Segurança e VPN : Negociação IPSec/Protocolos IKE

Configurando um Túnel IPSec Através de um Firewall com NAT

7 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes usados
     Convenções
Configurar
     Diagrama de rede
     Configurações
Verificação
Solução de Problemas
     Comandos de Solução de Problemas
     Limpando Associações de Segurança
Discussões relacionadas da comunidade de suporte da Cisco
Informações relacionadas

Introdução

Este documento fornece uma configuração de amostra para um túnel IPSec através de um firewall que execute Network Address Translation (NAT). Esta configuração não funcionará com port address translation (PAT) se você usar versões do Cisco IOS® Software anteriores a, sem incluir, 12.2(13)T. Esse tipo de configuração pode ser usado para o tráfego IP do túnel. Porém, não pode ser usado para criptografar tráfegos que não ocorram através de um firewall, como IPX ou atualizações de roteamento. Túneis de Generic Routing Encapsulation (GRE) são apropriados para esse tipo de configuração. No exemplo deste documento, os roteadores Cisco 2621 e 3660 são os pontos finais de túnel IPSec que ligam duas redes privadas, com canalizações ou listas de controle de acesso (ACLs) no PIX entre eles para permitir o tráfego IPSec.

Observação: NAT é uma tradução de endereço um para um, que não deve ser confundida com PAT, que é uma tradução de muitos (dentro do firewall) para um. Consulte Verificando a Operação de NAT e Solução de Problemas Básicos de NAT ou Como o NAT Funciona para obter mais informações sobre a operação e a configuração do NAT.

Observação: Talvez IPSec com PAT não funcione corretamente porque o dispositivo de ponto final do túnel externo não pode manipular vários túneis a partir de um endereço IP. Consulte seu fornecedor para determinar se os dispositivos de ponto final do túnel funcionam com PAT. Além disso, nas versões 12.2(13)T e posteriores, a característica Transparência de NAT também pode ser usada para PAT. Consulte Transparência de NAT de IPSec para obter mais informações. Consulte Suporte para IPSec ESP Através do NAT para obter mais informações sobre esses recursos nas versões 12.2(13)T e posteriores. Além disso, antes de abrir um caso no TAC, consulte Perguntas Freqüentes Sobre o NAT, que apresenta muitas respostas para perguntas comuns.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • Cisco IOS Software Release 12.0.7.T [até, mas sem incluir, 12.2(13)T]

    Consulte Transparência de NAT de IPSec para obter versões mais recentes.

  • Cisco 2621 Router

  • Cisco 3660 Router

  • Cisco PIX Firewall

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Consulte Convenções de dicas técnicas da Cisco para obter mais informações sobres as convenções de documentos.

Configurar

Nesta seção, você encontra as informações para configurar as características descritas neste documento.

Observação: Use a Ferramenta de Consulta de Comandos (clientes registrados somente) para encontrar informações adicionais sobre os comandos usados neste documento.

Diagrama de rede

Este documento usa esta configuração de rede:

ipsecnat.gif

Configurações

Este documento usa estas configurações:

Configuração do Cisco 2621

Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !
 
                     !--- Política de IKE
                  
                  crypto isakmp policy 10
  hash md5
  pré associação de autenticação
 crypto isakmp key cisco123 address 99.99.99.2
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac
 !
 crypto map mymap local-address FastEthernet0/1
                  
                     !--- Política de IPSec
                  
                  crypto map mymap 10 ipsec-isakmp
  set peer 99.99.99.2
  set transform-set myset
                  
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia.
                  
                  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 
                     !--- Aplicar à interface.
                  
                  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia.
                  
                  access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Configuração Parcial do Cisco PIX Firewall

ip address outside 99.99.99.1 255.255.255.0
 ip address inside 10.1.1.1 255.255.255.0
 
                     !--- Intervalo de endereços IP registrados para uso.
                  
 global (outside) 1 99.99.99.50-99.99.99.60
 
                     !--- Traduza todo endereço de origem interna quando
!--- acessar a Internet.
                  
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
 conduit permit esp host 99.99.99.12 host 99.99.99.2
 conduit permit udp host 99.99.99.12 eq isakmp host 99.99.99.2
 conduit permit udp host 99.99.99.12 eq 4500 host 99.99.99.2
 
                     !--- ou
                  
 access-list acl-out permit esp host 99.99.99.2 host 99.99.99.12
 access-list acl-out permit udp host 99.99.99.2 host 99.99.99.12 eq isakmp
 access-list acl-out permit udp host 99.99.99.2 host 99.99.99.12 eq 4500
 access-group acl-out in interface outside

 isakmp enable outside
 isakmp enable inside

                     !--- Comando configurado para habilitar NAT-T.
                  
                  isakmp nat-traversal 20
 route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
 route inside 10.2.2.0 255.255.255.0 10.1.1.2 1

Configuração do Cisco 3660

version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 
                     !--- Política de IKE
                  
                  crypto isakmp policy 10
  hash md5
  pré associação de autenticação
 crypto isakmp key cisco123 address 99.99.99.12
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac
 !
 crypto map mymap local-address FastEthernet0/0
                  
                     !--- Política de IPSec
                  
                  crypto map mymap 10 ipsec-isakmp
  set peer 99.99.99.12
  set transform-set myset
                  
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia.
                  
                  match address 101
 !
 interface FastEthernet0/0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 
                     !--- Aplicar à interface.
                  
                  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
 
                     !--- Pool a partir do qual os hosts internos fazem tradução para
!--- a rede 99.99.99.0/24 exclusiva globalmente.
                  
                  ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0
                  
                     !--- Exclua a rede privada do processo NAT.
                  
                  ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia.
                  
                  10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 de IP de permissão de 101 listas de acesso
 access-list 101 deny   ip 10.3.3.0 0.0.0.255 any
                  
                     !--- Exclua a rede privada do processo NAT.
                  
                  access-list 110 deny   ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

Verificação

Use esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (clientes registrados somente) (OIT) é compatível com alguns show comandos. Use a OIT para visualizar uma análise da saída de comando show.

  • show crypto ipsec sa—Mostra as associações de segurança da fase 2.

  • show crypto isakmp sa—Mostra as associações de segurança da fase 1.

  • show crypto engine connections active—Use para visualizar os pacotes criptografados e descriptografados.

Solução de Problemas

Use esta seção para solucionar problemas de configuração.

Comandos de Solução de Problemas

Observação: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug crypto engine—Mostra o tráfego que está criptografado.

  • debug crypto ipsec—Use para visualizar as negociações de IPSec da fase 2.

  • debug crypto isakmp— Use para visualizar negociações de Internet Security Association and Key Management Protocol (ISAKMP) da fase 1.

Limpando Associações de Segurança

  • clear crypto isakmp—Limpa as associações de segurança do Internet Key Exchange (IKE).

  • clear crypto ipsec sa—Limpa as associações de segurança do IPSec.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações relacionadas


Document ID: 14138