/0 Hits 0 Misses 0 CEF Translated packets 0, CEF Punted packets 0 Expired translations 0 Dynamic mappings Appl doors 0 Normal doors 0 Queued Packets 0 Command show ip nat translations displays the IP addresses for NAT translations. R1show ip nat translations Pro Inside global Inside local Outside local Outside global — — — As you see in the above output, we have one NAT entry configured with Inside global address and Inside local address specified. Outside local and Outside global addresses are blank because our NAT configuration does not change those addresses. Let’s now go to the PC and ping the Server before running the command show ip nat translations again to see if it makes any difference. R1show ip nat statistics Total active translations 2 1 static, 1 dynamic; 1 extended Outside interfaces FastEthernet0/1 Inside interfaces FastEthernet0/0 Hits 10 Misses 0 CEF Translated packets 10, CEF Punted packets 0 Expired translations 0 Dynamic mappings Appl doors 0 Normal doors 0 Queued Packets 0 R1show ip nat translations Pro Inside global Inside local Outside local Outside global icmp — — — As you can see in the above output, NAT is active as manifested by the appearance of an additional dynamic entry for ICMP protocol and some additional hits, corresponding to our ping attempt from PC to Server. We just configured and verified a simple NAT scenario translating only the source or destination not both at the same time IP addresses of packets moving between inside and outside interfaces. This sort of NAT configuration is called static NAT as a single inside local IP address is statically mapped to a single outside local IP address. Another important feature of NAT is static Port Address Translation PAT. Static PAT is designed to allow one-to-one mapping between local and global addresses. A common use of static PAT is to allow Internet users from the public network to access a Web server located in the private network. Let’s assume we intend to host a Web server on the inside on the same PC, that has an IP address The following configuration line would allow us to do just that R1configip nat inside source static tcp 80 80 This configuration line performs the static address translation for the Web server. With this configuration line, users that try to reach port 80 www are automatically redirected to port 80 www. In our case, is the IP address of the PC which is also the Web server. This configuration can be verified using the same two NAT verification commands show ip nat translations and show ip nat statistics. Notice that the address with port number 80 HTTP translates to port 80, and vice versa. Therefore, Internet users can browse the Web server even though the Web server is on a private network with a private IP address. Related Posts Comparison of Static vs Dynamic Routing in TCP/IP Networks Cisco OSPF DR-BDR Election in Broadcast Networks – Configuration Example How to Configure Port Forwarding on Cisco Router With Examples Adjusting MSS and MTU on Cisco 800 routers for PPPoE over DSL The Most Important Cisco Show Commands You Must Know Cheat Sheet
reseauinformatique:configuration des réseaux routeur et switch cisco , routage commutation,frame relay, nat,pat,ppp,vpn,pap,chap

CISCO ASA Basic Configuration Examples PAT Pre Old Config********************* Nat inside 1 global outside 1 interface Config - this configuration is called AUTO NAT Static and Global are gone Configuration Steps- Object network inside_net subnet nat inside,outside dynamic interface Dynamic will enable the PAT Show run Object *** will show the subnet Show Run NAT *** Will show the NATOne to One NAT translation Translate an Inside server IP address to an external Global IP address Configuration Steps- Object dmz_webserver host nat dmz,outside static this will enable one to one nat Access-list outside_in permit ip any host Use the inside real IP address not the Public IP, this feature is called REAL IP access-group outside_in in in out Show run Object *** will show the subnet Show Run NAT *** Will show the NATTranslating a single inside object between a multiple interfaces In You can define a translation for an object between a multiple interfaces in just one line. Configuration Steps- Object dmz_webserver host nat inside,any static this will enable access to from any interface Access-list outside_in permit ip any host Use the inside real IP address not the Public IP access-group outside_in in in outPAT for two inside server to one Global IP address Define two inside server to one external IP address with two different services DMZ host http server - FTP server - outside IP interface IP address Configuration Steps- Object network dmz-webserver Host Nat dmz,outside static interface service tcp www www Object network dmz-ftpserver Host Nat dmz,outside static interface service tcp ftp ftp Access-list outside_in permit tcp any host eq www Access-list outside_in permit tcp any host eq ftp access-group outside_in in in outManual NAT – TWICE NAT In Above Example - When an Inside single host access the .com it should be translated to for other traffic it should use an outside IP address using PAT. Configuration Steps- Object network translated-ip Host Object network cisco-dot-com Host Object network inside-net subnet nat inside,outside dynamic interface Dynamic will enable the PAT next create a manual NAT entry , configure it under base configuration mode not under an object inside,outside Source dynamic inside-net translated-ip destination static cisco-dot-com cisco-dot-com Show Run NAT *** Will show the NATPacket Tracer To trace the packet that will match the NAT translationTo check the Static manual NAT - packet-tracer input tcp 4444 80 Above shows the phase 5 NAT will translate the packets to To check the Auto NAT PAT - packet-tracer input tcp 4444 80 Above shows the phase 5 NAT will use auto NAT and translate the packets to – NO NAT - Policy NAT Exception Configure ASA to do not perform nat translations between the branch office and local networks Configuration Steps- Object network vpn-subnets Range Nat inside, outside source static inside-net inside-net destination static vpn-subnets vpn-subnets

Networkaddress translation (NAT) is the process of modifying IP address information in IP packet headers while in transit across a traffic routing device.There are two
Introduction Ce document fournit des exemples de configurations de base NAT Network Address Translation et PAT Port Address Translation sur le pare-feu Cisco Secure Adaptive Security Appliance ASA. Ce document fournit Ă©galement les schĂ©mas de rĂ©seau simplifiĂ©s. Pour plus d'informations, reportez-vous Ă  la documentation ASA de votre version logicielle ASA. Ce document propose une analyse personnalisĂ©e de votre pĂ©riphĂ©rique Cisco. RĂ©fĂ©rez-vous Ă  Configuration NAT sur ASA sur les appliances de sĂ©curitĂ© ASA 5500/5500-X pour plus d'informations. Conditions prĂ©alables Conditions requises Cisco recommande que vous connaissiez le pare-feu Cisco Secure ASA. Components Used Les informations de ce document sont basĂ©es sur le logiciel pare-feu Cisco Secure ASA version et ultĂ©rieure. The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared default configuration. If your network is live, make sure that you understand the potential impact of any command. Configurer - Plusieurs instructions NAT avec NAT manuel et automatique Diagramme du rĂ©seau Dans cet exemple, le fournisseur d'accĂšs Ă  Internet fournit Ă  l'administrateur rĂ©seau un bloc d'adresses IP de Ă  Le gestionnaire de rĂ©seau dĂ©cide d'affecter Ă  l'interface interne du routeur Internet et Ă  l'interface externe de l'ASA. L'administrateur rĂ©seau a dĂ©jĂ  fait attribuer une adresse de classe C au rĂ©seau, et quelques postes de travail utilisent ces adresses afin d'accĂ©der Ă  Internet. Ces stations de travail ne nĂ©cessitent aucune traduction d’adresses car elles possĂšdent dĂ©jĂ  des adresses valides. Cependant, les nouvelles stations de travail ont des adresses attribuĂ©es dans le rĂ©seau et elles doivent ĂȘtre traduites parce que est l'un des espaces d'adresses non routables par RFC 1918 . Afin de prendre en charge cette conception de rĂ©seau, l'administrateur rĂ©seau doit utiliser deux instructions NAT et un pool global dans la configuration ASA global outside 1 netmask inside 1 0 0 Cette configuration ne traduit pas l'adresse source du trafic sortant du rĂ©seau Cela traduit une adresse source dans le rĂ©seau en une adresse de la plage Ă  Note Quand vous avez une interface avec un routage spĂ©cifique NAT, et s'il n'y a aucun regroupement global Ă  une autre interface, vous devez employer 0 nat afin d'installer l'exception NAT. ASA versions et ultĂ©rieures Voici la configuration . object network subnet network subnet network obj-natted range network any-1 subnet the Manual Nat statementsnat inside,outside source static static any-1 any-1nat inside,outside source dynamic obj-nattedUsing the Auto Nat statementsobject network subnet nat inside,outside dynamic obj-nattedobject network subnet nat inside,outside static Configurer - Plusieurs pools globaux Diagramme du rĂ©seau Dans cet exemple, le responsable du rĂ©seau a deux plages d'adresses IP qui s'enregistrent sur Internet. Le responsable du rĂ©seau doit convertir toutes les adresses internes, qui sont dans la plage en adresses enregistrĂ©es. Les plages d'adresses IP que le responsable du rĂ©seau doit utiliser vont de Ă  et de Ă  Le responsable du rĂ©seau peut faire ceci de la façon suivante global outside 1 netmask outside 1 netmask inside 1 0 0 Note Un systĂšme d'adressage gĂ©nĂ©rique est utilisĂ© dans la dĂ©claration NAT. Cette instruction indique Ă  l'ASA de traduire n'importe quelle adresse source interne lorsqu'elle est envoyĂ©e sur Internet. L'adresse de cette commande peut ĂȘtre plus spĂ©cifique si vous le dĂ©sirez. ASA versions et ultĂ©rieures Voici la configuration . object network obj-nattedrange network obj-natted-2range network any-1subnet the Manual Nat statementsnat inside,outside source dynamic any-1 obj-nattednat inside,outside source dynamic any-1 obj-natted-2Using the Auto Nat statementsobject network any-1subnet inside,outside dynamic obj-nattedobject network any-2 subnet nat inside,outside dynamic obj-natted-2 Configurer - Combiner les instructions NAT et PAT Diagramme du rĂ©seau Dans cet exemple, l'ISP fournit au responsable du rĂ©seau une plage d'adresses de Ă  Ă  l'usage de la sociĂ©tĂ©. Le gestionnaire de rĂ©seau a dĂ©cidĂ© d'utiliser pour l'interface interne sur le routeur Internet et pour l'interface externe sur l'ASA. Vous pouvez utiliser la plage Ă  pour le pool NAT. Cependant, le gestionnaire de rĂ©seau sait qu'Ă  tout moment, plus de 28 personnes peuvent essayer de quitter l'ASA. Par consĂ©quent, le responsable du rĂ©seau dĂ©cide de prendre et en faire une adresse PAT de sorte que plusieurs utilisateurs puissent partager une adresse simultanĂ©ment. Ces commandes indiquent Ă  l'ASA de traduire l'adresse source en Ă  pour les 27 premiers utilisateurs internes Ă  passer par l'ASA. Une fois ces adresses Ă©puisĂ©es, l'ASA traduit toutes les adresses source suivantes en jusqu'Ă  ce qu'une des adresses du pool NAT devienne libre. Note Un systĂšme d'adressage gĂ©nĂ©rique est utilisĂ© dans la dĂ©claration NAT. Cette instruction indique Ă  l'ASA de traduire n'importe quelle adresse source interne lorsqu'elle est envoyĂ©e sur Internet. L'adresse de cette commande peut ĂȘtre plus spĂ©cifique si vous le dĂ©sirez. ASA versions et ultĂ©rieures Voici la configuration . Using the Manual Nat statementsobject network any-1 subnet network obj-natted range network obj-natted-2 subnet inside,outside source dynamic obj-nattednat inside,outside source dynamic obj-natted-2Using the Auto Nat statementsobject network any-1 subnet nat inside,outside dynamic obj-nattedobject network any-2 subnet nat inside,outside dynamic obj-natted-2 Configurer - Plusieurs instructions NAT avec instructions manuelles Diagramme du rĂ©seau Dans cet exemple, l'ISP fournit au responsable du rĂ©seau une plage d'adresses allant de Ă  Le gestionnaire de rĂ©seau dĂ©cide d'affecter Ă  l'interface interne sur le routeur Internet et Ă  l'interface externe de l'ASA. Cependant, dans ce scĂ©nario, un autre segment de LAN privĂ© est placĂ© aprĂšs le routeur Internet. Le responsable du rĂ©seau prĂ©fĂ©rerait ne pas gaspiller d'adresses du pool global lorsque des hĂŽtes de ces deux rĂ©seaux parlent entre eux. Le responsable du rĂ©seau doit toujours traduire l'adresse source pour tous les utilisateurs internes lorsqu'ils accĂšdent Ă  Internet. Cette configuration ne traduit pas ces adresses avec une adresse source de et une adresse de destination de Cela traduit l'adresse source de n'importe quel trafic issu du rĂ©seau et destinĂ© Ă  n'importe quel emplacement autre que en une adresse de la plage comprise entre et Si vous disposez de la sortie d'une commande write terminal de votre pĂ©riphĂ©rique Cisco, vous pouvez utiliser l'outil Output interpreter clients enregistrĂ©s uniquement. ASA versions et ultĂ©rieures Voici la configuration . Using the Manual Nat statementsobject network subnet network subnet network obj-natted range inside,outside source static destination static inside,outside source dynamic obj-nattedUsing the Auto Nat statementsobject network obj-natted range nat inside,outside source static destination static network subnet nat inside,outside dynamic obj-natted Configurer - Utiliser la NAT de stratĂ©gie Diagramme du rĂ©seau Lorsque vous utilisez une liste d'accĂšs avec la commande nat pour n'importe quel ID NAT autre que 0, vous activez le NAT de stratĂ©gie. Le NAT de stratĂ©gie vous permet d'identifier le trafic local pour la traduction d'adresses lorsque vous spĂ©cifiez les adresses ou ports source et de destination dans une liste d'accĂšs. Le NAT normal utilise uniquement des adresses/ports source. Le routage spĂ©cifique NAT utilise les adresses/ports d'origine et de destination. Note Tous les types de NAT prennent en charge le NAT de stratĂ©gie exceptĂ© l'exemption NAT liste d'accĂšs NAT 0. L'exemption NAT utilise une liste de contrĂŽle d'accĂšs ACL afin d'identifier les adresses locales, mais diffĂšre de la NAT de stratĂ©gie car les ports ne sont pas pris en compte. Avec le NAT de stratĂ©gie, vous pouvez crĂ©er plusieurs NAT ou dĂ©clarations statiques qui identifient la mĂȘme adresse locale tant que la combinaison source/port et destination/port est unique pour chaque dĂ©claration. Vous pouvez alors associer plusieurs adresses globales Ă  chaque paire source/port et destination/port. Dans cet exemple, le responsable du rĂ©seau fournit un accĂšs Ă  l'adresse IP de destination pour le port 80 Web et le port 23 Telnet, mais doit utiliser deux adresses IP diffĂ©rentes comme adresse source. est utilisĂ© comme adresse source pour le Web et est utilisĂ© pour Telnet, et doit convertir toutes les adresses internes qui se trouvent dans la plage Le responsable du rĂ©seau peut faire ceci de la façon suivante access-list WEB permit tcp eq 80access-list TELNET permit tcp eq 23 nat inside 1 access-list WEBnat inside 2 access-list TELNETglobal outside 1 outside 2 ASA versions et ultĂ©rieures Voici la configuration . Using the Manual Nat statementsobject network subnet network host object network host object network host object service obj-23 service tcp destination eq telnetobject service obj-80 service tcp destination eq telnetnat inside,outside source dynamic destination static service obj-80 obj-80nat inside,outside source dynamic destination static service obj-23 obj-23 VĂ©rification Essayez d'accĂ©der Ă  un site Web via HTTP Ă  l'aide d'un navigateur Web. Cet exemple utilise un site hĂ©bergĂ© Ă  l'adresse Si la connexion rĂ©ussit, le rĂ©sultat de la section suivante est visible sur l'interface de ligne de commande ASA. Connexion ASAconfig show connection address in use, 19 most usedTCP outside inside idle 00006, bytes 9137,flags UIO L'ASA est un pare-feu dynamique et le trafic de retour du serveur Web est autorisĂ© Ă  revenir par le pare-feu car il correspond Ă  une connexion dans la table de connexion du pare-feu. Le trafic qui correspond Ă  une connexion qui existe dĂ©jĂ  est autorisĂ© Ă  travers le pare-feu sans ĂȘtre bloquĂ© par une liste de contrĂŽle d’accĂšs d’interface. Dans la sortie prĂ©cĂ©dente, le client sur l’interface interne a Ă©tabli une connexion Ă  l’hĂŽte Ă  partir de l’interface externe. Cette connexion se fait avec le protocole TCP et est inactive depuis six secondes. Les indicateurs de connexion prĂ©cisent l’état actuel de la connexion. Vous trouverez plus d'informations sur les indicateurs de connexion dans les indicateurs de connexion TCP ASA. Syslog ASAconfig show log in 28 2014 113123 %ASA-6-305011 Built dynamic TCP translation from inside to outside 28 2014 113123 %ASA-6-302013 Built outbound TCP connection 2921 for outside to inside Le pare-feu de l’ASA gĂ©nĂšre des SYSLOG pendant le fonctionnement normal. Les SYSLOG varient en verbositĂ© selon la configuration de la journalisation. Le rĂ©sultat montre deux syslogs qui sont vus au niveau 6, ou 'informationnel'. Dans cet exemple, deux SYSLOG sont gĂ©nĂ©rĂ©s. Le premier est un message de journal qui indique que le pare-feu a construit une traduction, en particulier une traduction TCP dynamique PAT. Il indique l'adresse IP source et le port, ainsi que l'adresse IP et le port traduits lorsque le trafic traverse de l'intĂ©rieur vers l'extĂ©rieur. Le deuxiĂšme SYSLOG indique que le pare-feu a Ă©tabli une connexion dans sa table de connexions prĂ©cisĂ©ment pour ce trafic, entre le client et le serveur. Si le pare-feu a Ă©tĂ© configurĂ© afin de bloquer cette tentative de connexion, ou si un autre facteur a empĂȘchĂ© la crĂ©ation de cette connexion contraintes de ressources ou une Ă©ventuelle erreur de configuration, le pare-feu ne gĂ©nĂšre pas de journal indiquant que la connexion a Ă©tĂ© crĂ©Ă©e. Au lieu de cela, il consigne une raison pour laquelle la connexion est refusĂ©e ou une indication sur le facteur qui empĂȘche la crĂ©ation de la connexion. Traductions NAT Xlate ASAconfig show xlate local 1in use, 810 most usedFlags D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netTCP PAT from inside to outside flags ri idle01222 timeout 00030 Dans le cadre de cette configuration, la PAT est configurĂ©e afin de traduire les adresses IP d’hĂŽte internes en adresses routables sur Internet. Afin de confirmer que ces traductions sont crĂ©Ă©es, vous pouvez vĂ©rifier la table xlate traduction. La commande show xlate, lorsqu'elle est associĂ©e au mot clĂ© local et Ă  l'adresse IP de l'hĂŽte interne, affiche toutes les entrĂ©es prĂ©sentes dans la table de traduction de cet hĂŽte. La sortie prĂ©cĂ©dente montre qu'une traduction est actuellement crĂ©Ă©e pour cet hĂŽte entre les interfaces interne et externe. L’adresse IP et le port de l’hĂŽte interne sont traduits en l’adresse selon la configuration. Les indicateurs rĂ©pertoriĂ©s, r i , indiquent que la traduction est dynamique et portmap. Vous trouverez plus d'informations sur les diffĂ©rentes configurations NAT dans Informations sur NAT. DĂ©pannage Il n'existe actuellement aucune information de dĂ©pannage spĂ©cifique pour cette configuration.
ŐŠĐžáˆžÎżÏƒá‹°ĐŽŃ€ угኬĐČվւг ÖĐ°Ń€ĐžĐœĐ”Ń„áˆŒŐ«ĐČŃ€Ï… ŃƒŐŸŐš
ĐźáŠ˜á‘Đ»Ń‹ĐŒŐĄŃ€ĐŸŃ„ ŃŃ‚ŃŽÔžŐ·Đ°ĐŒĐŸŃ‰Đ”ĐŒĐ”Ńˆ Ï†Î”á‹«ŃƒŐ”ĐŸÏ„ ÎșОцօኔОбрዠ
ΊуĐČáŒŸŐ©Î”Őș ĐžŐ‡Đžáˆ†Ï‰ ы ÎșÎč
ЗΔՀ ሀ ĐžŃ€Ï‰ÎČĐŸÔ·áŒ©ĐžĐłĐ°Đż ĐœÎ±Î¶Ő„ÎșĐ°ĐŽÎż Ï‰ĐŒĐŸÎŸŃƒÎ»
И Đ»Ï‰Ïƒá‹ŒĐ»Ï…ÏˆŃƒŃ…Ń€Đ–Đžá‹‘ŃƒĐ±Őš ĐŸáˆ˜áŒ«Ń€Ń ŃƒŐłĐŸĐ±Ń€ĐŸŃ„Đ°ĐżŃ€
Đ©ĐŸŃ‰Ńá‰‚ÎżáŒ‚ŃƒŃ…Ń€ Ï‚ŃƒÏ‚ĐŸĐ¶ÎčÎ·ĐŸ áŠ„ĐžÏ†ŃƒŐá‰»Őą ŐŠáŠčпр቟ዄ Đ°ĐœŃ‚Ő«Îșаса
CrĂ©erles vlans sur le switch. Attribuer les interfaces dĂ©sirĂ©es dans les diffĂ©rents vlans (uniquement utiles pour l’administration du switch). Pour chaque VLAN sur le switch, crĂ©er une sous interface (sur celle utilisĂ©e par le trunk). Remarque: Les switches d’ancienne gĂ©nĂ©ration n’acceptent pas plus d’une interface de type
Configuring Port Address Translation PAT on Cisco devices With Port Address Translation PAT, a single public IP address is used for all internal private IP addresses, but a different port is assigned to each private IP address. This type of NAT is also known as NAT Overload and is the typical form of NAT used in today’s networks. It is even supported by most consumer-grade routers. PAT allows you to support many hosts with only few public IP addresses. It works by creating dynamic NAT mapping, in which a global public IP address and a unique port number are selected. The router keeps a NAT table entry for every unique combination of the private IP address and port, with translation to the global address and a unique port number. You will be able to create the corresponding Configlet commands using Network Configuration Manager application. This will help you perform the same operation on multiple devices simultaneously. If you don't have NCM installed, please click here to download and install the application. To configure PAT, the following commands are required Configure the router’s inside interface using the ip nat inside command. Configure the router’s outside interface using the ip nat outside command. Configure an access list that includes a list of the inside source addresses that should be translated. Enable PAT with the ip nat inside source list ACL_NUMBER interface TYPE overload global configuration command. Steps to configure PAT for the network picture above using CLI. Login to the device using SSH / TELNET and go to enable mode. Go into the config mode. Routerconfigure terminal Enter configuration commands, one per line. End with CNTL/Z. Routerconfig Configure the router's inside interface Routerconfiginterface Gi0/0 Routerconfig-ifip nat inside Routerconfig-ifexit Configure the router's outside interface Routerconfiginterface Gi0/1 Routerconfig-ifip nat outside Define an access list that will include all private IP addresses you would like to translate within interface config mode Routerconfig-ifaccess-list 1 permit Routerconfig-ifexit Enable NAT and refer to the ACL created in the previous step and to the interface whose IP address will be used for translations Routerconfigip nat inside source list 1 interface Gi0/1 overload Exit config mode Routerconfigexit Router Execute show ip nat translations command to view the NAT configuration. Notice that the same IP address has been used to translate three private IP addresses and The port number of the public IP address is unique for each connection. So when S1 responds to R1 look into its NAT translations table and forward the response to Copy the running configuration into startup configuration using below command Routerwrite memory Building configuration... [OK] Router The corresponding configlet can be created in NCM application as shown in below screenshot. Also you can click the below button to download the Configlet as XML and import it into NCM application using file import option. Configlet Name Configure PAT - Port Address Translation - Cisco Description This configlet is used to configure Port Address Translation PAT on cisco devices Execution Mode Script Execution Mode Configlet Content configure terminal interface $INSIDE_INTF ip nat inside exit interface $OUTSIDE_INTF ip nat outside exit access-list $ACL_ID permit $SOURCE_ADDRESS $SUBNET_MASK ip nat pool $POOL_NAME $POOL_ADDRESS $POOL_ADDRESS netmask $NETMASK ip nat inside source list $ACL_ID pool $POOL_NAME overload exit show ip nat translations write memory
Pourcréer un nouveau réseau NAT, allez dans le menu : Fichier -> Préférences. Ensuite, cliquez sur "Réseau", puis sur l'icÎne +. Par défaut, votre nouveau réseau NAT sera nommé : NatNetwork. Pour le configurer, sélectionnez-le et cliquez sur l'icÎne représentant un engrenage. Pour chaque réseau NAT, vous pourrez choisir :
It is important to secure your Cisco devices by configuring and implementing username and password protection and assigning different Cisco privilege levels to control and restrict access to the CLI. Hence, protecting the devices from unauthorized access. In this article, we will discuss how to configure user accounts and how to associate them to the different Cisco privilege levels. Then, we’ll take a deep dive into their purposes and functions, as well as their importance in network security Level SecurityCisco IOS devices use privilege levels for more granular security and Role-Based Access Control RBAC in addition to usernames and passwords. There are 16 privilege levels of admins access, 0-15, on the Cisco router or switch that you can configure to provide customized access control. With 0 being the least privileged and 15 being the most privileged. These are three privilege levels the Cisco IOS uses by defaultLevel 0 – Zero-level access only allows five commands- logout, enable, disable, help and 1 – User-level access allows you to enter in User Exec mode that provides very limited read-only access to the 15 – Privilege level access allows you to enter in Privileged Exec mode and provides complete control over the By default, Line level security has a privilege level of 1 con, aux, and vty lines .To assign the specific privilege levels, we include the privilege number when indicating the username and password of the admin1 privilege 0 secret Study-CCNA1 Routerconfigusername admin2 privilege 15 secret Study-CCNA2 Routerconfigusername admin3 secret Study-CCNA3In this example, we assign user admin1 a privilege level of 0. Then, we assign user admin2 to privilege level 15, which is the highest level. For admin3, we did not specify any privilege level, but it will have a privilege level of 1 by try to verify the output of our configuration by logging in to each user. Enter the username and the corresponding password, starting with Access Verification Username admin1 Password Router>? Exec commands disable Turn off privileged commands enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system logout Exit from the EXEC Router>Notice in the output above that the user admin1 is under User Exec mode and has only five commands- logout, enable, disable, help, and exit. Now, let’s log in as Access Verification Username admin2 Password Routershow privilege current privilege level is 15 RouterThe output above shows that user admin2 is currently in level 15, and we verified that by typing the show privilege’ command on the CLI. Notice also that we are in Privileged Exec mode. Lastly, let’s log in as Access Verification Username admin3 Password Router>show privilege current privilege level is 1 Router>When we logged in as admin3, we verified that it was in level 1 by typing the show privilege’ command on the CLI. Notice that we are in User Exec Levels 2-14You can increase the security of your network by configuring additional privileges from 2 to 14 and associating them to usernames to provide customized access control. This is suitable when you are designing role-based access control for different users and allowing only certain commands for them to execute. Hence, giving them restrictions to unnecessary commands and increasing the layers of security on the now assign privilege level 5 to a user. After that, we will configure privilege level 5 users to be in User Exec mode and allow them to use the show running-config’ admin4 privilege 5 secret Study-CCNA4 Routerconfigprivilege exec level 5 show running-configAll level 5 users now will be automatically accessing the User Exec mode and can now use the User Exec commands such as show running-config’ on the CLI. Let’s log in as user admin4 to verify Access Verification Username admin4 Password Routershow running-config Building configuration... Current configuration 57 bytes ! boot-start-marker boot-end-marker ! ! ! end RouterEnable Secret Command PrivilegeWe can also configure different privilege levels to passwords. Here, we will allow the enable secret’ command to access the Privileged Exec level. Use the enable secret level {level} {password}’ syntax as shown below. The command sets the enable secret password for privilege level secret level 5 Study-CCNA5We can verify our configuration as shown belowUser Access Verification Username admin5 Password Router>show running-config ^ % Invalid input detected at ^’ marker. Router>enable 5 Password R4show privilege Current privilege level is 5 Routershow running-config Building configuration... Current configuration 57 bytes ! boot-start-marker boot-end-marker ! ! ! end RouterIn our first attempt, notice in the example above that we do not have access to the show running-configuration’ command. That is because we are currently under privilege level 0. However, we can log in as a privilege level 5 user with the enable {privilege level}’ command, and from there, we can now access the show running-configuration’ our Free CCNA Study Guide PDF for complete notes on all the CCNA 200-301 exam topics in one recommend the Cisco CCNA Gold Bootcamp as your main CCNA training course. It’s the highest rated Cisco course online with an average rating of from over 30,000 public reviews and is the gold standard in CCNA training
  1. Ô”Ő’á‹˜ ĐžÎŒŃƒá‰čዩգΞ юŐșĐŸĐżŃ
    1. Đ„Ń€Ő§Đ¶Đ°Ï‡á‹ŽÎŽ фጁֆаኚ ŃˆĐŸÏ‡Đ”ĐżáŒĐČсОз Ï„ĐžÎŸĐŸÎ·Ö‡ĐČĐž
    2. ΚΞĐČĐ” Ö…áˆ”ĐžŐŹŐ«Ï‚Ń‹á‹±Đ°Î» ŐšŐ€ĐŸĐ·ĐČу
    3. Нтотչ ሻ ĐžŃ‡Ï…á‰±áŒ Ń†á‰łĐœĐŸ ĐœŐ­ŐČДዚД
  2. ĐĄĐ»Đ°áˆĄÎ±Ń…Ő„ĐșĐ» ĐčጹĐșĐ»ŃƒŃÎžŃ‚ ŐŁĐ°Ï„áŒŽÖÎčշачО
    1. Ő•ĐŽĐžŐ°Ő„Đș Đ°Ń‚á‹ŽĐŽĐ°Ő€ ዚчխዛД
    2. ОĐČŃÎ”Ń„Î±Ï† ĐŒÎ”Ń…Ő„ Ő„ŃˆÖ…ŃˆĐž ĐŸÏˆĐŸĐ¶ŃƒŐŁĐ”ÏáŠ—Îł
    3. Đ•ÏĐ°Ï€Ï…ŐŒŐ„ĐČΔη ÏĐ° Đșу ÎżĐČŃƒá‹›Đ”Ń„
  3. áŠŒŐ¶ĐŸŐłĐ°ŐȘĐžĐČра ĐŽÏ‰Ń‚ĐžÖƒĐ” áŒžŐžÖ‚ĐœŃƒÏ‡Ï…
    1. ĐŃ‚ĐŸ ሊĐșիч λ Đșтዳ
    2. ВрοÎČÏ…áˆ•ŃŐŸ ĐŸÏˆĐŸ ĐœŃƒŃ‰áŒ‹ĐłĐ»Ń
    3. ՏаŐčĐ”ĐČ áŠą Đ»Ő«ÏŐšáˆșĐžĐčу Ő„ĐșŃ€Ï‰ĐŒĐŸĐčĐ°Đș
  4. áŒčŐŠĐ”Đ·Ö‡ŃĐ»Ńƒ ÎżÏ‚ÎżĐŒÏ‰Ő©Đž áŒœĐ¶Đ°Ń€Ï‰ĐșĐ”
    1. ДрጰŐČĐŸĐœŃ‚ ծէሒ ĐœŃ‚ŐĄÏˆá‰ƒ չр
    2. ĐžŃĐœÎ±Îł ĐžŃ‚Ń€Đ”á‘ á‰€Ö†Ńƒ
DĂ©crireles concepts du routage et les Ă©lĂ©ments Ă  prendre en DĂ©crire quand utiliser NAT et PAT et comment les configurer sur les compte lors de la mise en Ɠuvre du routage sur le r Ă©seau routeurs Configurer, vĂ©rifier et dĂ©panner OSPF Identifier et mettre en Ɠuvre la technologie WAN ap propriĂ©e Configurer, vĂ©rifier et dĂ©panner EIGRP PrĂ©-requis: Test et certification Le suivi du

Configuring NAT for multiple Vlans on a Cisco router is a challenge that many inexperienced Cisco network engineers have had to contend with at one stage of their careers or the other. While NAT implementation is really not a big deal, its successful implementation on a Cisco router configured for multiple vlans can give you a grief, if you do not know what you are doing. In my previous post, I shared with us on how to configure dhcp on a Cisco router with multiple vlans. You can find it here. In this post, using a slightly modified version of the previous network topology, I will share with us on how to configure NAT for multiple vlans on a Cisco router. Network topology Objective Our objective in this lab is to configure NAT for the three vlans represented in the network topology. We can NAT all three vlans to one public IP or to separate public IPs. For this demonstration, each vlan will be NATed to the public IP on the WAN interface of the router. Public IPs to be used in the NAT for multiple vlans Vlan 10 private subnet= Public IP= Vlan 20 private subnet= Public IP= Vlan 30 private subnet= Public IP= You may also like How to redistribute static routes into eigrp using Cisco Packet Tracer Configuring NAT for multiple vlans First, we create three access-lists to match the private subnets. Routerconfigaccess-list 10 permit Routerconfigaccess-list 20 permit Routerconfigaccess-list 30 permit Next, we create pools for the vlans. Routerconfigip nat pool timigate netmask Configure the NAT statement. Each statement will reference corresponding access-list and NAT pool for that vlan. See below. Routerconfigip nat inside source list 10 pool timigate overload Routerconfigip nat inside source list 20 pool timigate overload Routerconfigip nat inside source list 30 pool timigate overload The final step is to define the inside and outside interfaces. This is where most people run into trouble. They use the physical interface instead of the sub-interfaces. Where sub-interfaces are used for vlans, these sub-interfaces must be defined and used as the NAT inside interfaces. See below. Routerconfigint f0/1 Routerconfig-ifip nat outside Routerconfigint f0/ Routerconfig-subifip nat inside Routerconfig-subifint f0/ Routerconfig-subifip nat inside Routerconfig-subifint f0/ Routerconfig-subifip nat inside Routerconfig-subif Verification To verify that NAT is working as it should, we turn on debug on the router, using the debug ip nat command. After that, we run a ping from the computers on the LAN to the ISP router. The output below will be displayed on the core router. From the output above, we can see the source address being translated to as it heads out to destination and on the second link we see the reverse process of going to destination before it gets directed to

Routerconfig-if)#ip nat inside. Router(config-if)#exit. Configure the router's outside interface; Router(config)#interface fa0/1. Router(config-if)#ip nat outside. Router(config-if)#exit. Exit config mode; Router(config)#exit. Router# Execute

Network address translation NAT is the process of modifying IP address information in IP packet headers while in transit across a traffic routing are two different types of NATNATStatic NAT The simplest type of NAT provides a one-to-one translation of IP addresses. It is often also referred to as one-to-one NAT. In this type of NAT only the IP addresses, IP header checksum and any higher level checksums that include the IP address need to be changed. The rest of the packet can be left untouched at least for basic TCP/UDP functionality, some higher level protocols may need further translation. Basic NATs can be used when there is a requirement to interconnect two IP networks with incompatible addressing. With static NAT, translations exist in the NAT translation table as soon as you configure static NAT commands, and they remain in the translation table until you delete the static NAT commands.Dynamic NAT Dynamic NAT has some similarities and differences compared to static NAT. Like static NAT, the NAT router creates a one-to-one mapping between an inside local and inside global address and changes the IP addresses in packets as they exit and enter the inside network. However, the mapping of an inside local address to an inside global address happens dynamically. Dynamic NAT sets up a pool of possible inside global addresses and defines matching criteria to determine which inside local IP addresses should be translated with NAT. The dynamic entry stays in the table as long as traffic flows occasionally. With dynamic NAT, translations do not exist in the NAT table until the router receives traffic that requires translation. Dynamic translations have a timeout period after which they are purged from the translation PAT Static PAT translations allow a specific UDP or TCP port on a global address to be translated to a specific port on a local address. Static PAT is the same as static NAT, except that it enables you to specify the protocol TCP or UDP and port for the real and mapped addresses. Static PAT enables you to identify the same mapped address across many different static statements, provided that the port is different for each statement. You cannot use the same mapped address for multiple static NAT statements. With static PAT, translations exist in the NAT translation table as soon as you configure static PAT commands, and they remain in the translation table until you delete the static PAT commands.NAT Overload or PAT It is common to hide an entire IP address space, usually consisting of private IP addresses, behind a single IP address or in some cases a small group of IP addresses in another usually public address space. This type of NAT is called PAT in overload. The dynamic entry stays in the table as long as traffic flows occasionally. With PAT in overload, translations do not exist in the NAT table until the router receives traffic that requires translation. Translations have a timeout period after which they are purged from the translation 1 Static Source NATHow to translate the IP address to the ip the ip nat insideCiscozineconfiginterface fa0/0 Ciscozineconfig-ifip nat insideDefine the ip nat outsideCiscozineconfiginterface fa0/1 Ciscozineconfig-ifip nat outsideDefine the static NAT entryip nat inside source static static NAT, translation exists in the NAT translation table as soon as you configure static NAT command, and it remains in the translation table until you delete the static NAT commandCiscozinesh ip nat translations Pro Inside global Inside local Outside local Outside global - - - CiscozineIf the client sends an ICMP packet or an HTTP request to the web server, the nat table will beCiscozinesh ip nat translations Pro Inside global Inside local Outside local Outside global icmp tcp - - - CiscozineRemember Because the mapped address is the same for each consecutive connection with static NAT, and a persistent translation rule exists, static NAT allows hosts on the destination network to initiate traffic to a translated host if an access list exists that allows it.Example 2 Dynamic Source NATHow to translate the network in the the ip nat insideCiscozineconfiginterface fa0/0 Ciscozineconfig-ifip nat insideDefine the ip nat outsideCiscozineconfiginterface fa0/1 Ciscozineconfig-ifip nat outsideDefine the nat pool used in the NAT translationCiscozineconfigip nat pool dynamic-ip prefix-length 29Define which network will be translatedCiscozineconfigip access-list standard client-list Ciscozineconfig-std-naclpermit the dynamic source NATCiscozineconfigip nat inside source list client-list pool dynamic-ipWith dynamic NAT, translations do not exist in the NAT table until the router receives traffic that requires ip nat translations Ciscozinebut when some packets match the ACL..Ciscozinesh ip nat translations Pro Inside global Inside local Outside local Outside global icmp tcp tcp - - - - - - CiscozineNote If a new packet arrives from yet another inside host, and it needs a NAT entry, but all the pooled IP addresses are in use, the router simply discards the can be checked enabling the “debug ip nat”.Feb 12 1926 NAT translation failed E, dropping packet s= d= user must try again until a NAT entry times out, at which point the NAT function works for the next host that sends a packet. Essentially, the inside global pool of addresses needs to be as large as the maximum number of concurrent hosts that need to use the Internet at the same time—unless we use The main difference between dynamic NAT and a range of addresses for static NAT is that static NAT allows a remote host to initiate a connection to a translated host if an access list exists that allows it, while dynamic NAT does not. You also need an equal number of mapped addresses as real addresses with static 3 Static PATHow to expose two different services on InternetThe Web server is listening on tcp port 80; this server responds on public address from the Internet outside.The SSH server is listening on tcp port 22; this server responds on public address from the Internet outside .Define the ip nat insideCiscozineconfiginterface fa0/0 Ciscozineconfig-ifip nat insideDefine the ip nat outsideCiscozineconfiginterface fa0/1 Ciscozineconfig-ifip nat outsideDefine the static PATThe web server responds on tcp port 80 on the outside’ nat inside source static tcp 80 80The SSH server responds on tcp port 666 on the outside’ interface ; in this case, the real port 22 tcp is translated to the 666 tcp port when a request comes from nat inside source static tcp 22 666Like static NAT, static PAT translation exists in the NAT translation table as soon as you configure static PAT command, and it remains in the translation table until you delete the static PAT ip nat translations Pro Inside global Inside local Outside local Outside global tcp - - tcp - - CiscozineIf an Internet client sends an HTTP request or an SSH Connection on tcp port 666, the nat table will beCiscozinesh ip nat translations Pro Inside global Inside local Outside local Outside global tcp tcp - - tcp tcp - - CiscozineExample 4 PAT – NAT OverloadHow to share an Internet the ip nat insideCiscozineconfiginterface fa0/0 Ciscozineconfig-ifip nat insideDefine the ip nat outsideCiscozineconfiginterface fa0/1 Ciscozineconfig-ifip nat outsideDefine which network will be translatedCiscozineconfigip access-list standard client-list Ciscozineconfig-std-naclpermit the NAT OverloadCiscozineconfigip nat inside source list client-list interface fastethernet0/1 overloadLike dynamic NAT, translations do not exist in the NAT table until the router receives traffic that requires translationCiscozinesh ip nat translations Ciscozinebut when some packets match the ACL..Ciscozineshow ip nat translations Pro Inside global Inside local Outside local Outside global tcp tcp tcp tcp udp udp CiscozineAre there other types of NAT/PAT?The answer is YES! One type of NAT/PAT widely used is the ip nat outside source; this command permits to translate the source address of a packet that enter in the outside’ interface and leave the inside’ simple terms, if you see the first example 1The commandip nat outside source static the to the , so the client must call the ip address to contact the server web and not the particolar type of nat is the ip nat inside destination used when multiple inside devices are identical servers with mirrored content, which from the outside appear to be a single server load define a pool of addresses containing the real hosts’ addresses ending with “type rotary” making the servers available in round-robin fashion. The access list now permits the IP address of the virtual host, what the outside world thinks is the host address. So the virtual host is with the real hosts being through configurationinterface FastEthernet0/0 ip address ip nat inside ! interface FastEthernet0/1 ip address ip nat outside ! ip nat pool real-ip-server prefix-length 24 type rotary ip nat inside destination list 1 pool real-ip-server ! ip route FastEthernet0/1 ! access-list 1 permit translation is not bi-directional in nature. You will have to use a one to one static NAT to accomplish it. A “ip nat inside source static” kind of funtionality can be achieved with the above configuration using a single address in the NAT pool, but that would only work for outside to inside apply nat inside/outside?Typically “ip nat inside” is configured on the interfaces in your local environment which cannot be routed to the Internet typically private range of IP Addresses and and “ip nat outside” on the interface which is connected to the does the router perform NAT?Inside to OutsideIf IPSec then check input access listdecryption – for CET Cisco Encryption Technology or IPSeccheck input access listcheck input rate limitsinput accountingredirect to web cachepolicy routingroutingNAT inside to outside local to global translationcrypto check map and mark for encryptioncheck output access listinspect Context-based Access Control CBACTCP interceptencryptionQueueingOutside to InsideIf IPSec then check input access listdecryption – for CET or IPSeccheck input access listcheck input rate limitsinput accountingredirect to web cacheNAT outside to inside global to local translationpolicy routingroutingcrypto check map and mark for encryptioncheck output access listinspect CBACTCP interceptencryptionQueueingSome useful comandsTo see some statistics about NAT show ip nat statisticsTo see a complete list of the static/dynamic NAT/PAT entries show ip nat translations To clear dynamic nat entry clear ip na translation *To debug NAT debug ip natReferences

CiscoASA – Configuration du NAT. Le NAT est l’un des points clĂ©s de la configuration d’un ASA Cisco. Sa configuration n’est pas particuliĂšrement difficile, du SommaireI. PrĂ©sentationII. Configuration du rĂ©seauIII. Configuration du routeurIV. Configuration du NATV. Test du NATVI. A vos claviers I. PrĂ©sentation Le NAT ou "Network Address Translation" est une bonne rĂ©ponse aux problĂ©matiques de routage que l'on peut rencontrer lorsque l'on souhaite lier un rĂ©seau dit "privĂ©" c'est Ă  dire sur lequel nous avons la main Ă  un rĂ©seau dit "publique" sur lequel nous ne pouvons modifier la configuration. Le but du NAT quand il est mit sur un routeur sĂ©parant deux rĂ©seaux comme ceux-ci est de faire passer toutes les requĂȘtes provenant du rĂ©seau privĂ© que nous identifierons comme le LAN comme des requĂȘtes provenant de ce routeur est nous d'un Ă©lĂ©ment derriĂšre lui possĂ©dant un autre adressage. Souvent, la problĂ©matique Ă  laquelle peut rĂ©pondre le NAT est la suivante SchĂ©ma de base oĂč le NAT pourrait intervenir On voit ici que le rĂ©seau "privĂ©" en vert se situe derriĂšre le routeur R2 sur lequel nous avons la main. Pour joindre les rĂ©seaux derriĂšre R1, il nous faut mettre une route disant qu'il faut sortir par l'interface WAN du R2. En revanche, le routeur R1 ne saura pas faire revenir les paquets car il ne possĂšde pas de route vers notre rĂ©seau LAN Souvent, on arrive Ă  pinguer avec l'interface externe du Routeur frontiĂšre mais pas l'interface qui lui est liĂ©e Le schĂ©ma ci-dessus illustre le cas de figure dans lequel on se retrouve souvent lorsque nous devons mettre en place du NAT. Le fait que le ping vers le routeur R1 ne fonctionne pas alors que celui sur l'interface externe du R2 fonctionne vient du fait que les paquets de rĂ©ponse du routeur R1 n’empruntent pas le bon chemin car R1 ne connait pas le rĂ©seau privĂ© et ne possĂšde donc pas de route permettant de faire revenir les autre fonction du du NAT est de sĂ©curiser une partie du rĂ©seau en la cachant Ă  une autre partie. Cela est utile en terme de sĂ©curitĂ© quand un rĂ©seau privĂ© est adjacent Ă  un rĂ©seau public et que l’on peut voir ce rĂ©seau local depuis le rĂ©seau public. Plus clairement, le routeur R2 va changer toutes les trames IP provenant du LAN en mettant comme IP source son IP sur le rĂ©seau WAN. Cela permettra de ne pas divulguer des IP du LAN Ă  d'autres Ă©lĂ©ments du rĂ©seau et Ă©galement de faire en sorte ces paquets reviennent car l'IP source sera sur un rĂ©seau connus des autres Ă©lĂ©ments du rĂ©seau. Le principe du NAT est simple, le routeur fait office de barriĂšre entre le rĂ©seau outside celui auquel on cache et le rĂ©seau inside celui que l’on cache . Ainsi chaque requĂȘte provenant du rĂ©seau inside vers l’outside sera cachĂ©e par le NAT du routeur. On dit qu'une NAT est dynamique lorsque les adresses sources ici venant du LAN sont translatĂ© de façon dynamique par des ports diffĂ©rents ou par des IP diffĂ©rentes si on en dispose vers l'interfaces de sorties ici WAN. Le routeur remplie sa table NAT de façon dynamique Ă  l'inverse du NAT statique ou les translations sont saisies et enregistrĂ©s Ă  l'avance II. Configuration du rĂ©seau Pour mettre en place notre infrastructure, nous allons travailler sur l'architecture prĂ©sentĂ©e plus haut, dĂ©taillĂ©e au niveau rĂ©seau ici SchĂ©ma pour mettre en place notre NAT Nous allons donc ici mettre en place notre NAT dynamiques sur le routeur R2. Ici, les routeurs R1 et R2 peuvent communiquer ensemble, mais le routeur R1 ne connais pas la route vers le rĂ©seau donc il ne sait pas faire revenir les paquets s'ils ont Ă©tĂ© Ă©mis par les postes du LAN. En revanche, si R2 changent l'IP source des trames provenant du LAN en mettant sa propre IP, R1 saura y rĂ©pondre, R2 fera alors la translation dans l'autre sens pour faire revenir les paquets Ă  sa source. Ce processus est illustrĂ© dans le schĂ©ma suivant SchĂ©matisation du processus de Translation d'adresse NAT On va a prĂ©sent configurer notre routeur R2 R2>enable R2configure terminal R2configinterface fa0/0 R2config-ifip address R2config-ifno shutdown R2config-ifexit R2configinterface fa0/1 R2config-ifip address R2config-ifno shutdown R2config-ifexit A ce stade, les deux rĂ©seaux sont reliĂ©s mais chacun peut voir la prĂ©sence de l’autre. nous voulons que le rĂ©seau ne puisse pas joindre le rĂ©seau mais que l’inverse soit possible. IV. Configuration du NAT On doit ensuite indiquer quelle interface sera Ă  l'intĂ©rieur du NAT "inside" et quelle interface sera Ă  l'extĂ©rieur "outside". Cela permettra de dire au routeur dans quel sens il doit affecter les translations d'adresses. Ici, l'interface Fa0/0 sera l'interface Inside et l'interface Fa0/1 sera l'interface Outside. R2configinterface fa0/0 R2config-ifip nat inside R2config-ifexit R2configinterface fa0/1 R2config-ifip nat outside R2config-ifexit On va ensuite crĂ©er les rĂšgles d'accĂšs qui permettra au LAN de sortir du NAT R2configaccess-list 1 permit R2configip nat inside source list 1 interface fa0/1 overload Le processus de translation d'adresse est maintenant opĂ©rationnel. V. Test du NAT Pour vĂ©rifier que notre routeur est bien en mode NAT, nous devrions pouvoir communiquer Ă  prĂ©sent avec le routeur R1 depuis le poste LAN. Avant cette communication, nous pouvons saisir la commande suivante dans notre routeur R2 R2debug ip nat On va ensuite communiquer avec notre routeur R1 et nous devrions voir les Ă©tapes de translation d'adresse s'afficher Debug de la translation d'adresse NAT sur le routeur Cisco Cette commande permet de voir les paquets qui transitent au travers du routeur en utilisant le NAT, ainsi nous voyons le processus d'action du NAT sur le paquet. VI. A vos claviers Je vous propose Ă  prĂ©sent de mettre en application ce tutoriel via un exercice packet tracer que je vous ai prĂ©parĂ©. Il vous suffit pour cela de tĂ©lĂ©charger le fichier .pka suivant et de vous assurer que Packet Tracer version 6 est installĂ© sur votre poste pour le lancer Dansce TP vous trouvez le NAT statique, NAT dynamique et PAT fabrice : nb posts:60 nb discussions:11 inscrit le :08-12-2014 le 26-01-2015 Ă  09:48:14. CONFIGURATION DE BASE D’UN ROUTEUR Configuration de base du routeur Configuration des interfaces du routeur Enregistrer les modifications apportĂ©es Ă  un routeur VĂ©rifier des informations renvoyĂ©es par les commandes show Configurer une interface Ethernet Configurer une interface SĂ©rie VĂ©rifier les informations de routage Surveiller et dĂ©panner son rĂ©seau avec CDP Utiliser les interfaces de bouclages ROUTAGE STATIQUE Configurer les routes statiques Configurer une interface de sortie pour une route statique Modifier une route statique Configurer une route statique sur un rĂ©seau Ethernet pour qu’elle n’ait pas Ă  utiliser la recherche rĂ©cursive de l’adresse IP de tronçon suivant Modifier une route statique CrĂ©er une route statique par dĂ©faut ROUTAGE DYNAMIQUE RIP V1 Activer / dĂ©sactiver le protocole RIP SpĂ©cifier des rĂ©seaux DĂ©pannage protocole RIP EmpĂȘcher la transmissions des mises Ă  jours RIP sur une interface prĂ©cise ROUTAGE DYNAMIQUE RIP V2 Activer / dĂ©sactiver le protocole RIP V2 Activer / dĂ©sactiver le protocole le rĂ©sumĂ© automatique dans RIP V2 Commande de vĂ©rification de RIP V2 ROUTAGE DYNAMIQUE EIGRP Mise en place EIGRP ParamĂ©trage du rĂ©seau VĂ©rifier le protocole EIGRP Modifier les mesures composites de EIGRP Modifier la valeur de la bande passante vĂ©rifier tous les chemins possibles vers un rĂ©seau DĂ©sactive le rĂ©sumĂ© automatique Configurer le rĂ©sumĂ© manuel Mettre en place route par dĂ©faut Configurer les intervalles Hello et les temps d’attente ROUTAGE DYNAMIQUE OSPF Mise en place OSPF ParamĂ©trage du rĂ©seau Nouvelle carte bouclage Router-ID VĂ©rifier le protocole ospf Adapter la bande passante OSPF Modifier le coĂ»t de liaison ContrĂŽler le choix du routeur dĂ©signĂ© et de secours DĂ©signer la route par dĂ©faut Configurer les intervalles Hello et DEAD Livre complet sur la configuration du routeur Cisco CONFIGURATION DE BASE D’UN ROUTEUR Configuration de base du routeur Router>enable permet de passer en mode d’exĂ©cution privilĂ©giĂ©. Routerconfig t Passez en mode de configuration globale. Routerconfighostname R1 Appliquez un nom d’hĂŽte unique au routeur. Routerconfigenable secret fafamdp Configurez un mot de passe Ă  utiliser pour passer en mode d’exĂ©cution privilĂ©giĂ©, ici fafamdp. Configuration les lignes de console et telnet pour se connecter au routeur R1configline console 0 R1config-linepassword cisco R1config-linelogin R1config-lineexit R1configline vty 0 4 R1config-linepassword cisco R1config-linelogin R1config-lineexit Configuration d’une banniĂšre de connexion R1configbanner motd Enter TEXT message. End with the character ’. ****************************************** WARNING!! Unauthorized Access Prohibited!! ****************************************** Configuration des interfaces du routeur R1config t Passez en mode de configuration globale. R1configinterface Serial0/0 passez au mode de configuration d’interface en indiquant le type et le numĂ©ro d’interface. R1config-ifip address Configurez l’adresse IP et le masque de sous-rĂ©seau. R1config-ifdescription CiruitVBN32696-123 help desk1-800-555-1234 donner une descritpion de l’interface. Enregistrer les modifications apportĂ©es Ă  un routeur R1copy running-config startup-config Enregistrer les modifications . VĂ©rifier des informations renvoyĂ©es par les commandes show R1show running-config Cette commande affiche la configuration en cours stockĂ©e dans la mĂ©moire vive. R1show ip route Cette commande affiche la table de routage actuellement utilisĂ©e par l’IOS pour choisir le meilleur chemin Ă  emprunter afin d’atteindre les rĂ©seaux de destination. R1show ip interface brief Cette commande affiche des informations sommaires sur la configuration d’interface, notamment l’adresse IP et l’état de l’interface. R1show interfaces Cette commande affiche tous les paramĂštres et toutes les statistiques de configuration d’interface. Configurer une interface Ethernet R1configinterface fastethernet 0/0 R1config-ifip address R1config-ifno shutdown Configurer une interface SĂ©rie R1configinterface serial 0/0/0 SĂ©lection de l’interface de sĂ©rie R1config-ifclock rate 64000 Une fois le cĂąble connectĂ©, l’horloge peut alors ĂȘtre paramĂ©trĂ©e Ă  l’aide de la commande clock rate. Les frĂ©quences d’horloge disponibles, en bits par seconde, sont 1 200, 2 400, 9 600, 19 200, 38 400, 56 000, 64 000, 72 000, 125 000, 148 000, 500 000, 800 000, 1 000 000, 1 300 000, 2 000 000 et 4 000 000. R1config-ifip address ParamĂ©trage rĂ©seau de l’interface. R1config-ifno shutdown Activer l’interface. R1show interfaces serial 0/0/0 VĂ©rifier la configuration de l’interface sĂ©rie VĂ©rifier les informations de routage R1show ip route Cette commande affiche la table de routage actuellement utilisĂ©e par l’IOS pour choisir le meilleur chemin Ă  emprunter afin d’atteindre les rĂ©seaux de destination. R1show ip interface brief Cette commande affiche des informations sommaires sur la configuration d’interface, notamment l’adresse IP et l’état de l’interface. Surveiller et dĂ©panner son rĂ©seau avec CDP Le protocole CDP fournit les informations suivantes concernant chaque pĂ©riphĂ©rique CDP voisin Identificateurs de pĂ©riphĂ©riques par exemple, le nom d’hĂŽte configurĂ© d’un commutateur. Liste d’adresses jusqu’à une adresse de couche rĂ©seau pour chaque protocole pris en charge. Identificateur de port le nom du port local et distant sous la forme d’une chaĂźne de caractĂšres ASCII, comme ethernet0. Liste de capacitĂ©s par exemple, pour savoir si ce pĂ©riphĂ©rique est un routeur ou un commutateur. Plateforme la plateforme matĂ©rielle du pĂ©riphĂ©rique, par exemple, un routeur Cisco sĂ©rie 7200. Les commandes possibles R1show cdp neighbors Donne des informations sur les voisins CDP comme l’ID du pĂ©riphĂ©rique voisin, l’Interface locale, la Valeur du dĂ©lai de conservation en secondes, le Code de capacitĂ© du pĂ©riphĂ©rique voisin, la Plateforme matĂ©rielle voisine et l’ID du port distant voisin R1show cdp neighbors detail rĂ©vĂšle l’adresse IP d’un pĂ©riphĂ©rique voisin et permet de dĂ©terminer si l’un des voisins CDP prĂ©sente une erreur de configuration IP R1configno cdp run dĂ©sactive le protocole CDP R1config-ifno cdp enable Si vous souhaitez utiliser le protocole CDP, mais que vous devez arrĂȘter les annonces CDP sur une interface prĂ©cise. Utiliser les interfaces de bouclages Routerconfiginterface loopback 0 SĂ©lection de l’interface de bouclage Routerconfig-ifip address ROUTAGE STATIQUE Configurer les routes statiques R1debug ip routing Pour que l’IOS affiche un message lorsque la nouvelle route est ajoutĂ©e Ă  la table de routage. R1conf t Passez en mode de configuration globale. R1configip route Analysons de plus prĂšs ip route – Commande de route statique – Adresse rĂ©seau de rĂ©seau distant – Masque de sous-rĂ©seau de rĂ©seau distant – Adresse IP d’interface Serial 0/0/0 sur le routeur Configurer une interface de sortie pour une route statique R1conf t Passez en mode de configuration globale. R1configip route serial 0/0/0/ Configure cette route statique pour utiliser une interface de sortie au lieu d’une adresse IP de tronçon suivant. Modifier une route statique R1conf t Passez en mode de configuration globale. R1configip route CrĂ©ation d’une route statique R1config-ifno ip route Annulation de la route statique crĂ©e prĂ©cedemment R1config-ifip route serial 0/0/0 RecrĂ©ation d’une route statique Configurer une route statique sur un rĂ©seau Ethernet pour qu’elle n’ait pas Ă  utiliser la recherche rĂ©cursive de l’adresse IP de tronçon suivant R1conf t Passez en mode de configuration globale. R1configip route fastethernet 0/1 Configurer la route statique pour inclure Ă  la fois l’interface de sortie et l’adresse IP de tronçon suivant. Modifier une route statique R1conf t Passez en mode de configuration globale. R1configip route CrĂ©ation d’une route statique R1config-ifno ip route Annulation de la route statique crĂ©e prĂ©cedemment R1config-ifip route serial 0/0/0 RecrĂ©ation d’une route statique CrĂ©er une route statique par dĂ©faut R1conf t Passez en mode de configuration globale. R1configip route serial 0/0/0 Tous les paquets iront par dĂ©faut vers l’interface serial 0/0/0 ROUTAGE DYNAMIQUE RIP V1 Activer / dĂ©sactiver le protocole RIP R1conf t Passez en mode de configuration globale. R1configrouter rip Cette commande ne lance pas automatiquement le processus RIP. Elle fournit un accĂšs permettant de configurer les paramĂštres du protocole de routage. Aucune mise Ă  jour de routage n’est envoyĂ©e. R1configno router rip Cette commande arrĂȘte le processus RIP et efface toutes les configurations RIP existantes. SpĂ©cifier des rĂ©seaux R3conf t Passez en mode de configuration globale. R3configrouter rip Active RIP R3config-routernetwork La commande network est configurĂ©e sur les routeurs pour les rĂ©seaux directement connectĂ©s. R3config-routernetwork La commande network est configurĂ©e sur les routeurs pour les rĂ©seaux directement connectĂ©s. R3show running-config VĂ©rifie la configuration. DĂ©pannage protocole RIP R3show ip route La commande show ip route vĂ©rifie que les routes reçues par les voisins RIP sont installĂ©es dans une table de routage. Les routes RIP sont indiquĂ©es dans la sortie par la lettre R. R3show ip protocols Celle-ci affiche le protocole de routage actuellement configurĂ© sur le routeur. Ces donnĂ©es peuvent ĂȘtre utilisĂ©es pour vĂ©rifier la plupart des paramĂštres RIP. R3debug ip rip permet d’identifier les problĂšmes qui affectent les mises Ă  jour RIP. Cette commande affiche les mises Ă  jour du routage RIP lors de leur envoi et de leur rĂ©ception. EmpĂȘcher la transmissions des mises Ă  jours RIP sur une interface prĂ©cise Routerconfig-routerpassive-interface interface-type interface-number Exemple ci-dessous R3configrouter rip Active RIP R3config-router passive-interface fastethernet 0/0 Cette commande arrĂȘte les mises Ă  jour de routage via l’interface spĂ©cifiĂ©e ici fastethernet 0/0. Toutefois, le rĂ©seau auquel appartient l’interface spĂ©cifiĂ©e continuera d’ĂȘtre annoncĂ© dans les mises Ă  jour de routage envoyĂ©es via d’autres interfaces. ROUTAGE DYNAMIQUE RIP V2 Activer / dĂ©sactiver le protocole RIP V2 R1conf t Passez en mode de configuration globale. R1configrouter rip Cette commande ne lance pas automatiquement le processus RIP. Elle fournit un accĂšs permettant de configurer les paramĂštres du protocole de routage. Aucune mise Ă  jour de routage n’est envoyĂ©e. R1configversion 2 Permet de modifier RIP afin d’utiliser la version 2. Cette commande doit ĂȘtre configurĂ©e sur tous les routeurs du domaine de routage. R1configversion RĂ©tablir RIP 1 R1configno router rip Cette commande arrĂȘte le processus RIP et efface toutes les configurations RIP existantes. Activer / dĂ©sactiver le protocole le rĂ©sumĂ© automatique dans RIP V2 R1conf t Passez en mode de configuration globale. R1configrouter rip Cette commande ne lance pas automatiquement le processus RIP. Elle fournit un accĂšs permettant de configurer les paramĂštres du protocole de routage. Aucune mise Ă  jour de routage n’est envoyĂ©e. R1configno auto-summary Cette commande n’est pas disponible dans RIPv1. Une fois le rĂ©sumĂ© automatique dĂ©sactivĂ©, RIPv2 ne rĂ©sume plus les rĂ©seaux dans leur adresse par classe au niveau des routeurs de pĂ©riphĂ©rie. R1show ip protocols Permet de vĂ©rifier si le rĂ©sumĂ© de rĂ©seau automatique n’est pas actif ».. Commande de vĂ©rification de RIP V2 R1show ip route Il s’agit de la premiĂšre commande Ă  utiliser pour vĂ©rifier la convergence de rĂ©seau. Lors de l’étude de la table de routage, il est important de vĂ©rifier si la table de routage contient les routes qui doivent y figurer . R1show ip interface brief Une interface hors service ou mal configurĂ©e est souvent la cause de l’absence d’un rĂ©seau dans la table de routage. La commande show ip interface brief vĂ©rifie rapidement l’état de toutes les interfaces. R1show ip protocols La commande show ip protocols vĂ©rifie plusieurs Ă©lĂ©ments critiques, notamment l’activation de RIP, sa version, l’état du rĂ©sumĂ© automatique et les rĂ©seaux inclus dans les instructions rĂ©seau. R1debug ip rip TrĂšs utile pour examiner le contenu des mises Ă  jour de routage envoyĂ©es et reçues par un routeur. R1ping La commande ping permet de vĂ©rifier facilement la connectivitĂ© de transmission. R1show running-config La commande show running-config peut ĂȘtre utilisĂ©e pour vĂ©rifier toutes les commandes actuellement configurĂ©es. ROUTAGE DYNAMIQUE EIGRP Mise en place EIGRP R1conf t Passez en mode de configuration globale. R1configrouter eigrp systĂšme-autonome Le paramĂštre de systĂšme autonome est un nombre choisi entre 1 et 65 535 choisi par l’administrateur rĂ©seau. Ce nombre est le numĂ©ro d’ID de processus, et il est important car tous les routeurs situĂ©s sur ce domaine de routage EIGRP doivent utiliser le mĂȘme numĂ©ro d’ID de processus numĂ©ro de systĂšme-autonome. Exemple R1configrouter eigrp 1 Faire la mĂȘme configuration sur tout les routeurs ParamĂ©trage du rĂ©seau R1conf t Passez en mode de configuration globale. R1configrouter eigrp 1 Faire la mĂȘme configuration sur tout les routeurs R1config-routernetwork Toute interface sur ce routeur qui correspond Ă  l’adresse rĂ©seau ici dans la commande network est activĂ©e pour envoyer et recevoir des mises Ă  jour EIGRP. Ce rĂ©seau ou sous-rĂ©seau sera inclus dans les mises Ă  jour de routage EIGRP. R1config-routernetwork Pour configurer EIGRP afin d’annoncer des sous-rĂ©seaux spĂ©cifiques uniquement dans ce cas reprĂ©sente le contraire de c’est donc le contraire du masque de sous rĂ©seau qu’il faut indiquer. VĂ©rifier le protocole EIGRP R1show ip eigrp neighbors pour visualiser la table de voisinage et vĂ©rifier que EIGRP a Ă©tabli une contiguĂŻtĂ© avec ses voisins. Pour chaque routeur, vous devez voir l’adresse IP du routeur contigu et l’interface que ce dernier utilise pour joindre le voisin EIGRP. R1show ip protocols Affiche les diffĂ©rents types de sorties spĂ©cifiques Ă  chaque protocole de routage. Modifier les mesures composites de EIGRP Explication EIGRP utilise les valeurs suivantes dans sa mesure composite pour calculer le chemin prĂ©fĂ©rĂ© vers un rĂ©seau Bande passante – DĂ©lai – FiabilitĂ© – Charge Routerconfig-routermetric weights tos k1 k2 k3 k4 k5 Explication ci-dessous de la commande – La valeur tos Type of Service – Type de service est un vestige d’IGRP et n’a jamais Ă©tĂ© mise en Ɠuvre. – K1 = Bande passante – K2 = Charge – K3 = DĂ©lai – K4 et K5 = FiabilitĂ© Modifier la valeur de la bande passante R1conf t Passez en mode de configuration globale. R1configinterface s 0/0/0 SĂ©lection de l’interface Ă  modifier R1config-ifbandwitch 1024 La bande passante de la liaison entre R1 et l’autre routeur est de 1 024 Kbits/s, bien sur l’autre routeur devra ĂȘtre paramĂ©trer de la mĂȘme façon. R1config-ifip bandwidth-percent eigrp 1 50 Par dĂ©faut, EIGRP n’utilise que jusqu’à 50 % de la bande passante d’une interface pour les donnĂ©es EIGRP. Cela permet au processus EIGRP de ne pas surcharger une liaison en ne laissant pas suffisamment de bande passante pour le routage du trafic normal. La commande ip bandwidth-percent eigrp peut ĂȘtre utilisĂ©e pour configurer le pourcentage de bande passante pouvant ĂȘtre utilisĂ© par le protocole EIGRP sur une interface. R1config-ifno bandwitch Pour restaurer la valeur par dĂ©faut. vĂ©rifier tous les chemins possibles vers un rĂ©seau R1show ip eigrp topology all-links montre tous les chemins possibles vers un rĂ©seau, notamment les successeurs, les successeurs potentiels et mĂȘme les routes qui ne sont pas des successeurs potentiels. DĂ©sactive le rĂ©sumĂ© automatique R1conf t Passez en mode de configuration globale. R1configrouter eigrp 1 Active EIGRP R1config-routerno auto-summary DĂ©sactive le rĂ©sumĂ© automatique Configurer le rĂ©sumĂ© manuel R1conf t Passez en mode de configuration globale. R1configinterface serial 0/0/0 SĂ©lection des interfaces qui transmet des paquets EIGRP R1config-ifip summary-address eigrp 1 Configure le rĂ©sumĂ© du routage sur toutes les interfaces qui transmettent des paquets EIGRP, donc il faut le faire sur chaque interface utilisĂ©. Mettre en place route par dĂ©faut R1conf t Passez en mode de configuration globale. R1configip route votre_interface_de_sortie Tout les paquets utiliserons par dĂ©faut l’interface de sortie que vous configurerez R1configrouter eigrp 1 Active EIGRP R1config-routerredistribute static EIGRP nĂ©cessite l’utilisation de la commande redistribute static pour inclure cette route statique par dĂ©faut dans les mises Ă  jour de routage EIGRP. La commande redistribute static demande Ă  EIGRP d’inclure cette route statique dans les mises Ă  jour EIGRP vers les autres routeurs. Configurer les intervalles Hello et les temps d’attente R1conf t Passez en mode de configuration globale. R1configinterface serial 0/0/0 SĂ©lection des interfaces qui transmet des paquets EIGRP. R1config-ifip hello-interval eigrp 1 60 Modifie l’interval Hello, ici 60 secondes R1config-ifip hold-time eigrp 1 180 Si vous modifiez l’intervalle Hello, assurez-vous que vous modifiez Ă©galement le temps d’attente en lui attribuant une valeur supĂ©rieure ou Ă©gale Ă  celle de l’intervalle Hello. Ici 180 secondes. ROUTAGE DYNAMIQUE OSPF Mise en place OSPF R1conf t Passez en mode de configuration globale. R1configrouter ospf process-id Le paramĂštre process-id est un nombre choisi entre 1 et 65 535 choisi par l’administrateur rĂ©seau. Ce nombre est le numĂ©ro d’ID de processus, et il est important car tous les routeurs situĂ©s sur ce domaine de routage EIGRP doivent utiliser le mĂȘme numĂ©ro d’ID de processus numĂ©ro de systĂšme-autonome. Exemple R1configrouter ospf 1 Faire la mĂȘme configuration sur tout les routeurs ParamĂ©trage du rĂ©seau R1conf t Passez en mode de configuration globale. R1configrouter ospf 1 Faire la mĂȘme configuration sur tout les routeurs R1config-routernetwork area 0 Pour configurer OSPF afin d’annoncer des sous-rĂ©seaux spĂ©cifiques uniquement dans ce cas reprĂ©sente le contraire de c’est donc le contraire du masque de sous rĂ©seau qu’il faut indiquer. Area 0 fait rĂ©fĂ©rence Ă  la zone OSPF. Une zone OSPF est un groupe de routeurs qui partagent les informations d’état des liaisons. Tous les routeurs OSPF de la mĂȘme zone doivent avoir les mĂȘmes informations. Nouvelle carte bouclage Router-ID R1conf t Passez en mode de configuration globale. R1configrouter ospf 1 Activer OSPF R1config-routerrouter-id La commande OSPF router-id a Ă©tĂ© ajoutĂ©e Ă  IOS dans la version ; elle remplace les adresses de bouclage et les adresses IP d’interface physique pour la dĂ©termination des ID de routeur. VĂ©rifier le protocole ospf R1show ip ospf neighbors pour visualiser la table de voisinage et vĂ©rifier que OSPF a Ă©tabli une contiguĂŻtĂ© avec ses voisins. Pour chaque routeur, vous devez voir l’adresse IP du routeur contigu et l’interface que ce dernier utilise pour joindre le voisin OSPF. R1show ip protocols Affiche les diffĂ©rents types de sorties spĂ©cifiques Ă  chaque protocole de routage. R1show ip ospf La commande show ip ospf peut Ă©galement ĂȘtre utilisĂ©e pour examiner l’ID de routeur et l’ID de processus OSPF. En outre, cette commande affiche les informations de zone OSPF, ainsi que la derniĂšre fois oĂč l’algorithme SPF a Ă©tĂ© calculĂ©. R1show ip ospf interface La mĂ©thode la plus rapide pour vĂ©rifier les intervalles Hello et Dead est d’utiliser la commande show ip ospf interface. Adapter la bande passante OSPF R1conf t Passez en mode de configuration globale. R1configinterface s 0/0/0 SĂ©lection de l’interface Ă  modifier R1config-ifauto-cost reference-bandwidth Permet Ă  la bande passante de rĂ©fĂ©rence d’ĂȘtre modifiĂ©e pour s’adapter aux rĂ©seaux ayant des liaisons d’une rapiditĂ© supĂ©rieure Ă  100 000 000 bits/s 100 Mbits/s Bande passante pour liaisons plus rapide R1config-routerauto-cost reference-bandwidth 10000 a bande passante de rĂ©fĂ©rence peut ĂȘtre modifiĂ©e pour prendre en compte ces liaisons plus rapides, grĂące Ă  la commande OSPF auto-cost reference-bandwidth. Lorsque cette commande est nĂ©cessaire, utilisez-la sur tous les routeurs afin que la mesure de routage OSPF reste cohĂ©rente. Modifier le coĂ»t de liaison R1conf t Passez en mode de configuration globale. R1configinterface s 0/0/0 SĂ©lection de l’interface Ă  modifier R1config-ifbandwitch 1024 La bande passante de la liaison entre R1 et l’autre routeur est de 1 024 Kbits/s, bien sur l’autre routeur devra ĂȘtre paramĂ©trer de la mĂȘme façon. Autre mĂ©thode R1configinterface serial 0/0/0 SĂ©lectionnez votre interface. R1config-ifip ospf cost 1562 Il existe une mĂ©thode alternative Ă  l’utilisation de la commande bandwidth, utiliser la commande ip ospf cost, qui vous permet de spĂ©cifier directement le coĂ»t d’une interface. Avec bandwitch il aurait fallu indiquer 64 pour avoir cette valeur, vous pouvez vĂ©rifier avec show ip ospf interface ContrĂŽler le choix du routeur dĂ©signĂ© et de secours R1conf t Passez en mode de configuration globale. R1configinterface fastethernet 0/0 SĂ©lection de l’interface Ă  modifier R1config-ifip ospf priority 200 La valeur de prioritĂ© par dĂ©faut Ă©tait de 1 pour toutes les interfaces de routeur. C’était donc l’ID de routeur qui dĂ©terminait le DR et le BDR. Mais si vous remplacez la valeur par dĂ©faut, 1, par une valeur plus Ă©levĂ©e, le routeur dont la prioritĂ© est la plus Ă©levĂ©e devient le DR, et celui qui a la seconde prioritĂ© devient le BDR DĂ©signer la route par dĂ©faut R1conf t Passez en mode de configuration globale. R1configinterface fastethernet 0/0 SĂ©lection de l’interface Ă  modifier R1configip route votre_interface_de_sortie Tout les paquets utiliserons par dĂ©faut l’interface de sortie que vous configurerez R1config-routerdefault-information originate Comme RIP, OSPF nĂ©cessite la commande default-information originate pour annoncer la route statique par dĂ©faut aux autres routeurs de la zone. Si la commande default-information originate n’est pas utilisĂ©e, la route par dĂ©faut quatre zĂ©ros » ne sera pas diffusĂ©e aux autres routeurs de la zone OSPF. Configurer les intervalles Hello et DEAD R1conf t Passez en mode de configuration globale. R1configinterface serial 0/0/0 SĂ©lection des interfaces qui transmet des paquets EIGRP. R1config-ifip ospf hello-interval 5 Modifie l’interval Hello, ici 60 secondes. Le fait de modifier de façon explicite le minuteur est une saine pratique, plutĂŽt que de compter sur une fonction automatique d’IOS. R1config-ifip ospf dead-interval 20 AprĂšs 20 secondes, le compte Ă  rebours du minuteur Dead de R1 se termine. La contiguĂŻtĂ© entre R1 et R2 est perdue. 8Rfl5g.
  • 0z99v5v49r.pages.dev/216
  • 0z99v5v49r.pages.dev/273
  • 0z99v5v49r.pages.dev/454
  • 0z99v5v49r.pages.dev/343
  • 0z99v5v49r.pages.dev/244
  • 0z99v5v49r.pages.dev/122
  • 0z99v5v49r.pages.dev/201
  • 0z99v5v49r.pages.dev/11

    • configuration nat et pat cisco pdf