Seguridad y VPN : Negociación IPSec/Protocolos IKE

Configuración de un Túnel IPSec a través de un firewall con NAT

20 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (26 Septiembre 2008) | Comentarios

Contenidos

Introducción
Antes de comenzar
     Convenciones
     Requisitos previos
     Componentes utilizados
Configurar
     Diagrama de la red
     Configuraciones
Verificación
Resolución de problemas
     Comandos para resolución de problemas
     Verificación de las asociaciones de seguridad
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Esta configuración de ejemplo muestra el funcionamiento de un túnel IPSec a través de un firewall que efectúa una traducción de dirección de red (NAT). Esta configuración no funcionará con una traducción de dirección de puerto (PAT) si utiliza versiones del software Cisco IOS® anteriores a la 12.2(13) (versión no incluida). Este tipo de configuración se puede utilizar para poner en un túnel el tráfico IP. No se puede utilizar para cifrar tráfico que no pasaría por un firewall, como IPX o actualizaciones de ruteo; para ello, sería útil la tunelización GRE (de encapsulación de ruteo genérica). En este ejemplo, los routers 2621 y 3660 de Cisco eran los puntos extremos del túnel IPSec que unían dos redes privadas, con conductos o listas de control de acceso (ACL) en el PIX situado en medio para permitir el tráfico IPSec.

Nota: NAT es una traducción de dirección de uno a uno que no debe confundirse con PAT, que es una traducción de varios (dentro del firewall) a uno. Para obtener más información acerca de la configuración y funcionamiento de NAT, consulte Verifying NAT Operation and Basic NAT Troubleshooting (Verificación del funcionamiento de NAT y resolución de problemas básicos de NAT) o How NAT Works (Cómo funciona NAT).

Nota: Es posible que IPSec no funcione correctamente con PAT debido a que el dispositivo de punto extremo del túnel exterior no puede manejar varios túneles de una dirección IP. Tendrá que ponerse en contacto con el proveedor para determinar si los dispositivos del punto extremo del túnel funcionarán con PAT. Asimismo, en las versiones 12.2(13)T y posteriores, la función de transparencia de NAT también se puede utilizar para PAT. Para obtener más información, consulte IPSec NAT Transparency (Transparencia IPSec NAT). Para saber más acerca de estas funciones en las versiones 12.2(13)T y posterior, consulte Support for IPSec ESP Through NAT (Soporte para IPSec ESP a través de NAT). Asimismo, antes de abrir un caso con TAC, consulte NAT Frequently Asked Questions (Preguntas frecuentes sobre NAT) que incluye varias respuestas para preguntas frecuentes.

Antes de comenzar

Convenciones

Si desea obtener más información sobre las convenciones del documento, consulte las Convenciones sobre consejos técnicos de Cisco.

Requisitos previos

No hay requisitos previos específicos para este documento.

Componentes utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

  • Cisco IOS 12.0.7.T [hasta la versión 12.2(13)T no incluida]

    Para obtener información sobre versiones más recientes, consulte Transparencia IPSec NAT.

  • Router Cisco 2621

  • Router Cisco 3660

  • Cisco PIX Firewall

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Configurar

En esta sección, encontrará información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la herramienta de búsqueda de comandos (solamente clientes registrados).

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.

ipsecnat.gif

Configuraciones

Este documento usa las configuraciones detalladas a continuación.

Configuración de Cisco 2621

Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !
 !--- Política IKE
 crypto isakmp policy 10
 hash md5
 authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac
 !
 crypto map mymap local-address FastEthernet0/1
 !--- Política IPSec
 crypto map mymap 10 ipsec-isakmp
 set peer 99.99.99.2
 set transform-set myset
 !--- Incluya el tráfico de red privada a red privada
 !--- en el proceso de cifrado 
  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  dirección IP 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !--- Aplique a la interfaz
  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 !--- Incluya el tráfico de red privada a red privada
 !--- en el proceso de cifrado
 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Configuración parcial de Firewall PIX de Cisco

ip address outside 99.99.99.1 255.255.255.0
 ip address inside 10.1.1.1 255.255.255.0
 !--- Rango de direcciones IP registradas para utilizarlas
 global (outside) 1 99.99.99.50-99.99.99.60
 !--- Traduzca cualquier dirección de origen interna cuando
!--- vaya a Internet
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
 conduit permit esp host 99.99.99.12 host 99.99.99.2
 conduit permit udp host 99.99.99.12 eq isakmp host 99.99.99.2
 !--- o
 access-list acl-out permit esp host 99.99.99.2 host 99.99.99.12
 access-list acl-out permit udp host 99.99.99.2 host 99.99.99.12 eq isakmp
 access-group acl-out in interface outside

 route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
 route inside 10.2.2.0 255.255.255.0 10.1.1.2 1

Configuración del 3660 de Cisco

version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 !--- Política IKE
 crypto isakmp policy 10
 hash md5
 authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.12
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac
 !
 crypto map mymap local-address FastEthernet0/0
 !--- Política IPSec
 crypto map mymap 10 ipsec-isakmp
 set peer 99.99.99.12
 set transform-set myset
 !--- Incluya el tráfico de red privada a red privada
 !--- en el proceso de cifrado 
  match address 101
 !
 interface FastEthernet0/0
  dirección IP 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 !--- Aplique a la interfaz
  crypto map mymap
 !
 interface FastEthernet0/1
  dirección IP 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
  !--- Agrupación a partir de la cual los hosts internos traducen a
 !--- la red 99.99.99.0/24 globalmente única
 ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0
 !--- Excluya la red privada del proceso de NAT
 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 !--- Incluya el tráfico de red privada a red privada
 !--- en el proceso de cifrado 
 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny ip 10.3.3.0 0.0.0.255 any
 !--- Excluya la red privada del proceso de NAT
 access-list 110 deny ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
 match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

Verificación

En esta sección encontrará información que puede utilizar para confirmar que la configuración está funcionando correctamente.

Ciertos comandos show son compatibles con la herramienta intérprete de resultados (solamente clientes registrados) lo cual le permite ver un análisis de resultados del comando show.

  • show crypto ipsec sa: muestra las asociaciones de seguridad de la fase 2.

  • show crypto isakmp sa: muestra las asociaciones de seguridad de la fase 1.

  • show crypto engine connections active: permite ver los paquetes cifrados y descifrados.

Resolución de problemas

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Comandos para resolución de problemas

Nota: Antes de ejecutar los comandos debug, consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración).

  • debug crypto engine: muestra el tráfico que está cifrado.

  • debug crypto ipsec: permite ver las negociaciones IPSec de la fase 2.

  • debug crypto isakmp: permite ver las negociaciones de fase 1 del protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP).

Verificación de las asociaciones de seguridad

  • clear crypto isakmp: borra las asociaciones de seguridad del intercambio de claves de Internet (IKE).

  • clear crypto ipsec sa: borra las asociaciones de seguridad IPSec.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 14138