Configuration de la traduction d'adresses réseau et de la traduction d'adresses de ports statiques pour prendre en charge un serveur Web interne.

Options de téléchargement

PDF (177.2 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (104.6 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (115.7 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:9 avril 2007

ID du document:12905

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Conditions préalables

Conditions requises

Components Used

Conventions

Informations générales

Configuration

Diagramme du réseau

Configuration

Vérification

Dépannage

Informations connexes

Introduction

Le traduction d'adresses de réseau (NAT) de Cisco IOS® est conçue pour la simplification et la conservation d'adresse IP. Il active l'interconnexion des réseaux privés IP qui utilisent les adresses IP non enregistrées pour se connecter à l'Internet. NAT fonctionne sur un routeur Cisco qui connecte deux réseaux ensemble, et traduit les adresses privées (locale interne) dans le réseau interne aux adresses publiques (locale externe) avant que des paquets soient expédiés à un autre réseau. Comme faisant partie de cette fonctionnalité, vous pouvez configurer NAT pour annoncer seulement une adresse pour le réseau entier au monde extérieur. Ceci masque efficacement le réseau interne au monde entier. Par conséquent, il fournit une sécurité supplémentaire.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Informations générales

L'une des principales fonctionnalités de la NAT est la traduction d'adresses de port statique (PAT), également appelée surcharge dans une configuration Cisco IOS. La PAT statique est conçue pour permettre le mappage un-à-un entre les adresses locales et globales. Une utilisation courante de la fonction PAT statique consiste à autoriser les utilisateurs Internet du réseau public à accéder à un serveur Web situé dans le réseau privé.

Pour obtenir plus d'informations sur NAT, reportez-vous aux pages d'assistance technique NAT.

Ce tableau présente les trois blocs d'espace d'adresses IP disponibles pour les réseaux privés. Consultez RFC 1918 pour plus de détails sur ces réseaux spéciaux.

Espace d'adressage IP	Classe
10.0.0.0 - 10.255.255.255 (10/8 préfixe)	Classe A
172.16.0.0 - 172.31.255.255 (172.16/12 préfixe)	Classe B
192.168.0.0 - 192.168.255.255 (192.168/16 préfixe)	Classe C

Remarque : Le premier bloc n'est rien d'autre qu'un numéro de réseau de classe A, tandis que le second bloc est un ensemble de 16 numéros de réseau de classe B contigus et le troisième bloc un ensemble de 256 numéros de réseau de classe C contigus.

Dans cet exemple, le fournisseur d'accès Internet (FAI) attribue à l'abonné DSL une seule adresse IP, 171.68.1.1/24. L'adresse IP attribuée est une adresse IP unique enregistrée et appelée adresse globale interne. Cette adresse IP enregistrée est utilisée par l'ensemble du réseau privé pour naviguer sur Internet, ainsi que par les utilisateurs Internet qui proviennent du réseau public pour atteindre le serveur Web du réseau privé.

Le réseau local privé 192.168.0.0/24 est connecté à l’interface Ethernet du routeur NAT. Ce LAN privé contient plusieurs PC et un serveur Web. Le routeur NAT est configuré pour traduire les adresses IP non enregistrées (adresses locales internes) provenant de ces PC en une seule adresse IP publique (adresse globale interne - 171.68.1.1) pour naviguer sur Internet.

L’adresse IP 192.168.0.5 (serveur Web) est une adresse de l’espace d’adressage privé qui ne peut pas être routée vers Internet. La seule adresse IP visible pour les utilisateurs Internet publics à atteindre le serveur Web est 171.68.1.1. Par conséquent, le routeur NAT est configuré pour effectuer un mappage un-à-un entre l'adresse IP 171.68.1.1 port 80 (le port 80 est utilisé pour naviguer sur Internet) et le port 80 192.168.0.5. Ce mappage permet aux utilisateurs d'Internet du côté public d'avoir accès au serveur Web interne.

Cette topologie réseau et cet exemple de configuration peuvent être utilisés pour la carte WIC ADSL Cisco 827, 1417, SOHO77 et 1700/2600/3600. Par exemple, le Cisco 827 est utilisé dans ce document.

Configuration

Cette section présente les informations que vous pouvez utiliser pour configurer les fonctionnalités décrites dans ce document.

Remarque : Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, reportez-vous à l'outil de recherche de commandes IOS (clients enregistrés uniquement).

Diagramme du réseau

Ce document utilise cette configuration du réseau.

Configuration

Cisco 827
Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime ! hostname 827 ! ip subnet-zero no ip domain-lookup ! bridge irb ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside !--- This is the inside local IP address and it is a private IP address. ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5snap ! bundle-enable dsl operating-mode auto bridge-group 1 ! interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside !--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP. ! ip nat inside source list 1 interface BVI1 overload !--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable !--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server. ip classless ip route 0.0.0.0 0.0.0.0 171.68.1.254 !--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address. ! access-list 1 permit 192.168.0.0 0.0.0.255 !--- This access list defines the private network !--- that is network address translated. bridge 1 protocol ieee bridge 1 route ip ! end

Cisco 827

Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network !--- that is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

Vérification

À partir du résultat de la commande show ip nat translation, l'adresse locale interne est l'adresse IP configurée attribuée au serveur Web sur le réseau interne. Notez que 192.168.0.5 est une adresse de l’espace d’adressage privé qui ne peut pas être routée vers Internet. La valeur globale Inside correspond à l’adresse IP de l’hôte interne, qui est le serveur Web, telle qu’elle apparaît au réseau externe. Cette adresse est connue des personnes qui tentent d'accéder au serveur Web à partir d'Internet.

L'adresse locale externe est l'adresse IP de l'hôte externe telle qu'elle apparaît au réseau interne. Ce n'est pas nécessairement une adresse légitime. Mais il est attribué à partir d’un espace d’adressage qui peut être routé à l’intérieur.

L'adresse globale externe est l'adresse IP attribuée à un hôte sur le réseau externe par le propriétaire de l'hôte. L’adresse est attribuée à partir d’une adresse ou d’un espace réseau pouvant être routés globalement.

Notez que l'adresse 171.68.1.1 avec le numéro de port 80 (HTTP) se traduit par 192.168.0.5 port 80, et vice versa. Par conséquent, les utilisateurs d'Internet peuvent naviguer sur le serveur Web même si le serveur Web se trouve sur un réseau privé avec une adresse IP privée.

Afin d'obtenir plus d'informations sur la façon de dépanner NAT, référez-vous à la section Vérification du fonctionnement NAT et dépannage NAT de base.

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

Dépannage

Afin de dépanner la traduction d'adresses, vous pouvez émettre les commandes term mon et debug ip nat detail sur le routeur pour voir si l'adresse se traduit correctement. L'adresse IP visible pour les utilisateurs externes qui souhaitent accéder au serveur Web est 171.68.1.1. Par exemple, les utilisateurs du côté public d'Internet qui tentent d'atteindre le port 80 (www) 171.68.1.1 sont automatiquement redirigés vers le port 80 (www) 192.168.0.5, qui dans ce cas est le serveur Web.

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

Informations connexes

Historique de révision

Révision	Date de publication	Commentaires
1.0	02-Dec-2013	Première publication

Configuration de la traduction d'adresses réseau et de la traduction d'adresses de ports statiques pour prendre en charge un serveur Web interne.

Options de téléchargement

Bias-Free Language

À propos de cette traduction

Contenu

Historique de révision

Ce document vous est-il utile?

Contacter Cisco

Ce document s’applique à ces produits