Software Cisco IOS e NX-OS : Software Cisco IOS versões 12.2 T

Transparência IPSec NAT

2 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Inglês (31 Dezembro 2002) | Feedback

Índice

Transparência IPSec NAT
Índice
Restrições à Transparência IPSec NAT
Informações Sobre Transparência IPSec NAT
Como fazer a Configuração do NAT e do IPSec
Exemplos de Configurações para IPSec e NAT
Referências Adicionais
Referências a Comandos
crypto isamkp nat keepalive
access-list (IP estendido)
show crypto ipsec sa
Glossário

Transparência IPSec NAT


O recurso NAT Transparency de IPSec apresenta o suporte para o trafego do IP Security (IPSec) para viajar através da NAT (Conversão de endereço de rede) ou de pontos de PAT (Conversão de endereço de ponto) na rede tratando de muitas incompatibilidades conhecidas entre NAT e IPSec.

Especificações do Recurso Transparência IPSec NAT
Histórico do Recurso
Versão Modificação

12.2(13)T

Este recurso foi introduzido.

Plataformas suportadas

Para plataformas suportadas com Cisco IOS Versão 12.2(13)T, consulte o Cisco Feature Navigator.

Determinando o Suporte de Plataforma através do Cisco Feature Navigator

O Cisco IOS software é distribuído em conjuntos distintos de recursos suportados por plataformas específicas. Para mais informações atualizadas relativas a suporte de plataforma para este recurso, acesse o Cisco Feature Navigator. O Cisco Feature Navigator atualiza dinamicamente a lista de plataformas suportadas à medida que novos suportes de plataformas são adicionados ao recurso.

O Cisco Feature Navigator é uma ferramenta com base na web que permite determinar quais imagens de Cisco IOS software suportam um conjunto de recursos específico e quais recursos são suportados em uma imagem Cisco IOS específica. É possível pesquisar por recurso ou versão. Na seção de versão, é possível comparar versões lado a lado, para exibir tanto os recursos exclusivos para cada versão de software quanto os recursos comuns.

Para acessar o Cisco Feature Navigator, é necessário ter uma conta na Cisco.com. Caso tenha se esquecido ou perdido informações sobre sua conta, envie um e-mail em branco para cco-locksmith@cisco.com. Uma verificação automática confirmará se o seu endereço de e-mail está registrado no site Cisco.com. Se a verificação for bem-sucedida, você receberá detalhes da conta com uma nova senha aleatória. Usuários qualificados podem abrir uma conta em Cisco.com seguindo as instruções encontradas neste URL:

https://tools.cisco.com/RPF/register/register.do

O Cisco Feature Navigator é atualizado regularmente quando for lançado novas versões e tecnologias do Cisco IOS software. Para mais informações atuais, acesse a página do Cisco Feature Navigator no seguinte URL:

http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp

Disponibilidade de Imagens de Cisco IOS Software

O suporte a plataformas para versões específicas do Cisco IOS depende da disponibilidade de imagens de software para essas plataformas. As imagens de software para algumas plataformas podem ser adiadas, atrasadas ou alteradas sem aviso prévio. Para mais informações atualizadas sobre o suporte a plataformas e a disponibilidade de imagens de software para cada versão do Cisco IOS software, consulte as release notes on-line ou, caso haja suporte, consulte o Cisco Feature Navigator.

Índice

Restrições à Transparência IPSec NAT

Embora esse recurso resolva muitas incompatibilidades entre NAT e IPSec, ainda existem os seguintes problemas:

Endereço IP de IKE (Internet Key Exchange) e NAT

Essa incompatibilidade aplica-se somente quando endereços IP são usados como chave de pesquisa para localizar uma chave previamente compartilhada. A modificação dos endereços IP de origem ou de destino por NAT ou NAT reverso resulta em não correspondência entre o endereço IP e a chave previamente compartilhada.

Endereços IP e NAT Incorporados

Como a carga útil tem integridade protegida, nenhum endereço IP incluído nos pacotes de IPSec pode ser convertido por NAT. Protocolos que usam endereços IP incorporados incluem FTP, IRC (Internet Relay Chat), SNMP (Simple Network Mangement Protocol), LDAP (Lightweight Directory Access Protocol), H.323 e SIP (Session Initiation Protocol).

Informações Sobre Transparência IPSec NAT

Para fazer a configuração do recurso Transparência IPSec NAT, é preciso entender os seguintes conceitos:

Benefícios da Transparência IPSec NAT

Antes de introduzir esse recurso, um túnel padrão de VPN (virtual private network) de IPSec não funcionaria se houvesse um ou mais pontos NAT ou PAT no caminho da entrega do pacote de IPSec. Esse recurso torna o NAT compatível com IPSec permitindo, portanto, que usuários de acesso remoto criem túneis em gateways locais.

Recurso de Desenho de IPSec NAT Transversal

O recurso Transparência IPSec NAT introduz suporte para tráfego do IPSec para passar através do NAT ou dos pontos de PAT na rede encapsulando pacotes de IPSec em um wrapper UDP (User Datagram Protocol), o que permite que os pacotes passem por dispositivos de NAT. As seções a seguir definem os detalhes do NAT transversal:

Negociação de Fase 1 IKE: Detecção de NAT

Durante a negociação de fase 1 IKE (Internet Key Exchange), dois tipos de detecção de NAT ocorrem antes que o IKE Quick Mode inicie o suporte ao—NAT e a existência NAT ao longo do caminho da rede.

Para detectar o suporte para o NAT, é necessário trocar a cadeia de identificação (ID) do fornecedor com o ponto remoto. Durante MM (Main Mode) 1 e MM 2 de fase 1 IKE1, o ponto remoto envia uma carga da cadeia de ID do fornecedor para seu ponto para indicar que essa versão suporta NAT transversal. Depois disso, a existência do NAT ao longo do caminho da rede pode ser determinada.

A detecção da existência do NAT ao longo do caminho da rede permite localizar qualquer dispositivo de NAT entre dois pontos e a localização exata do NAT. Um dispositivo de NAT pode converter o endereço IP e a porta privada em pública (ou de pública para privada). Essa conversão altera o endereço IP e a porta se o pacote passar pelo dispositivo. Para detectar se um dispositivo de NAT existe ao longo do caminho da rede, os pontos devem enviar uma carga com hashes do endereço IP e porta do endereço de origem e de destino de cada extremidade. Se as duas extremidades calcularem os hashes e eles forem correspondentes, cada ponto saberá que não existe um dispositivo de NAT no caminho da rede entre eles. Se os hashes não forem correspondentes (isto é, o endereço ou a porta foi convertido), cada ponto precisará executar o NAT transversal para obter o pacote IPSec através da rede.

Os hashes são enviados como séries de cargas de NAT-D (NAT discovery). Cada carga contém um hash; se existirem vários hashes, várias cargas NAT-D serão enviadas. Na maioria dos ambientes, existem apenas duas cargas NAT-D—uma para o endereço e porta de origem e outra para o endereço e porta de destino. A carga NAT-D de destino é enviada primeiro, seguida pela carga NAT-D de origem, o que significa que o destinatário deve supor que será processada a carga NAT-D local primeiro e a carga NAT-D remota em segundo lugar. As cargas NAT-D são incluídas na terceira e quarta mensagens no Main Mode e na segunda e terceira mensagens no AM (Aggressive Mode).

Negociação de Fase 2 IKE: Decisão de NAT Transversal

Enquanto a fase 1 IKE detecta suporte ao NAT e a existência de NAT ao longo do caminho da rede, a fase 2 IKE decide se os pontos de ambas as extremidades usarão o NAT transversal ou não. A carga SA (security association) QM (Quick Mode) em QM1 e QM2 é usada para negociação de NAT transversal.

Como o dispositivo NAT altera o endereço IP e o número da porta, podem ser criadas incompatibilidades entre o NAT e o IPSec. Portanto, a troca do endereço de origem original evita qualquer incompatibilidade.

Encapsulamento UDP de Pacotes IPSec para NAT Transversal

Além de permitir que os pacotes IPSec passem transversalmente por dispositivos de NAT, o encapsulamento UDP também resolve muitos problemas de incompatibilidade entre IPSec, NAT e PAT. Os problemas resolvidos são os seguintes:

Incompatabilidade entre IPSec ESP e PAT—Resolvida

Se o PAT encontrar um endereço IP e porta legislativos, descartará o pacote ESP (Encapsulating Security Payload). Para evitar essa situação, o encapsulamento UDP é usado para ocultar o pacote ESP atrás do cabeçalho UDP. Assim sendo, o PAT trata o pacote ESP como um pacote UDP, processando-o como um pacote UDP normal.

Incompatabilidade entre Somas de Verificação e NAT—Resolvida

No novo cabeçalho UDP, o valor da soma de verificação é sempre zero. Esse valor evita que um dispositivo intermediário valide a soma de verificação do pacote, resolvendo, assim, o problema da soma de verificação UDP de TCP porque o NAT altera os endereços IP de origem e de destino.

Incompatabilidade Entre Portas de Destino IKE Fixas e PAT—Resolvida

O PAT altera o endereço da porta no novo cabeçalho UDP para conversão e mantém a carga original sem alteração.

Para ver como o encapsulamento UDP ajuda a enviar pacotes IPSec, consulte Figura 1 e Figura 2.


Figura 1 Túnel Padrão IPSec Através de um Ponto NAT/PAT (Sem Encapsulamento UDP)



Figura 2 Pacote IPSec com Encapsulamento UDP


Processo de Encapsulamento UDP de Mecanismos de Software: Encapsulamento ESP de Modo Transporte e Modo Túnel

Depois que o pacote IPSec tiver sido criptografado por um acelerador de hardware ou um mecanismo de criptografia de software, um cabeçalho de UDP e um marcador não-IKE (de 8 bytes de comprimento) são inseridos entre o cabeçalho original do IP e o cabeçalho do ESP. Os campos comprimento total, protocolo e soma de verificação são alterados para corresponder a essa modificação. A Figura 3 mostra um pacote IPSec antes e depois da aplicação do modo transporte; a Figura 4 mostra um pacote IPSec antes e depois da aplicação do modo túnel.


Figura 3 Modo Transporte—Pacote IPSec Antes e Depois do Encapsulamento ESP



Figura 4 Modo Túnel—Pacote IPSec Antes e Depois do Encapsulamento ESP


Manutenção de Atividades de NAT

A manutenção de atividades de NAT fica ativada para manter o mapeamento dinâmico de NAT funcionando durante uma conexão entre dois pontos. A manutenção de atividades de NAT é formada por pacotes UDP com uma carga não criptografada de 1 byte. Embora a implementação da DPD (dead peer detection) atual seja semelhante para a manutenção de atividades de NAT, existe uma ligeira diferença: a DPD é usada para detectar o status do ponto, enquanto a manutenção de atividades de NAT é enviada se a entidade IPSec não enviou ou recebeu o pacote no período de prazo—faixa válida entre 5 e 3.600 segundos.

Se a manutenção de atividades de NAT estiver ativada (através do comando crypto isamkp nat keepalive), os usuários devem garantir que o valor ocioso seja menor do que o tempo de expiração de mapeamento de NAT, que é de 20 segundos.

Como fazer a Configuração do NAT e do IPSec

Esta seção contém os seguintes procedimentos:

Configurando NAT Transversal

NAT Transversal é um recurso auto-detectado por dispositivos VPN. Não há etapas de configuração para um router que execute Cisco IOS Versão 12.2(13)T. Se os dois dispositivos VPN forem compatíveis com NAT-T, NAT Transversal será auto-detectado e auto-negociado.

Desativando NAT Transversal

É possível desativar o NAT transversal se você já souber que sua rede usa o NAT que detecta IPSec automaticamente (esquema de correspondência spi). Para desativar o NAT transversal, use os seguintes comandos:

RESUMO DAS ETAPAS:

1. enable

2. configure terminal

3. no crypto ipsec nat-transparency udp-encapsulation

ETAPAS DETALHADAS

Comando ou Ação Propósito
Etapa 1 

enable

Exemplo:

Router> enable

Ativa níveis de privilégio mais altos, como o modo EXEC com privilégios.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

no crypto ipsec nat-transparency udp-encapsulation

Exemplo:

Router(config)# no crypto ipsec nat-transparency udp-encapsulation

Desativa o NAT transversal.

Configurando Manutenção de Atividades do NAT

Para fazer a configuração do router para enviar a manutenção de atividades do NAT, use os seguintes comandos:

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. crypto isakmp nat keepalive segundos

ETAPAS DETALHADAS

Comando ou Ação Propósito
Etapa 1 

enable

Exemplo:

Router> enable

Ativa níveis de privilégio mais altos, como o modo EXEC com privilégios.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

crypto isakmp nat keepalive segundos

Exemplo:

Router(config)# crypto isakmp nat keepalive 20

Permite que um nó IPSec envie pacotes de manutenção de atividade do NAT.

  • segundos—O número de segundos entre os pacotes de manutenção de atividade do NAT; faixa entre 5 e 3.600 segundos.

Verificando a Configuração do IPSec

Para verificar a configuração, execute as seguintes etapas opcionais:

RESUMO DAS ETAPAS

1. enable

2. show crypto ipsec sa [map map-name | address | identity] [detail]

ETAPAS DETALHADAS

Comando ou Ação Propósito
Etapa 1 

enable

Exemplo:

Router> enable

Ativa níveis de privilégio mais altos, como o modo EXEC com privilégios.

Insira a senha, se solicitado.

Etapa 2 

show crypto ipsec sa [map map-name | address | identity] [detail]

Exemplo:

Router# show crypto ipsec sa

Exibe a configuração usada por SAs atuais.

Exemplos de Configurações para IPSec e NAT

Esta seção fornece os seguintes exemplos de configurações:

Exemplo de Configuração de Manutenção de Atividades do NAT

O exemplo a seguir mostra como ativar a manutenção de atividades do NAT a ser enviada a cada 20 segundos:

crypto isakmp policy 1
Pré-compartilhamento de autenticação
crypto isakmp key 1234 address 56.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 56.0.0.1
set transform-set t2

match address 101

Referências Adicionais

As seções a seguir fornecem referências adicionais relacionadas com Transparência IPSec NAT:

Documentação Relacionada

Tópico Relacionado Título do Documento

Tarefas adicionais de configuração do NAT.

O capítulo "Configurando Endereçamento IP" no Guia de Configuração do Cisco IOS IP, Versão 12.2

Comandos adicionais NAT

O capítulo "Comandos de Endereçamento IP" na Referências a Comandos Cisco IOS IP, Volume 1 de 3: Endereçamento e Serviços, Versão 12.2

Tarefas adicionais de configuração de IPSec

O capítulo "Configurando Segurança de Rede IPSec" no Guia de Configuração de Segurança Cisco IOS, Versão 12.2

Comandos adicionais IPSec

O capítulo "Comandos de Segurança de Rede IPSec" na Referências a Comandos de Segurança Cisco IOS, Versão 12.2

Informações sobre fase 1 e fase 2 IKE, Modo Agressivo e Modo Principal.

O capítulo "Configurando Protocolo de Segurança IKE (Internet Key Exchange)" no Guia de Configuração de Segurança Cisco IOS, Versão 12.2

Informações adicionais sobre a detecção de ponto inativo do IKE.

Easy VPN Server , módulo de recurso Cisco IOS Versão 12.2(8)T

Padrões

Padrões Título

Nenhum

MIBs

MIBs Ligação de MIBs

Nenhum

Para obter listas de MIBs suportados pela plataforma e pela versão do Cisco IOS e para fazer o download de módulos MIB, acesse o site da Cisco MIB em Cisco.com no seguinte URL:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Para localizar e fazer download de MIBs para plataformas, versões do Cisco IOS e conjuntos de recursos selecionados, use o Localizador de MIBs da Cisco, no seguinte URL:

http://tools.cisco.com/ITDIT/MIBS/servlet/index

Se o Localizador de MIBs da Cisco não suportar as informações de MIBs que você precisa, obtenha uma lista dos MIBs compatíveis e faça o download da página de MIBs da Cisco no seguinte URL:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Para acessar o Cisco MIB Locator, é necessário ter uma conta na Cisco.com. Caso tenha se esquecido ou perdido informações sobre sua conta, envie um e-mail em branco para cco-locksmith@cisco.com. Uma verificação automática confirmará se o seu endereço de e-mail está registrado no site Cisco.com. Se a verificação for bem-sucedida, você receberá detalhes da conta com uma nova senha aleatória. Usuários qualificados podem abrir uma conta em Cisco.com seguindo as instruções encontradas neste URL:

https://tools.cisco.com/RPF/register/register.do

RFCs

RFCs1 Título

RFC 2402

Cabeçalho de Autenticação IP

RFC 2406

ESP (Encapsulating Security Payload) IP

1A lista não contém todos os RFCs suportados.

Assistência Técnica

Descrição Ligação

A página do Centro de Assistência Técnica (TAC) contém 30 mil páginas de conteúdo técnico pesquisável, incluindo ligações para produtos, tecnologias, soluções, dicas técnicas e ferramentas. Os usuários registrados da Cisco.com podem fazer login nessa página para acessar ainda mais conteúdo.

http://www.cisco.com/cisco/web/BR/support/

Referências a Comandos

Esta seção registra comandos novos e modificados. Todos os outros comandos usados com este recurso são documentados nas publicações de Referências a Comandos da versão 12.2 T do Cisco IOS.

Novo Comando
Comandos Modificados

crypto isamkp nat keepalive

Para permitir que um nó IPSec (IP Security) envie pacotes de manutenção de atividades do NAT (Network Address Translation), use o comando crypto isakmp nat keepalive em modo de configuração global. Para desativar os pacotes de manutenção de atividades do NAT, use a forma no deste comando.

crypto isakmp nat keepalive segundos

no crypto isakmp nat keepalive

Descrição da sintaxe

segundos

O número de segundos entre os pacotes de manutenção de atividades; faixa entre 5 e 3.600 segundos.

Defaults

Os pacotes de manutenção de atividades do NAT não são enviados.

Modos de comando

Configuração global

Histórico de comando

Versão Modificação

12.2(13)T

Esse comando foi introduzido.

Diretrizes de uso

O comando crypto isakmp nat keepalive permite que os usuários mantenham o mapeamento dinâmico do NAT ativo durante uma conexão entre dois pontos. Um ciclo de manutenção de atividades do NAT será enviado se o IPSec não enviar ou receber um pacote no período especificado—faixa válida entre 5 e 3.600 segundos.

Se esse comando estiver ativado, os usuários devem garantir que o valor ocioso seja menor do que o tempo de expiração de mapeamento de NAT, que é de 20 segundos.

Exemplos

O exemplo a seguir mostra como ativar a manutenção de atividades do NAT a ser enviada a cada 20 segundos:

crypto isakmp policy 1
Pré-compartilhamento de autenticação
crypto isakmp key 1234 address 56.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 56.0.0.1
set transform-set t2
match address 101

access-list (IP estendido)

Para definir uma lista de acesso de IP estendido , use a versão estendida do comando de configuração global access-list. Para remover as listas de acesso, use a forma negativa desse comando.

Protocolo de datagrama de usuário (UDP)

Para UDP, você também pode usar a seguinte sintaxe:

access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] [fragments]

Descrição da sintaxe

access-list-number

Número de uma lista de acesso. É um número decimal de 100 a 199 ou de 2.000 a 2.699.

dynamic dynamic-name

(Opcional) Identifica essa lista de acesso como uma lista de acesso dinâmico. Consulte o acesso de bloqueio e chave documentado no capítulo "Configurando Segurança Bloqueio e Chave (Listas de Acesso Dinâmico)" no Guia de Configuração de Segurança do Cisco IOS.

timeout minutes

(Opcional) Especifica o período de tempo absoluto, em minutos, que uma entrada temporária da lista de acesso pode permanecer em uma lista de acesso dinâmico. O padrão é um período infinito e permite que uma entrada permaneça permanentemente. Consulte o acesso de bloqueio e chave documentado no capítulo "Configurando Segurança Bloqueio e Chave (Listas de Acesso Dinâmico)" no Guia de Configuração de Segurança do Cisco IOS.

deny

Nega acesso se as condições forem correspondidas.

permit

Permite acesso se as condições forem correspondidas.

protocol

Nome ou número de um protocolo de Internet. Pode ser uma das palavras-chave eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pim, tcp ou udp, ou um número inteiro entre 0 e 255, representando um número de protocolo de Internet. Para corresponder a qualquer protocolo de Internet (incluindo ICMP, TCP e UDP) use a palavra-chave ip. Alguns protocolos permitem outras configurações descritas abaixo.

source

Número da rede ou host do qual o pacote está sendo enviado. Há três formas alternativas de especificar a origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.
  • Use a palavra-chave any como abreviação de uma source e source-wildcard de 0.0.0.0 255.255.255.255.
  • Use host source como abreviação de uma source e source-wildcard de source 0.0.0.0.

source-wildcard

Bits de curinga a serem aplicados na origem. Cada bit curinga indica a posição de bit correspondente na origem. Cada bit curinga definido como 1, indica que tanto um bit 0 como um bit 1 na posição correspondente do endereço IP do pacote são considerados correspondentes a essa entrada na lista de acesso.

Há três formas alternativas de especificar o curinga de origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.
  • Use a palavra-chave any como abreviação de uma source e source-wildcard de 0.0.0.0 255.255.255.255.
  • Use host source como abreviação de uma source e source-wildcard de source 0.0.0.0.

Bits de curinga definidos como 1 não precisam ser adjacentes ao curinga da origem. Por exemplo, um curinga de origem de 0.255.0.64 seria válido.

destination

Número da rede ou host para o qual o pacote está sendo enviado. Há três formas alternativas de especificar o destino:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.
  • Use a palavra-chave any como abreviação de destination e destination-wildcard de 0.0.0.0 255.255.255.255.
  • Use host destination como uma abreviação de destination e destination-wildcard de destination 0.0.0.0.

destination-wildcard

Bits de curinga a serem aplicados no destino. Há três formas alternativas de especificar o curinga de destino:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.
  • Use a palavra-chave any como uma abreviação de destination e destination-wildcard de 0.0.0.0 255.255.255.255.
  • Use host destination como uma abreviação de destination e destination-wildcard de destination 0.0.0.0.

precedence precedence

(Opcional) Os pacotes podem ser filtrados por nível de precedência, como especificado por um número de 0 a 7, ou por nome, como listado na seção “Diretrizes de Uso".

tos tos

(Opcional) Os pacotes podem ser filtrados por tipo de nível de serviço, como especificado por um número de 0 a 15, ou por nome, como listado na seção “Diretrizes de Uso".

log

(Opcional) Gera uma mensagem de registro sobre o pacote que corresponde à entrada a ser enviada ao console. (O nível de mensagens registradas no console é controlado pelo comando logging console.)

A mensagem inclui o número da lista de acesso, se o pacote foi permitido ou negado; o protocolo, se é TCP, UDP, ICMP ou um número, e se for o caso, os endereços de origem e de destino e os números de porta de origem e de destino. A mensagem é gerada para o primeiro pacote correspondente e, em seguida, em intervalos de 5 minutos, incluindo o número de pacotes permitidos ou negados no intervalo de 5 minutos anterior.

O recurso de registro pode descartar alguns pacotes de mensagem de registro se houver muitos a serem manipulados ou se houver mais de uma mensagem de registro a ser manipulada em 1 segundo. Esse procedimento evita que o router falhe devido ao excesso de pacotes de registro. Portanto, o recurso de registro não deve ser usando como uma ferramenta de faturamento ou como uma fonte exata do número de correspondências de uma lista de acesso.

log-input

(Opcional) Inclui a interface de entrada e o endereço MAC de origem ou VC na saída de registro.

time-range time-range-name

(Opcional) Nome do intervalo de tempo que se aplica a essa instrução. O nome do intervalo de tempo e suas restrições são especificados pelo comando time-range.

operator

(Opcional) Compara portas de origem ou destino. Possíveis operados incluem lt (inferior a), gt (superior a), eq (igual), neq (não igual) e range (intervalo inclusivo).

Se o operador for posicionado depois de source e source-wildcard, deverá corresponder à porta de origem.

Se o operador for posicionado depois de destination e destination-wildcard, deverá corresponder à porta de destino.

O operador range requer dois números de porta. Todos os demais operadores requerem um único número de porta.

porta

(Opcional) O número decimal ou o nome de uma porta TCP ou UDP. Um número de porta é um número de 0 a 65535. Os nomes das portas TCP e UDP encontram-se na seção "Diretrizes de Uso". Os nomes de portas TCP só podem ser usados ao filtrar TCP. Os nomes de portas UDP só podem ser usados na filtragem de UDP.

Os nomes de portas TCP só podem ser usados na filtragem de TCP. Os nomes de portas UDP só podem ser usados na filtragem de UDP.

fragments

(Opcional) A entrada da lista de acesso aplica-se a fragmentos não iniciais de pacotes; o fragmento é permitido ou negado, conforme o caso. Para mais detalhes sobre a palavra-chave fragments, consulte as seções "Processamento de Fragmentos da Lista de Acesso" e "Fragmentos e Roteamento de Políticas" na seção "Diretrizes de Uso".

Defaults

Uma lista de acesso estendida tem como padrão uma lista que nega tudo. Uma lista de acesso estendida é encerrada por uma instrução de negação implícita.

Modos de comando

Configuração global

Histórico de comando

Versão Modificação

10.0

Esse comando foi introduzido.

10.3

As palavras-chave e argumentos a seguir foram adicionados:

  • source
  • source-wildcard
  • destination
  • destination-wildcard
  • precedence precedence
  • icmp-type
  • icm-code
  • icmp-message
  • igmp-type
  • operator
  • porta
  • established

11.1

A palavra-chave e o argumento dynamic dynamic-name foram adicionados.

11.1

A palavra-chave e o argumento timeout minutes foram adicionados.

11.2

A palavra-chave log-input foi adicionada.

12.0(1)T

A palavra-chave e o argurmento time-range time-range-name foram adicionados.

12.0(11) e 12.1(2)

A palavra-chave fragments foi adicionada.

12.2(13)T

A palavra-chave non500-isakmp foi adicionada à lista de nomes de porta UDP.

Diretrizes de uso

Você pode usar as listas de acesso para controlar a transmissão de pacotes em uma interface, controlar acesso vty e restringir o conteúdo de atualizações de roteamento. O Cisco IOS software pára de verificar a lista de acesso estendida quando ocorre uma correspondência.

Pacotes IP fragmentados, não sendo o fragmento inicial, são imediatamente aceitos por qualquer lista de acesso estendida IP. As listas de acesso estendidas usadas para controlar acesso vty ou restringir o conteúdo das atualizações de roteamento não devem ser comparadas com a porta de origem TCP, com o valor ToS (type of service) ou com a precedência do pacote.


Observação Depois que uma lista de acesso numerado é criada, qualquer adição subseqüente (possivelmente inserida no terminal) será colocada no final da lista. Isto é, não é possível adicionar ou remover seletivamente linhas de comando da lista de acesso de uma lista de acesso numerado específica.

A seguir, uma lista de nomes de precedência:

  • crítico
  • flash
  • flash-override
  • imediato
  • internet
  • network
  • priority
  • routine

A seguir encontra-se uma lista de nomes de portas UDP que pode ser usada em vez de números de porta. Consulte o RFC do número atribuído atualmente para encontrar uma referência a esses protocolos. Os números de porta correspondentes a esses protocolos também podem ser encontrados digitando? no lugar de um número de porta.

  • biff
  • bootpc
  • bootps
  • discard
  • dnsix
  • domínio
  • eco
  • mobile-ip
  • nameserver
  • netbios-dgm
  • netbios-ns
  • non500-isamkmp
  • ntp
  • rip
  • snmp:
  • snmptrap
  • sunrpc
  • syslog
  • tacacs-ds
  • talk
  • tftp
  • tempo
  • quem
  • xdmcp
Processamento de Fragmentos da Lista de Acesso

O comportamento das entradas da lista de acesso com relação ao uso ou à ausência da palavra-chave fragments pode ser resumido da seguinte forma:

Se a Entrada da Lista de Acesso possuir... Então...

... sem a palavra-chave fragments (o comportamento padrão) e presumindo que todas as informações das entradas da lista de acesso sejam correspondentes,

Para uma entrada da lista de acesso que contenha informação somente da Camada 3:

  • A entrada é aplicada a pacotes não fragmentados, fragmentos iniciais e fragmentos não iniciais.

Para uma entrada da lista de acesso que contenha informações da Camada 3 e da Camada 4:

  • A entrada é aplicada a pacotes não fragmentados e fragmentos iniciais.
    • Se a entrada for uma instrução permit, o pacote ou fragmento será permitido.
    • Se a entrada for uma instrução deny, o pacote ou fragmento será negado.
  • A entrada é também aplicada a fragmentos não iniciais da seguinte maneira. Como fragmentos não iniciais contêm somente informações da Camada 3, somente a parte da Camada 3 de uma entrada da lista de acesso pode ser aplicada. Se a parte da Camada 3 da entrada da lista de acesso for correspondente e
    • Se a entrada for uma instrução permit, o fragmento não inicial será permitido.
    • Se a entrada for uma instrução deny, a próxima entrada da lista de acesso será processada.

Observação As instruções de negação são tratadas de forma diferente para fragmentos não iniciais em contraste com não fragmentados ou iniciais.

... a palavra-chave fragments e presumindo que todas as informações da entrada da lista de acesso sejam correspondentes,

A entrada da lista de acesso é aplicada somente a fragmentos não iniciais.


Observação A palavra-chave fragments não pode ser configurada para uma entrada da lista de acesso que contenha alguma informação da Camada 4.

Saiba que não basta simplesmente adicionar a palavra-chave fragments a cada entrada da lista de acesso, porque o primeiro fragmento do pacote IP é considerado um não fragmento e é tratado independentemente dos fragmentos subseqüentes. Um fragmento inicial não corresponderá a uma entrada permit ou deny da lista de acesso que contenha a palavra-chave fragments, o pacote será comparado à próxima entrada da lista de acesso, e assim por diante, até que seja permitido ou negado por uma entrada da lista de acesso que não contenha a palavra-chave fragments. Portanto, podem ser necessárias duas entradas da lista de acesso para cada entrada deny. A primeira entrada deny do par não incluirá a palavra-chave fragments e aplica-se ao fragmento inicial. A segunda entrada deny do par incluirá a palavra-chave fragments e aplica-se aos fragmentos subseqüentes. Nos casos em que existem várias entradas deny na lista de acesso para o mesmo host, mas com diferentes portas da Camada 4, uma única entrada deny na lista de acesso com a palavra-chave fragments para o host é tudo o que precisa ser adicionado. Portanto, todos os fragmentos de um pacote são tratados da mesma maneira pela lista de acesso.

Fragmentos do pacote de datagramas IP são considerados pacotes individuais e cada um conta individualmente como um pacote na contagem das listas de acesso e de violações das listas de acesso.


Observação A palavra-chave fragments não pode resolver todos os casos que envolvem listas de acesso e fragmentos IP.

Fragmentos e Roteamento de Políticas

A fragmentação e o recurso de controle de fragmentos afetam o roteamento de políticas se este for baseado no comando match ip address e se a lista de acesso tiver entradas que correspondam a informações das Camadas 4 a 7. É possível que fragmentos não iniciais passem na lista de acesso e sejam roteados para políticas, mesmo que o primeiro fragmento não tivesse sido roteado para políticas ou o inverso.

Usando a palavra-chave fragments nas entradas da lista de acesso, como descrito anteriormente, é possível obter uma correspondência entre a ação considerada inicial e os fragmentos não iniciais e é mais provável que o roteamento de políticas ocorra como pretendido.

Exemplos

No exemplo a seguir, a interface serial 0 faz parte de uma rede Classe B com endereço 128.88.0.0 e o endereço do host de correio é 128.88.1.2. A palavra-chave established é usada somente para o protocolo TCP para indicar uma conexão estabelecida. Ocorrerá uma correspondência se o datagrama TCP tiver os bits ACK ou RST definidos, o que indica que o pacote pertence a uma conexão existente.

access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25
interface serial 0
 ip access-group 102 in

Os seguintes pacotes DNS (Domain Naming System) de permissão de exemplo e os pacotes de eco de ICMP e de resposta de eco:

access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp any host 128.88.1.2 eq smtp
access-list 102 permit tcp any any eq domain
access-list 102 permit udp any any eq domain
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply

Os exemplos a seguir mostram como bits curingas são usados para indicar os bits relevantes do prefixo ou máscara. Os bits curinga são semelhantes aos bitmasks usados com listas de acesso normais. Bits de prefixo ou de máscara correspondentes a bits curinga definidos como 1 são ignorados durante as comparações e bits de prefixo ou de máscara correspondentes a bits curinga definidos como 0 são usados na comparação.

O exemplo a seguir permite 192.108.0.0 255.255.0.0, mas nega qualquer rota mais específica de 192.108.0.0 (incluindo 192.108.0.0 255.255.255.0):

access-list 101 permit ip 192.108.0.0 0.0.0.0 255.255.0.0 0.0.0.0
access-list 101 deny ip 192.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255

O exemplo a seguir permite 131.108.0/24, mas nega 131.108/16 e todas as outras sub-redes de 131.108.0.0:

access-list 101 permit ip 131.108.0.0 0.0.0.0 255.255.255.0 0.0.0.0
access-list 101 deny ip 131.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255

O exemplo a seguir usa um intervalo de tempo para negar tráfego de HTTP de segunda a sexta-feira das 8:00. às 18:00:

time-range no-http
 periodic weekdays 8:00 to 18:00
!
access-list 101 deny tcp any any eq http time-range no-http
!
interface ethernet 0
 ip access-group 101 in

show crypto ipsec sa

Para exibir a configuração usada pelas SAs (security associations) atuais, use o comando show crypto ipsec sa EXEC.

show crypto ipsec sa [map map-name | address | identity] [detail]

Descrição da sintaxe

map map-name

(Opcional) Exibe as associações de segurança criadas para o conjunto crypto map denominado map-name.

address

(Opcional) Exibe todas as associações de segurança, classificadas por endereço de destino (o endereço local ou o endereço do par remoto de IP Security) e depois por protocolo (Cabeçalho de Autenticação ou Protocolo de Segurança de Encapsulamento).

identity

(Opcional) Exibe somente as informações de fluxo. Não mostra as informações das associações de segurança.

detail

(Opcional) Exibe contadores de erro detalhados. (O padrão é contadores de erro de envio/recebimento de alto nível.)

Modos de comando

EXEC

Histórico de comando

Versão Modificação

11.3 T

Esse comando foi introduzido.

12.2(13)T

Os campos "remote crypto endpt" e " in use settings" foram modificados para suportar o NAT transversal.

Diretrizes de uso

Se não for usada uma palavra-chave, todas as SAs serão exibidas. São classificadas primeiro por interface e depois por fluxo de tráfego (por exemplo, endereço de origem/destino, máscara, protocolo, porta). Em um fluxo, as SAs são listadas por protocolo (ESP/AH) e direção (entrada/saída).

Exemplos

Segue-se uma saída de exemplo do comando show crypto ipsec sa:

Router# show crypto ipsec sa
interface:FastEthernet0
Crypto map tag:testtag, local addr. 10.2.80.161
local ident (addr/mask/prot/port):(10.2.80.161/255.255.255.255/0/0)
remote ident (addr/mask/prot/port):(100.0.0.1/255.255.255.255/0/0)
current_peer:100.0.0.1:4500
PERMIT, flags={origin_is_acl,}
#pkts encaps:109, #pkts encrypt:109, #pkts digest 109
#pkts decaps:109, #pkts decrypt:109, #pkts verify 109
#pkts compressed:0, #pkts decompressed:0
#pkts not compressed:0, #pkts compr. failed:0, #pkts decompress failed:0
#send errors 90, #recv errors 0
local crypto endpt.:10.2.80.161, remote crypto endpt.:100.0.0.1:4500
path mtu 1500, media mtu 1500
current outbound spi:23945537
inbound esp sas:
spi:0xF423E273(4095992435)
transform:esp-des esp-sha-hmac ,
configurações em uso ={Tunnel UDP-Encaps, }
slot:0, conn id:200, flow_id:1, crypto map:testtag
sa timing:remaining key lifetime (k/sec):(4607996/2546)
IV size:8 bytes
replay detection support:Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi:0x23945537(596923703)
transform:esp-des esp-sha-hmac ,
configurações em uso ={Tunnel UDP-Encaps, }
slot:0, conn id:201, flow_id:2, crypto map:testtag
sa timing:remaining key lifetime (k/sec):(4607998/2519)
IV size:8 bytes
replay detection support:Y
outbound ah sas:
outbound pcp sas:

Glossário

IKE—Internet Key Exchange. Protocolo híbrido que implementa intercâmbio de chaves Oakley e Skeme em uma estrutura de ISAKMP (Internet Security Association Key Management Protocol). Embora o IKE possa ser usado com outros protocolos, sua implementação inicial é feita com IPSec. O IKE fornece autenticação dos pontos IPSec, negocia chaves IPSec e negocia SAs (security associations) IPSec.

IPSec—IP Security. Estrutura de padrões abertos desenvolvidos pela IETF (Internet Engineering Task Force). IPSec oferece segurança para transmissão de informações confidenciais em redes não protegidas como a Internet. IPSec age no nível da rede, protegendo e autenticando pacotes IP entre dispositivos IPSec ("pontos"), como os routers Cisco.

NAT—Network Address Translation. Converte um endereço privado IP usado na corporação em um endereço público roteável para uso fora da corporação, como a Internet. NAT é considerado um mapeamento de um para um de endereços privados para públicos.

PAT—Port Address Translation. Como o NAT, o PAT também converte endereços IP privados em endereços públicos roteáveis. Ao contrário do NAT, o PAT fornece um mapeamento de muitos para um de endereços privados para um endereço público; cada instância do endereço público sendo associada a um número de porta específico para oferecer exclusividade. O PAT pode ser usado em ambientes em que o custo da obtenção de uma faixa de endereços públicos seja cara demais para uma organização.


Observação Consulte Termos e Acrônimos de Trabalho na Internet para obter termos não incluídos neste glossário.