Безопасность : Серия Сisco-совместимых сетевых экранов IntraGuard

Технические примечания по Совместимым Системам: Порты и протоколы должны пройти через межсетевой экран с туннелями виртуальной частной сети и LAN-to-LAN (локальная к локальной)

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (6 ноября 2015) | Отзыв


Содержание


Введение

Передача трафика VPN через Межсетевой экран зависит, на каком программном обеспечении Intraport - клиента Совместимых систем вы используете, какие преобразования заданы, и/или тип туннеля между локальными сетями (LAN-to-LAN), который используется. Оба Протокола "IP" и порты TCP/UDP должны быть открыты в Межсетевом экране.

Примечание: Все маршрутизаторы Cisco должны иметь версию 11.3 или более позднюю операционную систему для маршрутизации Трафика IPSec. Более ранние версии не направляют Протоколы IPSec.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Протоколы "IP", необходимые для передачи через межсетевой экран

Протоколы "IP", необходимые для передачи через межсетевой экран:

  • 47 GRE (Общая Инкапсуляция Маршрутизатора) — Это влияет на все туннели между локальными сетями (LAN-to-LAN) ШАГА без аутентификации или шифрования. Этот тип туннеля между локальными сетями (LAN-to-LAN) совместим с нетуннелями IPSec, предлагаемыми в маршрутизаторах Cisco.

  • 50 ESP (Безопасное закрытие полезной нагрузки) — Весь IKE 3.x клиенты, если шифрование задано в преобразовании группы. Все 2.x клиенты, если шифрование задано в Группе VPN. 3.x и 2.x Клиенты MAC только поддерживают туннели между локальными сетями (LAN-to-LAN) ШАГА Совместимых систем ESP с шифрованием и никакой аутентификацией. Кроме того, туннели между локальными сетями (LAN-to-LAN) IKE, где шифрование задано в преобразовании группы.

  • 51 AH (Заголовок аутентификации) — Все 3.x клиенты за исключением MAC с аутентификацией, заданной в преобразовании группы. Все 2.x клиенты за исключением MAC с аутентификацией, заданной в группе. ШАГ LAN-LAN туннелирует с аутентификацией. Кроме того, туннели между локальными сетями (LAN-to-LAN) IKE, где аутентификация задана в преобразовании группы.

Порты UDP/TCP, Необходимые для Передачи через Межсетевой экран

Порты UDP/TCP, необходимые для передачи через межсетевой экран:

  • UDP 500 ISAKMP (интернет-Протокол управления ключами Сопоставления безопасности) — Все IKE - клиенты и туннели IKE LAN-LAN требует, чтобы порт UDP 500 и их соответствующий протокол установил туннель. Протоколы "IP", перечисленные в этом документе также, нужно рассмотреть. Если трафик IntraPort проходит через Межсетевой экран, то он должен позволить те же порты для типов клиентов, которые пытаются соединиться с ним.

  • Когда NAT (преобразование сетевых адресов) используется где угодно вдоль пути между двумя, (HTTP) TCP 80 — порт TCP 80 требуется, чтобы инициировать связь между Intraport - клиентом и Сервером IntraPort.

    Примечание: Это важно только для версии программного обеспечения 5.1 Сервера IntraPort или позже, и версия 3.3.0 Intraport - клиента или позже.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 17638