» » Конфигурация IPSEC туннеля через ASA c NAT

Лаборатория Сетей Cisco
 
 
 

Конфигурация IPSEC туннеля через ASA c NAT

Автор: HunSolo от 8-07-2013, 14:34, посмотрело: 6037

1 В этом документе мы рассмотрим простейшую конфигурацию, которая демонстрирует построение IPSEC туннеля через PIX Firewall, выполняющего трансляцию адресов NAT. Эта конфигурация не будет работать с PAT, если вы будете использовать Cisco IOS старее версии 12.2(13)T. В данной схеме IPSEC туннель формируют два Cisco роутера, а PIX стоит между ними и выполняет сетевую трансляцию (NAT).

Такой тип конфигурации может быть использован только для туннелирования IP трафика. Однако, данная конфигурация не может использоваться для шифрования трафика, который не проходит через Firewall, например, IPX или обновления маршрутизации. Для этих целей предпочтительно использовать GRE.

Обратите внимание: NAT это трансляция один к одному, не путать с PAT, где происходит трансляция многих к одному.

Сетевая диаграмма показана на рисунке.

Конфигурация IPSEC туннеля через ASA c NAT


Здесь роутеры Cisco 2621 и 3660 формируют IPSEC туннель, который соединяет две приватные сети, а между ними находится PIX с соотвествующими ACL, разрешающие прохождение IPSEC трафика.

Конфигурация Cisco 2621


!--- Политика IKE.
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco123 address 99.99.99.2
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap local-address FastEthernet0/1

!--- Политика IPSec.
crypto map mymap 10 ipsec-isakmp
set peer 99.99.99.2
set transform-set myset

!--- Включаем в процесс шифрования трафик из одной приватной сети в другую
match address 101
!
interface FastEthernet0/0
ip address 10.2.2.1 255.255.255.0
!
interface FastEthernet0/1
ip address 10.1.1.2 255.255.255.0

!--- Применяем политику шифрования к интерфейсу
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1

!--- Определяем трафик подлежащий шифрованию из одной приватной сети в другую
access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255


Конфигурация Cisco 3660

!--- Политика IKE.
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco123 address 99.99.99.12
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap local-address FastEthernet0/0

!--- Политика IPsec.
crypto map mymap 10 ipsec-isakmp
set peer 99.99.99.12
set transform-set myset

!--- Включаем в процесс шифрования трафик из одной приватной сети в другую
match address 101
!
interface FastEthernet0/0
ip address 99.99.99.2 255.255.255.0

!--- Применяем политику шифрования к интерфейсу
crypto map mymap
!
interface FastEthernet0/1
ip address 10.3.3.1 255.255.255.0
!
!--- Определяем трафик подлежащий шифрованию из одной приватной сети в другую
access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255


Конфигурация PIX/ASA

ASA Version 8.0(4)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 99.99.99.1 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
!-- Разрешаем ESP трафик
access-list outside_access_in extended permit esp host 99.99.99.2 host 99.99.99.12

!-- Разрешаем IKE трафик
access-list outside_access_in extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12

!-- Разрешаем NAT-T
access-list outside_access_in extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12

!-- Создаем статическую трансляцию локального адреса в глобальный для нашего IPSEC пира
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255
access-group outside_access_in in interface outside

route inside 10.2.2.0 255.255.255.0 10.1.1.2 1
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1




Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
<
  • 0 комментариев
  • 0 публикаций
  • ICQ:
24 октября 2014 22:06

A_Granskiy

Цитата
  • Группа: Гости
  • Регистрация: --
  • Статус:
 
Самообразование

Самообразование


Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Семьдесят одежек И все без застежек
Ответ:*
Введите два слова, показанных на изображении: *