Support de NAT pour IPSec ESP Phase II ccnp_cch ccnp_cch

Sommaire • Introduction - Contenu de ce document • Informations sur le support de NAT pour IPSec ESP - Avantages du support de NAT pour IPSec ESP - IPSec - Correspondance de SPI • Comment configurer IPSec ESP à travers NAT - Validation de "preserve port" - Prérequis - Validation de la correspondance SPI - Validation de correspondance SPI sur l'équipement NAT - Validation de correspondance SPI aux extrémités ccnp_cch

Introduction Le support de NAT pour IPSec ESP Phase II autorise de multiples tunnels IPSec ESP (Encapsulation Security Payload) ou connexions au travers de NAT de l'IOS Cisco con- figuré en "overload" ou PAT (Port Address Translation). Les techniques IPSec encapsu- lé dans UDP ou TCP ne sont pas utilisées avec ESP. Note: Cette fonctionnalité peut être utilisée uniquement si les deux extrémités du VPN sont des équipements Cisco opérant avec la release IOS 12.2(15)T ou suivantes. Historique Release Modification 12.2(15)T Cette fonctionnalité a été introduite Plateformes supportées Pour les plateformes supportées dans la release IOS Cisco 12.2(15)T consultez "Cisco Feature Navigator" Contenu de ce document Ce document comporte les sections suivantes: ● Informations sur le support de NAT pour IPSec ESP ● Comment configurer IPSec ESP au travers de NAT Informations sur le support de NAT pour IPSec ESP Avant de configurer IPSec ESP au travers de NAT vous devez comprendre les concepts suivants: ● Avantages du support de NAT pour IPSec ESP ● IPSec ● Correspondance de SPI Avantages du support de NAT pour IPSec ESP Normalement les entrées ESP dans la table de traduction seront mises en attente de transmission jusqu'à ce qu'une réponse soit reçue de la destination. Avec des index de sécurité prédictibles (SPI) et une correspondance de SPI, le délai d'attente peut être éliminé si les entrées SPI correspondent. Quelques équipements concentrateurs tiers requièrent le port source et le port destination pour utiliser le port 500. L'utilisation du mot-clé preserve-port avec la commande ip nat service préservera le numéro de port au lieu de le changer (ce qui est normalement requis dans NAT). ccnp_cch

IPSec IPSec est un ensemble d'extensions de la famille du protocole IP dans le cadre de stan- dards ouverts pour assurer des communications privées sécurisées au travers d'Inter- net. Basé sur des standards développés par l'IETF (Internet Engineering Task Force), IPSec assure la confidentialité, l'intégrité et l'authentification des données au travers du réseau public et fournit un service de cryptographie. Des tunnels sécurisés entre deux extrémités, telles que deux routeurs, sont fournis et les décisions sont prises pour considérer quels paquets sont sensibles et doivent être transmis au travers de ces tunnels. Quand l'extrémité IPSec reçoit un paquet sensible elle monte le tunnel sécurisé approprié et transmet le paquet au travers du tunnel vers l'extrémité distante. IPSec en utilisant ESP peut passer au travers d'un routeur utilisant NAT sans support spécifique tant PAT (Port Address Translation) ou "NAT Overload" n'est pas validé. Il y a plusieurs facteurs à considérer quand on tente de faire traverser un VPN IPSec au travers d'un équipement configuré avec PAT qui représente plusieurs adresses pri- vées internes comme une seule adresse publique externe. Ces facteurs comprennent les capacités du serveur VPN et du Client VPN, les capacités de l'équipement configuré avec PAT et enfin si plusieurs communications simultanées sont tentées au travers de l'équipement NAT-PAT. Il y a deux méthodes possibles pour configurer IPSec sur un routeur avec NAT-PAT: ● Encapsuler IPSec dans un protocole de couche 4 tel que TCP ou UDP. Dans ce cas IPSec se "faufile" au travers de NAT. L'équipement NAT n'est pas au courant de l'en- capsulation. ● Ajouter un support spécifique pour IPSec avec PAT - Dans ce cas IPSec travaille avec NAT à l'opposé de la solution précédente. La fonctionnalité "Support de NAT pour IPSec ESP phase II" fournit un support pour IKE (Internet Key Exchange) et ESP sans encapsulation en mode tunnel au travers d'un routeur Cisco configuré avec PAT. Note: Les protocoles recommandés à utiliser quand des sessions IPSec sont amenées à traverser des équipements configurés avec PAT sont TCP et UDP mais tous les ser- veurs VPN ou les Clients VPN ne supportent pas l'encapsulation TCT ou UDP. Correspondance de SPI La correspondance de SPI est utilisée pour établir des connexions VPN entre plusieurs destinations. Les entrées NAT seront immédiatement placées dans la table de traduc- tion pour les extrémités correspondantes avec la liste d'accès configurée. Ceci est uti- lisable uniquement pour les extrémités qui choisissent les SPI avec l'algorithme prédic- tif implémenté sur l'IOS Cisco release 12.2(15)T. ccnp_cch

Comment configurer IPSec ESP au travers de NAT Valider le port préservé Cette configuration est utilisée pour le trafic IPSec utilisant lr port 500 pour les ports source et entrant. Cette configuration permet de préserver le port 500 pour les ports entrants et sortants. Note: Cette configuration est requise pour certains concentrateurs VPN mais peut cau- ser des problèmes avec d'autres concentrateurs. Les équipements VPN Cisco n'utili- sent généralement pas cette fonctionnalité. Etapes: ● enable ● configure terminal ● ip nat service list access-list-number IKE preserve-port Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. ● Entrez un mot de passe si cela est nécessaire configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. ip nat service list access-list-number ESP spi-match Exemple: Routeur(config)# ip nat service list 10 IKE preserve-port Spécifie un port autre que le port par défaut. ● Permet à NAT de préserver le port destination et le port source de tout paquet IKE qui correspond à la liste d'accès 10 pour le port 500. Prérequis ● L'IOS Cisco doit être opérationnel sur le routeur et la passerelle distante validant un traitement parallèle. ● La correspondance SPI doit être configurée sur l'équipement NAT et les deux équi- pements d'extrémités. ccnp_cch

Valider la correspondance SPI Validation de la correspondance SPI sur l'équipement NAT Etapes: ● enable ● configure terminal ● ip nat service list access-list-number ESP spi-match Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. ● Entrez un mot de passe si cela est nécessaire configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. ip nat service list access-list-number IKE preserve-port Exemple: Routeur(config)# ip nat service list 10 ESP spi-match Spécifie un port autre que le port par défaut. ● Entre le trafic qui correspond à la liste d'accès 10 dans la table de traduction NAT présumant que les deux équipements sont des équipe- ments Cisco et sont configurés pour fournir une correspondance de SPIs. Validation de la correspondance SPI sur les extrémités Etapes: ● enable ● configure terminal ● crypto ipsec spi-matching ccnp_cch

ccnp_cch Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. ● Entrez un mot de passe si cela est nécessaire configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. crypto ipsec spi-matching Exemple: Routeur(config)# crypto ipsec spi-matching Valide la correspondance de SPIs sur les deux extrémités. ccnp_cch