Segurança e VPN : Negociação IPSec/Protocolos IKE

Configurando um Túnel IPSec de Roteador de Rede Privada a Privada com NAT e um Estático

7 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (5 Junho 2006) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Por que a Instrução de Negação no ACL especifica o Tráfego de NAT?
E a NAT estática? Por que eu não consigo acessar o endereço através de um túnel IPsec?
Configurar
     Diagrama de rede
     Configurações
Verificação
Solução de Problemas
     Comandos de Solução de Problemas
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Esta configuração de exemplo mostra como:

  • Criptografar o tráfego entre duas redes privadas (10.1.1.x e 172.16.1.x).

  • Atribuir um endereço IP estático (endereço externo 200.1.1.25) a um dispositivo de rede em 10.1.1.3.

Use listas de controle de acesso (ACLs) para avisar o roteador para não aplicar Network Address Translation (NAT) no tráfego de rede privada-privada. Esse tráfego será criptografado e colocado no túnel ao sair do roteador. Nesta configuração de exemplo, existe também uma NAT estática para um servidor interno na rede 10.1.1.x. Esta configuração de exemplo utilizará a opção route-map no comando de NAT para interromper a aplicação de NAT se o tráfego para ele também estiver destinado ao túnel criptografado.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • Cisco IOS® Software Release 12.3(14)T

  • Dois roteadores Cisco

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Por que a Instrução de Negação no ACL especifica o Tráfego de NAT?

Você substitui conceitualmente uma rede por um túnel quando utiliza o Cisco IOS IPSec ou uma VPN. Você substitui a nuvem Internet por um túnel Cisco IOS IPsec que vai de 200.1.1.1 a 100.1.1.1 neste diagrama. Torne essa rede transparente do ponto de vista das duas LANs privadas que estão vinculadas uma à outra pelo túnel. Por essa razão, normalmente não convém utilizar a NAT no tráfego que vai de uma LAN privada para a LAN privada remota. Você deseja visualizar os pacotes provenientes da rede do Roteador 2 com um endereço IP de origem da rede 10.1.1.0/24 em vez de 200.1.1.1 quando os pacotes chegam à rede interna do Roteador 3.

Consulte Ordem de Operação da NAT para obter mais informações sobre como configurar uma NAT. Este documento mostra que a NAT entra em ação antes da verificação de criptografia quando o pacote vai do interior para o exterior. É por isso que você deve especificar essas informações na configuração.

            ip nat inside source list 122 interface Ethernet0/1 overload
         
            access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any
         

Observação: Também é possível construir o túnel e ainda usar a NAT. O tráfego de NAT é especificado como "tráfego interessante para IPsec" (chamado de ACL 101 em outras seções deste documento) neste cenário. Consulte Configurando um Túnel IPsec entre Roteadores com Sub-redes de LAN Duplicadas para obter mais informações sobre como construir um túnel enquanto a NAT está ativa.

E a NAT estática? Por que eu não consigo acessar o endereço através de um túnel IPsec?

Esta configuração também inclui uma NAT estática um para um para um servidor em 10.1.1.3. A NAT é aplicada nele para 200.1.1.25, de modo que usuários da Internet possam acessá-lo. Execute este comando:

            ip nat inside source static 10.1.1.3 200.1.1.25
         

Esta NAT estática impede que usuários da rede 172.16.1.x acessem 10.1.1.3 através do túnel criptografado. É por isso que você precisa negar a aplicação de NAT com ACL 122 no tráfego criptografado. No entanto, o comando da NAT estática tem preferência sobre a instrução de NAT genérica para todas as conexões de entrada e saída de 10.1.1.3. A instrução da NAT estática não nega especificamente a realização de NAT no tráfego criptografado. A NAT é aplicada nas respostas de 10.1.1.3 para 200.1.1.25 quando um usuário na rede 172.16.1.x se conecta a 10.1.1.3 e, portanto, não retorna através do túnel criptografado (a NAT é aplicada antes da criptografia).

Você deve negar a aplicação de NAT no tráfego criptografado (mesmo a NAT um para um estaticamente) usando o comando route-map na instrução de NAT estática.

Observação: A opção route-map em uma NAT estática só é compatível com o Cisco IOS Software Release 12.2(4)T e posteriores. Consulte NAT—Capacidade de Utilizar Mapas de Rota com Traduções Estáticas para obter informações adicionais.

Você deve executar esses comandos adicionais para permitir acesso criptografado a 10.1.1.3, o host em que a NAT foi aplicada estaticamente:

            ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 150 deny   ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
 match ip address 150
         

Essas instruções avisam o roteador para aplicar a NAT estática somente em tráfegos que corresponderem a ACL 150. A ACL 150 orienta para que a NAT não seja aplicada a tráfegos provenientes de 10.1.1.3 e com destino ao túnel criptografado para 172.16.1.x. No entanto, aplique-a em todos os outros tráfegos provenientes de 10.1.1.3 (tráfego baseado em Internet).

Configurar

Nesta seção, você encontra as informações para configurar as características descritas neste documento.

Observação: Use a Ferramenta de Consulta de Comandos (clientes registrados somente) para encontrar informações adicionais sobre os comandos usados neste documento.

Diagrama de rede

Este documento usa esta configuração de rede:

static.gif

Configurações

Este documento usa estas configurações:

R2 – Configuração do Roteador

R2#write terminal
Building configuration...
Current configuration : 1412 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
 pré associação de autenticação
!
crypto isakmp key ciscokey address 200.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
 set peer 200.1.1.1
 set transform-set myset
                  
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia:
                  
                  match address 101
!
!
!
interface Ethernet0/0
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1/0
 ip address 100.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.1.1.254
!
ip http server
no ip http secure-server
!

                     !--- Exclua a rede privada do processo de NAT:
                  
                  ip nat inside source list 175 interface Ethernet1/0 overload
!

                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia:
                  
                  access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
                  
                     !--- Exclua a rede privada do processo de NAT:
                  
                  access-list 175 deny   ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

R3 – Configuração do Roteador

R3#write terminal
Building configuration...
Current configuration : 1630 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
crypto isakmp policy 10
 pré associação de autenticação
crypto isakmp key ciscokey address 100.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
 set peer 100.1.1.1
 set transform-set myset
                  
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia:
                  
                  match address 101
!
!
!
interface Ethernet0/0
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1/0
 ip address 200.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map myvpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.254
!
no ip http server
no ip http secure-server
!

                     !--- Exclua a rede privada do processo de NAT:
                  
                  ip nat inside source list 122 interface Ethernet1/0 overload
                  
                     !--- Exclua o tráfego de NAT estática do processo de NAT, se for destinado
!--- através do túnel criptografado:
                  
                  ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
                  
                     !--- Exclua a rede privada do processo de NAT:
                  
                  access-list 122 deny   ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any
                  
                     !--- Exclua o tráfego de NAT estática do processo de NAT, se for destinado
!--- através do túnel criptografado:
                  
                  access-list 150 deny   ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
 match ip address 150
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

Verificação

No momento, não existe um procedimento de verificação disponível para esta configuração.

Solução de Problemas

Use esta seção para solucionar problemas de configuração.

Consulte Solução de Problemas de Segurança IP – Compreendendo e Utilizando Comandos de Depuração para obter informações adicionais.

Comandos de Solução de Problemas

A Output Interpreter Tool (clientes registrados somente) (OIT) é compatível com alguns show comandos. Use a OIT para visualizar uma análise da saída de comando show.

Observação: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug crypto ipsec sa —Mostra as negociações de IPSec da Fase 2.

  • debug crypto isakmp sa —Mostra as negociações de ISAKMP da Fase 1.

  • debug crypto engine —Mostra as sessões criptografadas.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 14144