Seguridad y VPN : Negociación IPSec/Protocolos IKE

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

23 Marzo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (5 Junio 2006) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
¿Por qué la sentencia de denegación de la ACL especifica el tráfico NAT?
¿Qué ocurre con la NAT estática? ¿Por qué no puede llegar a una dirección del túnel IPsec?
Configurar
     Diagrama de la red
     Configuraciones
Verificación
Resolución de problemas
     Comandos para resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Esta configuración de ejemplo muestra cómo:

  • Cifrar tráfico entre dos redes privadas (10.1.1.x y 172.16.1.x).

  • Asignar una dirección IP estática (dirección externa 200.1.1.25) a un dispositivo de red en 10.1.1.3.

Utilice las listas de control de acceso (ACL) para indicar al router que no aplique una traducción de dirección de red (NAT) al tráfico de red privada a privada, el cual se cifra y se pone en el túnel cuando deja el router. Asimismo, en esta configuración de ejemplo hay una NAT estática para un servidor interno de la red 10.1.1.x. Esta configuración de ejemplo utiliza una opción de mapa de rutas del comando NAT que permite detener la realización de NAT en él si el tráfico destinado a él también pasa por el túnel cifrado.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Cisco IOS® versión 12.3(14)T

  • Dos routers de Cisco

La información que contiene este documento se creó a partir de dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de comprender el efecto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre convenciones del documento.

¿Por qué la sentencia de denegación de la ACL especifica el tráfico NAT?

Desde un punto de vista conceptual, cuando se utiliza Cisco IOS IPsec o una VPN se sustituye una red por un túnel. En este diagrama, la nube de Internet se sustituye por un túnel Cisco IOS IPsec comprendido entre 200.1.1.1 y 100.1.1.1. Haga esta red transparente desde el punto de vista de las dos redes LAN privadas unidas por el túnel. Por este motivo, normalmente no se utiliza NAT para el tráfico que va de una LAN privada a la LAN privada remota. Lo deseable es ver los paquetes que provienen de la red del router 2 con una dirección IP de origen comprendida entre 10.1.1.0/24 en vez de 200.1.1.1, cuando los paquetes llegan al interior de la red del router 3.

Consulte NAT Order of Operation (Orden de funcionamiento de NAT) para obtener más información sobre cómo configurar una NAT. Este documento muestra que la NAT se realiza antes de la comprobación de cifrado cuando el paquete va del interior al exterior. Por ello, debe especificar esta información en la configuración.

ip nat inside source list 122 interface Ethernet0/1 overload
access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any

Nota: Existe también la posibilidad de crear el túnel y seguir utilizando la NAT. En este escenario, especifique el tráfico NAT como "tráfico de interés para IPsec" (referido como ACL 101 en otras secciones de este documento). Consulte Configuring an IPsec Tunnel between Routers with Duplicate LAN Subnets (Configuración de un túnel IPSec entre routers con subredes LAN duplicadas) para obtener más información sobre cómo crear un túnel mientras la NAT está activa.

¿Qué ocurre con la NAT estática? ¿Por qué no puede llegar a una dirección del túnel IPsec?

Esta configuración también incluye una NAT estática de uno a uno para un servidor situado en 10.1.1.3. Se realiza NAT a 200.1.1.25 para que los usuarios de Internet puedan acceder a él. Ejecutar este comando:

ip nat inside source static 10.1.1.3 200.1.1.25

Esta NAT estática evita que los usuarios de la red 172.16.1.x lleguen a 10.1.1.3 a través del túnel cifrado. Esto se debe a que se necesita denegar la realización de NAT mediante ACL 122 en el tráfico cifrado. No obstante, el comando de la NAT estática tiene precedencia sobre la sentencia de NAT genérica para todas las conexiones de ida y vuelta con 10.1.1.3. La sentencia de NAT estática no deniega específicamente la realización de NAT en el tráfico cifrado. Se realiza una NAT a 200.1.1.25 en las respuestas procedentes de 10.1.1.3 cuando un usuario de la red 172.16.1.x se conecta con 10.1.1.3 y, por consiguiente, no regresa por el túnel cifrado (la NAT se produce antes del cifrado).

Debe denegar la realización de NAT en el tráfico cifrado (incluso una realización de NAT de uno a uno estática) con un comando route-map en la sentencia de NAT estática.

Nota: La opción route-map en una NAT estática sólo tiene soporte con el software Cisco IOS versión 12.2(4)T y posteriores. Consulte NAT—Ability to Use Route Maps with Static Translations (NAT - Capacidad de utilizar mapas de ruta con traducciones estáticas) para obtener información adicional.

Debe ejecutar estos comandos adicionales para permitir un acceso cifrado a 10.1.1.3, el host en el que se ha ejecutado una NAT estática:

ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 150 deny ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
 match ip address 150

Estas sentencias indican al router que sólo aplique la NAT estática al tráfico que cumpla ACL 150. ACL 150 indica que la NAT no debe realizarse en el tráfico procedente de 10.1.1.3 y con destino a 172.16.1.x que pase por el túnel cifrado. No obstante, aplíquelo al tráfico restante procedente de 10.1.1.3 (tráfico basado en Internet).

Configurar

En esta sección, encontrará información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta de búsqueda de comandos (solamente clientes registrados) para encontrar más información sobre los comandos utilizados en este documento.

Diagrama de la red

Este documento utiliza esta configuración de red:

static.gif

Configuraciones

Este documento usa estas configuraciones:

R2 - Configuración del router

R2#write terminal
Building configuration...
Current configuration : 1412 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
nombre del host R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
 authentication pre-share
!
crypto isakmp key ciscokey address 200.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
 set peer 200.1.1.1
 set transform-set myset
!--- Incluya el tráfico entre redes privadas
!--- en el proceso de cifrado:
match address 101
!
!
!
interface Ethernet0/0
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1/0
 ip address 100.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.1.1.254
!
ip http server
no ip http secure-server
!
!--- Excluya la red privada del proceso de NAT:
ip nat inside source list 175 interface Ethernet1/0 overload
!
!--- Incluya el tráfico entre redes privadas
!--- en el proceso de cifrado:
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
!--- Excluya la red privada del proceso de NAT:
access-list 175 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

R3 - Configuración del router

R3#write terminal
Building configuration...
Current configuration : 1630 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key ciscokey address 100.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
 set peer 100.1.1.1
 set transform-set myset
!--- Incluya el tráfico entre redes privadas
!--- en el proceso de cifrado:
 match address 101
!
!
!
interface Ethernet0/0
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1/0
 ip address 200.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map myvpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.254
!
no ip http server
no ip http secure-server
!
!--- Excluya la red privada del proceso de NAT:
ip nat inside source list 122 interface Ethernet1/0 overload
!--- Excluya el tráfico de la NAT estática del proceso de la NAT si va al destino
!--- por el túnel cifrado:
ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
!--- Excluya la red privada del proceso de NAT:
access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any
!--- Excluya el tráfico de la NAT estática del proceso de la NAT si va al destino
!--- por el túnel cifrado:
access-list 150 deny ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
 match ip address 150
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Resolución de problemas

Utilice esta sección para solucionar los problemas de la configuración.

Consulte IP Security Troubleshooting - Understanding and Using debug Commands (Resolución de problemas de la seguridad IP - Comprensión y uso de los comandos de depuración).

Comandos para resolución de problemas

La herramienta intérprete de resultados (solamente clientes registrados) OIT) soporta ciertos comandos show. Utilice la OIT para consultar un análisis del resultado del comando show.

Nota: Consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de ejecutar comandos debug.

  • debug crypto ipsec sa: muestra las negociaciones IPSec de la fase 2.

  • debug crypto isakmp sa: permite ver las negociaciones ISAKMP de la fase 1.

  • debug crypto engine: muestra las sesiones cifradas.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 14144