¿Tiene una cuenta?
La Traducción de Dirección de Red (NAT) fue desarrollada para abordar el problema del agotamiento del espacio de direcciones para Internet Protocol Version 4 (IPV4). Hoy, en las redes de usuarios domésticos y oficinas pequeñas se utiliza NAT como alternativa a la compra de direcciones registradas. Las sociedades implementan NAT sola o con un firewall para proteger sus recursos internos.
Many-to-one, la solución NAT implementada más comúnmente, asigna varias direcciones privadas a una única dirección enrutable (pública); esto también se conoce como Traducción de direcciones de puerto (PAT). La asociación se implementa a nivel de puerto. La solución PAT crea un problema para el tráfico IPSec que no utiliza ningún puerto.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Concentrador Cisco VPN 3000
Cisco VPN 3000 Client versión 2.1.3 y posteriores
Cisco VPN 3000 Client y Concentrator Release 3.6.1 y posteriores para NAT-T
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
El protocolo 50 (Encapsulating Security Payload [ESP]) gestiona los paquetes cifrados/encapsulados de IPSec. La mayoría de los dispositivos PAT no funcionan con ESP, ya que se han programado para funcionar únicamente con el protocolo de control de transmisión (TCP), el protocolo de datagramas de usuario (UDP) y el protocolo de mensajes de control de Internet (ICMP). Además, los dispositivos PAT no pueden asignar varios índices de parámetros de seguridad (SPI). El modo transparente NAT en el VPN 3000 Client resuelve este problema encapsulando ESP dentro de UDP y enviándolo a un puerto negociado. El nombre del atributo que se debe activar en el VPN 3000 Concentrator es IPSec a través de NAT.
Un nuevo protocolo NAT-T que es un estándar IETF (todavía en la etapa DRAFT al escribir este artículo) también encapsula los paquetes IPSec en UDP, pero funciona en el puerto 4500. Ese puerto no se puede configurar.
La activación del modo transparente IPSec en el concentrador VPN crea reglas de filtro no visibles y las aplica al filtro público. El número de puerto configurado luego se pasa al VPN Client de forma transparente cuando el VPN Client se conecta. En el lado entrante, el tráfico entrante UDP de ese puerto pasa directamente a IPSec para su procesamiento. El tráfico se descifra y se desencapsula y, a continuación, se enruta normalmente. En el lado saliente, IPSec cifra, encapsula y luego aplica un encabezado UDP (si está configurado). Las reglas de filtro de tiempo de ejecución se desactivan y eliminan del filtro adecuado en tres condiciones: cuando se inhabilita IPSec sobre UDP para un grupo, cuando se elimina el grupo o cuando se elimina el último IPSec activo sobre UDP SA en ese puerto. Se envían señales de mantenimiento para evitar que un dispositivo NAT cierre la asignación de puerto debido a la inactividad.
Si IPSec sobre NAT-T está habilitado en el concentrador VPN, entonces el concentrador VPN/cliente VPN utiliza el modo NAT-T de encapsulación UDP. NAT-T funciona mediante la detección automática de cualquier dispositivo NAT entre el VPN Client y el VPN Concentrator durante la negociación IKE. Debe asegurarse de que el puerto UDP 4500 no esté bloqueado entre el VPN Concentrator/VPN Client para que NAT-T funcione. Además, si utiliza una configuración IPSec/UDP anterior que ya está utilizando ese puerto, debe volver a configurar esa configuración IPSec/UDP anterior para utilizar un puerto UDP diferente. Puesto que NAT-T es un borrador IETF, ayuda cuando se utilizan dispositivos de varios proveedores si el otro proveedor implementa este estándar.
NAT-T funciona con conexiones VPN Client y conexiones LAN a LAN a diferencia de IPSec sobre UDP/TCP. Además, los routers Cisco IOS® y los dispositivos de firewall PIX soportan NAT-T.
No necesita que IPSec sobre UDP esté habilitado para que NAT-T funcione.
Utilice el siguiente procedimiento para configurar el modo transparente NAT en el concentrador VPN.
Nota: IPSec sobre UDP se configura por grupo, mientras que IPSec sobre TCP/ NAT-T se configura globalmente.
Configuración de IPSec sobre UDP:
En el VPN Concentrator, seleccione Configuration > User Management > Groups.
Para agregar un grupo, seleccione Agregar. Para modificar un grupo existente, selecciónelo y haga clic en Modificar.
Haga clic en la ficha IPSec, verifique IPSec a través de NAT y configure el IPSec a través del puerto UDP NAT. El puerto predeterminado para IPSec a través de NAT es 10000 (origen y destino), pero esta configuración puede modificarse.
Configure IPSec sobre NAT-T o IPSec sobre TCP:
En el concentrador VPN seleccione Configuration > System > Tunneling Protocols > IPSec > NAT Transparency.
Marque la casilla de verificación IPSec sobre NAT-T y/o TCP.
Si todo está activado, utilice esta precedencia:
IPSec sobre TCP.
IPSec sobre NAT-T.
IPSec sobre UDP.
Para utilizar IPSec sobre UDP o NAT-T, debe habilitar IPSec sobre UDP en Cisco VPN Client 3.6 y versiones posteriores. El concentrador VPN asigna el puerto UDP en caso de IPSec sobre UDP, mientras que para NAT-T se fija en el puerto UDP 4500.
Para utilizar IPSec sobre TCP, debe habilitarlo en el VPN Client y configurar el puerto que se debe utilizar manualmente.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
14-Jan-2008 |
Versión inicial |