Configuration IPSec LAN Privé à LAN Privé et NAT statique ccnp_cch

Sommaire • Configuration • Résolution de problèmes • Introduction - Composants utilisés - Pourquoi l'instruction deny dans l'ACL spécifie le trafic NAT ? - Pourquoi les commandes loopback et route-map sont nécessaires sur "Daphné"? • Configuration - Schéma du réseau - Configurations • Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

Introduction Cet exemple de configuration montre comment crypter le trafic entre deux réseaux privés 10.1.1.x et 172.16.1.x et comment affecter une adresse IP statique (adresse ex- terne 200.1.1.25) à un équipement de réseau dont l'adresse est 10.1.1.3. Vous utilisez des listes de contrôle d'accès (ACLs) pour qu'il ne fasse pas de traduction d'adresse (NAT) pour le trafic de réseau privé à réseau privé (celui-ci sera crypté et placé dans le tunnel IPSec dès qu'il quittera le routeur). La politique de routage vers la loopback 1.1.1.1 qui fixe le prochain saut pour qu'il soit dans le même réseau que la loopback 1.1.1.2 est requise car en plus de connecter deux réseaux privés, il y a une affectation IP statique pour un équipement de réseau. Composants utilisés Les informations présentées dans ce document sont basées les versions logicielles et matérielles suivantes : ● Cisco IOS Release 12.1 ● Deux Routeurs Cisco Pourquoi l'instruction deny dans l'ACL spécifie le trafic NAT ? Quand on utilise IPSec (IP Security) et plus en général un VPN (Virtual Private Network) , vous remplacez le réseau par un tunnel logique. Dans le schéma du réseau qui suit, vous remplacez le nuage "Internet" par un tunnel IPSec allant de 200.1.1.2 à 100.1.1.2. Vous voulez que ce réseau soit transparent du point de vue des deux réseaux privés qui sont reliés par le tunnel. Pour cette raison, vous ne voulez pas utiliser NAT pour le trafic allant d'un réseau privé vers le réseau LAN distant. Vous voulez que les paquets venant du réseau privé sur le routeur "Daphné" aient l'adresse IP source 10.1.1.x/24 au lieu de 200.1.1.2 quand ils arrivent sur le réseau privé du routeur Fred. Dans ce document, vous pouvez voir que lorsqu'un paquet va de l'intérieur vers l'exté- rieur, NAT est exécuté avant l'accès au tunnel. C'est pour cela que vous devez entrer la configuration suivante : ip nat inside source list 122 interface Ethernet0/1 overload access−list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access−list 122 deny ip host 10.1.1.3 any access−list 122 permit ip 10.1.1.0 0.0.0.255 any Note : Il serait possible de construire un tunnel et d'utiliser NAT. Dans ce scénario, vous devriez spécifier que le trafic NAT est un trafic qui est aussi pour IPSec (ACL 101) dans les sections suivantes. pour plus d'informations sur la construction d'un tunnel tout en utilisant NAT, voir le document "Configuration d'un tunnel IPSec entre routeurs avec adresses de sous-réseaux dupliquées". ccnp_cch

Pourquoi les commandes loopback et route-map sont nécessaires sur "Daphné"? Cela peut sembler étrange d'avoir entré les commandes route-map no-Nat et loopback sur le routeur "Daphné". Ce qui suit est une explication du pourquoi de ces comman- des. Dans cette configuration, vous spécifiez le trafic qui doit passer par NAT en utilisant l'ACL 122. Cela signifie que vous voulez remplacer l'adresse IP source de ce trafic par l'adresse IP de l'interface externe. De manière plus stricte ceci est référencé comme PAT (Port Address Translation) mais souvent référencé de manière très commune com- me NAT. Si vous vous rappelez il y a aussi une traduction NAT statique, sur Daphné, où l'adresse est statiquement mappée avec l'adresse externe 200.1.1.25. Malheureuse- ment il n'y a pas possibilité dans l'ACL de dévalider ce mapping statique quand le tra- fic est destiné au LAN privé distant. Comme cela a déjà été mentionné, NAT est effectué avant l'accès au tunnel. Par con- séquent, chaque fois qu'un paquet provient de l'adresse 10.1.1.3 sur Daphné, son adresse source est changée en 200.1.1.25 avant d'être vérifiée par la crypto-map et ne correspondra à aucune instruction de l'ACL 101 et par conséquent ne passera pas par le tunnel IPSec. Pour pallier à ce problème, on utilise une politique de routage (notez que la politique de routage prend place avant NAT) pour détecter qu'un paquet vient de 10.1.1.3 mais va vers le réseau LAN privé situé sur Fred. Quand ce trafic a été sélectionné (spécifié par l'ACL 123), exécutez la commande set ip next-hop pour acheminer le trafic vers la loopback. En faisant cela, le trafic vient d'une interface marquée comme interne (inside) en exé- cutant la commande ip nat inside mais va vers une interface (loopback) qui n'est pas marquée comme outside. Le même raisonnement s'applique lorsqu'un paquet vient de l'interface loopback vers l'interface marquée "outside" en exécutant la commande ip nat outside. En conséquence le mapping statique ne sera pas pris en compte. Voici les commandes nécessaires pour utiliser cette technique: access−list 123 permit ip host 10.1.1.3 172.16.1.0 0.0.0.255 route−map nonat permit 10 match ip address 123 set ip next−hop 1.1.1.2 ccnp_cch

Configuration ccnp_cch Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau Host 1.1.1.2 (Nat Statique vers 200.1.1.25) 10.1.1.1 Internet 200.1.1.2 100.1.1.2 172.16.1.1 Réseau 172.16.1.0 Réseau 10.1.1.0 ccnp_cch

Configurations ccnp_cch Routeur Daphné daphne#show run Building configuration... Current configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname Daphne enable secret 5 $1$RRh.$lDTQl51Xteq8ZLREFh/wC1 enable password ww memory−size iomem 10 ip subnet−zero ip audit notify log ip audit po max−events 100 lane client flush cns event−service server !−−− Politiques IKE : crypto isakmp policy 10 authentication pre−share crypto isakmp key ciscokey address 100.1.1.2 crypto ipsec transform−set to_fred esp−des esp−md5−hmac !−−− Politiques IPSec : crypto map myvpn 10 ipsec−isakmp set peer 100.1.1.2 set transform−set to_fred !−−− Inclut le trafic réseau privé à réseau privé dans le !−−− processus de cryptage: match address 101 ccnp_cch

ccnp_cch controller T1 0/0 shutdown ! controller T1 0/1 interface Loopback0 ip address 1.1.1.1 255.255.255.0 interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip Nat inside ip route−cache policy ip policy route−map nonat no mop enabled interface Ethernet0/1 ip address 200.1.1.2 255.255.255.0 ip Nat outside crypto map myvpn !−−− Exclut le réseau privé du processus NAT : ip Nat inside source list 122 interface Ethernet0/1 overload ip Nat inside source static 10.1.1.3 200.1.1.25 ip classless ip route 0.0.0.0 0.0.0.0 200.1.1.1 no ip http server !−−− Inclut le trafic de réseau privé à réseau privé !−−− dans le processus de cryptage: access−list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access−list 101 deny ip 10.1.1.0 0.0.0.255 any !−−− Exclut le réseau privé du processus NAT: access−list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access−list 122 deny ip host 10.1.1.3 any access−list 122 permit ip 10.1.1.0 0.0.0.255 any access−list 123 permit ip host 10.1.1.3 172.16.1.0 0.0.0.255 dialer−list 1 protocol ip permit dialer−list 1 protocol ipx permit ccnp_cch

ccnp_cch !−−− Exclut le réseau privé du processus NAT : route−map nonat permit 10 match ip address 123 set ip next−hop 1.1.1.2 ! voice−port 1/1/0 voice−port 1/1/1 line con 0 transport input none line aux 0 line vty 0 4 password WW login end Routeur Fred Fred: Current configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname fred enable secret 5 $1$Sf8G$fmRsv2xOLVcjfIzgxHHoR/ enable password WW memory−size iomem 10 voice−card 1 ip subnet−zero ip audit notify log ip audit PO max−events 100 lane client flush isdn switch−type primary−5ess ccnp_cch

ccnp_cch cns event−service server ! !−−− Politiques IKE : crypto isakmp policy 10 authentication pre−share crypto isakmp key ciscokey address 200.1.1.2 !−−− Politiques IPSec : crypto ipsec transform−set to_fred ESP−Des esp−md5−hmac crypto map myvpn 10 ipsec−isakmp set peer 200.1.1.2 set transform−set to_fred !−−− Inclut le trafic de réseau privé à réseau privé !−−− dans le processus de cryptage: match address 101 controller T1 1/0 shutdown controller T1 1/1 interface Ethernet0/0 ip address 172.16.1.1 255.255.255.0 ip Nat inside no mop enabled interface Ethernet0/1 ip address 100.1.1.2 255.255.255.0 ip Nat outside crypto map myvpn !−−− Exclut le réseau privé du processus NAT : ip Nat inside source list 175 pool interface Ethernet0/1 overload ip classless ip route 0.0.0.0 0.0.0.0 100.1.1.1 no ip http server ccnp_cch

Résolution de problèmes !−−− Inclut le trafic de réseau privé à réseau privé !−−− dans le processus de cryptage: access−list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 !−−− Exclut le réseau privé du processus NAT : access−list 175 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access−list 175 permit ip 172.16.1.0 0.0.0.255 any dialer−list 1 protocol ip permit dialer−list 1 protocol ipx permit ! line con 0 transport input none line aux 0 line vty 0 4 password WW login no scheduler allocate end Résolution de problèmes Dans cette section sont présentées des informations que vous pouvez utiliser pour ré- soudre des problèmes liés à votre configuration. Commandes pour résolution de problèmes ● debug crypto ipsec sa − Pour tracer les négociations IPSec phase 2. ● debug crypto isakmp sa − Pour tracer les négociations ISAKMP phase 1. ● debug crypto engine − Pour afficher les sessions cryptées. ccnp_cch