j'ai compris

Sécurité et accès au réseau - Configuration NAT dans différents scénarios

publié il y a  2021-9-2 16:30:28 145 0 0 0 0

Bonjour à tous,

Aujourd'hui, je vais partager avec vous la configuration NAT dans différents scénarios.

NAT statique

Figure 1 NAT statique

NAT statique

Dans la figure ci-dessus, OR est le routeur de sortie, qui connecte le PC intranet et Internet. Désormais, les PC sur l'intranet doivent accéder à Internet, et un mappage IP statique un à un est déployé sur la salle d'opération pour permettre au PC d'accéder au réseau externe. L'adresse réseau publique attribuée au PC intranet 192.168.1.1 est 200.1.1.100.

La configuration du routeur OR est la suivante (la configuration de l'adresse IP de l'interface est omise) :

[OR] interface GigabitEthernet0/0/1

[OR-GigabitEthernet0/0/1] nat static global 200.1.1.100 inside 192.168.1.1

[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2


Dans la configuration ci-dessus, la commande nat static global 200.1.1.100 inside 192.168.1.1 consiste à configurer le mappage NAT statique, en mappant l'adresse IP intranet 192.168.1.1 à 200.1.1.100. De cette façon, lorsqu'un paquet avec une adresse IP source de 192.168.1.1 est prêt à être envoyé depuis l'interface GE0/0/1 de l'OR, le routeur convertit l'adresse en 200.1.1.100. De plus, lorsqu'un paquet avec une adresse IP de destination de 200.1.1.100 atteint l'interface GE0/0/1 du routeur OU, l'adresse IP de destination du paquet sera convertie en 192.168.1.1.


No-PAT basé sur des pools d'adresses dynamiques

Figure 2 No-PAT basé sur des pools d'adresses dynamiques

No-PAT basé sur des pools d'adresses dynamiques

Dans la figure ci-dessus, OR est le routeur de sortie, qui connecte le PC intranet et Internet. Désormais, les utilisateurs du segment de réseau intranet 192.168.1.0/24 doivent accéder à Internet. La plage d'adresses du réseau public appliquée par l'opérateur pour ce réseau est 200.1.1.100-200.1.1.116. La configuration No-PAT basée sur le pool d'adresses est terminée pour permettre aux utilisateurs de l'intranet d'accéder à Internet.

La configuration du routeur OR est la suivante (la configuration de l'adresse IP de l'interface est omise) :

#Définissez le pool NAT, son identifiant est 1, et la plage d'adresses de réseau public incluses est 200.1.1.100-200.1.1.116 :

[OR] nat address-group 1 200.1.1.100 200.1.1.116

#Define ACL2000 utilisé pour faire correspondre le segment d'adresse réseau interne 192.168.1.0/24 qui autorise le NAT :

[OR] acl 2000

[OR-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255


#Apply No-PAT basé sur le pool d'adresses sur l'interface connectée au réseau externe, et liez le paquet apparié par ACL2000 avec le pool d'adresses NAT 1 :

[OR] interface GigabitEthernet0/0/1

[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat

[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2


NAPT basé sur des pools d'adresses dynamiques

Figure 3 NAPT basé sur des pools d'adresses dynamiques

NAPT basé sur des pools d'adresses dynamiques

Dans la figure ci-dessus, OR est le routeur de sortie, qui connecte le PC intranet et Internet. Désormais, les utilisateurs du segment intranet 192.168.1.0/24 doivent accéder à Internet. La plage d'adresses publiques du réseau de l'opérateur est 200.1.1.100-200.1.1.105. La configuration NAPT basée sur le pool d'adresses est terminée, afin que les utilisateurs de l'intranet puissent accéder à Internet.

La configuration du routeur de sortie OR est la suivante (la configuration de l'adresse IP de l'interface est omise) :

[OR] nat address-group 1 200.1.1.100 200.1.1.105

[OR] acl 2000

[OR-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255

[OR] interface GigabitEthernet0/0/1

[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1

[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2


Dans la traduction d'adresse source, la configuration de NAPT et de No-PAT est très différente, vous devez donc faire particulièrement attention. En règle générale, il existe de nombreuses façons d'utiliser NAPT dans le projet. Après tout, cette méthode permet de répondre à l'exigence selon laquelle plusieurs adresses IP de réseau privé partagent une adresse IP de réseau public.


Serveur NAT

Figure 4 Serveur NAT

Serveur NAT

Dans la figure ci-dessus, OR est le routeur de sortie, qui connecte le serveur intranet et Internet. Il existe un serveur WEB 192.168.1.100 dans l'intranet, et son port TCP80 doit fournir des services à Internet. L'adresse du réseau public que le réseau demande à l'opérateur est 200.1.1.30. La configuration du serveur NAT est terminée sur le routeur afin que les utilisateurs Internet puissent accéder à 200.1.1.30:8080 pour accéder à 192.168.1.100:80.

La configuration du routeur OR est la suivante (la configuration de l'adresse IP de l'interface est omise) :

[OR] interface OR-GigabitEthernet0/0/1

[OR-GigabitEthernet0/0/1] nat server protocol tcp global 200.1.1.30 8080 inside 192.168.1.100 80

[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

 

C'est tout ce que je veux partager avec vous ! Merci!


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.