Configuration simultanée de NAT en mode statique et dynamique
Avec un NAT statique, les traductions existent dans la table de traduction NAT dès que vous configurez la commande NAT statique et sont conservées jusqu'à ce que vous supprimiez cette dernière Le diagramme de réseau suivant en est un exemple : Ces commandes sont configurées sur le routeur NAT présenté ci-dessus : Routeur NAT version 12 3
Packet Tracer : implémentation de la NAT statique et dynamique
209 165 202 128/30 La quatrième adresse est utilisée ultérieurement, pour la NAT statique dans la Partie 2 Étape 3 : Associez la liste de contrôle d'accès nommée au pool NAT et activez la PAT Étape 4 : Configurez les interfaces NAT Configurez les interfaces R2 avec les commandes NAT internes et externes appropriées
NOTION DE NAT :TRAVAUX PARTIQUES 1
NAT statique:à une et une seule adresse locale correspond une adresse globale NAT dynamique:à plusieurs adresses IP locales correspondent plusieurs adresses IP globales;dans ce cas on parle de pool d'adresses IP disponibles pour le NAT Si une seule
NAT/PAT - WordPresscom
4-NAT statique Le mécanisme NAT statique permet à des hôtes du réseau public Internet, d’accéder à un hôte du réseau local privé en lui attribuant une traduction d’adresse statique Il traduit une adresse IP privée en une adresse publique routable sur Internet
TP 7 : Configuration des fonctions NAT et PAT
Gateway(config)#ip nat pool public-access 199 99 9 40 199 99 9 62 netmask 255 255 255 224 Gateway(config)#ip nat inside source list 1 pool public-access overload Spécification des interfaces internes et externes Pour les trois types NAT statique, NAT dynamique et PAT, il faut définir les interfaces
TRANSLATION D ADRESSES RESEAUX, TRANSLATION DE PORT ET LES
On distingue 2 (deux) types de NAT: le NAT statique et le NAT dynamique NAT statique : à une et une seule adresse locale correspond une adresse globale NAT dynamique : à plusieurs adresses IP locales correspondent plusieurs adresses IP globales; dans ce cas on parle de pool d'adresses IP disponibles pour le NAT Réseaux informatiques – Page 3
PPE 3 - WordPresscom
NAT, le premier est le NAT statique et le deuxième le NAT dynamique Cependant une autre solution a été développé pour lutter contre la pénurie d’adresse IP qui impact de plus en plus le monde de l’informatique, cette solution est le PAT 2 1 2 1 NAT Statique :
Travaux pratiques : dépannage des configurations de la NAT
à la fonction NAT Votre responsable vous a demandé de détecter et de corriger ces erreurs NAT, puis de documenter votre travail Assurez-vous que le réseau prend en charge les éléments suivants : • Le PC-A agit comme serveur Web doté d’une NAT statique et sera accessible de l’extérieur à l’aide de l’adresse 209 165 200 254
Travaux pratiques : dépannage des configurations de la
fonction NAT Votre responsable vous a demandé de détecter et de corriger ces erreurs NAT, puis de documenter votre travail Assurez-vous que le réseau prend en charge les éléments suivants : • PC-A agit en tant que serveur Web avec une fonction NAT statique et sera accessible depuis l'extérieur par le biais de l'adresse 209 165 200 254
[PDF] قاموس المصطلحات الادارية عر
[PDF] trapèze rectangle 3d
[PDF] parallélépipède triangle volume
[PDF] parallélépipède trapèze
[PDF] nom du triangle en 3d
[PDF] rectangle 3d nom
[PDF] rectangle 3d papier
[PDF] groupe verbal cm2
[PDF] parallélépipède triangle
[PDF] tenures moyen age
[PDF] statut des salariés dans un gie
[PDF] comment présenter un groupement de textes
[PDF] methodologie groupement de textes
[PDF] modèle de lettre de rupture d’une période d’essai
PPE 3.3
Sommaire
1. Cahier de charge : ................................................................................................................................ 2
2. Solutions : ............................................................................................................................................ 2
2.1 Présentation et comparaison des solutions : .................................................................................... 2
2.1.1 Tunnel : VPN ................................................................................................................................... 2
2.1.1.1 Protocoles de tunneling : .......................................................................................................... 3
2.1.2 Accès internet : NAT ....................................................................................................................... 5
2.1.2.1 NAT Statique : .............................................................................................................................. 6
2.1.2.2 NAT Dynamique : ......................................................................................................................... 6
2.1.2.2 PAT :............................................................................................................................................. 7
2.1.3 Accès à distance : SSH .................................................................................................................... 8
3.2 Choix des solutions retenues : .......................................................................................................... 8
3.2.1 Tunnel : ........................................................................................................................................... 8
3.2.2 Accès Internet :........................................................................................................................ 8
4. Projet : ................................................................................................................................................. 9
4 .1 Objectif et but du Projet : ................................................................................................................. 9
4 .2 Installation des solutions retenues : ................................................................................................ 9
4.2.1 Mise en place du VPN : ................................................................................................................... 9
4.2.2 Installation du NAT : ..................................................................................................................... 10
4.2.3 Mise en place du SSH : ................................................................................................................. 12
4.3 Conclusion : ..................................................................................................................................... 13
5. Annexes : ........................................................................................................................................... 13
5.1 Vérification des configurations : ..................................................................................................... 13
1. Cahier de charge :
Solution permettant l'administration ă distance sĠcurisĠes et la sĠcurisation des interconnedžions :
- La sĠcuritĠ du systğme d'information deǀra ġtre renforcĠe entre les diffĠrents sites
- Sécurisation des interconnexions entre le site du stade et les sites distants Billetterie et leMagasin.
- La solution retenue devra être administrable à distance via un accès sécurisé par SSH
2. Solutions :
2.1 Présentation et comparaison des solutions :
2.1.1 Tunnel : VPN
Définition :
VPN signifie Vitual Private Network, traduit Réseau Privé Virtuel en français. Le principe du
VPN est de créer un tunnel reliant 2 sites distancé en utilisant des routeurs pour se créer un
. Il permet de faire transiter des informations de manière sécurisée. On peut considérer qu'une connexion VPN revient à se connecter au rés mais en passant par un accès internet extérieur. La technologie VPN est constitué de protocoles qui eux même ont des protocoles.Les principaux avantages d'un VPN :
- Sécurité : assure des communications sécurisées et chiffrées. - Simplicité : utilise les circuits de télécommunication classiques. - Economie : utilise Internet en tant que média principal de transport, ce qui évite les coûts liés à une ligne dédiée. Les VPNs fournissent trois fonctions essentielles :- Confidentialité (cryptage) : L'émetteur peut crypter les paquets avant de les transmettre dans
le réseau. Par ce moyen, si la communication est interceptée les données ne pourront pas être
lues.- Intégrité des données : Le récepteur peut vérifier si les données n'ont pas été altérées lors de
leur passage dans le réseau. - Authentification : Le récepteur peut authentifier la source du paquet, garantissant et certifiant la source de l'information.2.1.1.1 Protocoles de tunneling :
Il existe plusieurs protocoles VPN fonctionnant sur différentes couches réseau, voici les protocoles que nous pouvons mettre en place sur un serveur dédié ou chez soi :1) PPTP (Point to point tunneling protocol) : PPTP est un protocole réseau de niveau 2
qui permet de transférer des données de manière sécurisés d'un client distant vers un serveur privé. Le protocole PPTP a été développé par un consortium fondé par Microsoft, qui avait pour objectif de créer un VPN sur les réseaux communautaires.Avantages :
- Le protocole est compatible avec la plupart des OS donc son utilisation ne nécessite - Le protocole PPTP est très simple à utiliser et à mettre en place. - Le protocole PPTP est un système rapide.Inconvénients :
- Le protocole PPTP est mal sécurisé. - Le protocole PPTP a certainement déjà été craqué par la NSA.2) IPSEC (Internet Protocol Security) : IPSEC est un protocole de niveau 3 développé
à partir de 1992 par l'IETF (Internet Engineering Task Force) dans le but de sécuriserle protocole IP. Il fait l'objet de plusieurs RFC dont la 2401 et a été conçu à l'origine
et offre tous les services de sécurité qui manquait au VPN.IPSEC comporte 3 sous- :
- AH (Authentication Header) : Il définit les fonctionnalités message. - ESP (Encapsulating Security Payload) : Il assure les mêmes fonctionnalités que le protocole AH mais ajoute le cryptage des données. - IKE (Internet Key Exchange) : Il choisit les hôtes.Avantages :
IPSEC est un protocole de sécurité de niveau 3 donc plus sécurisé que les protocoles de niveau 2. Il permet de crée un VPN et de Crypter les données qui y transite. IPSEC peut également être utilisé comme sous protocole et couplé à un autre protocole de tunneling.Inconvénients :
Les traitements réalisés au niveau des paquets IP peuvent faire des conflits avec les fonctions de translations d'adresses IP (NAT), ou d'adressage dynamique. Les performances d'IPSEC sont gravement ralenties au moment du calcul des clés par IKE. IPSEC est sans doute le protocole le plus compliqué à mettre en place.3) OpenVPN :
OpenVPN est un protocole Open source qui a été développé par James Yonan en mai technologie OpenSSL et SSLv3/TLSv1 pour proposer une solution VPN parfaitement sécurisée et très fiable. Pour pouvoir utilisé OpenVPN il faut installer le client surAvantages :
- OpenSource il est totalement modelable et configurable. - Il est très sécurisé. - Il permet de contourner les pare-feu.Inconvénients :
- L. - Il est très complexe à mettre en place.4) OpenVPN
Le protocole
L2TP et IPsec est intégré à tous OS modernes et à tous les appareils qui sont un VPN. Le protocole L2TP/IPsec est donc aussi simple à utiliser que le protocole PPTP, pui le même client. Par contre, il utilise le port UDP 500 qui peut être bloqué par les pare-feu, ce qui peut nécessiter une configuration spécifique.Avantages :
Il faut préciser que le protocole L2TP est un peu plus lent que les solutions basées sur SSL comme OpenVPN et SSTP. - Le protocole L2TP offre une bonne protection. - Le protocole L2TP est totalement intégré dans les principaux OS. - Le protocole L2TP permet de contourner la majorité des pare-feu.Inconvénients :
2.1.2 Accès internet : NAT
La fonction NAT permet de traduire une adresse privée interne en une adresse publique pour le routage sur Internet. Elle chaque paquet par une adresse IP enregistrée Internet. Pour limiter les coûts, les petites et moyennes entreprises se connectent à leurs . Le routeur interne configuré pour faire du NAT se connecte par la suite au fournisseur . Les entreprises plus grandes, peuvent disposer de plusieurs connexions, et chaque routeur connecté à une ligne exécute la fonction NAT. Chaque adresse privée autorisé à avoir un accès internet est traduit tentative de connexion est faite. Ceci permet de camoufler la véritable adresse des hôtes et routeurs dans lesquels la fonction NAT est configurée, un système de blocage de paquets provenant est souvent égalementimplémenté pour éviter les attaques, cependant si ces paquets constituent une réponse à une
demande émise par un hôte interne, le routeur . Il existe deux types de NAT, le premier est le NAT statique et le deuxième le NAT dynamique. Cependant une autre resse IP qui impact de plus en plus2.1.2.1 NAT Statique :
Le NAT statique consiste à traduire une adresse IP privée en adresse IP publique comme nous sont statiques-à-dire que tout doit être rentré à la main. paquet IP publique contenu dans le paquet, la traduire et transmettre le paquets au poste concerné.Avantages :
- Chaque machine a une adresse IP qui lui est dédiéInconvénients :
- Il faut acheter une adresse IP publique pour chaque poste pouvant accéder à internet - Difficile et long à mettre en place - Solution très cher2.1.2.2 NAT Dynamique :
Le NAT dynamique est une solution complètement contraire au NAT statique. Le NAT Dynamique internet. Si nous sommes par exemple dans une infrastructure contenant 300 ordinateur qui peuventaccéder à internet mais que nous avons un plage de 5 adresses IP publique toutes le machines ne
pourront pas aller sur internet en mġme temps car il n'y aura pas assez d'adresses IP. Cela est dit
Avantages :
- Facile à mettre en place - Coute moins cher que la solution du NAT statique adresses IP publiqueInconvénients :
- Tous les ordinateurs ne vont pas avoir une adresse IP directement - que quelque adresse IP pour plusieurs postes2.1.2.2 PAT :
Le PAT (Port Address Translation) également appelée surcharge NAT, est une déclinaison du NAT qui consiste à traduire plusieurs adresse IP privée en une seul adresse IP publique et crée un port pour chaque poste ayant une adresse IP qui a été traduite. envoie un message à un hôte de destination, il utilise une numéro de port pour suivre chaque conversation individuelle. Dans la fonction PAT, le routeur traduit la combinaison de en une seule adresse IP globale. Le routeur met constamment à jour une table dans laquelle sont stocké toutes les traductions orts. Bien que chaque hôte se traduise par la même adresse IP globale, le numéro de port associé à la conversation est unique. Comme dans un routeur il existe plus de 64000 ports disponibles, il est quasiment impossible vienne à manquer de ports de conversation , alors que cela peut être fortement possible avec la fonction NAT dynamique.Avantages :
- Facile à mettre en place - Solution la moins couteuse de toutesInconvéniant :
- Il faut rajouter un routeur en plus qui va servir de porte de sorti2.1.3 Accès à distance : SSH
Le Secure Shell, plus connu sous le nom de SSH, fait partit des protocoles de sécurité proposé dans le
le chiffrement par clé (cryptage) qui va permettre une étanchéité sur les données transitées entre
l'ordinateur et le matĠriel. SSH utilise le port 22 et a été créé en 1995 et a connu deux versions. La
version SSH 1.0 permettait de se connecter à distance sur un ordinateur ou tous autres matériels,
cependant elle contenait des problğmes dans la ǀĠrification de l'intĠgritĠ des donnĠes enǀoyĠes et
version 2.0 qui corrigeait ces problèmes et apportait des améliorations au niveau sécurité,
cryptographie et un protocol de transfert de fichiers appelé SSH file transfer protocol.Avantages :
- Le SSH nous permet de prendre la main sur un switch, un routeur ou autres sans devoir se connecter directement au matériel. - Les donnĠes transitĠes entre l'ordinateur d'administration et le matĠriel sont cryptĠ.3.2 Choix des solutions retenues :
3.2.1 Tunnel :
Nous avons sélectionné IPSec car c'est pour nous un edžcellent protocole de tunneling et de plus il est
le seul qui crypte les données qui transitent dans le VPN.3.2.2 Accès Internet :
monopolise le moins d'adresse IP et la sĠcurisĠe.3.2.3 Accès à distance :
4. Projet :
4 .1 Objectif et but du Projet :
Pour augmenter la sécurité de nos sites de billetterie et du stade, nous allons devoir mettre en
place les protocoles suivant :VPN (Se connecter ă un rĠseau de l'edžtĠrieur et sĠcuriser les interconnedžions des sites)
NAT (Donner un accès à internet aux utilisateurs de notre infrastructure de manière sécurisé)
SSH (Effectuer des modifications sur nos routeurs ou switch sans se déplacer)4 .2 Installation des solutions retenues :
4.2.1 Mise en place du VPN :
R-stade :
Configurations du routage dynamique inter-site :
R-stade(config)#router eigrp 1
R-stade(config-router)#network 172.20.0.0 0.0.0.255 R-stade(config-router)#network 200.200.200.0 0.0.0.3R-stade(config-router)#exit
Configuration et création du VPN :
R-stade(config)#crypto isakmp enable
R-stade(config)#crypto isakmp policy 10
R-stade(config-isakmp)#authentication pre-share
R-stade(config-isakmp)#encryption 3des
R-stade(config-isakmp)#hash md5
R-stade(config-isakmp)#group 5
R-stade(config-isakmp)#lifetime 3600
R-stade(config-isakmp)#exit
R-stade(config)#crypto isakmp key iris123 address 200.200.200.6 R-stade(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R-stade(config)#crypto ipsec security-association lifetime seconds 1800 R-stade(config)#access-list 101 permit ip 172.20.0.0 0.0.0.255 192.168.1.0 0.0.0.255R-stade(config)#crypto map stade 10 ipsec-isakmp
R-stade(config-crypto-map)#set peer 200.200.200.6
R-stade(config-crypto-map)#set transform-set 50
R-stade(config-crypto-map)#set security-association lifetime seconds 900R-stade(config-crypto-map)#match address 101
R-stade(config-crypto-map)#exit
R-stade(config)#interface fastEthernet 0/1
R-stade(config-if)#crypto map stade
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONR-billetterie :
Configurations du routage dynamique inter-site :
R-stade(config)#router eigrp 1
R-stade(config-router)#network 192.168.1.0 0.0.0.255 R-stade(config-router)#network 200.200.200.4 0.0.0.3R-stade(config-router)#exit
Configuration et création du VPN :
R-billetterie(config)#crypto isakmp enable
R-billetterie(config)#crypto isakmp policy 10
R-billetterie(config-isakmp)#authentication pre-shareR-billetterie(config-isakmp)#encryption 3des
R-billetterie(config-isakmp)#hash md5
R-billetterie(config-isakmp)#group 5
R-billetterie(config-isakmp)#lifetime 3600
R-billetterie(config-isakmp)#exit
R-billetterie(config)#crypto isakmp key iris123 address 200.200.200.1 R-billetterie(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R-billetterie(config)#crypto ipsec security-association lifetime seconds 1800 R-billetterie(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0. 0.0.0.255 R-billetterie(config)#crypto map billetterie 10 ipsec-isakmp R-billetterie(config-crypto-map)#set peer 200.200.200.1 R-billetterie(config-crypto-map)#set transform-set 50 R-billetterie(config-crypto-map)#set security-association lifetime seconds 900 R-billetterie(config-crypto-map)#match address 101R-billetterie(config-crypto-map)#exit
R-billetterie(config)#interface FastEthernet 0/1
R-billetterie(config-if)#crypto map billetterie
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON4.2.2 Installation du NAT :
R-stade :
Configuration des interfaces :
R-stade(config)#int fa 0/0
R-stade (config-if)#ip nat inside
R-stade (config-if)#no shutdown
R-stade (config-if)#int fa 0/0.10
R-stade (config-subif)#ip nat inside
R-stade (config-subif)#int fa 0/0.20
R-stade (config-subif)#ip nat inside
R-stade (config-subif)#int fa 0/0.30
R-stade (config-subif)#ip nat inside
R-stade (config-subif)#int fa 0/0.40
R-stade (config-subif)#ip nat inside
R-stade (config-subif)#int fa 0/0.50
R-stade (config-subif)#ip nat inside
R-stade (config-subif)#int fa 0/0.60
R-stade (config-subif)#ip nat inside
R-stade (config-subif)#int fa 0/0.70
R-stade (config-subif)#ip nat inside
R-stade (config)#int fa 0/1
R-stade (config-if)#ip address 200.200.200.1 255.255.255.252R-stade (config-if)# ip nat outside
Création des access-list et identification des adresses sources pouvant passer par le NAT : R-stade (config)#access-list 10 permit 172.20.0.0 0.0.0.255 R-stade (config)#access-list 20 permit 172.20.1.0 0.0.0.255 R-stade (config)#access-list 30 permit 172.20.3.0 0.0.0.127 R-stade (config)#access-list 40 permit 172.20.3.128 0.0.0.63 R-stade (config)#access-list 50 permit 172.20.3.192 0.0.0.31 R-stade (config)#access-list 60 permit 172.20.2.0 0.0.0.127 R-stade (config)#access-list 70 permit 172.20.2.128 0.0.0.127 R-stade (config)#ip nat inside source list 10 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 20 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 30 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 40 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 50 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 60 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 70 interface fastEthernet 0/1 overloadAjout de la route par défaut :
R-stade (config)#ip route 0.0.0.0 0.0.0.0 200.200.200.2R-billetterie :
Configuration des interfaces :
R-billetterie(config)#int fa 0/0
R-billetterie(config)#ip address 192.168.1.1 255.255.255.0R-billetterie (config-if)#ip nat inside
R-billetterie(config-if)#no shutdown
R-billetterie(config)#int fa 0/1
R-billetterie(config-if)#ip address 200.200.200.6 255.255.255.252R-billetterie(config-if)#ip nat outside
R-billetterie(config-if)#no shutdown
Création des access-list et identification des adresses sources pouvant passer par le NAT : R-billetterie(config)#access-list 10 permit 192.168.1.0 0.0.0.255 R-billetterie(config)#ip nat inside source list 10 interface fastEthernet 0/1 overloadAjout de la route par défaut :
R-billetterie(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.54.2.3 Mise en place du SSH :
Router#config terminal
Router(config)#hostname R-stade
R-stade(config)#ip domain-name stadiumcompany.com
R-stade(config)#username admin privilege 15 password cisco123R-stade(config)#interface FastEthernet 0/0.11
R-stade(config-if)ip address 172.20.0.1 255.255.255.0R-stade(config-if)#no shutdown
R-stade(config-if)#exit
R-stade(config)#interface fastEthernet 0/1
R-stade(config-if)#ip address dhcp
R-stade(config-if)#no shutdown
R-stade(config)#line vty 0 4
R-stade(config-line)#privilege level 15
R-stade(config-line)#login local
R-stade(config-line)#transport input telnet ssh
R-stade(config-line)#exit
R-stade(config)#crypto key generate rsa
How many bits in the modulus [512] 768
Customer
4.3 Conclusion :
Les utilisateurs pourront désormais accéder au site de billetterie via le site du stade etinversement de manière 100% sécurisé et toutes les données échangées entre les deux sites
seront illisible par un autre ordinateur. Tous les utilisateurs vont pouvoir se connecter etaccéder à internet en toute sécurité et personne ne pourra connaître l'adresse IP privée de la
machine qui est sorti sur internet. Les administrateurs de chaque site pourront se connecter à distance sur tous les matériels qui composent les deux sites de StadiumCompany.com sans se déplacer. Notre objectif a donc été atteint.