CISCO ZBF et NAT

Fermé
nemorelax Messages postés 2 Date d'inscription vendredi 31 août 2012 Statut Membre Dernière intervention 2 septembre 2012 - 2 sept. 2012 à 22:26
Bonjour,

J'ai créé une topologie sous packet tracer, avec deux routeurs chacun ayant un système NAT activé dessus. (ip nat inside, outside et overload) et un serveur WEB derrière chacun d'eux.

Je suis obligé de créer deux zone pair afin que les équipements puissent communiquer vers le serveur WEB situé derrière le routeur 2 hébergeant le serveur WEB :

- Une zone pair INTERNAL vers WAN (Policy MYNETWORKPMAP appliquée)
- Une zone pair WAN vers INTERNAL (Policy ALL_PROTO appliquée)

Si j'ai bien compris une seule zone pair avec un inpect devrait suffire ?

Ci-dessous la config de test utilisée :

Current configuration : 1446 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
!
!
ip ssh version 1
!
!
spanning-tree mode pvst
!
class-map type inspect match-any ALL_PROTO
match protocol tcp
match protocol udp
match protocol icmp
class-map type inspect match-all MYNETWORK
match access-group 101
match protocol http
!
policy-map type inspect ALL_PROTO_POLICY
class type inspect ALL_PROTO
inspect
!
policy-map type inspect MYNETWORKPMAP
class type inspect MYNETWORK
inspect
!
!
!
zone security WAN
zone security INTERNAL
zone-pair security INTERNAL2WAN source INTERNAL destination WAN
service-policy type inspect MYNETWORKPMAP
!
interface FastEthernet0/0
ip address 192.168.2.254 255.255.255.0
zone-member security INTERNAL
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/1/0
ip address 172.16.100.1 255.255.255.0
zone-member security WAN
ip nat outside
ipv6 ospf cost 781
!
interface Vlan1
no ip address
shutdown
!
router rip
version 2
network 192.168.2.0
!
ip nat inside source list 101 interface Serial0/1/0 overload
ip nat inside source static tcp 192.168.2.250 80 172.16.100.1 80
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/1/0
!
!
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end


Je sèche...
Merci d'avance :)

NB : Si la politique ALL_PROTO est activée dans le sens WAN>INTERNAL tout communique.