IPSECはPAT(アプリケーション層ゲートウェイ)を通過します
特徴:
IPSEC VPNはPATを横断するPAT、CISCOのIPSEC VPNを通過することができない多くの拡張機能を提供する通常の。
例えば:ナット- T、IPSecの上のUDP 、TCP上のIPSec、 アプリケーション層ゲートウェイ
我々の試験は、主にありますNATデバイスが提供する拡張機能であるアプリケーション層ゲートウェイの機能を実演します。その他の機能については、事前のVPNセクションで説明します。
実験1:
PAT(config)#ip access-list extended pat <===== "pat"は名前です
PAT(config-ext-nacl)#permit ip 12.1.1.0 0.0.0.255 any
PAT(config)#int e0 / 0.12
PAT(config-subif)#ip nat inside
PAT(config)#int e0 / 0.13
PAT(config-subif)#ip nat outside
PAT(config)#ip nat inside source list pat interface ethernet 0 / 0.13 overload <===アドレスのセグメント(12.1.1.0 0.0.0.255任意)PATをインターフェイスに
IKEフェーズIポリシー:
R2(config)#crypto isakmp policy 3
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#hash md5
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#group 2
R2(config )#crypto isakmp key 0 wolf address 13.1.1.3
--------------------------------------- -----------------
R3(config)#crypto isakmp policy 3
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#hash md5
R3(config- isakmp)#encryption 3des
R3(config-isakmp)#group 2
R3(config)#crypto isakmp key 0 wolf address 13.1.1.1 <=== PAT device "outside" interface
Q:「P3 」が直接「R2」にpingできない理由「何ですか?
回答:」以降、13.1.1.1はPATデバイスのインターフェイスですが、PATデバイスは「R3」とのVPNを確立していません。
IPSecフェーズIIポリシー:
R2(構成)#crypto ipsec nat-transparency udp-encapsulation <===このコマンドは、「NAT-T」をオンにします。26シリーズ(バージョン:12.2)以降のルーターは、デフォルトで有効になっています。「show run 「
R2 が表示されない(構成)#crypto ipsec transform-set cisco esp-des esp-sha-hmac
R2(cfg-crypto-trans)#mode tunnel
R2(config)#access-list 101 permit ip 2.2.2.0 0.0 .0.255 3.3.3.0 0.0.0.255
R2(config)#crypto map huawei 10 ipsec-isakmp
R2(config-crypto-map)#set peer 13.1.1.3
R2(config-crypto-map)#set transform-set cisco
R2( config-crypto-map)#set pfs
R2(config-crypto-map)#match address 101
----------------------------- ------------------
R3(config)#crypto ipsec transform-set cisco esp-des esp-sha-hmac
R3(cfg-crypto-trans)#mode tunnel
R3(config)#access-list 101 permit ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255
R3(config)#crypto map huawei 10 ipsec-isakmp
R3(config-crypto-map)#set peer 13.1.1.1 < === PAT设备 "outside"接口
R3(config-crypto-map)#set transform-set cisco
R3(config-crypto-map)#set pfs
R3(config-crypto-map)#match address 101
VPN構成の適用
R2(config)#interface ethernet 0/0
R2(config-if)#crypto map huawei
--------------------------- ---------
R3(config)#interface ethernet 0/0
R3(config-if)#crypto map huawei
デバッグ:
R2#ping 3.3.3.3ソースループバック0 <===「内部」のみが接続を開始し、IPSECチャネルを確立できる
R3#ping 2.2.2.2ソースループバック0つまり、「R2」のみPING「R3」を最初に確立し、IPSECチャネルを確立する「R3」は「R2」にpingできます
PAT#show ip nat translations <===转换项
Pro Inside global Inside local Outside local Outside global
udp 13.1.1.1:4500 12.1.1.2:4500 13.1.1.3:4500 13.1.1.3:4500
-------- -------------------------------------------------- -------------------
R2#show cry ipsec sa
インターフェイス:Ethernet0 / 0
暗号マップタグ:huawei、ローカルアドレス。12.1.1.2
保護されたvrf:
ローカルID(addr / mask / prot / port):(2.2.2.0/255.255.255.0/0/0)
リモートID(addr / mask / prot / port):(3.3.3.0/255.255.255.0/0 / 0)
current_peer:13.1.1.3:4500
PERMIT、flags = {origin_is_acl、}
#pkts encaps:106、#pkts encrypt:106、#pkts digest 106
#pkts decaps:106、#pkts decrypt:106、#pkts verify 106
#pkts圧縮:0、#pkts解凍:0
#pkts圧縮されていない:0、#pkts compr。失敗:0
#解凍されなかったPKTS:0、#PKTS解凍に失敗しました:0
#エラーを送信1、#RECVエラー0
ローカル暗号化エンドポイント:12.1.1.2、リモート暗号化エンドポイント:13.1.1.3
パスmtu 1500、ip mtu 1500、ip mtu idb Ethernet0 / 0
現在のアウトバウンドspi:56ABE0AE
インバウンドesp sas:
spi:0x71A6F86C(1906767980)
変換:esp-des esp-sha-hmac、
使用中の設定= {Tunnel UDP-Encaps、} <===标規格的NAT-T封装
スロット:0、接続ID:2000 、flow_id:1、暗号マップ:huawei
saタイミング:残りのキーの有効期間(k /秒):(4491694/1405)
IVサイズ:8バイトの
リプレイ検出サポート:Y
インバウンドああsas:
インバウンドpcp sas:
アウトバウンドesp sas:
spi:0x56ABE0AE(1454104750)
変換:esp-des esp-sha-hmac、
使用中の設定= {Tunnel UDP-Encaps、}
スロット:0、接続ID:2001、flow_id:2、暗号マップ:huawei
saタイミング:残りのキーの有効期間(k /秒):(4491694/1404)
IVサイズ:8バイトの
リプレイ検出サポート:Y
アウトバウンドああsas:
アウトバウンドpcp sas:
実験2:PATを通過するときのパケット構造:... | UDP | ESP | DATA | ...
設定:
......
R3(config)#access-list 101 permit ip 3.3.3.0 0.0.0.255 2.2。 2.0 0.0.0.255
R3(config)#access-list 101 permit ip 3.3.3.0 0.0.0.255 4.4.4.0 0.0.0.255
......
R3#show access-lists 101
拡張IPアクセスリスト101
10 permit ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255
20 permit ip 3.3.3.0 0.0.0.255 4.4.4.0 0.0.0.255
PAT#show ip nat translations
Pro Inside global Inside local Outside local Outside local Outside global
udp 13.1.1.1:1024 124.1.1.4:4500 13.1.1.3:4500 13.1.1.3:4500
udp 13.1.1.1:4500 124.1.1.2:4500 13.1.1.3 :4500 13.1.1.3:4500
ポート番号:最初のパケットはポート番号:「4500」(規定)を経由します; 2番目のパケットはポート番号:「1024」(ランダムに生成されます)
udp 13.1.1.1:500 124.1。を経由します。 1.4:500 13.1.1.3:500 13.1.1.3:500
ポート番号は「500」で、これはIKEネゴシエーションパケットです
----------------------- ---------------------
R3#show crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Ethernet0 / 0 13.1.1.3 set HMAC_MD5 + 3DES_56_C 0 0
2000 Ethernet0 / 0 13.1.1.3セットHMAC_SHA + DES_56_CB 0 114
2001 Ethernet0 / 0 13.1.1.3セットHMAC_SHA + DES_56_CB 114 0
2002 Ethernet0 / 0 13.1.1.3セットHMAC_SHA + DES_56_CB 0104
2003 Ethernet0 / 0 13.1.1.3セットHMAC_SHA + DES_56_CB 104 0
以下のコマンドを想定して、
R2(config)#no crypto ipsec nat-transparency udp-encapsulation <===关闭 "NAT-T"、只数下 "ESP"
R2#clear crypto isakmp
R2#clear crypto sa
R3(config) #no crypto ipsec nat-transparency udp-encapsulation
R3#clear crypto isakmp
R3#clear crypto sa
R4(config)#no crypto ipsec nat-transparency udp-encapsulation
R4#clear crypto isakmp
R4#clear crypto sa
原来:
R2#show crypto ipsec sa
inbound esp sas:
spi:0x6BA32953(1805855059)
transform:esp-des esp-sha-hmac、
in use settings = {Tunnel UDP-Encaps、} <===包结构:... | UDP | ESP | DATA | ...
スロット:0、接続ID:2000、flow_id:1、暗号マップ:huawei
saタイミング:残りのキーの有効期間(k /秒):(4547307/3587)
IVサイズ:8バイトの
リプレイ検出サポート:Y
现在:
R2#show crypto ipsec sa
inbound esp sas:
spi:0x7E919BB2(2123471794)
transform:esp-des esp-sha-hmac、
in use settings = {Tunnel、} <====没有 "UPD"封装、只限下「ESP」了
スロット:0、接続ID:2000、flow_id:1、暗号マップ:huawei
saタイミング:残りのキーの有効期間(k /秒):(4477757/3134)
IVサイズ:8バイトの
リプレイ検出サポート:Y
Q:「NAT-T」ではないときに同じチャネルにpingを実行できるのはなぜですか?
回答:PATデバイスは、「ESP」の「SPI」番号に基づいて、どの「SPI」番号がどのIPアドレスに属しているかを区別します
。PAT(構成) #crypto ipsec nat-transparency spi-matching <===「SPI」機能をオンにする
PAT#clear ip nat translation * <===変換をクリアする
PAT#show ip nat translations
Pro Inside global Inside local Outside local Outside global
esp 13.1.1.1:0 124.1.1.2:0 13.1.1.3:0 13.1.1.3:29E28D9E
esp 13.1.1.1:0 124.1.1.2:85043DDB 13.1.1.3 :0 13.1.1.3:0
"ESP"的 "SPI"号
esp 13.1.1.1:0 124.1.1.4:27D433F 13.1.1.3:0 13.1.1.3:0
icmp 13.1.1.1:5 124.1.1.2:5 13.1.1.3 :5 13.1.1.3:5
"ICMP"の "SPI"番号( "inside"のルーターリーダーPING "outside"のピアアドレス)
icmp 13.1.1.1:9 124.1.1.4:9 13.1.1.3:9 13.1.1.3: 9
udp 13.1.1.1:2 124.1.1.2:500 13.1.1.3:500 13.1.1.3:500
esp 13.1.1.1:0 124.1.1.4:0 13.1.1.3:0 13.1.1.3:AD7912D1
udp 13.1.1.1:4500 124.1.1.2:4500 13.1.1.3:4500 13.1.1.3:4500
udp 13.1.1.1:500 124.1。 1.4:500 13.1.1.3:500 13.1.1.3:500
IPSECはPAT(アプリケーション層ゲートウェイ)を通過します
1.静的変換---- PATデバイスでは、各インターフェース/サブインターフェース(外部インターフェース)は「内部」IPアドレスにのみ対応できます。
内部から開始:
PAT(config)#ip nat inside source static esp 124.1.1.2インターフェースイーサネット0 / 0.13 <==実験2によると、図
内のイントラネットのルーターインターフェースアドレスPATデバイス「外部」インターフェース
PAT#show ip nat translations
Pro内部グローバル内部ローカル外部ローカル外部グローバル
esp 13.1.1.1:0 124.1.1.2:0 13.1.1.3:0 13.1.1.3:0
udp 13.1.1.1:5 124.1.1.4:500 13.1.1.3:500 13.1.1.3:500
udp 13.1.1.1:6 124.1.1.4:500 13.1.1.3 :500 13.1.1.3:500
esp 13.1.1.1:0 124.1.1.2:0 --- ---
udp 13.1.1.1:500 124.1.1.2:500 13.1.1.3:500 13.1.1.3:500
udp 13.1.1.1:500 124.1.1.2:500 13.1.1.3:500 13.1.1.3:500
外部から開始:
内部ネットワークのルーターインターフェイスアドレスのIKEネゴシエーションパケットポート番号
PAT(構成)#ip nat内部ソース静的udp 124.1.1.2 500インターフェイスイーサネット0 / 0.13 500
「外部」インターフェイスのPATデバイスIKEネゴシエーションパケットポート番号
PAT#show run | in static
ip nat inside source static udp 124.1.1.2 500 interface Ethernet0 / 0.13 500
ip nat inside source static esp 124.1.1.2 interface Ethernet0 / 0.13
ACL
実験3:R1
の左側のポートでACLを構成します:
R1(config)#ip access-list extended ACLR1IN
R1(config-ext-nacl)#permit udp host 12.1.1.2 host 13.1.1.3 eq 500 <== =交渉パッケージ
R1をリリース(config-ext-nacl)#permit esp host 12.1.1.2 host 13.1.1.3 <===リリースデータフロー
R1(config)#int e0 / 0.12
R1(config-subif)#ip access-group ACLR1IN
R2 の正しいポートでACLを構成します。R2(config)#ip access-list extended ACLR2IN
R2(config-ext-nacl)#permit udp host 13.1.1.3 host 12.1.1.2 eq 500
R2(config-ext-nacl )#permit esp host 13.1.1.3 host 12.1.1.2
R2(config-ext-nacl)#deny ip any any log <=== Add "log"、LOG information pop up(必ずしもここではない限り、 permit / denyステートメントを追加できます)
R2(config-ext-nacl)#int e0 / 0
R2(config-if)#ip access-group ACLR2IN in
アクセスリストが2回(復号化の前後に)チェックされたため、以前はPINGが失敗しました:
display:
R2#
* Mar 1 01:01:49.411:%SEC-6-IPACCESSLOGDP:list ACLR2IN denied icmp 3.3.3.3 -> 2.2.2.2(8/0)、1パケット
も次のコマンドで構成する必要があります:
R2(config)#ip access-list extended ACLR2IN
R2(config-ext-nacl)#5 permit ip 3.3.3.0 0.0.0.255 2.2 .2.0 0.0.0.255 <===復号化されたデータは再度チェックされます
R2#show ip access-lists
拡張IPアクセスリスト101
10許可IP 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255(93件一致)
拡張IPアクセスリストACLR2IN
5許可IP 3.3.3.0 0.0.0.255 2.2.2.0 0.0。 0.255(12一致)
40許可udpホスト13.1.1.3ホスト12.1.1.2 eq isakmp(15一致)
50許可espホスト13.1.1.3ホスト12.1.1.2(4一致)
100 deny ip any any
上記のように:PATデバイス、R3の「UDP」ポート「4500」を解放する必要があります