Программное обеспечение Cisco IOS и NX-OS : Программное обеспечение Cisco IOS версии 12.2 T

Прозрачность NAT для IPSec

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Английский (31 декабря 2002) | Отзыв


Содержание

Прозрачность NAT для IPSec
Содержание
Ограничения для прозрачности NAT для IPSec
Информация о прозрачности NAT для IPSec
Настройка NAT и IPSec
Примеры настройки для IPSec и NAT
Дополнительные ссылки
Справочник по командам
crypto isamkp nat keepalive
access-list (IP extended)
show crypto ipsec sa
Глоссарий

Прозрачность NAT для IPSec


Функция прозрачности NAT для IPSec позволяет трафику протокола IP Security (IPSec) проходить через узлы, в которых реализовано преобразование сетевых адресов (NAT) или преобразование портов в адреса (PAT) и решает многие проблемы несовместимости между NAT и IPSec.

Описание функций прозрачности NAT для IPSec
История функций
Версия Изменение

12.2(13)T

Команда включена впервые.

Поддерживаемые платформы

Платформы, поддерживаемые в Cisco IOS версии 12.2(13)T, перечислены в инструменте Cisco Feature Navigator.

Определение поддерживаемых платформ с помощью инструмента Cisco Feature Navigator

Программное обеспечение Cisco IOS разбито по наборам функций, которые поддерживаются на определенных платформах. Для получения информации о поддержке платформ для данной функции воспользуйтесь инструментом Cisco Feature Navigator. Когда для функции добавляется поддержка новой платформы, инструмент Cisco Feature Navigator динамически обновляет список поддерживаемых платформ.

Инструмент Cisco Feature Navigator представляет собой веб-приложение, с помощью которого можно определить образы программного обеспечения Cisco IOS, поддерживающие тот или иной набор функций, и функции, поддерживаемые в определенном образе Cisco IOS. Возможен поиск по функциям или версиям. В разделе версий можно сравнить все версии, отобразив как функции, имеющиеся лишь в данной версии, так и все общие функции.

Для доступа к инструменту Cisco Feature Navigator необходимо наличие учетной записи на веб-сайте cisco.com. При утрате информации об учетной записи следует отправить пустое электронное письмо по адресу: cco-locksmith@cisco.com. Программа автоматически определит наличие регистрации на веб-сайте cisco.com адреса электронной почты, с которого пришло письмо. При положительном результате проверки на этот адрес высылаются данные учетной записи, а также новый пароль, сгенерированный случайным образом. Опытные пользователи могут создать учетную запись на веб-сайте cisco.com, следуя инструкциям, находящимся по следующему адресу:

https://tools.cisco.com/RPF/register/register.do

Инструмент Cisco Feature Navigator регулярно обновляется при появлении новых основных и технологических версий программного обеспечения Cisco IOS. Текущая информация приведена на главной странице Cisco Feature Navigator по следующему адресу:

http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp

Наличие образов программного обеспечения Cisco IOS

Поддержка тех или иных платформ для конкретных версий программного обеспечения Cisco IOS зависит от наличия образов программного обеспечения для этих платформ. Образы программного обеспечения для некоторых платформ могут откладываться, задерживаться или изменяться без предварительного уведомления. Обновленная информация о поддержке платформ и наличии образов программного обеспечения для каждой версии программного обеспечения Cisco IOS приведена в комментариях к выпуску или, если платформа поддерживается, в инструменте Cisco Feature Navigator.

Содержание

Ограничения для прозрачности NAT для IPSec

Несмотря на то, что данная функция решает многие проблемы несовместимости между NAT и IPSec, остаются следующие проблемы:

IP-адреса и NAT для обмена ключами через Интернет (Internet Key Exchange, IKE)

Эта несовместимость имеет место только при использовании IP-адресов в качестве ключа поиска для нахождения предварительно открытого ключа. Модификация IP адресов источника или назначения при преобразовании или обратном преобразовании сетевых адресов приводит к несоответствию между IP-адресом и предварительно открытым ключом.

Вложенные IP-адреса и NAT

Поскольку целостность содержимого защищена, NAT не может преобразовывать какие-либо IP-адреса, включенные в пакеты IPSec. В число протоколов, использующих вложенные IP-адреса, входят FTP, Internet Relay Chat (IRC), простой протокол управления сетью (SNMP), упрощенный протокол службы каталогов (LDAP), H.323 и протокол инициирования сеанса (SIP).

Информация о прозрачности NAT для IPSec

Для настройки функции прозрачности NAT для IPSec необходимо ознакомиться со следующими понятиями:

Преимущества прозрачности NAT для IPSec

До введения данной функции стандартный туннель IPSec виртуальной частной сети (VPN) не функционировал бы при наличии одного или нескольких узлов NAT или PAT в пути доставки пакета IPSec. Эта функция позволяет протоколу NAT преобразовывать IPSec, таким образом позволяя удаленным пользователям создавать туннели IPSec к домашним шлюзам.

Конфигурация функции прослеживания NAT с использованием IPSec

Функция прозрачности NAT для IPSec поддерживает трафик по протоколу IPSec, следующий по маршруту через узлы, реализующие протоколы NAT или PAT, путем инкапсулирования пакетов IPSec в оболочку протокола дейтаграммы пользователя (UDP), что позволяет пакетам проходить через устройства NAT. Подробности о прослеживании NAT приведены в следующих разделах:

Согласование фазы 1 IKE: обнаружение NAT

В ходе согласования фазы 1 при обмене ключами через Интернет (Internet Key Exchange, IKE) перед началом работы быстрого режима IKE имеют место два вида обнаружения NAT: обнаружение поддержки NAT и обнаружение существования NAT в сетевом пути.

Для обнаружения поддержки NAT необходимо обменяться с удаленным одноранговым узлом строкой идентификации поставщика (ID). В ходе основного режима (ММ) 1 и ММ 2 фазы 1 IKE удаленный одноранговый узел посылает одноранговому узлу содержимое строки идентификации поставщика, указывая, что эта версия поддерживает прослеживание NAT. После этого можно определить существование NAT в сетевом пути.

Определение существования NAT в сетевом пути позволяет находить любое устройство NAT между двумя одноранговыми узлами, а также узнавать точное местонахождение NAT. Устройство NAT может преобразовывать частный IP адрес и порт в общедоступное значение (или наоборот). Если пакет проходит через устройство, при этом преобразовании изменяются IP адрес и порт. Для того, чтобы обнаружить наличие устройства NAT в сетевом пути, одноранговым узлам необходимо послать содержимое с хеш-значениями IP-адреса и порта как для адреса источника, так и адреса назначения с каждой стороны. Если при расчете хеш-значений на обоих сторонах эти хеш-значения совпадут, оба одноранговых узла получат информацию о том, что в сетевом пути между ними нет устройства NAT. Если же хеш-значения не совпадут (то есть, адрес или порт были преобразованы), то каждый одноранговый узел должен выполнить прослеживание NAT для получения через сеть пакета IPSec.

Хеш-значения передаются в виде серии полезной нагрузки для обнаружения NAT (NAT-D). Каждый элемент полезной нагрузки содержит одно хеш-значение; при наличии нескольких хеш-значений посылаются несколько элементов полезной нагрузки NAT-D. В большинстве сред есть только два элемента полезной нагрузки NAT-D: один для адреса и порта источника и второй — для адреса и порта назначения. Сначала посылается содержимое NAT-D назначения, а за ним — содержимое NAT-D источника, то есть подразумевается, что получатель должен ожидать сначала обработки полезной нагрузки локального NAT-D, а затем — содержимого удаленного NAT-D. Содержимое NAT-D включается в третье и четвертое сообщения в основном режиме и во второе и третье сообщения — в агрессивном режиме (AM).

Согласование фазы 2 IKE: решение по прослеживанию NAT

Если в ходе фазы 1 IKE обнаруживаются поддержка NAT и существование NAT в сетевом пути, то в ходе фазы 2 IKE определяется, будут ли одноранговые узлы на обоих концах использовать прослеживание NAT. Для согласования прослеживания NAT используется содержимое сопоставления безопасности (SA) быстрого режима (QM) в режимах QM1 и QM2.

Поскольку устройство NAT изменяет IP адрес и номер порта, между NAT и IPSec могут возникнуть проблемы несовместимости. Таким образом, при замене исходного адреса источника эти проблемы устраняются.

Инкапсуляция пакетов IPSec в протокол UDP для прослеживания NAT

Инкапсуляция UDP не только позволяет пакетам IPSec проходить через устройства NAT, но и помогает решить многие проблемы несовместимости между IPSec, NAT и PAT. При этом решаются следующие проблемы:

Несовместимость между IPSec ESP и PAT: устранена

В случае, если бы PAT обнаруживал разрешенный IP адрес и порт, он бы отбрасывал пакет с инкапсуляцией защищенной полезной нагрузки (ESP). Чтобы не допустить этот сценарий, используется инкапсуляция UDP, скрывающая пакет ESP за заголовком UDP. Таким образом, протокол PAT интерпретирует пакет ESP как обычный пакет UDP, обрабатывая его соответствующим образом.

Несовместимость между контрольной суммой и NAT: устранена

В новом заголовке UDP значение контрольной суммы всегда приравнивается нулю. Это значение не позволяет промежуточному устройству сравнивать контрольную сумму с контрольной суммой пакета, таким образом решая вопрос контрольной суммы UDP TCP, возникающий из-за того, что протокол NAT изменяет IP адреса источника и назначения.

Несовместимость между фиксированными портами назначения IKE и PAT: устранена

Протокол PAT изменяет адрес порта в новом заголовке UDP для преобразования, не меняя при этом исходную полезную нагрузку.

На рис. 1 и рис. 2 показано, как инкапсуляция UDP помогает передавать пакеты IPsec.


Рис 1. Стандартный туннель IPSec через узел NAT/PAT (без инкапсуляции UDP)



Рис 2. Пакет Ipsec с инкапсуляцией UDP


Инкапсулированный в UDP процесс для программных систем: инкапсуляция ESP транспортного режима и туннельного режима

После зашифровывания пакета IPSec аппаратным ускорителем или программным средством шифрования между исходными заголовками IP и ESP вставляются заголовок UDP и маркер отсутствия IKE (длиной 8 байт). Поля общей длины, протокола и контрольной суммы изменяются так, чтобы они соответствовали этим изменениям. На рис. 3 показан пакет IPSec до и после применения транспортного режима; на рис. 4 показан пакет IPSec до и после применения туннельного режима.


Рис 3. Транспортный режим: пакет IPSec до и после инкапсуляции ESP



Рис 4. Туннельный режим: пакет IPSec до и после инкапсуляции ESP


Сообщения поддержания соединения NAT

Сообщения поддержания соединения NAT включены для сохранения работоспособности динамического отображения NAT при соединении двух одноранговых узлов. Сообщения поддержания соединения NAT представляют собой пакеты UDP с незашифрованным содержимым размером 1 байт. Несмотря на то, что имеющаяся реализация обнаружения «мертвых» одноранговых узлов (DPD) похожа на механизм использования сообщений поддержания соединения NAT, между ними имеются некоторые различия: DPD используется для определения состояния однорангового узла, а сообщения поддержания соединения NAT посылаются в случае, если объект IPSec в течение определенного времени не отправляет и не получает пакеты: допустимое время составляет от 5 до 3600 секунд.

При включении сообщений поддержания соединения NAT (с помощью команды crypto isamkp nat keepalive), пользователям необходимо удостовериться, что значение бездействия меньше срока действия отображения NAT, составляющего 20 секунд.

Настройка NAT и IPSec

В данном разделе описаны следующие процедуры:

Настройка прослеживания NAT

Прослеживание NAT представляет собой функцию, автоматически обнаруживаемую устройствами VPN. Настройка для маршрутизатора, на котором запущена Cisco IOS версии 12.2(13)T, отсутствует. Если оба устройства VPN способны осуществлять NAT-T, то прослеживание NAT обнаруживается и согласовывается автоматически.

Отключение прослеживания NAT

Пользователь может отключить прослеживание NAT, если ему уже известно, что в сети используется NAT с поддержкой IPSec (схема, соответствующая spi). Для отключения прослеживания NAT используются следующие команды:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. no crypto ipsec nat-transparency udp-encapsulation

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда или действие Назначение
Шаг 1 

enable

Пример:

Router> enable

Включает уровни с более высокими привилегиями, такие как привилегированный режим EXEC.

В случае запроса введите имя пользователя и пароль.

Шаг 2 

configure terminal

Пример:

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

no crypto ipsec nat-transparency udp-encapsulation

Пример:

Router(config)# no crypto ipsec nat-transparency udp-encapsulation

Отключает прослеживание NAT.

Настройка сообщений поддержания соединения NAT

Настройка маршрутизатора для отправки сообщений поддержания соединения NAT производится при помощи следующих команд:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. crypto isakmp nat keepalive seconds

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда или действие Назначение
Шаг 1 

enable

Пример:

Router> enable

Включает уровни с более высокими привилегиями, такие как привилегированный режим EXEC.

В случае запроса введите имя пользователя и пароль.

Шаг 2 

configure terminal

Пример:

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

crypto isakmp nat keepalive seconds

Пример:

Router(config)# crypto isakmp nat keepalive 20

Позволяет узлу IPSec отправлять пакеты поддержания соединения NAT.

  • seconds — Количество секунд между пакетами поддержания соединения; диапазон от 5 до 3 600 секунд.

Проверка настройки IPSec

Для проверки настройки выполните следующие действия:

СВОДКА ШАГОВ

1. enable

2. show crypto ipsec sa [map map-name | address | identity] [detail]

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда или действие Назначение
Шаг 1 

enable

Пример:

Router> enable

Включает уровни с более высокими привилегиями, такие как привилегированный режим EXEC.

В случае запроса введите имя пользователя и пароль.

Шаг 2 

show crypto ipsec sa [map map-name | address | identity] [detail]

Пример:

show crypto ipsec sa

Отображает настройки, используемые текущими SA.

Примеры настройки для IPSec и NAT

В данном разделе приведены следующие примеры настройки:

Примеры настройки сообщений поддержания соединения NAT

В следующем примере показано, как включить передачу сообщений поддержания соедиения NAT каждые 20 секунд.

crypto isakmp policy 1
authentication pre-share
crypto isakmp key 1234 address 56.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 56.0.0.1
set transform-set t2

match address 101

Дополнительные ссылки

В следующих разделах описаны дополнительные материалы, относящиеся к IPSec NAT Transparency.

Дополнительная документация

Смежные темы Название документа

Дополнительные задачи настройки NAT.

Глава «Настройка IP-адресации» в руководстве по настройке Cisco  IOS IP, версия 12.2

Дополнительные команды NAT.

Глава «Команды IP-адресации» в справочнике по командам настройки Cisco IOS IP, том 1 из 3: Адресация и службы, версия 12.2

Дополнительные задачи настройки IPSec.

Глава «Настройка IP-адресации» в руководстве по настройке Cisco  IOS IPSec, версия 12.2

Дополнительные команды IPSec.

Глава «Команды сетевой защиты IPsec» в Справочнике команд защиты  Cisco IOS, версия 12.2

Информация по фазам 1 и 2 IKE, агрессивный режим и основной режим.

Глава «Настройка протокола IKE» в пособии  по настройке безопасности Cisco IOS, версия 12.2

Дополнительная информация по обнаружению мертвых одноранговых узлов.

Простой сервер VPN, функциональный модуль Cisco IOS версии 12.2(8)T

Стандарты

Стандарты Название

Нет

Базы данных MIB

Базы данных MIB Ссылка на базы MIB

Нет

Для получения списков поддерживаемых баз административной информации (Management Information Base, MIB) по платформе и версии Cisco IOS и для загрузки модулей MIB перейдите на веб-сайт MIB компании Cisco по следующему адресу:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Для поиска и загрузки баз данных управляющей информации (MIB) для выбранных платформ, версий Cisco IOS и наборов характеристик воспользуйтесь страницей поиска баз данных Cisco MIB Locator по следующему адресу:

http://tools.cisco.com/ITDIT/MIBS/servlet/index

Если Cisco MIB Locator не поддерживает необходимую информацию MIB, можно также получить список поддерживаемых MIB и загрузить их со страницы MIB компании Cisco по следующему адресу:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Для доступа к Cisco MIB Locator необходимо наличие учетной записи на веб-сайте cisco.com. При утрате данных учетной записи следует отправить пустое электронное письмо по адресу: cco-locksmith@cisco.com. Программа автоматически определит наличие регистрации на веб-сайте cisco.com адреса электронной почты, с которого пришло письмо. При положительном результате проверки на этот адрес высылаются данные учетной записи, а также новый пароль, сгенерированный случайным образом. Указания по самостоятельному созданию опытными пользователями учетной записи на веб-сайте cisco.com находятся по следующему адресу:

https://tools.cisco.com/RPF/register/register.do

Документы RFC

Документы RFC1 Название

RFC 2402

Заголовок аутентификации IP

RFC 2406

Инкапсуляция защищенной полезной нагрузки (ESP) в IP

1Перечислены не все поддерживаемые документы RFC.

Техническая поддержка

Описание Ссылка

Главная страница центра технической поддержки (Technical Assistance Center, TAC), содержащая 30 000 страниц технической информации с возможностью поиска, включая ссылки на продукты, технологии, решения, технические советы и инструментальные средства. Зарегистрированные пользователи веб-сайта cisco.com могут войти в систему со следующей страницы и получить еще более обширную информацию.

http://www.cisco.com/cisco/web/RU/support

Справочник по командам

В этом разделе описаны новые и измененные команды. Все другие команды, используемые с этой функцией, документированы в справочниках по командам ПО Cisco IOS версии 12.1.

Новая команда
Измененные команды

crypto isamkp nat keepalive

Для того, чтобы узел IP безопасности (IPSec) мог отправлять пакеты поддержания соединения NAT, воспользуйтесь командой crypto isakmp nat keepalive в режиме глобальной конфигурации. Для отключения пакетов поддержания соединения NAT добавьте к этой команде аргумент no.

crypto isakmp nat keepalive seconds

no crypto isakmp nat keepalive

Описание синтаксиса

seconds

Количество секунд между пакетами keepalive; от 5 до 3600 с.

Значения по умолчанию

Пакеты NAT keepalive не посылаются.

Командные режимы

Глобальная конфигурация

История команды

Версия Изменение

12.2(13)T

Команда включена впервые.

Инструкции по использованию

Команда crypto isakmp nat keepalive позволяет сохранять действительное динамическое отображение NAT при соединении между двумя одноранговыми узлами. Сообщение поддержания соединения NAT посылается в случае, если IPSec не отправляет и не получает пакет в течение указанного времени: от 5 до 3600 секунд.

Если эта команда включена, пользователям необходимо удостовериться, что значение бездействия меньше срока действия отображения NAT, составляющего 20 секунд.

Примеры

В следующем примере показано, как включить передачу сообщений поддержания соединения NAT каждые 20 секунд.

crypto isakmp policy 1
authentication pre-share
crypto isakmp key 1234 address 56.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 56.0.0.1
set transform-set t2
match address 101

access-list (IP extended)

Для определения списка доступа с расширенным IP используется расширенная версия команды глобальной конфигурацииaccess-list. Чтобы удалить списки доступа, добавьте к этой команде аргумент no.

Протокол дейтаграммы пользователя (UDP)

Для UDP можно также использовать следующий синтаксис:

access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] [fragments]

Описание синтаксиса

access-list-number

Номер списка доступа. Десятичное число от 100 до 199 или от 2000 до 2699.

dynamic dynamic-name

(Необязательно) Определяет этот список доступа в качестве динамического. Дополнительные сведения см. в материалах о доступе «замок и ключ», приведенных в разделе «Настройка защиты замка-и-ключа (динамические списки доступа)» Руководства по настройке защиты Cisco IOS.

timeout minutes

(Необязательно) Задает абсолютную продолжительность времени в минутах, в течение которого временный элемент списка доступа может оставаться в динамическом списке доступа. Значение по умолчанию — бесконечный интервал времени, то есть элемент остается в списке постоянно. Дополнительные сведения см. в материалах о доступе «замок и ключ», приведенных в разделе «Настройка защиты замка-и-ключа (динамические списки доступа)» Руководства по настройке защиты Cisco IOS.

deny

Запрещает доступ при выполнении условий.

permit

Разрешает доступ при выполнении условий.

protocol

Имя или номер протокола Интернета. Это может быть одно из ключевых слов eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pim, tcp, или udp или целое число от 0 до 255, представляющее номер протокола Интернета. Для соответствия любому протоколу Интернета (включая ICMP, TCP и UDP) используйте ключевое слово ip. Некоторые протоколы разрешают использование дополнительных спецификаторов, отписанных ниже.

source

Номер сети или сетевого узла, с которого посылается пакет. Указать источник можно тремя разными способами:

  • Использовать 32-битный параметр, в десятичном формате с точками, состоящий из четырех частей.
  • Использовать ключевое слово any как сокращение для source и source-wildcard 0.0.0.0 255.255.255.255;
  • использовать источник host в качестве сокращения для source и source-wildcard источника 0.0.0.0.

source-wildcard

Подстановочные биты, применяемые к источнику. Каждый подстановочный бит 0 указывает на положение соответствующего бита в источнике. Каждый подстановочный бит, установленный в значение 1, указывает на то, что и бит 0, и бит 1 в соответствующем положении IP адреса пакета считаются соответствующими этому элементу списка доступа.

Указать источник можно тремя разными способами:

  • Использовать 32-битный параметр, в десятичном формате с точками, состоящий из четырех частей. Поместите единицы в положения битов, которые нужно игнорировать;
  • Используйте ключевое слово any как сокращение для source и source-wildcard 0.0.0.0 255.255.255.255;
  • Используйте источник host в качестве сокращения для source и source-wildcard источника 0.0.0.0.

Подстановочные биты, установленные в значение 1, не обязательно должны находиться по соседству в исходной подстановке. Например, подстановка источника 0.255.0.64 является действительной.

destination

Номер сети или сетевого узла, с которого посылается пакет. Указать источник можно тремя разными способами:

  • Использовать 32-битный параметр, в десятичном формате с точками, состоящий из четырех частей.
  • Использовать ключевое слово any как сокращение для source и source-wildcard 0.0.0.0 255.255.255.255;
  • Использовать назначение host в качестве сокращения для destination и destination-wildcard назначения 0.0.0.0.

destination-wildcard

Подстановочные биты, применяемые к адресу назначения. Указать адрес назначения можно тремя разными способами:

  • Использовать 32-битный параметр, в десятичном формате с точками, состоящий из четырех частей. Поместите единицы в положения битов, которые нужно игнорировать;
  • Используйте ключевое слово any как сокращение для source и source-wildcard 0.0.0.0 255.255.255.255;
  • Используйте адрес назначения host в качестве сокращения для destination и destination-wildcard назначения 0.0.0.0.

precedence precedence

(Необязательно) Пакеты могут фильтроваться по уровню приоритета, обозначенному числом от 0 до 7, или по имени, указанному в разделе «Инструкции по использованию».

tos tos

(Необязательно) Пакеты могут фильтроваться по уровню типа обслуживания, обозначенному числом от 0 до 15, или по имени, указанному в разделе «Инструкции по использованию».

log

(Необязательно) Создает информационное сообщение журнала о пакете, соответствующее записи, отправляемой на консоль. (Уровень сообщения, регистрируемого на консоли, контролируется командой logging console.)

Сообщение включает номер списка доступа, информацию о запрете или разрешении на пакет; протокол (TCP, UDP, ICMP) или номер; при необходимости, адреса источника и назначения и номера их портов. Сообщение генерируется для первого соответствующего пакета, а затем, с интервалом в 5 минут, отображает количество разрешенных и запрещенных пакетов за предыдущие 5 минут.

Средство регистрации может пропускать некоторые регистрационные сообщения, если их слишком много для обработки или при необходимости обработки более одного сообщения в 1 секунду. Такое поведение защищает маршрутизатор от отказа из-за очень большого количества пакетов для регистрации. По этой причине средство регистрации нельзя использовать в качестве средства для счета или в качестве точного источника данных о количестве совпадений со списком доступа.

log-input

(Необязательно) Включает MAC-адрес входного интерфейса и источника или VC в регистрируемые выходные данные.

time-range time-range-name

(Необязательно) Имя диапазона времени, применяемого к данному оператору. Имя диапазона времени и его ограничения указываются командой time-range.

operator

(Необязательно) Сравнивает порты источника или назначения. В число допустимых операндов входят lt (меньше) gt (больше) eq (равно) neq (не равно) и range (включаемый диапазон).

При помещении оператора после source и source-wildcard он должен соответствовать порту источника.

При помещении оператора после source и source-wildcard он должен соответствовать порту назначения.

Для оператора range необходимы два номера порта. Для всех других операторов необходим один номер порта.

порт

(Необязательно) Десятичное число или имя порта TCP или UDP. Номер порта представляет собой число от 0 до 65 535. Имена портов TCP и UDP указаны в разделе «Инструкции по использованию». Названия портов TCP можно использовать только при фильтровании по протоколу TCP. Имена портов UDP можно использовать только при фильтровании по протоколу UDP.

Имена портов TCP можно использовать только при фильтровании по протоколу TCP. Имена портов UDP можно использовать только при фильтровании по протоколу UDP.

fragments

(Необязательно) Запись списка доступа применяется не к начальным фрагментам пакетов; фрагмент соответственно разрешается или запрещается. Более подробная информация о ключевом слове fragments приведена в разделах «Обработка фрагментов в списке доступа» и «Фрагменты и правила маршрутизации» в разделе «Инструкции по использованию».

Значения по умолчанию

В расширенном списке доступа по умолчанию устанавливается список, запрещающий любой доступ. Действие расширенного списка доступа заканчивается явным оператором запрета.

Командные режимы

Глобальная конфигурация

История команды

Версия Изменение

10.0

Команда включена впервые.

10.3

Добавлены следующие ключевые слова и аргументы:

  • source
  • source-wildcard
  • destination
  • destination-wildcard
  • precedence precedence
  • icmp-type
  • icm-code
  • icmp-message
  • igmp-type
  • operator
  • port
  • established

11.1

Добавлены ключевое слово и аргумент dynamic dynamic-name.

11.1

Добавлены ключевое слово и аргумент timeout minutes.

11.2

Добавлено ключевое слово log-input.

12.0(1)T

Добавлены ключевое слово и аргумент time-range time-range-name.

12.0(11) и 12.1(2)

Добавлено ключевое слово fragments.

12.2(13)T

В список названий портов UDP добавлено ключевое слово non500-isakmp.

Инструкции по использованию

Список доступа можно использовать для контроля передачи пакетов на интерфейс, контроля доступа vty и ограничения содержимого обновлений маршрутизации. Программное обеспечение Cisco IOS прекращает проверку расширенного списка доступа после обнаружения совпадения.

Фрагментированные IP пакеты, не являющиеся начальными фрагментами, принимаются сразу по любому расширенному списку доступа IP. Расширенные списки доступа, используемые для контроля доступа vty или ограничения содержимого обновлений маршрутизации, не должны совпадать с портом TCP источника, значением типа обслуживания (ToS) и приоритетом пакета.


Примечание.   После создания нумерованного списка доступа любые последующие дополнения (их ввод возможен с терминала) помещаются в конец списка. Другими словами, существует возможность выборочного добавления или удаления командных строк списка доступа из конкретного нумерованного списка доступа.

Ниже приведен список имен приоритетов.

  • critical
  • flash
  • flash-override
  • immediate
  • internet
  • network
  • priority
  • routine

Ниже приведен список имен портов UDP, которые можно использовать вместо номеров портов. Для поиска соответствий для этих протоколов см. RFC для присвоенных в настоящее время номеров. Номера портов, соответствующие этим протоколам, можно также получить, набрав ? вместо номера порта.

  • biff
  • bootpc
  • bootps
  • discard
  • dnsix
  • domain
  • echo
  • mobile-ip
  • nameserver
  • netbios-dgm
  • netbios-ns
  • non500-isamkmp
  • ntp
  • rip
  • snmp
  • snmptrap
  • sunrpc
  • syslog
  • tacacs-ds
  • talk
  • tftp
  • time
  • who
  • xdmcp
Обработка фрагментов в списке доступа

Поведение элементов списка доступа относительно использования или отсутствия ключевого слова fragments вкратце описывается следующим образом:

Если запись списка доступа содержит... То...

...ключевое слово fragments отсутствует (поведение по умолчанию), в предположении что вся информация записи списка доступа соответствует,

Для записи списка доступа, содержащей только информацию уровня 3:

  • Запись применяется к нефрагментированным пакетам, начальным фрагментам и неначальным фрагментам.

Для записи списка доступа, содержащей информацию уровня 3 и уровня 4:

  • Запись применяется к нефрагментированным пакетам и начальным фрагментам.
    • Если запись является инструкцией permit, пакет или фрагмент разрешаются.
    • Если запись является инструкцией deny, пакет или фрагмент запрещаются.
  • Запись также применяется к неначальным фрагментам следующим образом. Поскольку неначальные фрагменты содержат только информацию уровня 3, в записи списка доступа может применяться только часть уровня 3. Если часть уровня 3 записи списка доступа соответствует и
    • Если запись является инструкцией permit, пакет или фрагмент разрешаются.
    • Если же запись является инструкцией deny, то обрабатывается следующий элемент списка доступа.

Примечание.    Инструкции deny обрабатываются по-разному для неначальных фрагментов с одной стороны, и нефрагментированных и начальных фрагментов с другой.

...ключевое слово fragments, в предположении что вся информация записей списка доступа соответствует,

Запись списка доступа применяется только к неначальным фрагментам.


Примечание.    Ключевое слово fragments нельзя настроить для записи списка доступа, содержащего любую информацию уровня 4.

Нельзя просто добавлять ключевое слово fragments к каждой записи списка доступа, поскольку первый фрагмент пакета IP не считается фрагментом и обрабатывается отдельно от последующих фрагментов. Начальный фрагмент не будет соответствовать записи permit или deny, которая содержит ключевое слово fragments, пакет сравнивается с записью списка доступа и так далее, пока он не будет разрешен или не запрещен записью списка доступа, не содержащей ключевого слова fragments. Таким образом, для каждого элемента deny может понадобиться две записи списка доступа. Первая запись deny из этой пары не будет содержать ключевого слова fragments и применяется к начальному фрагменту. Первый элемент deny из этой пары будет содержать ключевое слово fragments и применяется к начальному фрагменту. В случаях, когда имеется несколько элементов списка доступа deny для одного и того же сетевого узла, но с различными портами уровня 4, для этого сетевого узла необходимо добавить только один элемент списка доступа deny с ключевым словом fragments. Таким образом, все фрагменты пакета обрабатываются списком доступа одинаково.

Фрагменты пакета IP-дейтаграмм считаются отдельными пакетами, и каждый из них учитывается отдельно при учете списка доступа и учете нарушений списка доступа.


Примечание.   Ключевое слово fragments не решает все вопросы, относящиеся к спискам доступа и IP-фрагментам.

Фрагменты и правила маршрутизации

Фрагментация и характеристика контроля фрагментов влияют на правила маршрутизации, если эти правила основаны на команде match ip address и в списке доступа имеются элементы, сопоставляемые с информацией уровней 4–7. Неначальные фрагменты могут проходить список доступа и соответствовать правилам маршрутизации, даже если первый фрагмент не соответствует этим правилам, и наоборот.

При использовании ключевого слова fragments в записях списка доступа, как это описано выше, достигается лучшее соответствие между действиями, совершаемыми над начальными и неначальными фрагментами, и выше вероятность того, что правила маршрутизации будут соответствовать запланированным.

Примеры

В следующем примере последовательный интерфейс 0 является частью сети класса B с адресом 128.88.0.0, а адрес почтового сетевого узла — 128.88.1.2. Ключевое слово established используется только для протокола TCP в целях указания на то, что соединение установлено. Соответствие существует в том случае, если в дейтаграмме TCP установлены биты ACK или RST, которые указывают, что пакет принадлежит существующему соединению.

access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25
interface serial 0
 ip access-group 102 in

В следующем примере разрешаются пакеты системы доменных имен (DNS), а также пакеты эхо-запросов и эхо-ответов ICMP.

access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp any host 128.88.1.2 eq smtp
access-list 102 permit tcp any any eq domain
access-list 102 permit udp any any eq domain
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply

В следующих примерах показано использование подстановочных битов для задания соответствующих битов префикса или маски. Подстановочные биты аналогичны битовым маскам, используемым с обычными списками доступа. Биты префикса или маски, соответствующие подстановочным битам, установленным в значение 1, при сравнении игнорируются, а биты префикса или маски, соответствующие подставновочным битам, установленным в значение 0, при сравнении используются.

В следующем примере разрешаются маршруты 192.108.0.0 255.255.0.0, но запрещаются любые более точные маршруты 192.108.0.0 (включая 192.108.0.0 255.255.255.0).

access-list 101 permit ip 192.108.0.0 0.0.0.0 255.255.0.0 0.0.0.0
access-list 101 deny ip 192.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255

В следующем примере разрешается адрес 131.108.0/24, но запрещается подсеть 131.108/16 и все другие подсети 131.108.0.0.

access-list 101 permit ip 131.108.0.0 0.0.0.0 255.255.255.0 0.0.0.0
access-list 101 deny ip 131.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255

В следующем примере используется диапазон времени для запрещения трафика HTTP с понедельника по пятницу с 8:00 до 18:00.

time-range no-http
 periodic weekdays 8:00 to 18:00
!
access-list 101 deny tcp any any eq http time-range no-http
!
interface ethernet 0
 ip access-group 101 in

show crypto ipsec sa

Отобразить настройки, используемые текущими сопоставлениями безопасности (SA), можно при помощи команды EXEC show crypto ipsec sa.

show crypto ipsec sa [map map-name | address | identity] [detail]

Описание синтаксиса

map map-name

(Необязательно) Отображает любые существующие сопоставления безопасности (SA), созданные для набора криптокарт под названием map-name.

address

(Необязательно) Отображает все существующие сопоставления безопасности (SA), отсортированные по адресу назначения (или локальному адресу, или адресу удаленного однорангового узла IP Security), а затем по протоколу (идентификационному заголовку или инкапсуляционному протоколу защиты).

identity

(Необязательно) Отображает только информацию о потоке. Информация о сопоставлении безопасности (SA) не отображается.

detail

(Необязательно) Отображает подробную информацию счетчиков ошибок (значение по умолчанию — счетчики ошибок передачи/приема высшего уровня).

Командные режимы

EXEC

История команды

Версия Изменение

11.3 T

Команда включена впервые.

12.2(13)T

Для поддержки прослеживания NAT изменены поля «remote crypto endpt» и «in use settings».

Инструкции по использованию

Если ключевые слова не используются, то отображаются все сопоставления безопасности . Они сортируются сначала по интерфейсу, а затем по потоку трафика (например, адрес источника/назначения, маска, протокол, порт). В потоке сопоставления безопасности перечисляются по протоколу (ESP/AH) и направлению (входящие/исходящие).

Примеры

Ниже приведен пример выходных данных для команды show crypto ipsec sa.

Router# show crypto ipsec sa
interface:FastEthernet0
Crypto map tag:testtag, local addr. 10.2.80.161
local ident (addr/mask/prot/port):(10.2.80.161/255.255.255.255/0/0)
remote ident (addr/mask/prot/port):(100.0.0.1/255.255.255.255/0/0)
current_peer:100.0.0.1:4500
PERMIT, flags={origin_is_acl,}
#pkts encaps:109, #pkts encrypt:109, #pkts digest 109
#pkts decaps:109, #pkts decrypt:109, #pkts verify 109
#pkts compressed:0, #pkts decompressed:0
#pkts not compressed:0, #pkts compr. failed:0, #pkts decompress failed:0
#send errors 90, #recv errors 0
local crypto endpt.:10.2.80.161, remote crypto endpt.:100.0.0.1:4500
path mtu 1500, media mtu 1500
current outbound spi:23945537
inbound esp sas:
spi:0xF423E273(4095992435)
transform:esp-des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
slot:0, conn id:200, flow_id:1, crypto map:testtag
sa timing:remaining key lifetime (k/sec):(4607996/2546)
IV size:8 bytes
replay detection support:Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi:0x23945537(596923703)
transform:esp-des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
slot:0, conn id:201, flow_id:2, crypto map:testtag
sa timing:remaining key lifetime (k/sec):(4607998/2519)
IV size:8 bytes
replay detection support:Y
outbound ah sas:
outbound pcp sas:

Глоссарий

IKE (Internet Key Exchange) — обмен ключами через Интернет. Гибридный протокол, реализующий обмен ключами Oakley и обмен ключами Skeme в рамках протокола управления сопоставлениями безопасности и ключами в Интернет (ISAKMP). Хотя IKE можно использовать с другими протоколами, впервые он был реализован с протоколом IPSec. IKE обеспечивает идентификацию одноранговых узлов по IPSec, а также согласовывает ключи IPSec и сопоставления безопасности (SA) IPSec.

IPSec (IP Security) — безопасность IP. Набор открытых стандартов, разработанных инженерной группой развития Интернета (IETF). IPSec обеспечивает защиту при передаче важной информации по незащищенным сетям типа Интернет. IPSec действует на сетевом уровне, защищая и аутентифицируя IP пакеты между участвующими устройствами IPSec («одноранговыми узлами»), такими, как маршрутизаторы Cisco.

NAT (Network Address Translation) — преобразование сетевых адресов. Преобразует частный IP адрес, используемый внутри компании, в общедоступный маршрутизируемый адрес для использования вне компании, например в Интернет. NAT считается взаимно однозначным преобразованием адресов из частных в общедоступные.

PAT (Port Address Translation) — преобразование адресов портов. Как и NAT, PAT также преобразовывает частные адреса в общедоступные маршрутизируемые адреса. В отличие от NAT, PAT обеспечивает преобразование нескольких частных адресов в один общедоступный адрес; для обеспечения однозначности каждый общедоступный адрес связывается с опеределенным номером порта. PAT можно использовать в средах, где расходы на получение нескольких общедоступных адресов слишком велики для организации.


Примечание.   Термины, не включенные в этот глоссарий, см. в материалах «Термины и сокращения сетевых технологий».