Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Configuración del modo transparente de NAT para IPSec en el concentrador VPN 3000

Opciones de descarga

  • PDF     (96.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (99.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (125.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de enero de 2008
ID del documento:5753

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

La Traducción de Dirección de Red (NAT) fue desarrollada para abordar el problema del agotamiento del espacio de direcciones para Internet Protocol Version 4 (IPV4). Hoy, en las redes de usuarios domésticos y oficinas pequeñas se utiliza NAT como alternativa a la compra de direcciones registradas. Las sociedades implementan NAT sola o con un firewall para proteger sus recursos internos.

Many-to-one, la solución NAT implementada más comúnmente, asigna varias direcciones privadas a una única dirección enrutable (pública); esto también se conoce como Traducción de direcciones de puerto (PAT). La asociación se implementa a nivel de puerto. La solución PAT crea un problema para el tráfico IPSec que no utiliza ningún puerto.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Concentrador Cisco VPN 3000

  • Cisco VPN 3000 Client versión 2.1.3 y posteriores

  • Cisco VPN 3000 Client y Concentrator Release 3.6.1 y posteriores para NAT-T

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Carga útil de seguridad encapsulada

El protocolo 50 (Encapsulating Security Payload [ESP]) gestiona los paquetes cifrados/encapsulados de IPSec. La mayoría de los dispositivos PAT no funcionan con ESP, ya que se han programado para funcionar únicamente con el protocolo de control de transmisión (TCP), el protocolo de datagramas de usuario (UDP) y el protocolo de mensajes de control de Internet (ICMP). Además, los dispositivos PAT no pueden asignar varios índices de parámetros de seguridad (SPI). El modo transparente NAT en el VPN 3000 Client resuelve este problema encapsulando ESP dentro de UDP y enviándolo a un puerto negociado. El nombre del atributo que se debe activar en el VPN 3000 Concentrator es IPSec a través de NAT.

Un nuevo protocolo NAT-T que es un estándar IETF (todavía en la etapa DRAFT al escribir este artículo) también encapsula los paquetes IPSec en UDP, pero funciona en el puerto 4500. Ese puerto no se puede configurar.

¿Cómo funciona el modo transparente de NAT?

La activación del modo transparente IPSec en el concentrador VPN crea reglas de filtro no visibles y las aplica al filtro público. El número de puerto configurado luego se pasa al VPN Client de forma transparente cuando el VPN Client se conecta. En el lado entrante, el tráfico entrante UDP de ese puerto pasa directamente a IPSec para su procesamiento. El tráfico se descifra y se desencapsula y, a continuación, se enruta normalmente. En el lado saliente, IPSec cifra, encapsula y luego aplica un encabezado UDP (si está configurado). Las reglas de filtro de tiempo de ejecución se desactivan y eliminan del filtro adecuado en tres condiciones: cuando se inhabilita IPSec sobre UDP para un grupo, cuando se elimina el grupo o cuando se elimina el último IPSec activo sobre UDP SA en ese puerto. Se envían señales de mantenimiento para evitar que un dispositivo NAT cierre la asignación de puerto debido a la inactividad.

Si IPSec sobre NAT-T está habilitado en el concentrador VPN, entonces el concentrador VPN/cliente VPN utiliza el modo NAT-T de encapsulación UDP. NAT-T funciona mediante la detección automática de cualquier dispositivo NAT entre el VPN Client y el VPN Concentrator durante la negociación IKE. Debe asegurarse de que el puerto UDP 4500 no esté bloqueado entre el VPN Concentrator/VPN Client para que NAT-T funcione. Además, si utiliza una configuración IPSec/UDP anterior que ya está utilizando ese puerto, debe volver a configurar esa configuración IPSec/UDP anterior para utilizar un puerto UDP diferente. Puesto que NAT-T es un borrador IETF, ayuda cuando se utilizan dispositivos de varios proveedores si el otro proveedor implementa este estándar.

NAT-T funciona con conexiones VPN Client y conexiones LAN a LAN a diferencia de IPSec sobre UDP/TCP. Además, los routers Cisco IOS® y los dispositivos de firewall PIX soportan NAT-T.

No necesita que IPSec sobre UDP esté habilitado para que NAT-T funcione.

Configuración del Modo Transparente NAT

nat_trans1.gif

nat_trans2.gif

Utilice el siguiente procedimiento para configurar el modo transparente NAT en el concentrador VPN.

Nota: IPSec sobre UDP se configura por grupo, mientras que IPSec sobre TCP/ NAT-T se configura globalmente.

  1. Configuración de IPSec sobre UDP:

    1. En el VPN Concentrator, seleccione Configuration > User Management > Groups.

    2. Para agregar un grupo, seleccione Agregar. Para modificar un grupo existente, selecciónelo y haga clic en Modificar.

    3. Haga clic en la ficha IPSec, verifique IPSec a través de NAT y configure el IPSec a través del puerto UDP NAT. El puerto predeterminado para IPSec a través de NAT es 10000 (origen y destino), pero esta configuración puede modificarse.

  2. Configure IPSec sobre NAT-T o IPSec sobre TCP:

    1. En el concentrador VPN seleccione Configuration > System > Tunneling Protocols > IPSec > NAT Transparency.

    2. Marque la casilla de verificación IPSec sobre NAT-T y/o TCP.

Si todo está activado, utilice esta precedencia:

  1. IPSec sobre TCP.

  2. IPSec sobre NAT-T.

  3. IPSec sobre UDP.

Configuración de Cisco VPN Client para Utilizar la Transparencia NAT

Para utilizar IPSec sobre UDP o NAT-T, debe habilitar IPSec sobre UDP en Cisco VPN Client 3.6 y versiones posteriores. El concentrador VPN asigna el puerto UDP en caso de IPSec sobre UDP, mientras que para NAT-T se fija en el puerto UDP 4500.

Para utilizar IPSec sobre TCP, debe habilitarlo en el VPN Client y configurar el puerto que se debe utilizar manualmente.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-Jan-2008
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos