nat statique vers un sous réseau non directement connecté

Answered Question
Oct 4th, 2010
User Badges:

Bonjour à tous!

J'ai un réseau connecté à plusieurs opérateurs de télécoms, je les ai connecté sur un Switch et sur un routeur 1841. J'ai essayé d'écrire des NAT statique de chaque opérateur vers un de mes serveurs en interne qui se situe sur un autre sous-réseau séparé par un routeur mais ça ne marche pas. En plus quand j'essaie d'écrire la static NAT des opérateurs différents vers le même serveurs, j'ai le message d'erreur me disant que cette adresse est déja NATTEE.

Merci

Correct Answer by Raphael Wouters about 6 years 6 months ago

Bonjour,


Si je comprend bien vous voulez natter plusieurs fois la meme "Inside local" addresse avec différentes "Inside global" address. Le problème est que NAT ne va translater qu'au niveau IP, cela va alors créer des confusions lorsque votre serveur répondrait à un packet le routeur ne saurait plus qu'elle "indide local" addresse remettre dans la réponse.

Pour éviter cela, il existe le keywork "extendable" qui va forcer NAT a créer une règle avec les source/destination UDP/TCP ports. Comme cela l'ambiguité est levée et vous pouvez configurer plusieurs "inside local" similaire. Voici un exemple:



ip nat inside source static 192.168.0.1 10.0.0.77 extendable
ip nat inside source static 192.168.0.1 10.1.0.77 extendable
ip nat inside source static 192.168.0.1 10.2.0.77 extendable
  • 1
  • 2
  • 3
  • 4
  • 5
Overall Rating: 5 (2 ratings)
Loading.
Correct Answer
Raphael Wouters Tue, 10/05/2010 - 01:25
User Badges:
  • Cisco Employee,

Bonjour,


Si je comprend bien vous voulez natter plusieurs fois la meme "Inside local" addresse avec différentes "Inside global" address. Le problème est que NAT ne va translater qu'au niveau IP, cela va alors créer des confusions lorsque votre serveur répondrait à un packet le routeur ne saurait plus qu'elle "indide local" addresse remettre dans la réponse.

Pour éviter cela, il existe le keywork "extendable" qui va forcer NAT a créer une règle avec les source/destination UDP/TCP ports. Comme cela l'ambiguité est levée et vous pouvez configurer plusieurs "inside local" similaire. Voici un exemple:



ip nat inside source static 192.168.0.1 10.0.0.77 extendable
ip nat inside source static 192.168.0.1 10.1.0.77 extendable
ip nat inside source static 192.168.0.1 10.2.0.77 extendable
ousmanou77 Tue, 10/05/2010 - 02:28
User Badges:

Bonjour,


Merci pour votre aide! cela a effectivment résolu mon problème et pour envoyer le traffic vers le serveur qui se trouve dans un sous réseau non directement connecté, j'ai utilisé "route-map" avec la directive "set ip next-hop x.x.x.x".


Merci

Raphael Wouters Tue, 10/05/2010 - 02:59
User Badges:
  • Cisco Employee,

De rien!


Pourquoi ne pas utiliser une statique route au lieux d'une route-map?

Dans l'exemple donné ci dessus, si 192.168.0.1 est votre serveur vous pouriez simplement configurer:



ip route 192.168.0.1 255.255.255.255 


Le routing est fait après nat, donc un packet qui vient de l'extérieur et dont la destination est changée par NAT en 192.168.0.1 sera routé comme il faut vers la addresse.


bonne journée!

ousmanou77 Tue, 10/05/2010 - 03:57
User Badges:

J'ai essayé avec cette méthode mais le routeur a eu un comportement assez bizarre.


- il n'envoyait pas les paquets vers la destination souhaitée même avec la route statique. En utilisant "route-map" je l'ai obligé à envoyer les paquets qui respecte une ACL précise vers le routeur suivant et j'ai ainsi résolu le problème.


merci

Actions

This Discussion