Segurança e VPN : Negociação IPSec/Protocolos IKE

Configurando IPSec/GRE com NAT

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (29 Agosto 2008) | Feedback


Índice

Introdução
Antes de Iniciar
     Convenções
     Pré-requisitos
     Componentes Usados
Configurar
     Diagrama de rede
     Configurações
Verificação
Solução de Problemas
     Comandos de Solução de Problemas
     Limpando as SAs (Associações de Segurança)
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Essa configuração de exemplo mostra como configurar o Generic Routing Encapsulation (GRE) sobre Segurança IP (IPSec), onde o túnel GRE/IPSec passa por um firewall que executa NAT (Network Address Translation).

Antes de Iniciar

Convenções

Para obter mais informações sobre convenções em documentos, consulte Convenções de dicas técnicas da Cisco.

Pré-requisitos

Este tipo de configuração poderia ser utilizada para tunelar e criptografar o tráfego, que normalmente deveria passar por um firewall, como IPX (como em nosso exemplo aqui) ou para rotear atualizações. Neste exemplo, o túnel entre o 2621 e o 3660 funciona apenas quando o tráfego é gerado dos dispositivos nos segmentos da LAN (não um ping IP/IPX estendido dos roteadores IPSec). A conectividade de IP/IPX foi testada com o ping de IP/IPX entre os dispositivos 2513A e 2513B.

Observação: Isso não funciona com a Port Address Translation (PAT).

Componentes Usados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

  • Cisco IOS® 12.0.7.T

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Caso esteja trabalhando em uma rede ativa, certifique-se de ter compreendido o possível impacto dos comandos antes de utilizá-los.

Configurar

Nesta seção, você vai conhecer informações para configurar os recursos descritos neste documento.

Observação: Para obter informações adicionais sobre os comandos utilizados neste documento, use a Ferramenta de Consulta de Comando (clientes registrados somente) .

Nota de configuração do IOS: Com o Cisco IOS 12.2(13)T e códigos posteriores (códigos T-train com numeração mais alta, 12.3 e posteriores), o "mapa de criptografia" do IPSEC configurado só precisa ser aplicado à interface física e não precisa mais ser aplicado à interface de túnel GRE. Tendo o “mapa de criptografia” na interface física e de túnel, ao utilizar o 12.2.(13)T e posterior, os códigos ainda funcionam. Entretanto, é altamente recomendado aplicá-lo só na interface física.

Diagrama de rede

Este documento utiliza a configuração de rede apresentada no diagrama abaixo.

ipsecgrenat.gif

Notas do diagrama de rede

  • Túnel GRE de 10.2.2.1 a 10.3.3.1 (BB de rede IPX)

  • Túnel IPSec de 10.1.1.2 (99.99.99.12) a 99.99.99.2

Configurações

Dispositivo 2513A

ipx routing 00e0.b064.20c1
!
interface Ethernet0
 ip address 10.2.2.2 255.255.255.0
 no ip directed-broadcast
 rede ipx AA
!
ip route 0.0.0.0 0.0.0.0 10.2.2.1

2621

version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname goss-2621
!
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
ipx routing 0030.1977.8f80
isdn voice-call-failure 0
cns event-service server
!
crypto isakmp policy 10
 hash md5
 pré associação de autenticação
crypto isakmp key cisco123 address 99.99.99.2
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap local-address FastEthernet0/1
crypto map mymap 10 ipsec-isakmp
 set peer 99.99.99.2
 set transform-set myset
 match address 101
!
controller T1 1/0
!
interface Tunnel0
 ip address 192.168.100.1 255.255.255.0
 no ip directed-broadcast
 rede ipx BB
 tunnel source FastEthernet0/0
 tunnel destination 10.3.3.1
 crypto map mymap
!
interface FastEthernet0/0
 ip address 10.2.2.1 255.255.255.0
 no ip directed-broadcast
 duplex auto
 speed auto
 ipx network AA
!
interface FastEthernet0/1
 ip address 10.1.1.2 255.255.255.0
 no ip directed-broadcast
 duplex auto
 speed auto
 crypto map mymap
!
ip classless
ip route 10.3.3.0 255.255.255.0 Tunnel0
ip route 10.3.3.1 255.255.255.255 10.1.1.1
ip route 99.99.99.0 255.255.255.0 10.1.1.1
no ip http server
!
access-list 101 permit gre host 10.2.2.1 host 10.3.3.1
!
line con 0
 transport input none
line aux 0
line vty 0 4
!
no scheduler allocate
end

PIX

ip address outside 99.99.99.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
global (outside) 1 99.99.99.50-99.99.99.60
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
conduit permit esp host 99.99.99.12 host 99.99.99.2
conduit permit udp host 99.99.99.12 eq isakmp host 99.99.99.2 
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1

3660

version 12.0
service timestamps debug datetime
service timestamps log uptime
no service password-encryption
!
hostname goss-e4-3660
!
memory-size iomem 30
ip subnet-zero
no ip domain-lookup
!
ipx routing 0030.80f2.2950
cns event-service server
!
crypto isakmp policy 10
 hash md5
 pré associação de autenticação
crypto isakmp key cisco123 address 99.99.99.12
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap local-address FastEthernet0/0
crypto map mymap 10 ipsec-isakmp
 set peer 99.99.99.12
 set transform-set myset
 match address 101
!
interface Tunnel0
 ip address 192.168.100.2 255.255.255.0
 no ip directed-broadcast
 rede ipx BB
 tunnel source FastEthernet0/1
 tunnel destination 10.2.2.1
 crypto map mymap
!
interface FastEthernet0/0
 ip address 99.99.99.2 255.255.255.0
 no ip directed-broadcast
 ip nat outside
 duplex auto
 speed auto
 crypto map mymap
!
interface FastEthernet0/1
 ip address 10.3.3.1 255.255.255.0
 no ip directed-broadcast
 ip nat inside
 duplex auto
 speed auto
 ipx network CC
!
ip nat pool 3660-nat 99.99.99.70 99.99.99.80 netmask 255.255.255.0
ip nat inside source list 1 pool 3660-nat
ip classless
ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route 10.2.2.1 255.255.255.255 99.99.99.1
ip route 99.99.99.12 255.255.255.255 99.99.99.1
no ip http server
!
access-list 1 permit 10.3.3.0 0.0.0.255
access-list 101 permit gre host 10.3.3.1 host 10.2.2.1
!
line con 0
 transport input none
line aux 0
line vty 0 4
 login
!
end

Dispositivo 2513B

ipx routing 00e0.b063.e811
!
interface Ethernet0
 ip address 10.3.3.2 255.255.255.0
 no ip directed-broadcast
 rede ipx CC
!
ip route 0.0.0.0 0.0.0.0 10.3.3.1

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente.

Alguns comandos show são suportados pela Output Interpreter Tool (clientes registrados somente) , que permite que você veja uma análise da saída do comandoshow.

  • show crypto ipsec sa - Mostra as associações de segurança da fase 2.

  • show crypto isakmp sa - Mostra as conexões da sessão de criptografia ativa atual para todos os engines de criptografia.

  • Opcionalmente: show interfaces tunnel number - Mostra as informações da interface do túnel.

  • show ip route - Mostra todos os roteamentos de IP estáticos ou aqueles instalados utilizando a função de download de roteamento AAA (autenticação, autorização e contabilidade).

  • show ipx route - Mostra o conteúdo da tabela de roteamento do IPX.

Solução de Problemas

Esta seção fornece informações que podem ser usadas para solucionar problemas da configuração.

Comandos de Solução de Problemas

Alguns comandos show são suportados pela Output Interpreter Tool (clientes registrados somente) , que permite que você veja uma análise da saída do comandoshow.

Observação: Antes de emitir comandos debug, consulte Informações Importantes sobre Comandos de Depuração.

  • debug crypto engine-Mostra o tráfego que está criptografado.

  • debug crypto ipsec - Mostra as negociações de IPSec da fase 2.

  • debug crypto isakmp - Mostra as negociações de Internet Security Association and Key Management Protocol (ISAKMP) da fase 1.

  • Opcionalmente: debug ip routing - Mostra informações sobre atualizações da tabela de roteamento do Routing Information Protocol (RIP) e atualizações do cache de rotas.

  • debug ipx routing {activity | events} - debug ipx routing {activity | events} – Mostra as informações nos pacotes de roteamento do IPX que o roteador envia e recebe.

Limpando as SAs (Associações de Segurança)

  • clear crytpo ipsec-Limpa todas as associações de segurança do IPSec.

  • clear crypto isakmp - Limpa as associações de segurança do IKE.

  • Opcionalmente: clear ipx route * - Exclui todas as rotas da tabela de roteamento IPX.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 14137