Сделать домашней|Добавить в избранное
 

CCIENetLab - Подготовка к экзаменам
CCNA, CCNP и CCIE

 
» » L2L IPSEC туннель между IOS маршрутизаторами c NAT

L2L IPSEC туннель между IOS маршрутизаторами c NAT

Автор: Sauron от 14-11-2015, 23:30
В этом документе мы рассмотрим конфигурацию, которая демонстрирует построение IPSEC VPN туннеля между двумя Cisco IOS маршрутизаторами, защищающим две приватные сети, но с учетом настроек NAT или PAT для доступа в Интернет.

Рассмотрим диаграмму на рисунке

L2L IPSEC туннель между IOS маршрутизаторами c NAT

Здесь Site A связан с удаленным офисом Site B через IPSEC VPN туннель и сеть 10.0.0.0/24 имеет доступ к сети 10.1.19.0/24 и наоборот.
Пример этой конфигурации приведен в документе L2L IPSEC туннель между IOS маршрутизаторами

Также на маршрутизаторе R1 на Site A настроены NAT правила для доступа в Интернет внутренней сети 10.0.0.0/24

access-list 101 permit ip 10.0.0.0 0.0.0.255 any
!
ip nat inside source list 101 interface Ethernet0/1 overload
!
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0
 ip nat inside
!
interface Ethernet0/1
 ip address 136.1.124.1 255.255.255.0
 ip nat outside
 crypto map VPN
!

Здесь мы определили лист доступа ACL 101, который используется в NAT правиле, которое говорит, что если хосты из сети 10.0.0.0/24 отправляют трафик куда угодно, то необходимо выполнить трансляцию SRC IP адресов в IP адрес исходящего интерфейса маршрутизатора E0/1.

Если мы попробуем проверить доступность узлов из сети 10.0.0.0/24, то увидим, что связность до любых внешних адресов Интернет присутствует, но связность с сетью 10.1.19.0/24 отсутствует

L2L IPSEC туннель между IOS маршрутизаторами c NAT

При этом как, можно убедится, IPSEC VPN между площадками установлен

L2L IPSEC туннель между IOS маршрутизаторами c NAT

Однако, если посмотреть внимательно, то мы видим, что счетчик encaps равен 0, в то время как счетчик decaps растет. Нас интересует счетчик encaps, и так он не меняется, это означает, что пакеты не шифруются, т.е идут мимо IPSEC VPN туннеля.

Выполним команду show ip nat translations, чтобы посмотреть существующие NAT или PAT трансляции.

L2L IPSEC туннель между IOS маршрутизаторами c NAT

Вывод показывает, что существует ICMP PAT трансляция адреса нашего хоста 10.0.0.100 в адрес внешнего интерфейса 136.1.124.1 при доступе на адрес 10.1.19.5. Это означает, то трафик подлежащий шифрованию в сторону удаленной сети 10.1.19.0/24, на самом деле не шифруется, а уходит в Интернет и транслируется.

Все дело в том, что процесс NAT выполняется до процесса шифрования. Поэтому трафик из сети 10.0.0.0/24 в сеть 10.1.19.0/24 попадает под ACL 101 и транслируется в адрес внешнего интерфейса 136.1.124.1. Но адрес внешнего интерфейса 136.1.124.1 не попадает в крипто-домен, который определен между сетями 10.0.0.0/24 и 10.1.19.0/24 и соответственно не шифруется.

Для того, чтобы избежать такой неприятности, нам нужно исключить из NAT трафик из сети 10.0.0.0/24 в сеть 10.1.19.0/24, т.е выполнить Policy NAT. Таким образом, трафик из сети 10.0.0.0/24 в сеть 10.1.19.0/24 не требуется транслировать. Для этого мы должны модифицировать наш ACL 101, чтоб запретить трафик между приватными сетями

access-list 101 deny   ip 10.0.0.0 0.0.0.255 10.1.19.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Теперь трафик передается правильно и пользователи внутренней сети 10.0.0.0/24 имеют доступ в Интернет, а также к удаленной приватной сети 10.1.19.0/24

L2L IPSEC туннель между IOS маршрутизаторами c NAT

Есть и другой способ, который выполняется посредством route-map

ip access-list extended ACL_NAT_OUTSIDE
 deny   ip 10.0.0.0 0.0.0.255 10.1.19.0 0.0.0.255
 permit ip 10.0.0.0 0.0.0.255 any
!
route-map LAN_NAT permit 10
 match ip address ACL_NAT_OUTSIDE
!
ip nat inside source route-map LAN_NAT interface Ethernet0/1 overload

В этой конфигурации мы определим лист доступа ACL_NAT_OUTSIDE в котором мы запрещаем трафик между сетями 10.0.0.0/24 и 10.1.19.0/24, и разрешаем трафика от сети 10.0.0.0/24 куда угодно.
Далее определим route-map LAN_NAT который будет срабатывать, только при условии permit нашего листа доступа ACL_NAT_OUTSIDE и этот route-map назначим в NAT правило.

Результирующая конфигурация R1

hostname R1
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key CISCO address 155.1.0.5      
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac 
!
crypto map VPN 10 ipsec-isakmp 
 set peer 155.1.0.5
 set transform-set TS 
 match address ACL_CRYPTO
!
interface Loopback0
 ip address 150.1.1.1 255.255.255.0
!
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Ethernet0/1
 ip address 136.1.124.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 crypto map VPN
!
router rip
 version 2
 network 136.1.0.0
 network 150.1.0.0
 no auto-summary
!
ip nat inside source list 101 interface Ethernet0/1 overload
ip route 0.0.0.0 0.0.0.0 136.1.124.3
!
ip access-list extended ACL_CRYPTO
 permit ip 10.0.0.0 0.0.0.255 10.1.19.0 0.0.0.255
!
access-list 101 deny   ip 10.0.0.0 0.0.0.255 10.1.19.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
!


Результирующая конфигурация R5

hostname R5
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key CISCO address 136.1.124.1    
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac 
!
crypto map VPN 10 ipsec-isakmp 
 set peer 136.1.124.1
 set transform-set TS 
 match address ACL_CRYPTO
!
interface Loopback0
 ip address 150.1.5.5 255.255.255.0
!
interface Ethernet0/0
 ip address 10.1.19.5 255.255.255.0
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
 no frame-relay inverse-arp
!
interface Serial1/0.1 point-to-point
 ip address 155.1.0.5 255.255.255.0
 frame-relay interface-dlci 503   
 crypto map VPN
!
router rip
 version 2
 network 150.1.0.0
 network 155.1.0.0
 no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Serial1/0.1
!
ip access-list extended ACL_CRYPTO
 permit ip 10.1.19.0 0.0.0.255 10.0.0.0 0.0.0.255


Конфигурация ISP

hostname R3
!
!
interface Loopback0
 ip address 150.1.3.3 255.255.255.0
!         
interface Ethernet0/1
 ip address 136.1.124.3 255.255.255.0
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
 no frame-relay inverse-arp
!
interface Serial1/0.1 point-to-point
 no ip address
 frame-relay interface-dlci 305   
!
router rip
 version 2
 network 136.1.0.0
 network 150.1.0.0
 network 155.1.0.0
 no auto-summary
! 
скачать dle 10.6фильмы бесплатно
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Комментарии:

Оставить комментарий
 

CCIENetLab (C)