Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

Transcripción

1 Configuración de una red privada a privada con túnel de router IPsec con NAT y estático Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Por qué la sentencia de denegación de la ACL especifica el tráfico NAT? Qué ocurre con la NAT estática? Por qué no puede llegar a una dirección del túnel IPsec? Configurar Diagrama de la red Configuraciones Verificación Resolución de problemas Comandos para resolución de problemas Introducción Esta configuración de ejemplo muestra cómo: Cifrar tráfico entre dos redes privadas ( x y x). Asignar una dirección IP estática (dirección externa ) a un dispositivo de red en Utilice las listas de control de acceso (ACL) para indicar al router que no aplique una traducción de dirección de red (NAT) al tráfico de red privada a privada, el cual se cifra y se pone en el túnel cuando deja el router. Asimismo, en esta configuración de ejemplo hay una NAT estática para un servidor interno de la red x. Esta configuración de ejemplo utiliza una opción de mapa de rutas del comando NAT que permite detener la realización de NAT en él si el tráfico destinado a él también pasa por el túnel cifrado. Requisitos previos Requisitos No hay requisitos específicos para este documento. Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: Cisco IOS versión 12.3(14)T Dos routers de Cisco La información que contiene este documento se creó a partir de dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de comprender el efecto que puede tener cualquier comando. Convenciones Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre convenciones del documento. Por qué la sentencia de denegación de la ACL especifica el tráfico NAT? Desde un punto de vista conceptual, cuando se utiliza Cisco IOS IPsec o una VPN se sustituye una red por un túnel. En este diagrama, la nube de Internet se sustituye por un túnel Cisco IOS IPsec comprendido entre y Haga esta red transparente desde el punto de vista de

2 las dos redes LAN privadas unidas por el túnel. Por este motivo, normalmente no se utiliza NAT para el tráfico que va de una LAN privada a la LAN privada remota. Lo deseable es ver los paquetes que provienen de la red del router 2 con una dirección IP de origen comprendida entre /24 en vez de , cuando los paquetes llegan al interior de la red del router 3. Consulte NAT Order of Operation (Orden de funcionamiento de NAT) para obtener más información sobre cómo configurar una NAT. Este documento muestra que la NAT se realiza antes de la comprobación de cifrado cuando el paquete va del interior al exterior. Por ello, debe especificar esta información en la configuración. ip nat inside source list 122 interface Ethernet0/1 overload access-list 122 deny ip access-list 122 permit ip any Nota: Existe también la posibilidad de crear el túnel y seguir utilizando la NAT. En este escenario, especifique el tráfico NAT como "tráfico de interés para IPsec" (referido como ACL 101 en otras secciones de este documento). Consulte Configuring an IPsec Tunnel between Routers with Duplicate LAN Subnets (Configuración de un túnel IPSec entre routers con subredes LAN duplicadas) para obtener más información sobre cómo crear un túnel mientras la NAT está activa. Qué ocurre con la NAT estática? Por qué no puede llegar a una dirección del túnel IPsec? Esta configuración también incluye una NAT estática de uno a uno para un servidor situado en Se realiza NAT a para que los usuarios de Internet puedan acceder a él. Ejecutar este comando: ip nat inside source static Esta NAT estática evita que los usuarios de la red x lleguen a a través del túnel cifrado. Esto se debe a que se necesita denegar la realización de NAT mediante ACL 122 en el tráfico cifrado. No obstante, el comando de la NAT estática tiene precedencia sobre la sentencia de NAT genérica para todas las conexiones de ida y vuelta con La sentencia de NAT estática no deniega específicamente la realización de NAT en el tráfico cifrado. Se realiza una NAT a en las respuestas procedentes de cuando un usuario de la red x se conecta con y, por consiguiente, no regresa por el túnel cifrado (la NAT se produce antes del cifrado). Debe denegar la realización de NAT en el tráfico cifrado (incluso una realización de NAT de uno a uno estática) con un comando route-map en la sentencia de NAT estática. Nota: La opción route-map en una NAT estática sólo tiene soporte con el software Cisco IOS versión 12.2(4)T y posteriores. Consulte NAT Ability to Use Route Maps with Static Translations (NAT - Capacidad de utilizar mapas de ruta con traducciones estáticas) para obtener información adicional. Debe ejecutar estos comandos adicionales para permitir un acceso cifrado a , el host en el que se ha ejecutado una NAT estática: ip nat inside source static route-map nonat access-list 150 deny ip host access-list 150 permit ip host any route-map nonat permit 10 match ip address 150 Estas sentencias indican al router que sólo aplique la NAT estática al tráfico que cumpla ACL 150. ACL 150 indica que la NAT no debe realizarse en el tráfico procedente de y con destino a x que pase por el túnel cifrado. No obstante, aplíquelo al tráfico restante procedente de (tráfico basado en Internet). Configurar En esta sección, encontrará información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta de búsqueda de comandos (solamente clientes registrados) para encontrar más información sobre los comandos utilizados en este documento. Diagrama de la red Este documento utiliza esta configuración de red:

3 Configuraciones Este documento usa estas configuraciones: Router 2 Router 3 R2 - Configuración del router R2#write terminal Building configuration... Current configuration : 1412 bytes version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption nombre del host R2 boot-start-marker boot-end-marker no aaa new-model resource policy clock timezone EST 0 ip subnet-zero no ip domain lookup crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map myvpn 10 ipsec-isakmp set peer set transform-set myset --- Incluya el tráfico entre redes privadas --- en el proceso de cifrado: match address 101 interface Ethernet0/0 ip address ip nat inside interface Ethernet1/0 ip address ip nat outside crypto map myvpn ip classless ip route ip http server

4 no ip http secure-server --- Excluya la red privada del proceso de NAT: ip nat inside source list 175 interface Ethernet1/0 overload --- Incluya el tráfico entre redes privadas --- en el proceso de cifrado: access-list 101 permit ip Excluya la red privada del proceso de NAT: access-list 175 deny ip access-list 175 permit ip any control-plane line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login end R3 - Configuración del router R3#write terminal Building configuration... Current configuration : 1630 bytes version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname R3 boot-start-marker boot-end-marker no aaa new-model resource policy clock timezone EST 0 ip subnet-zero no ip domain lookup crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map myvpn 10 ipsec-isakmp set peer set transform-set myset --- Incluya el tráfico entre redes privadas --- en el proceso de cifrado: match address 101 interface Ethernet0/0 ip address ip nat inside interface Ethernet1/0 ip address ip nat outside crypto map myvpn ip classless ip route no ip http server no ip http secure-server

5 --- Excluya la red privada del proceso de NAT: ip nat inside source list 122 interface Ethernet1/0 overload --- Excluya el tráfico de la NAT estática del proceso de la NAT si va al destino --- por el túnel cifrado: ip nat inside source static route-map nonat access-list 101 permit ip Excluya la red privada del proceso de NAT: access-list 122 deny ip access-list 122 permit ip any --- Excluya el tráfico de la NAT estática del proceso de la NAT si va al destino --- por el túnel cifrado: access-list 150 deny ip host access-list 150 permit ip host any route-map nonat permit 10 match ip address 150 control-plane line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login end Verificación Actualmente, no hay un procedimiento de verificación disponible para esta configuración. Resolución de problemas Utilice esta sección para solucionar los problemas de la configuración. Consulte IP Security Troubleshooting - Understanding and Using debug Commands (Resolución de problemas de la seguridad IP - Comprensión y uso de los comandos de depuración). Comandos para resolución de problemas La herramienta intérprete de resultados (solamente clientes registrados) OIT) soporta ciertos comandos show. Utilice la OIT para consultar un análisis del resultado del comando show. Nota: Consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de ejecutar comandos debug. debug crypto ipsec sa: muestra las negociaciones IPSec de la fase 2. debug crypto isakmp sa: permite ver las negociaciones ISAKMP de la fase 1. debug crypto engine: muestra las sesiones cifradas Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 23 Marzo