CiscoASA:ĂŻÂŸ All-in-OneĂŻÂŸ Firewall, IPS, and VPNĂŻÂŸ Adaptive Security ApplianceĂŻÂŸ introduces this new suite of converged security appliances and provides a complete configuration and ConnaĂźtreles mĂ©canismes des protocoles de routage (PAT, NAT ou SAT) pour accĂ©der Ă  Internet; Apprendre Ă  interconnecter des sites distants Ă  l'aide d'un WAT; Public. IngĂ©nieurs rĂ©seaux; Responsables et administrateurs rĂ©seaux; PrĂ©-requis. Avoir suivi la formation "L'essentiel pour administrer et configurer des routeurs Cisco" (SR700 Toconfigure a PAT with these options we will use following command. R1 (config)#ip nat inside source list 1 pool ccna overload. Finally we have to define which interface is Ihave covered the configuration of static NAT and dynamic NAT in previous lessons, now it’s time for PAT. This is the topology we’ll use: Let’s prepare the hosts. I am using normal Cisco routers with “ip routing” disabled to turn them into dumb hosts: Host1(config)#no ip routing Host1(config)#default gateway Ladministrateur rĂ©seau intervient sur l'installation, la configuration, ou encore la maintenance de solutions rĂ©seaux plus Ă©laborĂ©es. Ses principales tĂąches : Installer et faire Ă©voluer le rĂ©seau d'entreprise. Assurer la maintenance prĂ©ventive du rĂ©seau. RĂ©aliser les configurations types, les cas de tests d'intĂ©gration et participer BonjourĂ  tous, pour un projet de gestion de logs je dois mettre en place un pare feu pix cisco 515e. Actuellement j'ai des soucis pour configurer le nat ou pat (?). Je trouve pas mal de commande sur le net mais rien de bien expliquer, ce que fais chaque commande et chaque options, je suis donc perdu! Par exemple : global (outside) 101 interface Whenyou enable NAT (legacy or not), the IOS enables a virtual interface called ‘NVI0’. This interface is used ONLY when the ‘ip nat enable’ is enabled. This interface can be found with the command ‘show ip interface brief’ or ‘show interfaces’. Cisco recommends to use legacy NAT for VRF to global NAT (ip nat inside/out) and RUoor. ï»żPAT Port Address Translation uses port numbers to convert private IP addresses to global IP to Configure NAT PAT on Cisco RouterPAT is the most commonly used method according to Static NAT and Dynamic NAT configuration. It is often used by home users or small businesses. ADSL Modems access the Internet with a single ISP IP address. PAT is applied when all computers over the local network access the Internet with a single global IP is also called NAT Overload. When a computer on the local network or remote network sends a packet to the destination computer, the port number is added to the IP default, PAT is enabled on the ADSL modem device used by home enable PAT with Packet Tracer, follow the steps below. Step 1First open the Cisco simulator program and create a topology as in the image below, then assign IP addresses to the devices and add comments to the workspace. Step 2Configure the TCP/IP settings of PC0 and PC1 as follows. Step 3To enable PAT at the Cisco Routers CLI command prompt, perform the following commands in conf t Routerconfig interface gigabitethernet 0/0 Routerconfig-if ip address Routerconfig-if ip nat inside Routerconfig-if no shutdown Routerconfig-if exit Routerconfig interface gigabitethernet 0/1 Routerconfig-if ip address Routerconfig-if ip nat outside Routerconfig-if no shutdown Routerconfig-if exit Routerconfig access-list 1 permit Routerconfig ip nat inside source list 1 interface gigabitethernet0/1 overload Routerconfig end Router wr Step 4After configuring PAT, test the network connection by pinging the IP address from the computers on the local computers on the local network have successfully connected to the Cisco Router R1 as in the following image. Step 5Click Router0 and execute the show IP nat translations command in privileged configuration mode and examine the NAT CommandsRouter0show ip nat translations Pro Inside global Inside local Outside local Outside global icmp icmp icmp icmp icmp icmp icmp Router0show ip nat statistics Total translations 0 0 static, 0 dynamic, 0 extended Outside Interfaces GigabitEthernet0/1 Inside Interfaces GigabitEthernet0/0 Hits 7 Misses 8 Expired translations 8 Dynamic mappings Router0show running-config Building configuration... Current configuration 772 bytes ! version no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router ! ip cef no ipv6 cef ! license udi pid CISCO1941/K9 sn FTX1524V4OL ! spanning-tree mode pvst ! interface GigabitEthernet0/0 ip address ip nat inside duplex auto speed auto ! interface GigabitEthernet0/1 ip address ip nat outside duplex auto speed auto ! interface Vlan1 no ip address shutdown ! ip nat inside source list 1 interface GigabitEthernet0/1 overload ip classless ! ip flow-export version 9 ! ! access-list 1 permit ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! end Router Router1show running-config Building configuration... Current configuration 617 bytes ! version no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router ! ! ip cef no ipv6 cef ! ! license udi pid CISCO1941/K9 sn FTX15247004 ! ! spanning-tree mode pvst ! ! interface GigabitEthernet0/0 ip address duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Vlan1 no ip address shutdown ! ip classless ! ip flow-export version 9 ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! end Router VideoYou can watch the video below to configure Port Address Translation on the Cisco router and also subscribe to our YouTube channel to support us! Final WordIn this article, we have examined how to configure NAT PAT with simulator software. The PAT process is the most widely used method and uses more than 64,000 port numbers, and it is unlikely that router addresses will be exhausted. Thanks for following us! Related Articles♩ Static NAT ♩ Dynamic NAT ♩ VLAN Settings ♩ VLAN Routing ♩ Port Security I have covered the configuration of static NAT and dynamic NAT in previous lessons, now it’s time for PAT. This is the topology we’ll use Let’s prepare the hosts. I am using normal Cisco routers with “ip routing” disabled to turn them into dumb hosts Host1configno ip routing Host1configdefault gateway Host2configno ip routing Host2configip default-gateway Next step is to configure NAT NATconfiginterface fastEthernet 0/0 NATconfig-ifip nat inside NATconfiginterface fastEthernet 1/0 NATconfig-ifip nat outside So far so good, let’s create an access-list that matches both hosts NATconfigaccess-list 1 permit And finally we’ll configure PAT NATconfigip nat inside source list 1 interface fastEthernet 1/0 overload I select access-list 1 as my inside source and I will translate them to the IP address on FastEthernet 1/0. The big magic keyword here is overload. If you add this we will enable PAT! Let’s give it a test run shall we? Configuring static NAT on Cisco devices With static NAT, routers or firewalls translate one private IP address to a single public IP address. Each private IP address is mapped to a single public IP address. Static NAT is not often used because it requires one public IP address for each private IP address. To configure static NAT on Cisco devices using Network Configuration Manager, you can create the corresponding Configlet commands and push them in multiple devices. If you don't have NCM installed, please click here to download and install the application. To configure static NAT on Cisco devices, following steps are required Configure private/public IP address mapping by using the ip nat inside source static PRIVATE_IP PUBLIC_IP command Configure the router’s inside interface using the ip nat inside command Configure the router’s outside interface using the ip nat outside command Steps to configure static NAT on Cisco devices through CLI Login to the device using SSH / TELNET and go to enable mode. Go into the config mode. Routerconfigure terminal Enter configuration commands, one per line. End with CNTL/Z. Routerconfig Use below command to configure static NAT Routerconfigip nat inside source static Configure the router's inside interface Routerconfiginterface fa0/0 Routerconfig-ifip nat inside Routerconfig-ifexit Configure the router's outside interface Routerconfiginterface fa0/1 Routerconfig-ifip nat outside Routerconfig-ifexit Exit config mode Routerconfigexit Router Execute show ip nat translations command to view the NAT configuration. Copy the running configuration into startup configuration using below command Routerwrite memory Building configuration... [OK] Router The corresponding configlet can be created in NCM application as shown in below screenshot. Also you can click the below button to download the Configlet as XML and import it into NCM application using file import option. Configlet Name Configure Static NAT - Cisco Description This configlet is used to configure static NAT in Cisco devices. Execution Mode Script Execution Mode Configlet Content configure terminal ip nat inside source static $PRIVATE_IP $PUBLIC_IP interface $INSIDE_INTF ip nat inside exit interface $OUTSIDE_INTF ip nat outside exit exit show ip nat translations write memory It is important to secure your Cisco devices by configuring and implementing username and password protection and assigning different Cisco privilege levels to control and restrict access to the CLI. Hence, protecting the devices from unauthorized access. In this article, we will discuss how to configure user accounts and how to associate them to the different Cisco privilege levels. Then, we’ll take a deep dive into their purposes and functions, as well as their importance in network security Level SecurityCisco IOS devices use privilege levels for more granular security and Role-Based Access Control RBAC in addition to usernames and passwords. There are 16 privilege levels of admins access, 0-15, on the Cisco router or switch that you can configure to provide customized access control. With 0 being the least privileged and 15 being the most privileged. These are three privilege levels the Cisco IOS uses by defaultLevel 0 – Zero-level access only allows five commands- logout, enable, disable, help and 1 – User-level access allows you to enter in User Exec mode that provides very limited read-only access to the 15 – Privilege level access allows you to enter in Privileged Exec mode and provides complete control over the By default, Line level security has a privilege level of 1 con, aux, and vty lines .To assign the specific privilege levels, we include the privilege number when indicating the username and password of the admin1 privilege 0 secret Study-CCNA1 Routerconfigusername admin2 privilege 15 secret Study-CCNA2 Routerconfigusername admin3 secret Study-CCNA3In this example, we assign user admin1 a privilege level of 0. Then, we assign user admin2 to privilege level 15, which is the highest level. For admin3, we did not specify any privilege level, but it will have a privilege level of 1 by try to verify the output of our configuration by logging in to each user. Enter the username and the corresponding password, starting with Access Verification Username admin1 Password Router>? Exec commands disable Turn off privileged commands enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system logout Exit from the EXEC Router>Notice in the output above that the user admin1 is under User Exec mode and has only five commands- logout, enable, disable, help, and exit. Now, let’s log in as Access Verification Username admin2 Password Routershow privilege current privilege level is 15 RouterThe output above shows that user admin2 is currently in level 15, and we verified that by typing the show privilege’ command on the CLI. Notice also that we are in Privileged Exec mode. Lastly, let’s log in as Access Verification Username admin3 Password Router>show privilege current privilege level is 1 Router>When we logged in as admin3, we verified that it was in level 1 by typing the show privilege’ command on the CLI. Notice that we are in User Exec Levels 2-14You can increase the security of your network by configuring additional privileges from 2 to 14 and associating them to usernames to provide customized access control. This is suitable when you are designing role-based access control for different users and allowing only certain commands for them to execute. Hence, giving them restrictions to unnecessary commands and increasing the layers of security on the now assign privilege level 5 to a user. After that, we will configure privilege level 5 users to be in User Exec mode and allow them to use the show running-config’ admin4 privilege 5 secret Study-CCNA4 Routerconfigprivilege exec level 5 show running-configAll level 5 users now will be automatically accessing the User Exec mode and can now use the User Exec commands such as show running-config’ on the CLI. Let’s log in as user admin4 to verify Access Verification Username admin4 Password Routershow running-config Building configuration... Current configuration 57 bytes ! boot-start-marker boot-end-marker ! ! ! end RouterEnable Secret Command PrivilegeWe can also configure different privilege levels to passwords. Here, we will allow the enable secret’ command to access the Privileged Exec level. Use the enable secret level {level} {password}’ syntax as shown below. The command sets the enable secret password for privilege level secret level 5 Study-CCNA5We can verify our configuration as shown belowUser Access Verification Username admin5 Password Router>show running-config ^ % Invalid input detected at ^’ marker. Router>enable 5 Password R4show privilege Current privilege level is 5 Routershow running-config Building configuration... Current configuration 57 bytes ! boot-start-marker boot-end-marker ! ! ! end RouterIn our first attempt, notice in the example above that we do not have access to the show running-configuration’ command. That is because we are currently under privilege level 0. However, we can log in as a privilege level 5 user with the enable {privilege level}’ command, and from there, we can now access the show running-configuration’ our Free CCNA Study Guide PDF for complete notes on all the CCNA 200-301 exam topics in one recommend the Cisco CCNA Gold Bootcamp as your main CCNA training course. It’s the highest rated Cisco course online with an average rating of from over 30,000 public reviews and is the gold standard in CCNA training ce nouveau chapitre, je vous propose d’optimiser votre rĂ©seau, en crĂ©ant de la redondance pour pallier les pannes. Cette optimisation risque de vous poser quelques problĂšmes que l’on va Ă©videmment rĂ©soudre ensemble. Nous en profiterons pour faire un peu de thĂ©orie. Évidemment, vous la mettrez tout de suite en pratique, en Ă©tudiant le protocole Spanning Tree. C’est parti !Optimisez votre rĂ©seauIl est commun dans une entreprise d’ajouter des switchs en fonction de la taille de l’entreprise pour rĂ©pondre aux besoins. Par exemple, si vous voulez prĂ©parer l’arrivĂ©e d’un nouveau venu, installer une nouvelle imprimante ou des camĂ©ras de vidĂ©osurveillance...Ces switchs peuvent ĂȘtre ajoutĂ©s Ă  chaque Ă©tage ou chaque division. En fait, Ă  chaque fois que cela est nĂ©cessaire. Les switchs se retrouvent bien souvent branchĂ©s les uns aux autres, ce qui est une bonne pratique. En effet, cela permet de ne pas avoir de goulot d’étranglement et cela permet la redondance des chemins. C’est justement cette redondance qui pose problĂšme ; 3 problĂšmes exactement Un problĂšme dit de tempĂȘtes de problĂšme de duplication de problĂšme d’instabilitĂ© des tables trois problĂšmes peuvent se rĂ©sumer en un seul un problĂšme de boucle. Voyons ça de plus prĂšs !Le moment tant redoutĂ© est dĂ©jĂ  arrivĂ©, nous allons faire un peu de thĂ©orie ! Voyons rapidement ce que signifie ce problĂšme de boucle avant de le avez un problĂšme de bouclePartons de cette topologie oĂč les switchs 2 et 3 se protĂšgent en cas de panne 1. Les tempĂȘtes de broadcastMaintenant que notre architecture est refondĂ©e, regardons ce qu’il se passe si le PC-1 envoie une demande de DHCP DHCP DISCOVER, un message broadcast donc, au routeur qui se trouve ĂȘtre le serveur switch 4 reçoit la trame du PC-1 et la diffuse sur tous ses ports, c’est le fonctionnement normal pour une adresse broadcast, elle est destinĂ©e Ă  tout le switchs 2 et 3 reçoivent aussi la trame du la diffuse de la mĂȘme maniĂšre sur tous leurs ports, envoyant les messages au switch 1 mais aussi au switch 4 qui vient de leur les quatre switchs vont s’envoyer en permanence la trame DHCP du PC-1, faisant utiliser le CPU de ces switchs pour Les duplications de trameCe problĂšme est plus ou moins identique au premier mais au lieu de se rĂ©pĂ©ter Ă  l’infini il se rĂ©pĂ©tera que deux fois, du PC-1 au routeur. Imaginons cette fois-ci que le PC-1 connaisse l’adresse IP du serveur et qu’il souhaite lui envoyer une de trameLe switch 4 va recevoir la trame, voir qu’il possĂšde l’adresse MAC du serveur dans sa table et donc lui envoyer le switchs 2 et 3 vont effectuer la mĂȘme switch 1 va donc envoyer deux fois le mĂȘme message et le routeur le recevoir aussi deux L’instabilitĂ© des tables MACReprenons l’exemple de la duplication des trames. Cependant, intĂ©ressons-nous plus particuliĂšrement aux tables MAC plutĂŽt qu’à la trame du cas oĂč les tables MAC des 4 switchs sont 2PORTSADRESSE MAC 1 ? 2 ?SWITCH 3PORTSADRESSE MAC 1 ? 2 ?Lorsque la trame du routeur arrive sur le switch 3, il met Ă  jour sa table avec l’adresse MAC du routeur, le switch 2 en fait de mĂȘme. Chaque switch veut maintenant envoyer la trame vers le PC-1 mais aucun des deux ne sait encore oĂč il se situe ; ils ne l’ont pas dans leurs tables MAC. Chaque switch va donc envoyer la trame sur tous ses ports, ici le port 1, sauf celui qui est dĂ©jĂ  renseignĂ© le port2.Le switch 3 envoie la trame par le port 1, qui va transiter par le switch 4, le switch 2 va donc mettre Ă  jour sa table MAC avec l’adresse MAC du routeur associĂ© au port 1 ! Le switch 2 en fait de mĂȘme et donc le switch 3 met aussi sa table Ă  qui donne SWITCH 2PORTS ADRESSE MAC 1 ? 2Adresse MAC du routeurSWITCH 3PORTS ADRESSE MAC 1 ? 2Adresse MAC du routeurVoilĂ  le problĂšme, les tables des switchs vont se mettre en permanence Ă  jour, ce qui va aussi leur prendre des ressources en le problĂšme en dĂ©sactivant le spanning-treeAfin de vĂ©rifier tout cela, dĂ©sactivons le spanning-tree qui empĂȘche que ses problĂšmes ne surviennent qui est automatiquement lancĂ© sur les appareils CISCO avec la commande config no spanning-tree vlan 1-4094Vous voyez que le spanning-tree se lance sur des VLAN et non sur des maintenant un ping du routeur vers le poste-1 et vĂ©rifions l’état du CPU des switchs avec la commande show processes cpuVous allez vite vous apercevoir que l’utilisation du CPU monte en flĂšche, que les switchs vont devenir de plus en plus lents jusqu’à atteindre les 100 % de CPU et planter. Seule solution les la solutionVous vous en doutez, pour rĂ©soudre ces problĂšmes vous allez configurer le protocole spanning-tree. Mais avant cela, il vous faut comprendre comment il un seul cheminL’idĂ©e du spanning-tree est simple. Vous allez Ă©lire un seul chemin du PC-1 au routeur en bloquant, au niveau logique, certains ports. Évidemment, en cas de panne d’un switch, ce chemin changera automatiquement. Dans notre exemple, nous allons choisir le switch 2 pour le chemin du PC vers le qui nous donne Spanning-treeVoyons donc comment cela se spanning-treeN’ayez pas peur, l’algorithme est gentil et ne vous fera aucun mal. Encore une fois, il n’y a rien de compliquĂ©, il s’agit juste de trouver le chemin le plus court mais c’est quoi un algorithme ?De quel point vers quel autre ?Bonne question ! C’est pour cela que le protocole commence par l’élection d’un point de dĂ©part, que l’on va appeler switch racine ou root. Ce switch est choisi en fonction de son BID pour Bridge ID. Il s’agit d’un identifiant regroupant l’adresse MAC du switch et une prioritĂ©. Il vous est possible et mĂȘme conseillĂ© de rĂ©gler cette prioritĂ©. Le switch avec le BID le plus faible sera choisi comme switch racine par le protocole spanning-tree. Tous les ports de ce switch seront en Ă©tat forwarding c’est-Ă -dire qu'aucun de ses ports ne sera bloquĂ©.configspanning-tree vlan vlan-id priority prioritySpanning-tree et ports forwardingTous les autres switchs du rĂ©seau vont sĂ©lectionner le port les menant le plus rapidement au switch racine, ce port s’appelle le port root. Ce chemin sera Ă©valuĂ© comme Ă©tant le plus court en prenant en compte la vitesse du lien qui les relie. Plus le lien est rapide, plus le coĂ»t est faible. Ce coĂ»t peut ĂȘtre modifiĂ© si vous souhaitez passer par un chemin plutĂŽt que par un autre.config-ifspanning-tree cost Spanning-tree et ports rootLe protocole spanning-tree va ensuite dĂ©signer les ports permettant aux terminaux PC de joindre le switch racine le plus rapidement, on les appelle les ports et ports dĂ©signĂ©sLes ports qui ne sont ni root, ni dĂ©signĂ©s, sont cas de panne d’un switch, il faut que ces 4 Ă©tapes soient rapidement rĂ©pĂ©tĂ©es. C’est pourquoi le protocole spanning-tree envoie rĂ©guliĂšrement des messages broadcast grĂące au Bridge Protocol Data Units BPDU. Ces BPDU envoient des messages de switchs en switchs sur La configuration pour crĂ©er le spanning tree ;Les changements de topologies si un lien est coupĂ©, ou un switch HS.Mettez-le en pratique mise en pratique va consister Ă  Activer le spanning-tree avec la commande spanning-tree vlan 1Switch configure terminal Switchconfig spanning-tree vlan 1 Switchconfig end SwitchChoisir un routeur root. Ici, vous allez choisir le switch 2 qui se trouve ĂȘtre au centre du rĂ©seau. Pour cela, tapez la commande spanning-tree vlan 1 root primarySwitch configure terminal Switchconfig spanning-tree vlan 1 root primary Switchconfig end SwitchChoisir un routeur root secondaire en cas de panne du premier. Ici vous allez choisir le switch 3 en tapant la commande spanning-tree vlan 1 root secondarySwitch configure terminal Switchconfig spanning-tree vlan 1 root secondary Switchconfig end SwitchPour vĂ©rifier tout cela et comprendre un peu mieux ce qu’il se passe, entrez la commande show devriez obtenir quelque chose qui ressemble Ă  ça VLAN0001 Spanning tree enabled protocol rstp Root ID Priority 24577 C’est la prioritĂ© du switch root, celle que vous avez dĂ©finie avec la commande spanning-tree vlan 1 root priority Address C’est l’adresse du switch root, le switch 2 Cost 8 Port 2 GigabitEthernet0/1 le port root du switch 3 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec les BPDU sont envoyĂ© toutes les 2 secondes si il n’y a pas de rĂ©ponse au bout de 20 secondes on change le spanning-tree Bridge ID Priority 32769 priority 32768 sys-id-ext 1 Address Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Type - - - - - - Gi0/0 Altn BLK 4 Shr il s’agit du port bloquĂ© Gi0/1 Root FWD 4 Shr Gi0/2 Desg FWD 4 ShrIci j’ai tapĂ© la commandeshow spanning-treesur le switch avez enfin les deux composants vous permettant d’administrer votre rĂ©seau et savez les paramĂ©trer pour votre LAN Le switch, pour relier vos appareils du mĂȘme rĂ©seauVLANspanning-treeVLAN interfaceet le routeur pour interconnecter deux rĂ©seaux diffĂ©rentsroutage fixesub-interfaceDHCPNTPNATDans la prochaine partie, vous dĂ©couvrirez tout ce qu’il faut savoir pour crĂ©er des liens entre les routeurs, appelĂ© protocoles de rĂ©sumĂ©Pour que votre rĂ©seau soit performant et sĂ»r, il vous faut crĂ©er des chemins redondants en ajouter des switchs menant aux mĂȘmes parties du le protocole spanning-tree, cette redondance posera de gros problĂšmes comme les tempĂȘtes de broadcast, les messages reçus deux fois ou l’inconstance des tables spanning-tree rĂ©sout ces problĂšmes en empĂȘchant toute boucle de se protocole spanning tree crĂ©e un seul chemin sur le rĂ©seau. Pour cela, il faut Choisir un switch racine ou root ;Choisir un switch secondaire ;SĂ©lectionner les chemins les plus courts vers ce switch racine ;DĂ©sactiver les ports qui ne servent Ă  est possible d'influencer les choix du protocole spanning tree en modifiant les prioritĂ©s des switchs et le coĂ»t d’un lien spanning-tree vlan 1 root priority;spanning-tree vlan 1 root commandeshow spanning-treevous affiche les informations sur le protocole spanning-tree.

configuration nat et pat cisco pdf