Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Настройка туннеля IPsec маршрутизатора из частной сети в частную сеть с NAT и статической NAT

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (5 июня 2006) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Почему инструкция запрета в ACL указывает на трафик NAT?
И все же насчет статической NAT - почему я не могу обратиться к тому адресу через туннель IPsec?
Настройка
      Схема сети
      Конфигурации
Проверка
Устранение неполадок
      Команды устранения неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

Этот пример конфигурации показывает, как:

  • Зашифровать трафик между двумя частными сетями (10.1.1.x и 172.16.1.x).

  • Назначить статический IP-адрес (внешний адрес 200.1.1.25) устройству сети в 10.1.1.3.

Вы можете использовать доступ к спискам контроля доступа (ACL), чтобы указать маршрутизатору не применять трансляцию сетевых адресов (NAT) к трафику из частной сети в частную сеть, который затем шифруется и направляется в туннель, как только покидает маршрутизатор. В сети 10.1.1.x в этом примере конфигурации существует также статическая NAT для внутреннего сервера. Этот пример использует параметр route-map в команде NAT, чтобы остановить работу NAT, если трафик уже направлен через зашифрованный туннель.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Сведения, содержащиеся в данном документе, приведены на основе следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение Cisco IOS®, релиз 12.3(14)T

  • Два маршрутизатора Cisco

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в статье "Технические советы Cisco. Условные обозначения".

Почему инструкция запрета в ACL указывает на трафик NAT?

При использовании Cisco IOS IPsec или VPN вы, в принципе, заменяете сеть туннелем. Вы заменяете облако Интернет туннелем Cisco IOS IPsec, который на приведенной ниже диаграмме проходит от 200.1.1.1 к 100.1.1.1. Необходимо сделать сеть прозрачной с точки зрения двух частных сетей LAN, соединенных друг с другом туннелем. По этой причине обычно не используют NAT для трафика, который проходит из одной частной LAN в другую, удаленную частную LAN. Необходимо видеть пакеты, которые приходят из сети маршрутизатора 2 с исходным IP-адресом из сети 10.1.1.0/24 вместо 200.1.1.1, когда эти пакеты достигают внутренней сети маршрутизатора 3.

Подробнее о настройке NAT см. "Порядок работы NAT". В этом документе показывается, что NAT происходит до криптографической проверки на этапе, когда пакеты проходят изнутри наружу. Поэтому нужно указать эту информацию в конфигурации.

ip nat inside source list 122 interface Ethernet0/1 overload
access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any

Примечание:  построение туннеля при использовании NAT возможно. Трафик NAT следует указать в этом сценарии как "интересный трафик для IPsec" (см. ACL 101 в других разделах этого документа). Подробнее о построении туннеля с активной NAT см. "Настройка IPsec-туннеля между маршрутизаторами с дублированными подсетями LAN".

И все же насчет статической NAT - почему я не могу обратиться к тому адресу через туннель IPsec?

Эта установка включает также статическую NAT "один-в-один" для сервера в 10.1.1.3. Он преобразуется NAT в 200.1.1.25, так что к нему могут получить доступ пользователи Интернет. Задайте следующую команду:

ip nat inside source static 10.1.1.3 200.1.1.25

Эта статическая NAT не дает пользователям в сети 172.16.1.x получать доступ к 10.1.1.3 через зашифрованный туннель. Поэтому необходимо запретить преобразовывать зашифрованный трафик через NAT с помощью ACL 122. Однако команда статической NAT всегда предпочтительнее, чем генерирование инструкции NAT для всех соединений, направленных из и к 10.1.1.3. Инструкция статической NAT конкретно не запрещает обработку зашифрованного трафика NAT. Ответы с 10.1.1.3 транслируются NAT в 200.1.1.25, когда пользователь в сети 172.16.1.x соединяется с 10.1.1.3 и, таким образом, не возвращаются обратно через зашифрованный туннель (NAT происходит до шифрования).

Следует запретить обработку зашифрованного трафика NAT (даже статически, "один-в-один") с помощью команды route-map в инструкции статической NAT.

Примечание: параметр route-map для статической NAT поддерживается только из программного обеспечения Cisco IOS, релиз 12.2(4)T и более поздние. Подробнее см. "NAT — возможность использовать карты маршрутов со статическими преобразованиями".

Следует задать данные дополнительные команды, чтобы разрешить зашифрованный доступ к 10.1.1.3, узлу, подвергаемому статической NAT:

ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 150 deny   ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
 match ip address 150

Эти инструкции указывают маршрутизатору применять статическую NAT только к трафику, который соответствует ACL 150. ACL 150 гласит, что не следует применять NAT к трафику, исходящему из 10.1.1.3 и направляющемуся через зашифрованный туннель к 172.16.1.x. Однако ее следует применять ко всему остальному трафику, исходящему из 10.1.1.3 (трафик на основе Интернет).

Настройка

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание: для поиска дополнительной информации о командах в данном документе используйте средство Command Lookup Tool (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры следующей сети:

static.gif

Конфигурации

Эти конфигурации используются в данном документе.

R2 - конфигурация маршрутизатора

R2#write terminal
Building configuration...
Current configuration : 1412 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
 authentication pre-share
!
crypto isakmp key ciscokey address 200.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!
crypto map myvpn 10 ipsec-isakmp 
 set peer 200.1.1.1
 set transform-set myset

!--- Включите трафик из частной сети в частную сеть 
!--- в процесс шифрования.

match address 101
!
!
!
interface Ethernet0/0
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1/0
 ip address 100.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.1.1.254
!
ip http server
no ip http secure-server
!

!--- Исключите частную сеть из процесса NAT:

ip nat inside source list 175 interface Ethernet1/0 overload
!

!--- Включите трафик из частной сети в частную сеть
!--- в процесс шифрования.

access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

!--- Исключите частную сеть из процесса NAT:

access-list 175 deny   ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

R3 - конфигурация маршрутизатора

R3#write terminal
Building configuration...
Current configuration : 1630 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key ciscokey address 100.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp 
 set peer 100.1.1.1
 set transform-set myset

!--- Включите трафик из частной сети в частную сеть
!--- в процесс шифрования.

 match address 101
!
!
!
interface Ethernet0/0
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly 
!
interface Ethernet1/0
 ip address 200.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map myvpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.254
!
no ip http server
no ip http secure-server
!

!--- Исключите частную сеть из процесса NAT:

ip nat inside source list 122 interface Ethernet1/0 overload

!--- Исключите трафик статической NAT из процесса NAT, если его путь  
!--- определен через зашифрованный туннель:

ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

!--- Исключите частную сеть из процесса NAT:

access-list 122 deny   ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any

!--- Исключите трафик статической NAT из процесса NAT, если его путь 
!--- определен через зашифрованный туннель:

access-list 150 deny   ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
 match ip address 150
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

Проверка

Для этой конфигурации отсутствует процедура проверки.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Подробнее см. "Устранение неполадок IP-безопасности – общие сведения и использование команд debug".

Команды устранения неполадок

Средство Output Interpreter Tool (только для зарегистрированных заказчиков) (OIT) поддерживает некоторые команды show. Это позволяет просмотреть анализ выходных данных команды show.

Примечание: обратитесь к "Важные сведения о командах отладки" перед тем, как использовать команды debug.

  • debug crypto ipsec sa — показывает согласования IPSec фазы 2.

  • debug crypto isakmp sa — показывает согласования фазы 1 ISAKMP.

  • debug crypto engine — показывает зашифрованные сеансы.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 14144