Seguridad y VPN : Negociación IPSec/Protocolos IKE

Configuración de IPSec/GRE con NAT

19 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (29 Agosto 2008) | Comentarios

Contenidos

Introducción
Antes de comenzar
     Convenciones
     Requisitos previos
     Componentes utilizados
Configurar
     Diagrama de la red
     Configuraciones
Verificación
Resolución de problemas
     Comandos para resolución de problemas
     Verificación de Asociaciones de seguridad (SA)
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

La configuración de ejemplo muestra cómo configurar la encapsulación de ruteo genérica (GRE) sobre Seguridad IP (IPSec) donde el túnel GRE/IPSec atraviesa un firewall que realiza la traducción de dirección de red (NAT).

Antes de comenzar

Convenciones

Si desea obtener más información sobre las convenciones del documento, consulte las Convenciones sobre consejos técnicos de Cisco.

Requisitos previos

Este tipo de configuración se puede utilizar para poner en un túnel y cifrar tráfico que normalmente no pasaría por un firewall, como IPX (tal como se muestra en el ejemplo que presentamos aquí) o las actualizaciones de ruteo. En este ejemplo, el túnel que está entre el 2621 y el 3660 sólo funciona cuando se genera tráfico desde dispositivos de los segmentos de la LAN (no un ping IP/IPX extendido desde routers IPSec). La conectividad IP/IPX se ha probado con el ping IP/IPX entre los dispositivos 2513A y 2513B.

Nota: Esto no trabaja con la traducción de dirección de puerto (PAT).

Componentes utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

  • Cisco IOS® 12.0.7.T

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Configurar

En esta sección, encontrará información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la herramienta de búsqueda de comandos (solamente clientes registrados).

Nota sobre la configuración IOS: Con Cisco IOS 12.2(13)T y códigos posteriores (códigos de secuencia T con mayor numeración 12.3 y códigos posteriores), la "correspondencia de criptografía" IPSEC configurada sólo debe aplicarse en la interfaz física y ya no debe aplicarse en la interfaz de túnel GRE. Si la "correspondencia de criptografía" está en la interfaz física y de túnel cuando se usa 12.2.(13)T y códigos posteriores, seguirá funcionando. Sin embargo, se recomienda utilizarla sólo en la interfaz física.

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.

ipsecgrenat.gif

Notas del diagrama de la red

  • Túnel GRE de 10.2.2.1 a 10.3.3.1 (BB red IPX)

  • Túnel IPSec de 10.1.1.2 (99.99.99.12) a 99.99.99.2

Configuraciones

Dispositivo 2513A

ipx routing 00e0.b064.20c1
!
interface Ethernet0
 dirección IP 10.2.2.2 255.255.255.0
 no ip directed-broadcast
ipx network AA
!
ip route 0.0.0.0 0.0.0.0 10.2.2.1

2621

version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname goss-2621
!
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
ipx routing 0030.1977.8f80
isdn voice-call-failure 0
cns event-service server
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 99.99.99.2
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap local-address FastEthernet0/1
crypto map mymap 10 ipsec-isakmp
 set peer 99.99.99.2
 set transform-set myset
 match address 101
!
controller T1 1/0
!
interface Tunnel0
 ip address 192.168.100.1 255.255.255.0
 no ip directed-broadcast
 ipx network BB
 tunnel source FastEthernet0/0
 tunnel destination 10.3.3.1
 crypto map mymap
!
interface FastEthernet0/0
 ip address 10.2.2.1 255.255.255.0
 no ip directed-broadcast
 duplex auto
 speed auto
 ipx network AA
!
interface FastEthernet0/1
 ip address 10.1.1.2 255.255.255.0
 no ip directed-broadcast
 duplex auto
 speed auto
 crypto map mymap
!
ip classless
ip route 10.3.3.0 255.255.255.0 Tunnel0
ip route 10.3.3.1 255.255.255.255 10.1.1.1
ip route 99.99.99.0 255.255.255.0 10.1.1.1
no ip http server
!
access-list 101 permit gre host 10.2.2.1 host 10.3.3.1
!
line con 0
 transport input none
line aux 0
line vty 0 4
!
no scheduler allocate
end

PIX

ip address outside 99.99.99.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
global (outside) 1 99.99.99.50-99.99.99.60
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
conduit permit esp host 99.99.99.12 host 99.99.99.2
conduit permit udp host 99.99.99.12 eq isakmp host 99.99.99.2 
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1

3660

version 12.0
service timestamps debug datetime
service timestamps log uptime
no service password-encryption
!
hostname goss-e4-3660
!
memory-size iomem 30
ip subnet-zero
no ip domain-lookup
!
ipx routing 0030.80f2.2950
cns event-service server
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 99.99.99.12
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap local-address FastEthernet0/0
crypto map mymap 10 ipsec-isakmp
 set peer 99.99.99.12
 set transform-set myset
 match address 101
!
interface Tunnel0
 ip address 192.168.100.2 255.255.255.0
 no ip directed-broadcast
 ipx network BB
 tunnel source FastEthernet0/1
 tunnel destination 10.2.2.1
 crypto map mymap
!
interface FastEthernet0/0
 ip address 99.99.99.2 255.255.255.0
 no ip directed-broadcast
 ip nat outside
 duplex auto
 speed auto
 crypto map mymap
!
interface FastEthernet0/1
 ip address 10.3.3.1 255.255.255.0
 no ip directed-broadcast
 ip nat inside
 duplex auto
 speed auto
 ipx network CC
!
ip nat pool 3660-nat 99.99.99.70 99.99.99.80 netmask 255.255.255.0
ip nat inside source list 1 pool 3660-nat
ip classless
ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route 10.2.2.1 255.255.255.255 99.99.99.1
ip route 99.99.99.12 255.255.255.255 99.99.99.1
no ip http server
!
access-list 1 permit 10.3.3.0 0.0.0.255
access-list 101 permit gre host 10.3.3.1 host 10.2.2.1
!
line con 0
 transport input none
line aux 0
line vty 0 4
 login
!
end

Dispositivo 2513B

ipx routing 00e0.b063.e811
!
interface Ethernet0
 ip address 10.3.3.2 255.255.255.0
 no ip directed-broadcast
ipx network CC
!
ip route 0.0.0.0 0.0.0.0 10.3.3.1

Verificación

En esta sección encontrará información que puede utilizar para confirmar que la configuración está funcionando correctamente.

Ciertos comandos show son compatibles con la herramienta intérprete de resultados (solamente clientes registrados) lo cual le permite ver un análisis de resultados del comando show.

  • show crypto ipsec sa: muestra las asociaciones de seguridad de la fase 2.

  • show crypto isakmp sa: muestra las conexiones de sesión cifradas actuales de todos los motores de cifrado.

  • Opcionalmente: show interfaces tunnel number: muestra información de la interfaz de túnel.

  • show ip route: muestra todas las rutas IP estáticas o las que se han instalado mediante la función de descarga de rutas AAA (autenticación, autorización y contabilidad).

  • show ipx route: muestra el contenido de la tabla de ruteo IPX.

Resolución de problemas

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Comandos para resolución de problemas

Ciertos comandos show son compatibles con la herramienta intérprete de resultados (solamente clientes registrados) lo cual le permite ver un análisis de resultados del comando show.

Nota: Antes de ejecutar los comandos debug, consulte Important Information on Debug Commands (Información importante sobre comandos de depuración).

  • debug crypto engine: muestra el tráfico que está cifrado.

  • debug crypto ipsec: muestra las negociaciones IPSec de la fase 2.

  • debug crypto isakmp: muestra las negociaciones de fase 1 del protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP).

  • Opcionalmente: debug ip routing: muestra información sobre las actualizaciones de la tabla de ruteo del Routing Information Protocol (RIP) y las actualizaciones de caché de rutas.

  • debug ipx routing {activity | events} - debug ipx routing {activity | events}: muestra información acerca de paquetes de ruteo IPX que el router envía y recibe.

Verificación de Asociaciones de seguridad (SA)

  • clear crytpo ipsec: borra todas las asociaciones de seguridad de IPSec.

  • clear crypto isakmp: borra las asociaciones de seguridad IKE.

  • Opcionalmente: clear ipx route *: elimina todas las rutas de la tabla de ruteo de IPX.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 14137