Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

Documentos relacionados
Configurando a túnel IPSec de red privada a privada del router con el NAT y los parásitos atmosféricos

Configuración de IPSec entre tres routers mediante el uso de direcciones privadas

Configurando el IPSec - Claves comodín previamente compartidas con el Cliente Cisco Secure VPN y los Config Ninguno-MODE

Configurar el hub and spoke del router a router del IPSec

En este ejemplo, dos Puentes Cisco Aironet de la serie 350 establece el WEP; el dos Routers configura un túnel IPsec.

IPSec claves generadas manualmente entre el ejemplo de configuración del Routers

NAT en el ejemplo de configuración del Switches del Catalyst 6500/6000

Configuración del concentrador Cisco VPN 3000 en un router Cisco

NAT en el ejemplo de configuración del Switches del Catalyst 6500/6000

PIX 6.x: IPSec dinámico entre un router IOS estáticamente dirigido y el firewall PIX dinámicamente dirigido con el ejemplo de la configuración del NAT

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Packet Tracer: Configuración de GRE por IPsec (optativo)

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Autenticación de servidor alterno de autenticación saliente - Ningún Firewall Cisco IOS o configuración del NAT

Túnel ipsec de LAN a LAN entre un Catalyst 6500 con el módulo de servicio VPN y un ejemplo de la configuración del router del Cisco IOS

Equilibrio de carga VPN en el CS en el ejemplo de configuración del modo dirigido

Configurar un ADSL WIC del Cisco 1700/2600/3600 (interfaz sin numerar) con el RFC1483 que rutea usando el protocol ip del AAL5SNAP

Router y cliente VPN para el Internet pública en un ejemplo de configuración del palillo

IPSec/GRE con el NAT en el ejemplo de configuración del router IOS

Balanceo de carga IOS NAT para dos Conexiones ISP

El configurar autenticación de RADIUS a través del motor caché de Cisco

Utilización de NAT en Redes Superpuestas

Uso de números de puerto FTP no estándares con NAT

Ejemplo de configuración ISDN - IP

RADIUS avanzado para clientes de marcado manual PPP

S TP y inspección de conexiones ESMTP con el ejemplo de configuración del Firewall Cisco IOS

Configuración simultánea de NAT estático y dinámico

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

Conexión de BRI a PRI usando voz sobre datos

Política de ruteo con el ejemplo de configuración del switch Catalyst de la serie 3550.

El cliente VPN de AnyConnect en el router IOS con la zona IOS basó el ejemplo de la configuración de escudo de protección de la directiva

Contraseñas de puertos Telnet, de consola y auxiliar en el ejemplo de configuración de routers de Cisco

Configuración de la Traducción de dirección de red y la Traducción de direcciones de puerto estáticas para la admisión de un servidor Web interno.

Configuración de muestra usando el comando ip nat outside source list

Ejemplo de configuración usando el comando ip nat outside source static

Sitio dinámico para localizar el túnel IKEv2 VPN entre un ASA y un ejemplo de configuración del router IOS

Configuración de PIX Firewall con Acceso al servidor de correo en una red externa.

Habilitación del Secure Shell (SSH) en un punto de acceso

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

Cómo Alimentar rutas dinámicas mediante la inyección de ruta inversa.

Balanceo de carga IOS NAT con el Edge Routing optimizado para dos conexiones de Internet

Túnel VPN de LAN a LAN entre dos PIXes usando el ejemplo de configuración PDM

Cómo configurar a un router Cisco detrás de un cablemódem que no es de Cisco

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Configurar el router a router, el Pre-shared del IPSec, sobrecarga NAT entre un soldado y una red pública

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

Configuración de WPA/WPA2 con la clave previamente compartida: IOS 15.2JB y posterior

Soporte NAT para varios conjuntos usando mapas de ruta

Configure un servidor público con el ASDM de Cisco

Traducción de X.25 a TCP

Infraestructura del software que reconoce VRF de la configuración (VASI) NAT en IOS-XE

Configuración de un Cisco 1700/2600/3600 ADSL WIC compatible con clientes PPPoE, que terminan en un Cisco 6400 UAC

VPN TUNEL SITIO A SITIO EN GNS3. Trabajo realizado por: Brenda Marcela Tovar. Natalia Hernández. Yadfary Montoya. Sonia Deyanira Caratar G.

Configurar el IPSec dinámica a estática de router a router con NAT

Túnel del IPSec VPN del PIX/ASA (versión 7.x y posterior) con el ejemplo de configuración de la traducción de dirección de red

Configuración del balance de carga del servidor FTP por medio del IOS SLB

Configurar evitar en un UNIX Director

Acceso ASA al ASDM de una interfaz interior sobre un ejemplo de la configuración del túnel VPN

IPSec entre dos routeres IOS con el ejemplo de configuración de las redes privadas superpuestas

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Cisco PIX 500 Series Security Appliances

Conexión VPN con el ejemplo de configuración Zona-basado del router de escudo de protección

Router del Cisco IOS: Local, TACACS+ y autenticación de RADIUS del ejemplo de configuración de la conexión HTTP

Creación de túnel redundante entre los Firewall usando el PDM

Este documento proporciona un ejemplo de configuración para X25 Sobre TCP.

Configuración de Network Address Translation: Introducción

Acceso del administrador TACACS al ejemplo de configuración convergido de los reguladores del Wireless LAN del acceso

Equilibrio de carga remoto del cliente VPN en el ejemplo de configuración ASA 5500

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT

Configuración de la marcación manual RADIUS con la autenticación del servidor Livingston

Configurar el RCP como Transport Protocol en los Fundamentos del Resource Manager de Cisco

PRUEBAS DE HABILIDADES PRÁCTICAS CCNA ALEXANDER CASTAÑEDA VILLALBA CÓDIGO

Práctica de laboratorio: Configuración de una dirección de administración de switches

Configuración de Network Address Translation: Getting Started

Agregue un más nodo al anillo de paquetes flexible

DOCUMENTACION ACTIVIDAD

Conmutación por falla ISP con las rutas predeterminado usando el seguimiento IP SLA

Configurar la encaminamiento redundante en el concentrador VPN 3000

Configuración OSPF para filtrar los LSA tipos 5

Usando el comando cpe máximo en el DOCSIS y el CMTS

CWS en el tráfico ASA a los servidores internos bloqueados

Router Cisco como servidor VPN remoto que usa el ejemplo de la configuración de SDM

Configurar el IPSEC de router a router (claves previamente compartidas) en el túnel GRE con el escudo de protección IOS y el NAT

Túnel ipsec de LAN a LAN entre un Cisco VPN 3000 Concentrator y un router con el ejemplo de configuración AES

Configuración de ISDN BRI y PRI en Australia

IPS 7.X: Autenticación de ingreso del usuario al sistema usando ACS 5.X como ejemplo de la configuración de servidor de RADIUS

Práctica de laboratorio: configuración y verificación de ACL extendidas Topología

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Configuración del Protocolo de tunelización de la capa 2 (L2TP) por IPSec.

IPS 5.x y posterior: NTP en el ejemplo de configuración IPS

Redistribuya las redes conectadas en el OSPF con la palabra clave de subred

Práctica de laboratorio: resolución de problemas de configuración NAT

Práctica de laboratorio: resolución de problemas de configuración NAT

Configuración del Concentrador VPN 3000 de Cisco para bloquear con filtros y la asignación de filtro RADIUS

Transcripción:

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Por qué la sentencia de denegación de la ACL especifica el tráfico NAT? Qué ocurre con la NAT estática? Por qué no puede llegar a una dirección del túnel IPsec? Configurar Diagrama de la red Configuraciones Verificación Resolución de problemas Comandos para resolución de problemas Introducción Esta configuración de ejemplo muestra cómo: Cifrar tráfico entre dos redes privadas (10.1.1.x y 172.16.1.x). Asignar una dirección IP estática (dirección externa 200.1.1.25) a un dispositivo de red en 10.1.1.3. Utilice las listas de control de acceso (ACL) para indicar al router que no aplique una traducción de dirección de red (NAT) al tráfico de red privada a privada, el cual se cifra y se pone en el túnel cuando deja el router. Asimismo, en esta configuración de ejemplo hay una NAT estática para un servidor interno de la red 10.1.1.x. Esta configuración de ejemplo utiliza una opción de mapa de rutas del comando NAT que permite detener la realización de NAT en él si el tráfico destinado a él también pasa por el túnel cifrado. Requisitos previos Requisitos No hay requisitos específicos para este documento. Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: Cisco IOS versión 12.3(14)T Dos routers de Cisco La información que contiene este documento se creó a partir de dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de comprender el efecto que puede tener cualquier comando. Convenciones Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre convenciones del documento. Por qué la sentencia de denegación de la ACL especifica el tráfico NAT? Desde un punto de vista conceptual, cuando se utiliza Cisco IOS IPsec o una VPN se sustituye una red por un túnel. En este diagrama, la nube de Internet se sustituye por un túnel Cisco IOS IPsec comprendido entre 200.1.1.1 y 100.1.1.1. Haga esta red transparente desde el punto de vista de

las dos redes LAN privadas unidas por el túnel. Por este motivo, normalmente no se utiliza NAT para el tráfico que va de una LAN privada a la LAN privada remota. Lo deseable es ver los paquetes que provienen de la red del router 2 con una dirección IP de origen comprendida entre 10.1.1.0/24 en vez de 200.1.1.1, cuando los paquetes llegan al interior de la red del router 3. Consulte NAT Order of Operation (Orden de funcionamiento de NAT) para obtener más información sobre cómo configurar una NAT. Este documento muestra que la NAT se realiza antes de la comprobación de cifrado cuando el paquete va del interior al exterior. Por ello, debe especificar esta información en la configuración. ip nat inside source list 122 interface Ethernet0/1 overload access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 122 permit ip 10.1.1.0 0.0.0.255 any Nota: Existe también la posibilidad de crear el túnel y seguir utilizando la NAT. En este escenario, especifique el tráfico NAT como "tráfico de interés para IPsec" (referido como ACL 101 en otras secciones de este documento). Consulte Configuring an IPsec Tunnel between Routers with Duplicate LAN Subnets (Configuración de un túnel IPSec entre routers con subredes LAN duplicadas) para obtener más información sobre cómo crear un túnel mientras la NAT está activa. Qué ocurre con la NAT estática? Por qué no puede llegar a una dirección del túnel IPsec? Esta configuración también incluye una NAT estática de uno a uno para un servidor situado en 10.1.1.3. Se realiza NAT a 200.1.1.25 para que los usuarios de Internet puedan acceder a él. Ejecutar este comando: ip nat inside source static 10.1.1.3 200.1.1.25 Esta NAT estática evita que los usuarios de la red 172.16.1.x lleguen a 10.1.1.3 a través del túnel cifrado. Esto se debe a que se necesita denegar la realización de NAT mediante ACL 122 en el tráfico cifrado. No obstante, el comando de la NAT estática tiene precedencia sobre la sentencia de NAT genérica para todas las conexiones de ida y vuelta con 10.1.1.3. La sentencia de NAT estática no deniega específicamente la realización de NAT en el tráfico cifrado. Se realiza una NAT a 200.1.1.25 en las respuestas procedentes de 10.1.1.3 cuando un usuario de la red 172.16.1.x se conecta con 10.1.1.3 y, por consiguiente, no regresa por el túnel cifrado (la NAT se produce antes del cifrado). Debe denegar la realización de NAT en el tráfico cifrado (incluso una realización de NAT de uno a uno estática) con un comando route-map en la sentencia de NAT estática. Nota: La opción route-map en una NAT estática sólo tiene soporte con el software Cisco IOS versión 12.2(4)T y posteriores. Consulte NAT Ability to Use Route Maps with Static Translations (NAT - Capacidad de utilizar mapas de ruta con traducciones estáticas) para obtener información adicional. Debe ejecutar estos comandos adicionales para permitir un acceso cifrado a 10.1.1.3, el host en el que se ha ejecutado una NAT estática: ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat access-list 150 deny ip host 10.1.1.3 172.16.1.0 0.0.0.255 access-list 150 permit ip host 10.1.1.3 any route-map nonat permit 10 match ip address 150 Estas sentencias indican al router que sólo aplique la NAT estática al tráfico que cumpla ACL 150. ACL 150 indica que la NAT no debe realizarse en el tráfico procedente de 10.1.1.3 y con destino a 172.16.1.x que pase por el túnel cifrado. No obstante, aplíquelo al tráfico restante procedente de 10.1.1.3 (tráfico basado en Internet). Configurar En esta sección, encontrará información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta de búsqueda de comandos (solamente clientes registrados) para encontrar más información sobre los comandos utilizados en este documento. Diagrama de la red Este documento utiliza esta configuración de red:

Configuraciones Este documento usa estas configuraciones: Router 2 Router 3 R2 - Configuración del router R2#write terminal Building configuration... Current configuration : 1412 bytes version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption nombre del host R2 boot-start-marker boot-end-marker no aaa new-model resource policy clock timezone EST 0 ip subnet-zero no ip domain lookup crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 200.1.1.1 crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map myvpn 10 ipsec-isakmp set peer 200.1.1.1 set transform-set myset --- Incluya el tráfico entre redes privadas --- en el proceso de cifrado: match address 101 interface Ethernet0/0 ip address 172.16.1.1 255.255.255.0 ip nat inside interface Ethernet1/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map myvpn ip classless ip route 0.0.0.0 0.0.0.0 100.1.1.254 ip http server

no ip http secure-server --- Excluya la red privada del proceso de NAT: ip nat inside source list 175 interface Ethernet1/0 overload --- Incluya el tráfico entre redes privadas --- en el proceso de cifrado: access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 --- Excluya la red privada del proceso de NAT: access-list 175 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 175 permit ip 172.16.1.0 0.0.0.255 any control-plane line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login end R3 - Configuración del router R3#write terminal Building configuration... Current configuration : 1630 bytes version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname R3 boot-start-marker boot-end-marker no aaa new-model resource policy clock timezone EST 0 ip subnet-zero no ip domain lookup crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 100.1.1.1 crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map myvpn 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset --- Incluya el tráfico entre redes privadas --- en el proceso de cifrado: match address 101 interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface Ethernet1/0 ip address 200.1.1.1 255.255.255.0 ip nat outside crypto map myvpn ip classless ip route 0.0.0.0 0.0.0.0 200.1.1.254 no ip http server no ip http secure-server

--- Excluya la red privada del proceso de NAT: ip nat inside source list 122 interface Ethernet1/0 overload --- Excluya el tráfico de la NAT estática del proceso de la NAT si va al destino --- por el túnel cifrado: ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 --- Excluya la red privada del proceso de NAT: access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 122 permit ip 10.1.1.0 0.0.0.255 any --- Excluya el tráfico de la NAT estática del proceso de la NAT si va al destino --- por el túnel cifrado: access-list 150 deny ip host 10.1.1.3 172.16.1.0 0.0.0.255 access-list 150 permit ip host 10.1.1.3 any route-map nonat permit 10 match ip address 150 control-plane line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login end Verificación Actualmente, no hay un procedimiento de verificación disponible para esta configuración. Resolución de problemas Utilice esta sección para solucionar los problemas de la configuración. Consulte IP Security Troubleshooting - Understanding and Using debug Commands (Resolución de problemas de la seguridad IP - Comprensión y uso de los comandos de depuración). Comandos para resolución de problemas La herramienta intérprete de resultados (solamente clientes registrados) OIT) soporta ciertos comandos show. Utilice la OIT para consultar un análisis del resultado del comando show. Nota: Consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de ejecutar comandos debug. debug crypto ipsec sa: muestra las negociaciones IPSec de la fase 2. debug crypto isakmp sa: permite ver las negociaciones ISAKMP de la fase 1. debug crypto engine: muestra las sesiones cifradas. 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 23 Marzo 2008 http://www.cisco.com/cisco/web/support/la/7/74/74751_static.html

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback