Vlan nat cisco
polakk69
Messages postés
8
Date d'inscription
Statut
Membre
Dernière intervention
-
polakk69 Messages postés 8 Date d'inscription Statut Membre Dernière intervention -
polakk69 Messages postés 8 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Voila j'ai mis en place un réseau sur ciso, cependant je coince un peu sur certains points ..
Je dispose de 3 vlan connectés en mode trunk sur mon ROUTEUR1, celui ci est connecté au ROUTEUR2.
J'ai configuré le NAT sur mon ROUTEUR2, cependant tous mes vlans peuvent sortir quand meme... Cela fais 3 jours que je cherche desperement la solution mais je n'y arrive pas:/ si quelqu'un voudrait bien m'eclairer je suis preneur
Voici la config du ROUTEUR1
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
ip helper-address 172.16.11.1
ip access-group 1 out
!
interface FastEthernet0/0.150
encapsulation dot1Q 150
ip address 192.168.150.254 255.255.255.0
!
interface FastEthernet0/0.200
encapsulation dot1Q 200
ip address 192.168.200.254 255.255.255.0
!
interface FastEthernet0/0.300
encapsulation dot1Q 300
ip address 172.16.11.254 255.255.255.0
!
interface FastEthernet0/0.301
encapsulation dot1Q 301
ip address 172.16.10.254 255.255.255.0
!
interface FastEthernet1/0
ip address 172.18.0.1 255.255.255.252
duplex auto
speed auto
!
interface Serial2/0
no ip address
clock rate 2000000
shutdown
!
interface Serial3/0
no ip address
clock rate 2000000
shutdown
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.0.2
Config du ROUTEUR2
interface FastEthernet0/0
ip address 172.18.0.2 255.255.255.252
ip nat inside
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 200.100.100.1 255.255.255.0
ip nat outside
duplex auto
speed auto
!
interface Serial2/0
no ip address
clock rate 2000000
shutdown
!
interface Serial3/0
no ip address
clock rate 2000000
shutdown
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
ip nat inside source list 1 interface FastEthernet1/0 overload
ip classless
ip route 192.168.10.0 255.255.255.0 172.18.0.1
ip route 192.168.200.0 255.255.255.0 172.18.0.1
ip route 192.168.150.0 255.255.255.0 172.18.0.1
ip route 172.16.11.0 255.255.255.0 172.18.0.1
ip route 172.16.10.0 255.255.255.0 172.18.0.1
!
!
access-list 1 permit 192.168.10.0 0.0.0.255
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
Bonne soirée
Voila j'ai mis en place un réseau sur ciso, cependant je coince un peu sur certains points ..
Je dispose de 3 vlan connectés en mode trunk sur mon ROUTEUR1, celui ci est connecté au ROUTEUR2.
J'ai configuré le NAT sur mon ROUTEUR2, cependant tous mes vlans peuvent sortir quand meme... Cela fais 3 jours que je cherche desperement la solution mais je n'y arrive pas:/ si quelqu'un voudrait bien m'eclairer je suis preneur
Voici la config du ROUTEUR1
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
ip helper-address 172.16.11.1
ip access-group 1 out
!
interface FastEthernet0/0.150
encapsulation dot1Q 150
ip address 192.168.150.254 255.255.255.0
!
interface FastEthernet0/0.200
encapsulation dot1Q 200
ip address 192.168.200.254 255.255.255.0
!
interface FastEthernet0/0.300
encapsulation dot1Q 300
ip address 172.16.11.254 255.255.255.0
!
interface FastEthernet0/0.301
encapsulation dot1Q 301
ip address 172.16.10.254 255.255.255.0
!
interface FastEthernet1/0
ip address 172.18.0.1 255.255.255.252
duplex auto
speed auto
!
interface Serial2/0
no ip address
clock rate 2000000
shutdown
!
interface Serial3/0
no ip address
clock rate 2000000
shutdown
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.0.2
Config du ROUTEUR2
interface FastEthernet0/0
ip address 172.18.0.2 255.255.255.252
ip nat inside
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 200.100.100.1 255.255.255.0
ip nat outside
duplex auto
speed auto
!
interface Serial2/0
no ip address
clock rate 2000000
shutdown
!
interface Serial3/0
no ip address
clock rate 2000000
shutdown
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
ip nat inside source list 1 interface FastEthernet1/0 overload
ip classless
ip route 192.168.10.0 255.255.255.0 172.18.0.1
ip route 192.168.200.0 255.255.255.0 172.18.0.1
ip route 192.168.150.0 255.255.255.0 172.18.0.1
ip route 172.16.11.0 255.255.255.0 172.18.0.1
ip route 172.16.10.0 255.255.255.0 172.18.0.1
!
!
access-list 1 permit 192.168.10.0 0.0.0.255
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
Bonne soirée
3 réponses
Salut,
ip access-group 1 out
access-list 1 permit 192.168.10.0 0.0.0.255
heu
si j'ai bien lu, les deux ne sont pas sur le même routeur non ?
ensuite le réseau 10.0 est natté OK, c'est à dire que son adresse source est modifiée en 200.100.100.1
les autres réseaux passent sans modification de la source donc ...
si c'est juste une maquette, ça ne pose pas de problème tant qu'on ne va pas sur le vrai internet 200.100.0.0/16 est attribuée à des brésiliens ...
sans doute pas routé en france.
bref,
pour vérifier, il faut analyser les paquets et regarder sh ip nat tra ce qui se passe , juste dire, ça sort ....
Rappel: nat n'est pas un firewall
ip access-group 1 out
access-list 1 permit 192.168.10.0 0.0.0.255
heu
si j'ai bien lu, les deux ne sont pas sur le même routeur non ?
ensuite le réseau 10.0 est natté OK, c'est à dire que son adresse source est modifiée en 200.100.100.1
les autres réseaux passent sans modification de la source donc ...
si c'est juste une maquette, ça ne pose pas de problème tant qu'on ne va pas sur le vrai internet 200.100.0.0/16 est attribuée à des brésiliens ...
sans doute pas routé en france.
bref,
pour vérifier, il faut analyser les paquets et regarder sh ip nat tra ce qui se passe , juste dire, ça sort ....
Rappel: nat n'est pas un firewall
J'ai configuré le NAT sur mon ROUTEUR2, cependant tous mes vlans peuvent sortir quand même...
Que veux-tu dire par là ?
Quelle communication as-tu effectué que tu ne désire pas ?
Il n'y a que le vlan 10 qui est natté.
interface FastEthernet0/0.10Tu n'auras jamais un paquet avec comme source 192.168.10.x/24 qui va sortir sur f0/0.10 et donc ton ACL va matcher le deny any implicite ce qui veux dire que tu ne sais pas pinger R2 depuis une machine dans ce VLAN 10 car le traffic de retour est bloqué donc comment tous tes vlans peuvent-il sortir, même entre le vlan 10 et les autres le traffic de retour doit être bloqué
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
ip helper-address 172.16.11.1
ip access-group 1 out
access-list 1 permit 192.168.10.0 0.0.0.255
Sur mon routeur 2 ( celui qui doit faire le nat ) :
ip nat inside source list 1 interface FastEthernet1/0 overload
access-list 1 permit 192.168.10.0 0.0.0.255
Cependant meme en ayant effectué cette commande sur mon routeur, tous mes vlans peuvent quand même sortir sans aucune barriere. Pourtant j'ai bien indiquer sur mon ACL :
ip nat inside source list 1 interface FastEthernet1/0 overload
access-list 1 permit 192.168.10.0 0.0.0.255
Normalement seul le VLAN 10 (192.168.10.0) devrait pouvoir.
J'ai enlevé l'ACL sur le routeur1 (lui du coter des VLANS) , dans tous les cas elle n'etait pas actif.
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
ip helper-address 172.16.11.1
ip access-group 1 out
Concernant les ping, ils reussissent tous a sortir...
Je peux t'envoyer une photo du schema en MP si tu veux..
Merci en tout cas d'avoir répondu :)
Bonne soirée
ip nat inside source list 1 interface FastEthernet1/0 overload
access-list 1 permit 192.168.10.0 0.0.0.255
Cependant meme en ayant effectué cette commande sur mon routeur, tous mes vlans peuvent quand même sortir sans aucune barriere. Pourtant j'ai bien indiquer sur mon ACL :
ip nat inside source list 1 interface FastEthernet1/0 overload
access-list 1 permit 192.168.10.0 0.0.0.255
Normalement seul le VLAN 10 (192.168.10.0) devrait pouvoir.
J'ai enlevé l'ACL sur le routeur1 (lui du coter des VLANS) , dans tous les cas elle n'etait pas actif.
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
ip helper-address 172.16.11.1
ip access-group 1 out
Concernant les ping, ils reussissent tous a sortir...
Je peux t'envoyer une photo du schema en MP si tu veux..
Merci en tout cas d'avoir répondu :)
Bonne soirée
J'ai fais un show ip nat translation pour le vlan 10 :
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 200.100.100.1:438 192.168.10.1:438 200.100.100.2:438 200.100.100.2:438
icmp 200.100.100.1:439 192.168.10.1:439 200.100.100.2:439 200.100.100.2:439
icmp 200.100.100.1:440 192.168.10.1:440 200.100.100.2:440 200.100.100.2:440
icmp 200.100.100.1:441 192.168.10.1:441 200.100.100.2:441 200.100.100.2:441
icmp 200.100.100.1:442 192.168.10.1:442 200.100.100.2:442 200.100.100.2:442
icmp 200.100.100.1:443 192.168.10.1:443 200.100.100.2:443 200.100.100.2:443
icmp 200.100.100.1:444 192.168.10.1:444 200.100.100.2:444 200.100.100.2:444
icmp 200.100.100.1:445 192.168.10.1:445 200.100.100.2:445 200.100.100.2:445
Avec un autre VLAN la commande n'a pas fonctionnée.
Cela veut donc dire que le NAT ne bloque pas les autres vlan ? il remplace juste les adresses que j'ai paramétré
Après l'avoir réaliser sur Cisco je devrais ensuite le configurer sur du vrai materiels.. cela change donc en matiere de config ?
merci :)
Bonne soirée
la nat n'a jamais bloqué personne dans le sens inside>>outside sauf en dynamique (overload: PAT) où il faut quand même un protocole de niveau 4 de type icmp/tcp/udp
avec des ports ou équivalent.
En fait la nat ne fait que traduire les adresses (maskerade), source en principe. mais forcément destination en réponse.
Quand la nat doit partager une adresse ip externe (overload et PAT) les connexions entrantes venant de outside sont forcément bloquées, tant qu'une affectation statique du port à une adresse inside n'est pas faite, mais en aucun cas, c'est un firewall.
Ta configuration cisco, ne sera pas compatible avec d'autres matérielsn, il faudra l'adapter, c'est pour ça qu'il faut bien maitriser les concepts plutôt que la syntaxe.
Après l'avoir réaliser sur Cisco je devrais ensuite le configurer sur du vrai materiels..
cisco c'est quand même de vrais matériels, la moitié de l'internet, minimum, san scompter tous les réseaux privés, à commencer le mien, sauf si tu es en train de jouer avec Packet Tracer (ce n'est pas sympa de ne pas l'avoir indiqué dans ton message).
Si les "vrais matériels" sont des cisco, la config P.T. fonctionnera en principe.
Bref, ton truc:
le réseau 10.0 est traduit sur l'adresse source par ta nat.
les autres réseaux ne sont pas traduits mais le ping n'a aucune raison de ne pas fonctionner si 200.100.100.2 (ton "serveur internet")dispose d'une route (par défaut ?) vers les 100.0, 200.0, 150.0 et les 172.16...
si tu supprimes cette route par défaut, ça ne doit plus fonctionner.
En tout cas merci de ta réponse, j'y vois un peu plus clair, et c'est vrai que je m'y suis un peu mal pris pour t'xpliquer certains termes.
Si ce n'est pas abuser de ta gentillesse j'aurais une autre question concernant les ACL :)
J'aimerais que le VLAN 10 puisse sortir sur internet et avoir accès qu'a mon serveur DHCP.
Pour cela j'ai crée une ACL standard :
Access-list 1 permit 172.16.11.1 0.0.0.0
( cependant je ne sais pas quels routes indiquer dans cette ACL pour qu'il puisse aussi sortir sur internet:/)
Si tu pourrais m'eclaircir sur ce sujet, je suis preneur :)
Bonne journée
Ton vlan 10 c'est bien 192.168.10.0/24 ?
Pour qu'il sorte sur Internet il suffit de le natter sur R2
Ton serveur DHCP a quelle adresse(il est ds quel vlan)?
ip helper-address 172.16.11.1
à priori, c'est sur le 300
si tu veux que le vlan 10 n'ait accès qu'à internet, il faut mettre dans l'access-list 1 activée en out sur fast0/0.10 quelque chose comme:
permit 172.16.11.1 0.0.0.0 (le serveur dhcp)
deny 172.16.0.0 0.16.255.255 (tes autres lan)
deny 192.168.0.0 0.0.255.255 (tes autres réseaux lan)
deny 10.0.0.0 0.255.25.255 (rfc 1918 suite pour le principe, pas nécéssaire pour l'instant)
permit all (pour autoriser tout l'internet)