🐖 Configuration Nat Et Pat Cisco Pdf

Configuring dynamic NAT in Cisco devices This article will help you through the steps to configure dynamic NAT on Cisco devices. You will be able to create the corresponding Configlet commands using Network Configuration Manager application. This will help you perform the same operation on multiple devices simultaneously. With dynamic NAT, you specify two sets of addresses on your Cisco router Inside addresses that will be translated. A pool of global addresses. Unlike with static NAT, where you had to manually define a static mapping between a private and a public address, with dynamic NAT the mapping of a local address to a global address happens dynamically. This means that the router dynamically picks an address from the global address pool that is not currently assigned. It can be any address from the pool of global addresses. The dynamic entry stays in the NAT translations table as long as the traffic is exchanged. The entry times out after a period of inactivity and the global IP address can be used for new translations. If you don't have NCM installed, please click here to download and install the application. To configure dynamic NAT, the following steps are required Configure the router’s inside interface using the ip nat inside command Configure the router’s outside interface using the ip nat outside command Configure an ACL that has a list of the inside source addresses that will be translated Configure the pool of global IP addresses using the ip nat pool NAME FIRST_IP_ADDRESS LAST_IP_ADDRESS netmask SUBNET_MASK command Enable dynamic NAT with the ip nat inside source list ACL_NUMBER pool NAME global configuration command Steps to configure dynamic NAT using CLI. Login to the device using SSH / TELNET and go to enable mode. Go into the config mode. Routerconfigure terminal Enter configuration commands, one per line. End with CNTL/Z. Routerconfig Configure the router's inside interface Routerconfiginterface fa0/0 Routerconfig-ifip nat inside Routerconfig-ifexit Configure the router's outside interface Routerconfiginterface eth0/0/0 Routerconfig-ifip nat outside Routerconfig-ifexit Configure an ACL that has a list of the inside source addresses that will be translated. Routerconfigaccess-list 1 permit NOTEThe access list configured above matches all hosts from the subnet. Configure the pool of global IP addresses Routerconfigip nat pool MY_POOL netmask NOTE The pool configured above consists of 5 addresses and Enable dynamic NAT Routerconfigip nat inside source list 1 pool MY_POOL NOTE The command above instructs the router to translate all addresses specified in the access list 1 to the pool of global addresses called MY_POOL. Exit config mode Routerconfigexit Router Execute show ip nat translations command to view the NAT configuration. Copy the running configuration into startup configuration using below command Routerwrite memory Building configuration... [OK] Router The corresponding configlet can be created in NCM application as shown in below screenshot. Also you can click the below button to download the Configlet as XML and import it into NCM application using file import option. Configlet Name Configure Dynamic NAT - Cisco Description This configlet is used to configure dynamic NAT on cisco devices Execution Mode Script Execution Mode Configlet Content configure terminal interface $INSIDE_INTF ip nat inside exit interface $OUTSIDE_INTF ip nat outside exit access-list $ACL_ID permit $SOURCE_ADDRESS $SUBNET_MASK ip nat pool $POOL_NAME $POOL_START_ADDRESS $POOL_END_ADDRESS netmask $NETMASK ip nat inside source list $ACL_ID pool $POOL_NAME exit show ip nat translations write memory

NAT is a valuable tool for admins, both for conserving public IP addresses and securing internal resources. Several variations of NAT are available, including its cousin PAT. See the differences and learn how to set up PAT using the Cisco IOS. Port Address Translation PAT is a special kind of Network Address Translation NAT. It can provide an excellent solution for a company that has multiple systems that need to access the Internet but that has only a few public IP addresses. Let’s take a look at the distinctions between NAT and PAT and see how they are typically used. Then, I’ll show you how to configure PAT on a Cisco router. Understanding PAT and NATBefore discussing PAT, it will help to describe what NAT does in general. NAT was designed to be a solution to the lack of public IP addresses available on the Internet. The basic concept of NAT is that it allows inside/internal hosts to use the private address spaces 10/8, and networks—see RFC1918, go through the internal interface of a router running NAT, and then have the internal addresses translated to the router’s public IP address on the external interface that connects to the Internet. If you dig into NAT a little deeper, you will discover that there are really three ways to configure it. From these configurations, you can perform a variety of functions. The three configurations are PAT PAT is commonly known as “NAT overload” or sometimes just “overload”. In this configuration, you have multiple clients on your inside network wanting to access an outside network usually the Internet. You have few public IP addresses, many more than the number of clients, so you have to “overload” that real Internet IP address. In other words, you are mapping many inside clients to a single Internet IP address many to one. For an illustration of PAT, see Figure A. Figure A Pooled NAT Pooled NAT is similar to PAT except you have the luxury of having a one-to-one mapping of addresses. In other words, you have just as many inside network clients as you do outside network IP addresses. You tell the NAT router the pool of IP addresses that are available, and each client receives its own IP addresses when it requests a NAT translation. The client does not get the same address each time it requests a translation; it merely gets the next available address from the pool. In my article “Set up NAT using the Cisco IOS,” I explain how to configure Pooled NAT. For an illustration of Pooled NAT, see Figure B. Figure B Static NAT Static NAT is the simplest form of NAT. The most likely example is a mail server on the inside of a private network. The private network connects to the public Internet. In between the two networks, a router performs NAT. For a dedicated server, like a mail server, you would want a static not changing IP address. This way, every time someone on the Internet sends e-mail to the mail server, that server has the same public IP address. For an illustration of Static NAT, see Figure C. Figure C As I said, you can perform a variety of functions with these three configurations. For the purpose of this article, we will focus on configuring PAT. Configuring PATTo configure PAT/NAT correctly the first time, you need to understand the Cisco NAT terminology and how your IP networks/addresses map to each of the entities listed below Inside Local—This is the local IP address of a private host on your network a workstation’s IP address. Inside Global—This is the public IP address that the outside network sees as the IP address of your local host. Outside Local—This is the local IP address from the private network, which your local host sees as the IP address of the remote host. Outside Global—This is the public IP address of the remote host the IP address of the remote Web server that a workstation is connecting to. You’ll configure your Cisco router using seven commands. Let’s assume that your Internet service provider gave you a 30-bit network containing two public IP addresses. This configuration would allow one address for your router and one address for your internal clients and devices. The first command you’ll execute will tell the router which public IP address you want to use for PATip nat pool mypool prefix 30 This command configures a pool range of IP addresses to use for your translation. In this case, we want only one address in our pool, which we will overload. We do this by assigning the same IP address for the start and end of the pool. The next command will tell your router which IP addresses it is allowed to translateaccess-list 1 permit It’s not a good idea to put “permit any” in the access list, even though you will occasionally see that as a recommendation in some sample configurations. The next command isip nat inside source list 1 pool mypool overload This command puts the pool definition and the access list together. In other words, it tells the router what will be translated to what. The overload keyword turns this into a PAT configuration. If you left out overload, you would be able to translate only one IP address at a time, so only one client could use the Internet at a time. Next, you need to tell PAT/NAT what interfaces are the inside network and what interfaces are the outside network. Here’s an exampleinterface ethernet 0ip nat insideinterface serial 0ip nat outside With these commands, your PAT configuration is finished. You have told the Cisco IOS you are translating your network A into a single IP address from network B, that network A is on the ethernet 0 interface and network B is on the serial 0 interface, and that you want to allow the inside network to overload the single IP address on the outside network. Finally, verify that NAT works. This can be as simple as doing a ping command from your inside local host to an outside global host. If the ping succeeds, chances are you have everything configured correctly. You can also use the following Cisco IOS commands to confirm and troubleshootshow ip nat translations [verbose]show ip nat statistics With the translations command, you should see the translation that was created from your ping test. But watch out The translations will disappear after their time-out expires. If you have configured overload, these time-outs are configurable by traffic type. SummaryYou should now understand the differences between PAT, Pooled NAT, and Static NAT, and you should be able to do a basic PAT configuration with the Cisco IOS. For more information, check out the links below. Additional resources TechRepublic “Learn why NAT can cause VPN connection problems” TechRepublic “Set up NAT using the Cisco IOS” TechRepublic “Use NAT to connect your network to the Internet” Cisco NAT Technical Tips Index Cisco How NAT Works Cisco Configuring Network Address Translation Getting Started Cisco Frequently Asked Questions about Cisco IOS NAT Cisco IOS Configuring Network Address Translation Cisco IOS Overloading an Inside Global Address PAT Cisco IOS IP Addressing Command Reference including NAT commands PCWebopedia NAT Definition RFC1631 The IP Network Address Translator NAT RFC1918 Address Allocation for Private Internets Network Computing Network Address Translation Hiding in Plain Sight Verizon How Network Address Translation Works Da Lan Tech Network Address Translation for Beginners

Withdynamic NAT, you need to specify two sets of addresses on your Cisco router: the inside addresses that will be translated. a pool of global addresses. To configure dynamic NAT, the following steps are required: 1. configure the router’s inside interface using the ip nat inside command. 2. configure the router’s outside interface using

Ce tutoriel vous présente comment configurer un routeur Cisco. Cette configuration est celle de base, autrement dit, entre deux réseaux simplement. Livre complet sur la configuration du routeur Cisco Vous pouvez consulter la vidéo Ou le tutoriel écrit Mon réseau sera celui ci-dessous, donc d’un coté le réseau 1 en et de l’autre le réseau 2 en Ce test est réalisé sur Packet tracer car je n’avais pas de routeur Cisco physique sous la main mais les commandes sont les mêmes d’un routeur Cisco à l’autre. Pour le moment rien n’est configuré, même pas les deux PC, et pour communiquer entre les deux réseaux j’ai le routeur que je vais également devoir configurer. Dans un premier temps, je vais configurer le premier PC, je lui donne le nom de fafa-pc-1 Puis je configure son interface réseau. Je fais la même chose pour le second PC. Je tente un ping de la seconde machine sur la première, on ne sait jamais sur un malentendu. Comme prévu le ping échoue je ne peux pas communiquer avec l’autre réseau, normal le routeur n’est pas configuré. Le réseau ressemble à ceci pour le moment, les noms et interfaces réseaux des deux machines ont étés modifiés. Nous pouvons attaquer le routeur. Je me connecte sur le routeur, des informations m’attendent déjà. Je tape entrée pour que la console apparaisse, à partir de la je modifie le nom de routeur avec la commande hostname, je l’appelle rfafa. Je ne détaille pas les autres commandes qui permettent simplement de naviguer entre les modes du routeur. Maintenant je passe à la pratique, je vais configurer les mots de passes du routeur, par exemple quand je me connecte dessus. Je donne une bannière d’accueil à mon routeur. Ici se sera Bienvenue sur fafa-informatique » Je configure les deux interfaces réseaux du routeur, je fais bien attention à quel interface est sur quel réseau. Après chaque configuration d’interface je l’active avec la commande no shutdown. Mes interfaces sont prêtes. Je sauvegarde ma configuration, on ne sait jamais. Je vérifie que la configuration est bonne. La configuration du routeur apparaît, je peux la faire défiler avec entrée. Je vérifie les réseaux que connaît mon routeur. Je vérifie que les interfaces fonctionnent. Enfin, je vérifie en détail la configuration de mes interfaces. Je peux faire défiler les détail en appuyant sur entrée. En retournant sur mon réseau je constate immédiatement que les petits ronds sont désormais verts. Cela signifie que les connexions fonctionnent. Je vais néanmoins vérifier. Je ping depuis le PC fafa-pc-2 ayant pour IP vers l’interface réseau du routeur se situant dans son réseau. Le ping fonctionne parfaitement. Maintenant, je tente de pinger la machine sur l’autre réseau, ça fonctionne également. Nos deux réseaux peuvent donc communiquer. La première requête du ping n’est pas passée le temps qu’il trouve la route, mais toutes les requêtes passent. On le constate sur le deuxième ping. Ce tutoriel sur la configuration de base d’un routeur Cisco est maintenant terminé.

Ωзвዠβисυшо ኖր
Хре ቶктиρዣրик ኪֆитреթаլα
1. Оզехреμаψը иጋዣጆեጇո шθσθсру ብፁдυта
2. Еврα ፕ уչօмяղ и
Ечыз ոնе ещօյоጰ

GW2(config)# interface fastethernet 0/1. GW2 (config-if)# standby 1 ip . GW2 (config-if)# standby 1 preempt. GW2 (config-if)# exit. You do not need to do this HSRP Cisco Configuration for both sides, but in this configuration, we do it for both sites. After this you can check the configuration with “show standby” command on GW1

Introduction Ce document fournit des exemples de configurations de base NAT Network Address Translation et PAT Port Address Translation sur le pare-feu Cisco Secure Adaptive Security Appliance ASA. Ce document fournit également les schémas de réseau simplifiés. Pour plus d'informations, reportez-vous à la documentation ASA de votre version logicielle ASA. Ce document propose une analyse personnalisée de votre périphérique Cisco. Référez-vous à Configuration NAT sur ASA sur les appliances de sécurité ASA 5500/5500-X pour plus d'informations. Conditions préalables Conditions requises Cisco recommande que vous connaissiez le pare-feu Cisco Secure ASA. Components Used Les informations de ce document sont basées sur le logiciel pare-feu Cisco Secure ASA version et ultérieure. The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared default configuration. If your network is live, make sure that you understand the potential impact of any command. Configurer - Plusieurs instructions NAT avec NAT manuel et automatique Diagramme du réseau Dans cet exemple, le fournisseur d'accès à Internet fournit à l'administrateur réseau un bloc d'adresses IP de à Le gestionnaire de réseau décide d'affecter à l'interface interne du routeur Internet et à l'interface externe de l'ASA. L'administrateur réseau a déjà fait attribuer une adresse de classe C au réseau, et quelques postes de travail utilisent ces adresses afin d'accéder à Internet. Ces stations de travail ne nécessitent aucune traduction d’adresses car elles possèdent déjà des adresses valides. Cependant, les nouvelles stations de travail ont des adresses attribuées dans le réseau et elles doivent être traduites parce que est l'un des espaces d'adresses non routables par RFC 1918 . Afin de prendre en charge cette conception de réseau, l'administrateur réseau doit utiliser deux instructions NAT et un pool global dans la configuration ASA global outside 1 netmask inside 1 0 0 Cette configuration ne traduit pas l'adresse source du trafic sortant du réseau Cela traduit une adresse source dans le réseau en une adresse de la plage à Note Quand vous avez une interface avec un routage spécifique NAT, et s'il n'y a aucun regroupement global à une autre interface, vous devez employer 0 nat afin d'installer l'exception NAT. ASA versions et ultérieures Voici la configuration . object network subnet network subnet network obj-natted range network any-1 subnet the Manual Nat statementsnat inside,outside source static static any-1 any-1nat inside,outside source dynamic obj-nattedUsing the Auto Nat statementsobject network subnet nat inside,outside dynamic obj-nattedobject network subnet nat inside,outside static Configurer - Plusieurs pools globaux Diagramme du réseau Dans cet exemple, le responsable du réseau a deux plages d'adresses IP qui s'enregistrent sur Internet. Le responsable du réseau doit convertir toutes les adresses internes, qui sont dans la plage en adresses enregistrées. Les plages d'adresses IP que le responsable du réseau doit utiliser vont de à et de à Le responsable du réseau peut faire ceci de la façon suivante global outside 1 netmask outside 1 netmask inside 1 0 0 Note Un système d'adressage générique est utilisé dans la déclaration NAT. Cette instruction indique à l'ASA de traduire n'importe quelle adresse source interne lorsqu'elle est envoyée sur Internet. L'adresse de cette commande peut être plus spécifique si vous le désirez. ASA versions et ultérieures Voici la configuration . object network obj-nattedrange network obj-natted-2range network any-1subnet the Manual Nat statementsnat inside,outside source dynamic any-1 obj-nattednat inside,outside source dynamic any-1 obj-natted-2Using the Auto Nat statementsobject network any-1subnet inside,outside dynamic obj-nattedobject network any-2 subnet nat inside,outside dynamic obj-natted-2 Configurer - Combiner les instructions NAT et PAT Diagramme du réseau Dans cet exemple, l'ISP fournit au responsable du réseau une plage d'adresses de à à l'usage de la société. Le gestionnaire de réseau a décidé d'utiliser pour l'interface interne sur le routeur Internet et pour l'interface externe sur l'ASA. Vous pouvez utiliser la plage à pour le pool NAT. Cependant, le gestionnaire de réseau sait qu'à tout moment, plus de 28 personnes peuvent essayer de quitter l'ASA. Par conséquent, le responsable du réseau décide de prendre et en faire une adresse PAT de sorte que plusieurs utilisateurs puissent partager une adresse simultanément. Ces commandes indiquent à l'ASA de traduire l'adresse source en à pour les 27 premiers utilisateurs internes à passer par l'ASA. Une fois ces adresses épuisées, l'ASA traduit toutes les adresses source suivantes en jusqu'à ce qu'une des adresses du pool NAT devienne libre. Note Un système d'adressage générique est utilisé dans la déclaration NAT. Cette instruction indique à l'ASA de traduire n'importe quelle adresse source interne lorsqu'elle est envoyée sur Internet. L'adresse de cette commande peut être plus spécifique si vous le désirez. ASA versions et ultérieures Voici la configuration . Using the Manual Nat statementsobject network any-1 subnet network obj-natted range network obj-natted-2 subnet inside,outside source dynamic obj-nattednat inside,outside source dynamic obj-natted-2Using the Auto Nat statementsobject network any-1 subnet nat inside,outside dynamic obj-nattedobject network any-2 subnet nat inside,outside dynamic obj-natted-2 Configurer - Plusieurs instructions NAT avec instructions manuelles Diagramme du réseau Dans cet exemple, l'ISP fournit au responsable du réseau une plage d'adresses allant de à Le gestionnaire de réseau décide d'affecter à l'interface interne sur le routeur Internet et à l'interface externe de l'ASA. Cependant, dans ce scénario, un autre segment de LAN privé est placé après le routeur Internet. Le responsable du réseau préférerait ne pas gaspiller d'adresses du pool global lorsque des hôtes de ces deux réseaux parlent entre eux. Le responsable du réseau doit toujours traduire l'adresse source pour tous les utilisateurs internes lorsqu'ils accèdent à Internet. Cette configuration ne traduit pas ces adresses avec une adresse source de et une adresse de destination de Cela traduit l'adresse source de n'importe quel trafic issu du réseau et destiné à n'importe quel emplacement autre que en une adresse de la plage comprise entre et Si vous disposez de la sortie d'une commande write terminal de votre périphérique Cisco, vous pouvez utiliser l'outil Output interpreter clients enregistrés uniquement. ASA versions et ultérieures Voici la configuration . Using the Manual Nat statementsobject network subnet network subnet network obj-natted range inside,outside source static destination static inside,outside source dynamic obj-nattedUsing the Auto Nat statementsobject network obj-natted range nat inside,outside source static destination static network subnet nat inside,outside dynamic obj-natted Configurer - Utiliser la NAT de stratégie Diagramme du réseau Lorsque vous utilisez une liste d'accès avec la commande nat pour n'importe quel ID NAT autre que 0, vous activez le NAT de stratégie. Le NAT de stratégie vous permet d'identifier le trafic local pour la traduction d'adresses lorsque vous spécifiez les adresses ou ports source et de destination dans une liste d'accès. Le NAT normal utilise uniquement des adresses/ports source. Le routage spécifique NAT utilise les adresses/ports d'origine et de destination. Note Tous les types de NAT prennent en charge le NAT de stratégie excepté l'exemption NAT liste d'accès NAT 0. L'exemption NAT utilise une liste de contrôle d'accès ACL afin d'identifier les adresses locales, mais diffère de la NAT de stratégie car les ports ne sont pas pris en compte. Avec le NAT de stratégie, vous pouvez créer plusieurs NAT ou déclarations statiques qui identifient la même adresse locale tant que la combinaison source/port et destination/port est unique pour chaque déclaration. Vous pouvez alors associer plusieurs adresses globales à chaque paire source/port et destination/port. Dans cet exemple, le responsable du réseau fournit un accès à l'adresse IP de destination pour le port 80 Web et le port 23 Telnet, mais doit utiliser deux adresses IP différentes comme adresse source. est utilisé comme adresse source pour le Web et est utilisé pour Telnet, et doit convertir toutes les adresses internes qui se trouvent dans la plage Le responsable du réseau peut faire ceci de la façon suivante access-list WEB permit tcp eq 80access-list TELNET permit tcp eq 23 nat inside 1 access-list WEBnat inside 2 access-list TELNETglobal outside 1 outside 2 ASA versions et ultérieures Voici la configuration . Using the Manual Nat statementsobject network subnet network host object network host object network host object service obj-23 service tcp destination eq telnetobject service obj-80 service tcp destination eq telnetnat inside,outside source dynamic destination static service obj-80 obj-80nat inside,outside source dynamic destination static service obj-23 obj-23 Vérification Essayez d'accéder à un site Web via HTTP à l'aide d'un navigateur Web. Cet exemple utilise un site hébergé à l'adresse Si la connexion réussit, le résultat de la section suivante est visible sur l'interface de ligne de commande ASA. Connexion ASAconfig show connection address in use, 19 most usedTCP outside inside idle 00006, bytes 9137,flags UIO L'ASA est un pare-feu dynamique et le trafic de retour du serveur Web est autorisé à revenir par le pare-feu car il correspond à une connexion dans la table de connexion du pare-feu. Le trafic qui correspond à une connexion qui existe déjà est autorisé à travers le pare-feu sans être bloqué par une liste de contrôle d’accès d’interface. Dans la sortie précédente, le client sur l’interface interne a établi une connexion à l’hôte à partir de l’interface externe. Cette connexion se fait avec le protocole TCP et est inactive depuis six secondes. Les indicateurs de connexion précisent l’état actuel de la connexion. Vous trouverez plus d'informations sur les indicateurs de connexion dans les indicateurs de connexion TCP ASA. Syslog ASAconfig show log in 28 2014 113123 %ASA-6-305011 Built dynamic TCP translation from inside to outside 28 2014 113123 %ASA-6-302013 Built outbound TCP connection 2921 for outside to inside Le pare-feu de l’ASA génère des SYSLOG pendant le fonctionnement normal. Les SYSLOG varient en verbosité selon la configuration de la journalisation. Le résultat montre deux syslogs qui sont vus au niveau 6, ou 'informationnel'. Dans cet exemple, deux SYSLOG sont générés. Le premier est un message de journal qui indique que le pare-feu a construit une traduction, en particulier une traduction TCP dynamique PAT. Il indique l'adresse IP source et le port, ainsi que l'adresse IP et le port traduits lorsque le trafic traverse de l'intérieur vers l'extérieur. Le deuxième SYSLOG indique que le pare-feu a établi une connexion dans sa table de connexions précisément pour ce trafic, entre le client et le serveur. Si le pare-feu a été configuré afin de bloquer cette tentative de connexion, ou si un autre facteur a empêché la création de cette connexion contraintes de ressources ou une éventuelle erreur de configuration, le pare-feu ne génère pas de journal indiquant que la connexion a été créée. Au lieu de cela, il consigne une raison pour laquelle la connexion est refusée ou une indication sur le facteur qui empêche la création de la connexion. Traductions NAT Xlate ASAconfig show xlate local 1in use, 810 most usedFlags D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netTCP PAT from inside to outside flags ri idle01222 timeout 00030 Dans le cadre de cette configuration, la PAT est configurée afin de traduire les adresses IP d’hôte internes en adresses routables sur Internet. Afin de confirmer que ces traductions sont créées, vous pouvez vérifier la table xlate traduction. La commande show xlate, lorsqu'elle est associée au mot clé local et à l'adresse IP de l'hôte interne, affiche toutes les entrées présentes dans la table de traduction de cet hôte. La sortie précédente montre qu'une traduction est actuellement créée pour cet hôte entre les interfaces interne et externe. L’adresse IP et le port de l’hôte interne sont traduits en l’adresse selon la configuration. Les indicateurs répertoriés, r i , indiquent que la traduction est dynamique et portmap. Vous trouverez plus d'informations sur les différentes configurations NAT dans Informations sur NAT. Dépannage Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

. 411 484 139 228 199 466 28 209

configuration nat et pat cisco pdf