Een router IPsec-tunnel voor privé-gebruik met NAT en een statische netwerkmodule configureren

Downloadopties

PDF (275.9 KB)
Met Adobe Reader op diverse apparaten bekijken

Bijgewerkt:5 juni 2006

Document-id:14144

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Waarom specificeert de Verklaring van de Weiger in ACL het NAT-verkeer?

Hoe zit het dan met de statische NAT, waarom kan ik niet naar dat adres gaan via de IPsec-tunnel?

Configureren

Netwerkdiagram

Configuraties

Verifiëren

Problemen oplossen

Opdrachten voor troubleshooting

Gerelateerde informatie

Inleiding

Deze voorbeeldconfiguratie toont hoe u:

Versleutel verkeer tussen twee particuliere netwerken (10.1.1.x en 172.16.1.x).
Wijs een statisch IP-adres (extern adres 200.1.1.25) toe aan een netwerkapparaat op 10.1.1.3.

U gebruikt toegangscontrolelijsten (ACL’s) om de router te vertellen geen netwerkadresomzetting (NAT) uit te voeren naar het privaat-naar-privaat netwerkverkeer, dat vervolgens wordt versleuteld en op de tunnel wordt geplaatst terwijl deze de router verlaat. Er is ook een statische NAT voor een interne server op het 10.1.1.x netwerk in deze voorbeeldconfiguratie. Deze voorbeeldconfiguratie gebruikt de route-kaart optie op het NAT-commando om te voorkomen dat het NAT is als het verkeer ervoor ook over de versleutelde tunnel is bestemd.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco IOS®-softwarerelease 12.3(14)T
Twee Cisco-routers

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Waarom specificeert de Verklaring van de Weiger in ACL het NAT-verkeer?

U vervangt een netwerk conceptueel door een tunnel wanneer u Cisco IOS IPsec of een VPN gebruikt. U vervangt de internetcloud door een Cisco IOS IPsec-tunnel die in dit diagram gaat van 200.1.1.1 tot 100.1.1.1. Maak dit netwerk transparant vanuit het oogpunt van de twee particuliere LAN’s die door de tunnel met elkaar zijn verbonden. U wilt normaal gesproken geen NAT gebruiken voor verkeer dat om deze reden van één privaat LAN naar het externe privaat LAN gaat. U wilt de pakketten zien die van het router 2 netwerk met een bron IP adres van het 10.1.1.0/24 netwerk in plaats van 200.1.1.1 komen wanneer de pakketten de binnen router 3 netwerk bereiken.

Verwijs naar NAT Orde van Verrichting voor meer informatie over hoe te om NAT te vormen. Dit document toont aan dat NAT vóór de cryptocontrole plaatsvindt wanneer het pakket van binnen naar buiten gaat. Dit is waarom u deze informatie in de configuratie moet specificeren.

ip nat inside source list 122 interface Ethernet0/1 overload

access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any

Opmerking: het is ook mogelijk om de tunnel te bouwen en nog steeds NAT te gebruiken. U specificeert het NAT-verkeer als het "interessante verkeer voor IPsec" (in andere secties van dit document ACL 101 genoemd) in dit scenario. Raadpleeg Een IPsec-tunnel tussen routers configureren met dubbele LAN-subnetten voor meer informatie over hoe u een tunnel kunt bouwen terwijl NAT actief is.

Hoe zit het dan met de statische NAT, waarom kan ik niet naar dat adres gaan via de IPsec-tunnel?

Deze installatie omvat ook een statische één-op-één NAT voor een server op 10.1.1.3. Dit is NAT tot 200.1.1.25 zodat internetgebruikers er toegang toe hebben. Voer de volgende opdracht uit:

ip nat inside source static 10.1.1.3 200.1.1.25

Deze statische NAT voorkomt dat gebruikers op het 172.16.1.x-netwerk 10.1.1.3 via de versleutelde tunnel kunnen bereiken. Dit is omdat u het versleutelde verkeer moet ontkennen omdat het NAT is met ACL 122. De statische NAT-opdracht heeft echter voorrang op de generieke NAT-verklaring voor alle verbindingen met en vanaf 10.1.1.3. De statische NAT-verklaring ontkent niet specifiek dat versleuteld verkeer ook NAT is. De antwoorden van 10.1.1.3 zijn NAT'd naar 200.1.1.25 wanneer een gebruiker op het 172.16.1.x-netwerk verbinding maakt met 10.1.1.3 en daarom niet teruggaat over de versleutelde tunnel (NAT gebeurt vóór de versleuteling).

U moet gecodeerd verkeer van het zijn NAT'd (zelfs statisch één-op-één NAT'd) met een route-kaart bevel op de statische NAT verklaring ontkennen.

Opmerking: de route-map-optie op een statische NAT wordt alleen ondersteund vanuit Cisco IOS-softwarerelease 12.2(4)T en hoger. Raadpleeg NAT: mogelijkheid voor gebruik van routekaarten met statische omzettingen voor aanvullende informatie.

U moet deze extra opdrachten geven om versleutelde toegang tot 10.1.1.3, de statische NAT-host, mogelijk te maken:

ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 150 deny   ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
 match ip address 150

Deze verklaringen vertellen de router om statische NAT op verkeer slechts toe te passen dat ACL 150 aanpast. ACL 150 zegt NAT niet toe te passen op verkeer afkomstig van 10.1.1.3 en bestemd voor de versleutelde tunnel naar 172.16.1.x. Pas deze echter toe op alle andere verkeer dat afkomstig is van 10.1.1.3 (internetgebaseerd verkeer).

Router 2
Router 3

R2 - routerconfiguratie
R2#write terminal Building configuration... Current configuration : 1412 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! clock timezone EST 0 ip subnet-zero no ip domain lookup ! ! crypto isakmp policy 10 authentication pre-share ! crypto isakmp key ciscokey address 200.1.1.1 ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 200.1.1.1 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process: match address 101 ! ! ! interface Ethernet0/0 ip address 172.16.1.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Ethernet1/0 ip address 100.1.1.1 255.255.255.0 ip nat outside ip virtual-reassembly crypto map myvpn ! ip classless ip route 0.0.0.0 0.0.0.0 100.1.1.254 ! ip http server no ip http secure-server ! !--- Except the private network from the NAT process: ip nat inside source list 175 interface Ethernet1/0 overload ! !--- Include the private-network-to-private-network traffic !--- in the encryption process: access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 !--- Except the private network from the NAT process: access-list 175 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 175 permit ip 172.16.1.0 0.0.0.255 any ! ! ! control-plane ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end

R2 - routerconfiguratie

R2#write terminal
Building configuration...
Current configuration : 1412 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
 authentication pre-share
!
crypto isakmp key ciscokey address 200.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!
crypto map myvpn 10 ipsec-isakmp 
 set peer 200.1.1.1
 set transform-set myset

!--- Include the private-network-to-private-network traffic !--- in the encryption process:

match address 101
!
!
!
interface Ethernet0/0
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1/0
 ip address 100.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.1.1.254
!
ip http server
no ip http secure-server
!

!--- Except the private network from the NAT process:

ip nat inside source list 175 interface Ethernet1/0 overload
!

!--- Include the private-network-to-private-network traffic !--- in the encryption process:

access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

!--- Except the private network from the NAT process:

access-list 175 deny   ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

R3 - routerconfiguratie
R3#write terminal Building configuration... Current configuration : 1630 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! clock timezone EST 0 ip subnet-zero no ip domain lookup ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 100.1.1.1 ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process: match address 101 ! ! ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Ethernet1/0 ip address 200.1.1.1 255.255.255.0 ip nat outside ip virtual-reassembly crypto map myvpn ! ! ip classless ip route 0.0.0.0 0.0.0.0 200.1.1.254 ! no ip http server no ip http secure-server ! !--- Except the private network from the NAT process: ip nat inside source list 122 interface Ethernet1/0 overload !--- Except the static-NAT traffic from the NAT process if destined !--- over the encrypted tunnel: ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat ! access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 !--- Except the private network from the NAT process: access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 122 permit ip 10.1.1.0 0.0.0.255 any !--- Except the static-NAT traffic from the NAT process if destined !--- over the encrypted tunnel: access-list 150 deny ip host 10.1.1.3 172.16.1.0 0.0.0.255 access-list 150 permit ip host 10.1.1.3 any ! route-map nonat permit 10 match ip address 150 ! ! ! control-plane ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end

R3 - routerconfiguratie

R3#write terminal
Building configuration...
Current configuration : 1630 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key ciscokey address 100.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp 
 set peer 100.1.1.1
 set transform-set myset

!--- Include the private-network-to-private-network traffic !--- in the encryption process:

 match address 101
!
!
!
interface Ethernet0/0
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly 
!
interface Ethernet1/0
 ip address 200.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map myvpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.254
!
no ip http server
no ip http secure-server
!

!--- Except the private network from the NAT process:

ip nat inside source list 122 interface Ethernet1/0 overload

!--- Except the static-NAT traffic from the NAT process if destined !--- over the encrypted tunnel:

ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

!--- Except the private network from the NAT process:

access-list 122 deny   ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any

!--- Except the static-NAT traffic from the NAT process if destined !--- over the encrypted tunnel:

access-list 150 deny   ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
 match ip address 150
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

debug crypto ipsec sa —Hier worden de IPsec-onderhandelingen voor fase 2 weergegeven.
debug crypto isakmp sa —Zie de ISAKMP-onderhandelingen van fase 1.
debug crypto engine —Hier worden de versleutelde sessies weergegeven.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	11-Dec-2001	Eerste vrijgave

Bijdrage van

vijkrish
vguffens

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)