Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Настройка туннеля IPSec через брандмауэр с NAT

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 сентября 2008) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Схема сети
      Конфигурации
Проверка
Устранение неполадок
      Команды устранения неполадок
      Очистка сопоставлений безопасности
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

В этом документе приводится пример конфигурации для туннеля IPSec через брандмауэр, который производит трансляцию сетевых адресов (NAT). Эта конфигурация не будет работать с трансляцией адресов портов (PAT), если используются релизы программного обеспечения Cisco IOS®, предшествующие 12.2(13)T. Этот вид конфигурации может быть использован для туннелирования IP-трафика. Его нельзя использовать для шифрования трафика, который не идет через брандмауэр, такого как IPX или обновления маршрутизации. Для этого вида конфигурации подходит общая инкапсуляция маршрутов (GRE). В этом примере маршрутизаторы Cisco 2621 и 3660 являются конечными точками туннеля IPSec, соединяющими две частные сети с кондуитами или списками управления доступом (ACL) на PIX между ними для обеспечения трафика IPSec.

Примечание: NAT является трансляцией адресов "один-в-один", ее не следует путать с PAT, которая является трансляцией "много (внутри брандмауэра)-в-один". Дополнительные сведения об устранении неисправностей NAT см. в документации "Проверка работы NAT и основные способы устранения неполадок NAT" или "Работа NAT".

Примечание: IPSec может некорректно работать с PAT, поскольку внешнее оконечное устройство туннеля не может управлять несколькими туннелями с одного IP-адреса. Свяжитесь со своим поставщиком для выяснения, работают ли оконечные устройства туннеля с PAT. Кроме того, в релизах 12.2(13)T и более поздних для PAT также можно использовать функцию NAT Transparency (прозрачность). Подробнее см. Прозрачность IPSec NAT. Подробнее о данных функциях в версиях 12.2(13)T и более поздних см. "Поддержка IPSec ESP через NAT". Прежде чем обратиться в TAC, посмотрите документ "Ответы на вопросы по NAT", где есть ответы на многие общие вопросы.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Сведения, содержащиеся в данном документе, приведены на основе следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение Cisco IOS, релиз 12.0.7.T [до, но не включая 12.2(13)T]

    Данные о последних версиях см. в "Прозрачность IPSec NAT".

  • Маршрутизатор Cisco 2621

  • Маршрутизатор Cisco 3660

  • Брандмауэр Cisco PIX

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в статье "Технические советы Cisco. Условные обозначения".

Настройка

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание: для поиска дополнительной информации о командах в данном документе используйте средство Command Lookup Tool (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры следующей сети:

ipsecnat.gif

Примечание: схемы IP-адресации, приведенные в этой конфигурации, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918 leavingcisco.com, которые использовались в лабораторных условиях.

Конфигурации

Эти конфигурации используются в данном документе.

Конфигурация Cisco 2621

Текущая конфигурация:
 !
 version 12,0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !
 
!--- Политика IKE

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 10.99.99.2     
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/1
 
!--- Политика IPSec

 crypto map mymap 10 ipsec-isakmp   
  set peer 10.99.99.2
  set transform-set myset
 
!--- Включите трафик между частными сетями 
!--- в процесс шифрования.

  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 
!--- Примените к интерфейсу.

  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 
!--- Включите трафик между частными сетями 
!--- в процесс шифрования.

 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Частичная конфигурация брандмауэра Cisco PIX

ip address outside 10.99.99.1 255.255.255.0
 ip address inside 10.1.1.1 255.255.255.0
 
!--- Диапазон зарегистрированных IP-адресов для использования.

 global (outside) 1 10.99.99.50-10.99.99.60
 
!--- Транслируйте любой внутренний адрес источника  
!--- при выходе в Интернет.

 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 static (inside,outside) 10.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
 conduit permit esp host 10.99.99.12 host 10.99.99.2
 conduit permit udp host 10.99.99.12 eq isakmp host 10.99.99.2
 conduit permit udp host 10.99.99.12 eq 4500 host 10.99.99.2
 
!--- или

 access-list acl-out permit esp host 10.99.99.2 host 10.99.99.12
 access-list acl-out permit udp host 10.99.99.2 host 10.99.99.12 eq isakmp
 access-list acl-out permit udp host 10.99.99.2 host 10.99.99.12 eq 4500

!--- Важно разрешить UDP порт 4500 для NAT-T, поскольку PIX действует
!--- как устройство NAT между маршрутизаторами.

 access-group acl-out in interface outside
 
 isakmp enable outside
 isakmp enable inside
 Command configured in order to enable NAT-T
isakmp nat-traversal 20
 route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
 route inside 10.2.2.0 255.255.255.0 10.1.1.2 1

Конфигурация Cisco 3660

version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 
!--- Политика IKE

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 10.99.99.12    
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/0
 
!--- Политика IPSec

 crypto map mymap 10 ipsec-isakmp   
  set peer 10.99.99.12
  set transform-set myset
 
!--- Включите трафик между частными сетями 
!--- в процесс шифрования.

  match address 101
 !
 interface FastEthernet0/0
  ip address 10.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 
!--- Примените к интерфейсу.

  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
 
!--- Пул, из которого внутренние узлы транслируют  
!--- в глобально уникальную сеть 10.99.99.0/24.

 ip nat pool OUTSIDE 10.99.99.70 10.99.99.80 netmask 255.255.255.0
 
!--- Исключите частную сеть из процесса NAT.

 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.99.99.1
 no ip http server
 !
 
!--- Включите трафик между частными сетями 
!--- в процесс шифрования.

 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny   ip 10.3.3.0 0.0.0.255 any
 
!--- Исключите частную сеть из процесса NAT.

 access-list 110 deny   ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

Проверка

Используйте этот раздел для проверки правильности функционирования вашей конфигурации.

Инструмент Output Interpreter Tool (только для зарегистрированных клиентов) (OIT) поддерживает отдельные команды show. Используйте OIT для просмотра и анализа выходных данных команды show.

  • show crypto ipsec sa — показывает сопоставления безопасности фазы 2.

  • show crypto isakmp sa — показывает сопоставления безопасности фазы 1.

  • show crypto engine connections active — используйте для просмотра зашифрованных и дешифрованных пакетов.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Команды устранения неполадок

Примечание: перед применением команд debug ознакомьтесь с разделом "Важные сведения о командах отладки".

  • debug crypto engine — показывает зашифрованный трафик.

  • debug crypto ipsec — показывает согласования IPSec во второй фазе.

  • debug crypto isakmp — показывает согласования первой фазы протокола ISAKMP (Протокол управления ключами Ассоциации безопасности Интернет).

Очистка сопоставлений безопасности

  • clear crytpo isakmp — очищает все сопоставления безопасности IKE.

  • clear crypto ipsec sa — очищает все сопоставления безопасности IPSec.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 14138