Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parArmand Larouche Modifié depuis plus de 6 années
1
Configuration IPSec LAN Privé à LAN Privé et NAT statique
ccnp_cch
2
Sommaire • Configuration • Résolution de problèmes
• Introduction Composants utilisés - Pourquoi l'instruction deny dans l'ACL spécifie le trafic NAT ? - Pourquoi les commandes loopback et route-map sont nécessaires sur "Daphné"? • Configuration - Schéma du réseau - Configurations • Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch
3
Introduction Cet exemple de configuration montre comment crypter le trafic entre deux réseaux privés x et x et comment affecter une adresse IP statique (adresse ex- terne ) à un équipement de réseau dont l'adresse est Vous utilisez des listes de contrôle d'accès (ACLs) pour qu'il ne fasse pas de traduction d'adresse (NAT) pour le trafic de réseau privé à réseau privé (celui-ci sera crypté et placé dans le tunnel IPSec dès qu'il quittera le routeur). La politique de routage vers la loopback qui fixe le prochain saut pour qu'il soit dans le même réseau que la loopback est requise car en plus de connecter deux réseaux privés, il y a une affectation IP statique pour un équipement de réseau. Composants utilisés Les informations présentées dans ce document sont basées les versions logicielles et matérielles suivantes : ● Cisco IOS Release 12.1 ● Deux Routeurs Cisco Pourquoi l'instruction deny dans l'ACL spécifie le trafic NAT ? Quand on utilise IPSec (IP Security) et plus en général un VPN (Virtual Private Network) , vous remplacez le réseau par un tunnel logique. Dans le schéma du réseau qui suit, vous remplacez le nuage "Internet" par un tunnel IPSec allant de à Vous voulez que ce réseau soit transparent du point de vue des deux réseaux privés qui sont reliés par le tunnel. Pour cette raison, vous ne voulez pas utiliser NAT pour le trafic allant d'un réseau privé vers le réseau LAN distant. Vous voulez que les paquets venant du réseau privé sur le routeur "Daphné" aient l'adresse IP source x/24 au lieu de quand ils arrivent sur le réseau privé du routeur Fred. Dans ce document, vous pouvez voir que lorsqu'un paquet va de l'intérieur vers l'exté- rieur, NAT est exécuté avant l'accès au tunnel. C'est pour cela que vous devez entrer la configuration suivante : ip nat inside source list 122 interface Ethernet0/1 overload access−list 122 deny ip access−list 122 deny ip host any access−list 122 permit ip any Note : Il serait possible de construire un tunnel et d'utiliser NAT. Dans ce scénario, vous devriez spécifier que le trafic NAT est un trafic qui est aussi pour IPSec (ACL 101) dans les sections suivantes. pour plus d'informations sur la construction d'un tunnel tout en utilisant NAT, voir le document "Configuration d'un tunnel IPSec entre routeurs avec adresses de sous-réseaux dupliquées". ccnp_cch
4
Pourquoi les commandes loopback et route-map sont nécessaires sur
"Daphné"? Cela peut sembler étrange d'avoir entré les commandes route-map no-Nat et loopback sur le routeur "Daphné". Ce qui suit est une explication du pourquoi de ces comman- des. Dans cette configuration, vous spécifiez le trafic qui doit passer par NAT en utilisant l'ACL 122. Cela signifie que vous voulez remplacer l'adresse IP source de ce trafic par l'adresse IP de l'interface externe. De manière plus stricte ceci est référencé comme PAT (Port Address Translation) mais souvent référencé de manière très commune com- me NAT. Si vous vous rappelez il y a aussi une traduction NAT statique, sur Daphné, où l'adresse est statiquement mappée avec l'adresse externe Malheureuse- ment il n'y a pas possibilité dans l'ACL de dévalider ce mapping statique quand le tra- fic est destiné au LAN privé distant. Comme cela a déjà été mentionné, NAT est effectué avant l'accès au tunnel. Par con- séquent, chaque fois qu'un paquet provient de l'adresse sur Daphné, son adresse source est changée en avant d'être vérifiée par la crypto-map et ne correspondra à aucune instruction de l'ACL 101 et par conséquent ne passera pas par le tunnel IPSec. Pour pallier à ce problème, on utilise une politique de routage (notez que la politique de routage prend place avant NAT) pour détecter qu'un paquet vient de mais va vers le réseau LAN privé situé sur Fred. Quand ce trafic a été sélectionné (spécifié par l'ACL 123), exécutez la commande set ip next-hop pour acheminer le trafic vers la loopback. En faisant cela, le trafic vient d'une interface marquée comme interne (inside) en exé- cutant la commande ip nat inside mais va vers une interface (loopback) qui n'est pas marquée comme outside. Le même raisonnement s'applique lorsqu'un paquet vient de l'interface loopback vers l'interface marquée "outside" en exécutant la commande ip nat outside. En conséquence le mapping statique ne sera pas pris en compte. Voici les commandes nécessaires pour utiliser cette technique: access−list 123 permit ip host route−map nonat permit 10 match ip address 123 set ip next−hop ccnp_cch
5
Configuration ccnp_cch
Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau Host (Nat Statique vers ) Internet Réseau Réseau ccnp_cch
6
Configurations ccnp_cch Routeur Daphné daphne#show run
Building configuration... Current configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname Daphne enable secret 5 $1$RRh.$lDTQl51Xteq8ZLREFh/wC1 enable password ww memory−size iomem 10 ip subnet−zero ip audit notify log ip audit po max−events 100 lane client flush cns event−service server !−−− Politiques IKE : crypto isakmp policy 10 authentication pre−share crypto isakmp key ciscokey address crypto ipsec transform−set to_fred esp−des esp−md5−hmac !−−− Politiques IPSec : crypto map myvpn 10 ipsec−isakmp set peer set transform−set to_fred !−−− Inclut le trafic réseau privé à réseau privé dans le !−−− processus de cryptage: match address 101 ccnp_cch
7
ccnp_cch controller T1 0/0 shutdown ! controller T1 0/1
interface Loopback0 ip address interface Ethernet0/0 ip address ip Nat inside ip route−cache policy ip policy route−map nonat no mop enabled interface Ethernet0/1 ip address ip Nat outside crypto map myvpn !−−− Exclut le réseau privé du processus NAT : ip Nat inside source list 122 interface Ethernet0/1 overload ip Nat inside source static ip classless ip route no ip http server !−−− Inclut le trafic de réseau privé à réseau privé !−−− dans le processus de cryptage: access−list 101 permit ip access−list 101 deny ip any !−−− Exclut le réseau privé du processus NAT: access−list 122 deny ip access−list 122 deny ip host any access−list 122 permit ip any access−list 123 permit ip host dialer−list 1 protocol ip permit dialer−list 1 protocol ipx permit ccnp_cch
8
ccnp_cch !−−− Exclut le réseau privé du processus NAT :
route−map nonat permit 10 match ip address 123 set ip next−hop ! voice−port 1/1/0 voice−port 1/1/1 line con 0 transport input none line aux 0 line vty 0 4 password WW login end Routeur Fred Fred: Current configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname fred enable secret 5 $1$Sf8G$fmRsv2xOLVcjfIzgxHHoR/ enable password WW memory−size iomem 10 voice−card 1 ip subnet−zero ip audit notify log ip audit PO max−events 100 lane client flush isdn switch−type primary−5ess ccnp_cch
9
ccnp_cch cns event−service server ! !−−− Politiques IKE :
crypto isakmp policy 10 authentication pre−share crypto isakmp key ciscokey address !−−− Politiques IPSec : crypto ipsec transform−set to_fred ESP−Des esp−md5−hmac crypto map myvpn 10 ipsec−isakmp set peer set transform−set to_fred !−−− Inclut le trafic de réseau privé à réseau privé !−−− dans le processus de cryptage: match address 101 controller T1 1/0 shutdown controller T1 1/1 interface Ethernet0/0 ip address ip Nat inside no mop enabled interface Ethernet0/1 ip address ip Nat outside crypto map myvpn !−−− Exclut le réseau privé du processus NAT : ip Nat inside source list 175 pool interface Ethernet0/1 overload ip classless ip route no ip http server ccnp_cch
10
Résolution de problèmes
!−−− Inclut le trafic de réseau privé à réseau privé !−−− dans le processus de cryptage: access−list 101 permit ip !−−− Exclut le réseau privé du processus NAT : access−list 175 deny ip access−list 175 permit ip any dialer−list 1 protocol ip permit dialer−list 1 protocol ipx permit ! line con 0 transport input none line aux 0 line vty 0 4 password WW login no scheduler allocate end Résolution de problèmes Dans cette section sont présentées des informations que vous pouvez utiliser pour ré- soudre des problèmes liés à votre configuration. Commandes pour résolution de problèmes ● debug crypto ipsec sa − Pour tracer les négociations IPSec phase 2. ● debug crypto isakmp sa − Pour tracer les négociations ISAKMP phase 1. ● debug crypto engine − Pour afficher les sessions cryptées. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.