Vous êtes sur la page 1sur 7

XXXX

BGP Lab Guidline(L000 0004)

Lab1 Traduction dadresse


1.1 Objectifs de Lab
1)

Etre familier avec la technique principale propos du filtrage de paquet de


routeur: liste de contrle daccs;

2)
3)

Saisir les connaissances relatives propos de la liste de contrle daccs;


Saisir la faon dappliquer la liste de contrle daccs et concevoir les filtres
de manire flexible;

4)

Etre familier avec les caractristiques de traduction dadresse.

1.2 Environnement de Lab


Un Intranet rel et un rseau local sont requis pour traiter leurs groupes
dutilisateurs sparment pour garantir la scurit des informations et le contrle
dautorit. Certains ont accs lextrieur, mais dautres ne lont pas. Ces
rglages sont toujours faits lentre ou la sortie du rseau entier (un routeur).
Par consquent, dans le lab, nous utilisons un routeur (RTA) pour simuler
lIntranet entier et un autre routeur (RTB) pour simuler un rseau entier.

1.3 Schma de mise en rseau de Lab


RTA

RTB
S0

S0

E0

E0

Switch

PCA

PCB

Switch

PCC

PCD

PCE

Pendant le Lab rel, deux commutateurs et de multiples htes ne sont pas


ncessairement requis, parce que nous pouvons partager un commutateur, mais
il est recommand de le diviser sous diffrents VLAN. Au moins les htes sont
requis pour changer les adresses IP de manire flexible pour satisfaire les
exigences de Lab.

XXXX

BGP Lab Guidline(L000 0004)

1.4 Procdures de Lab


Prparation pour le Lab
Prparer un environnement de Lab selon le schma de mise en rseau
prcdent, puis affecter les adresses IP en ligne avec les rgles suivantes:
Adresse IP de linterface de routeur:
RTA

RTB

S0

192.0.0.1/24

192.0.0.2/24

E0

202.0.0.1/24

202.0.1.1/24

Adresse de hte et passerelle par dfaut:


PCA

PCB

PCC

PCD

PCE

IP/MASQUE

202.0.0.2/24

202.0.0.3/24

202.0.0.4/24

202.0.1.2/24

202.0.1.3/24

PASSERELLE

202.0.0.1

202.0.0.1

202.0.0.1

202.0.1.1

202.0.1.1

Traduction dadresse (NAT)


A cause du manque dadresses IP, Intranet a tendance utiliser les adresses
prives, ce qui cause des problmes pour laccs au rseau externe. Ceci est
parce que ses deux htes avec la mme adresse IP vont probablement accder
au mme rseau, rsultant en une collision. Par consquent, il est impossible
deffectuer la transmission de donnes de manire correcte. Par consquent,
quand les htes lintrieur de notre Intranet accdent au rseau externe, il est
ncessaire deffectuer la traduction dadresse pour utiliser une adresse publique
sur un rseau public pour transmettre les donnes.
La traduction dadresse prend deux formes: lune est dutiliser ladresse IP de
linterface physique comme adresse publique aprs la traduction, au moyen de
lassociation avec linterface. Lautre est de traduire les adresses au moyen de la
rserve dadresses. Une telle traduction vous autorise choisir nimporte quelle
adresse de la rserve dadresses pour la traduction. Jetons un coup dil sur la
premire forme, o ladresse IP de linterface RTA S0 est prise comme adresse
publique. Dans ce cas, le routeur est spcifiquement configur comme suit:
[RTA]afficher configuration-actuelle
Maintenant crons la configuration...
Configuration actuelle
!
version 1.74
activer filtre
sys-nom RTA
crypter-carte commutat-rapide
!

XXXX

BGP Lab Guidline(L000 0004)

acl 101 correspond-ordre auto


rgle permettre source ip normal 202.0.0.2 0.0.0.0 toute destination
//permettre au hte spcifi daccder au rseau externe
rgle permettre source ip normal 202.0.0.3 0.0.0.0 toute destination
//permettre au serveur interne daccder au rseau externe
rgler interdire source ip normal toute destination
//interdire tout autre utilisateur externe daccder au serveur interne
!
acl 102 correspond-ordre auto
rgle permettre source tcp normale 202.0.1.2 0.0.0.0 destination
192.0.0.1 0.0.0.0
//permettre un hte externe spcifi daccder au serveur interne
rgle interdire source tcp normal toute destination 192.0.0.1 0.0.0.0
//interdire tout autre utilisateur externe daccder au serveur interne

!
interface Aux0
flux mode async
phy-mru 0
protocole-liaison ppp
!
interface Ethernet0
adresse ip 202.0.0.1 255.255.255.0
filtre paquet-filtre 101 arrive

// associer la liste avec

linterface
!
interface Srie0
protocole-liaison ppp
nat dpart 102 interface
nat

serveur

global

192.0.0.1

//configurer serveur ftp interne


filtre paquet-filtre 102 arrive
!
interface Srie1
horloge DTECLK1
protocole-liaison ppp
!

ftp

interne

202.0.0.3

ftp

tcp

XXXX

BGP Lab Guidline(L000 0004)

quitter
rip
rseau tout
!
quitter
!
retour
[RTB]afficher configuration-actuelle
Maintenant crons la configuration...
Configuration actuelle
!
version 1.74
sys-nom RTB
crypter-carte commutat-rapide
!
interface Aux0
flux mode async
phy-mru 0
protocole-liaison ppp
!
interface Ethernet0
adresse ip 202.0.1.1 255.255.255.0
!
interface Srie0
horloge DTECLK1
protocole-liaison ppp
adresse ip 192.0.0.2 255.255.255.0
!
interface Srie1
protocole-liaison ppp
!
quitter
rip
rseau tout
!

XXXX

BGP Lab Guidline(L000 0004)

quitter
!
retour

Pendant la configuration prcdente, Intranet fournit le rseau externe avec le


service ftp. Le hte interne spcifi PCA est autoris accder au rseau
externe, et lutilisateur externe spcifi PCD est autoris accder au serveur
ftp. Activer PCB pour offrir le service ftp puis tester si ceci satisfait les exigences
de conception. Nous pouvons galement recourir la commande de surveillance
et de maintenance pour afficher ltat de traduction dadresse comme suit:
[RTA]afficher nat
Serveur dans les Informations de rseau priv:
Interface

AdrGlobal

PortGlobal

AdrInterne

PortInterne

Pro
Srie0

192.0.0.1

21(ftp)

202.0.0.3

21(ftp)

6(tcp)

Informations de tableau daccs Nat:


Srie0: Liste-Accs(102) --- Interface

Informations de valeur de dpassement de temps Nat:


tcp ---- la valeur de dpassement de temps est

240 (secondes)

udp ---- la valeur de dpassement de temps est

40 (secondes)

icmp ---- la valeur de dpassement de temps est

20 (secondes)

partir des informations affiches, nous pouvons voir le tableau de


correspondance de traduction dadresse, les informations de rserve dadresse
et le temps valide pour la traduction dadresses. Aussi, nous pouvons altrer le
temps valide pour la traduction dadresse (dpassement de temps nat) selon les
besoins et voir les informations de dboguage nat comme suit:
[RTA]dboguer paquet nat
Dboguage de paquet NAT est on
NAT In:trouver un paquet TCP au serveur(192.0.0.1:21---->202.0.0.3:21)
NAT_Forward: paquet TCP au serveur interne (202.0.0.3:21----->192.0.0.1:21)
NAT In: trouver un paquet TCP au serveur (192.0.0.1:21---->202.0.0.3:21)
NAT_Forward: paquet TCP au serveur interne (202.0.0.3:20----->192.0.0.1:20)
NAT_Forward: paquet TCP au serveur interne (202.0.0.3:21----->192.0.0.1:21)
NAT In: trouver un paquet TCP au serveur (192.0.0.1:20---->202.0.0.3:20)

XXXX

BGP Lab Guidline(L000 0004)

Cette commande peut tre utilise pour vrifier si un paquet est traduit et
comment ladresse est-elle traduite. Ceci sera dune grande aide pour notre
dboguage.
La deuxime forme est lassociation de rserve dadresses. Cette forme peut
servir pour appliquer de multiples adresses publiques pour complter la
traduction dadresses pour satisfaire la demande pour la bande passante. Les
configurations dans cette forme sont montres comme suit: (RTB inchang)
[RTA]afficher configuration-actuelle
Maintenant crons la configuration...
Configuration actuelle
!
version 1.74
nat temps-vieill tcp 300

//programmer temps valide pour la

traduction dadresse
nat groupe-adresse 192.0.0.3 192.0.0.4 ddd

//configurer rserve

dadresse
activer filtre
sys-nom RTA
crypter-carte commutat-rapide
!
acl 101 correspond-ordre auto
rgle permettre source ip normal 202.0.0.2 0.0.0.0 toute destination
rgle permettre source ip normal 202.0.0.3 0.0.0.0 toute destination
rgler interdire source ip normal toute destination
!
acl 102 correspond-ordre auto
rgle permettre source tcp normale 202.0.1.2 0.0.0.0 destination
192.0.0.1 0.0.0.0
rgle interdire source tcp normal toute destination 192.0.0.1 0.0.0.0
!
interface Aux0
flux mode async
phy-mru 0
protocole-liaison ppp
!
interface Ethernet0
adresse ip 202.0.0.1 255.255.255.0
filtre paquet-filtre 101 arrive

XXXX

BGP Lab Guidline(L000 0004)

!
interface Srie0
protocole-liaison ppp
nat dpart 102 groupe-adresse ddd

//associer la liste

avec la rserve dadresses


nat serveur global 192.0.0.3 ftp interne 202.0.0.3 ftp tcp
filtre paquet-filtre 102 arrive
!
interface Srie1
horloge DTECLK1
protocole-liaison ppp
!
quitter
rip
rseau tout
!
quitter
!
retour

Aprs les configurations prcdentes, tester les exigences fonctionnelles. Ces


fonctions doivent faire laffaire. Veuillez noter que ladresse de dmarrage et
ladresse de fin sont utilises dans ce Lab pour configurer la rserve dadresses.
Ainsi, les adresses dans la rserve dadresses sont requises et doivent tre de
suite, et seules 64 adresses peuvent tre dfinies au maximum.
Rsum:
Pour le filtre, nous discutons principalement la liste de contrle daccs standard,
la liste de contrle daccs tendue et la traduction dadresses. En faisant le Lab,
nous devons faire trs attention leurs diffrences et relations, et surtout les
diffrentes occasions. De plus, nous sommes supposs saisir les fonctions et
principes de multiples rgles et de multiples listes.