IPsecはPATを通過します

IPSECはPAT（アプリケーション層ゲートウェイ）を通過します

特徴：
    IPSEC VPNはPATを横断するPAT、CISCOのIPSEC VPNを通過することができない多くの拡張機能を提供する通常の。
    例えば：ナット- T、IPSecの上のUDP 、TCP上のIPSec、 アプリケーション層ゲートウェイ
    我々の試験は、主にありますNATデバイスが提供する拡張機能であるアプリケーション層ゲートウェイの機能を実演します。その他の機能については、事前のVPNセクションで説明します。
    
実験1：
               

PAT（config）#ip access-list extended pat <===== "pat"は名前です
PAT（config-ext-nacl）#permit ip 12.1.1.0 0.0.0.255 any   
PAT（config）#int e0 / 0.12
PAT（config-subif）#ip nat inside    
PAT（config）#int e0 / 0.13
PAT（config-subif）#ip nat outside
PAT（config）#ip nat inside source list pat interface ethernet 0 / 0.13 overload <===アドレスのセグメント（12.1.1.0 0.0.0.255任意）PATをインターフェイスに

IKEフェーズIポリシー：

R2（config）#crypto isakmp policy 3
R2（config-isakmp）#authentication pre-share 
R2（config-isakmp）#hash md5
R2（config-isakmp）#encryption 3des
R2（config-isakmp）#group 2
R2（config ）#crypto isakmp key 0 wolf address 13.1.1.3
--------------------------------------- -----------------
R3（config）#crypto isakmp policy 3
R3（config-isakmp）#authentication pre-share 
R3（config-isakmp）#hash md5
R3（config- isakmp）#encryption 3des
R3（config-isakmp）#group 2
R3（config）#crypto isakmp key 0 wolf address 13.1.1.1 <=== PAT device "outside" interface
Q：「P3 」が直接「R2」にpingできない理由「何ですか？
回答：」以降、13.1.1.1はPATデバイスのインターフェイスですが、PATデバイスは「R3」とのVPNを確立していません。

IPSecフェーズIIポリシー：
R2（構成）#crypto ipsec nat-transparency udp-encapsulation <===このコマンドは、「NAT-T」をオンにします。26シリーズ（バージョン：12.2）以降のルーターは、デフォルトで有効になっています。「show run 「
R2 が表示されない（構成）#crypto ipsec transform-set cisco esp-des esp-sha-hmac
R2（cfg-crypto-trans）#mode tunnel    
R2（config）＃access-list 101 permit ip 2.2.2.0 0.0 .0.255 3.3.3.0 0.0.0.255 
R2（config）#crypto map huawei 10 ipsec-isakmp 
R2（config-crypto-map）#set peer 13.1.1.3     
R2（config-crypto-map）#set transform-set cisco
R2（ config-crypto-map）#set pfs 
R2（config-crypto-map）#match address 101
----------------------------- ------------------
R3（config）#crypto ipsec transform-set cisco esp-des esp-sha-hmac
R3（cfg-crypto-trans）#mode tunnel    
R3（config）＃access-list 101 permit ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255
R3（config）#crypto map huawei 10 ipsec-isakmp 
R3（config-crypto-map）#set peer 13.1.1.1 < === PAT设备 "outside"接口
R3（config-crypto-map）#set transform-set cisco
R3（config-crypto-map）#set pfs 
R3（config-crypto-map）#match address 101

VPN構成の適用
R2（config）#interface ethernet 0/0
R2（config-if）#crypto map huawei 
--------------------------- ---------
R3（config）#interface ethernet 0/0
R3（config-if）#crypto map huawei

デバッグ：
R2＃ping 3.3.3.3ソースループバック0 <===「内部」のみが接続を開始し、IPSECチャネルを確立できる
R3＃ping 2.2.2.2ソースループバック0つまり、「R2」のみPING「R3」を最初に確立し、IPSECチャネルを確立する「R3」は「R2」にpingできます

PAT＃show ip nat translations <===转换项
Pro Inside global Inside local Outside local Outside global
udp 13.1.1.1:4500 12.1.1.2:4500 13.1.1.3:4500 13.1.1.3:4500
-------- -------------------------------------------------- -------------------
R2＃show cry ipsec sa

インターフェイス：Ethernet0 / 0
    暗号マップタグ：huawei、ローカルアドレス。12.1.1.2

   保護されたvrf： 
   ローカルID（addr / mask / prot / port）：（2.2.2.0/255.255.255.0/0/0）
   リモートID（addr / mask / prot / port）：（3.3.3.0/255.255.255.0/0 / 0）
   current_peer：13.1.1.3:4500
     PERMIT、flags = {origin_is_acl、}
    #pkts encaps：106、#pkts encrypt：106、#pkts digest 106
    #pkts decaps：106、#pkts decrypt：106、#pkts verify 106
    #pkts圧縮：0、＃pkts解凍：0
    #pkts圧縮されていない：0、＃pkts compr。失敗：0
    ＃解凍されなかったPKTS：0、＃PKTS解凍に失敗しました：0
    ＃エラーを送信1、＃RECVエラー0

     ローカル暗号化エンドポイント：12.1.1.2、リモート暗号化エンドポイント：13.1.1.3
     パスmtu 1500、ip mtu 1500、ip mtu idb Ethernet0 / 0
     現在のアウトバウンドspi：56ABE0AE

     インバウンドesp sas：
      spi：0x71A6F86C（1906767980）
        変換：esp-des esp-sha-hmac、
        使用中の設定= {Tunnel UDP-Encaps、} <===标規格的NAT-T封装
        スロット：0、接続ID：2000 、flow_id：1、暗号マップ：huawei
        saタイミング：残りのキーの有効期間（k /秒）：（4491694/1405）
        IVサイズ：8バイトの
        リプレイ検出サポート：Y

     インバウンドああsas：

     インバウンドpcp sas：

     アウトバウンドesp sas：
      spi：0x56ABE0AE（1454104750）
        変換：esp-des esp-sha-hmac、
        使用中の設定= {Tunnel UDP-Encaps、}
        スロット：0、接続ID：2001、flow_id：2、暗号マップ：huawei
        saタイミング：残りのキーの有効期間（k /秒）：（4491694/1404）
        IVサイズ：8バイトの
        リプレイ検出サポート：Y

     アウトバウンドああsas：

     アウトバウンドpcp sas：

実験2：PATを通過するときのパケット構造：... | UDP | ESP | DATA | ...
       
設定：
......
R3（config）＃access-list 101 permit ip 3.3.3.0 0.0.0.255 2.2。 2.0 0.0.0.255
R3（config）＃access-list 101 permit ip 3.3.3.0 0.0.0.255 4.4.4.0 0.0.0.255
......                  

R3＃show access-lists 101
拡張IPアクセスリスト101
    10 permit ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255
    20 permit ip 3.3.3.0 0.0.0.255 4.4.4.0 0.0.0.255

PAT＃show ip nat translations 
Pro Inside global Inside local Outside local Outside local Outside global
udp 13.1.1.1:1024 124.1.1.4:4500 13.1.1.3:4500 13.1.1.3:4500
udp 13.1.1.1:4500 124.1.1.2:4500 13.1.1.3 ：4500 13.1.1.3：4500
ポート番号：最初のパケットはポート番号：「4500」（規定）を経由します; 2番目のパケットはポート番号：「1024」（ランダムに生成されます）
udp 13.1.1.1：500 124.1。を経由します。 1.4：500 13.1.1.3:500 13.1.1.3:500 
ポート番号は「500」で、これはIKEネゴシエーションパケットです
----------------------- ---------------------
R3＃show crypto engine connections active 
  ID Interface IP-Address State Algorithm Encrypt Decrypt
   1 Ethernet0 / 0 13.1.1.3 set HMAC_MD5 + 3DES_56_C 0 0
2000 Ethernet0 / 0 13.1.1.3セットHMAC_SHA + DES_56_CB 0 114
2001 Ethernet0 / 0 13.1.1.3セットHMAC_SHA + DES_56_CB 114 0
2002 Ethernet0 / 0 13.1.1.3セットHMAC_SHA + DES_56_CB 0104
2003 Ethernet0 / 0 13.1.1.3セットHMAC_SHA + DES_56_CB 104 0

以下のコマンドを想定して、
R2（config）#no crypto ipsec nat-transparency udp-encapsulation <===关闭 "NAT-T"、只数下 "ESP"
R2＃clear crypto isakmp
R2＃clear crypto sa
R3（config） #no crypto ipsec nat-transparency udp-encapsulation
R3＃clear crypto isakmp
R3＃clear crypto sa
R4（config）#no crypto ipsec nat-transparency udp-encapsulation   
R4＃clear crypto isakmp
R4＃clear crypto sa

原来：
R2＃show crypto ipsec sa 
inbound esp sas：
      spi：0x6BA32953（1805855059）
        transform：esp-des esp-sha-hmac、
        in use settings = {Tunnel UDP-Encaps、} <===包结构：... | UDP | ESP | DATA | ...
        スロット：0、接続ID：2000、flow_id：1、暗号マップ：huawei
        saタイミング：残りのキーの有効期間（k /秒）：（4547307/3587）
        IVサイズ：8バイトの
        リプレイ検出サポート：Y

现在：
R2＃show crypto ipsec sa 
     inbound esp sas：
      spi：0x7E919BB2（2123471794）
        transform：esp-des esp-sha-hmac、
        in use settings = {Tunnel、} <====没有 "UPD"封装、只限下「ESP」了
        スロット：0、接続ID：2000、flow_id：1、暗号マップ：huawei
        saタイミング：残りのキーの有効期間（k /秒）：（4477757/3134）
        IVサイズ：8バイトの
        リプレイ検出サポート：Y

Q：「NAT-T」ではないときに同じチャネルにpingを実行できるのはなぜですか？
回答：PATデバイスは、「ESP」の「SPI」番号に基づいて、どの「SPI」番号がどのIPアドレスに属しているかを区別します
。PAT（構成） #crypto ipsec nat-transparency spi-matching <===「SPI」機能をオンにする
PAT＃clear ip nat translation * <===変換をクリアする

PAT＃show ip nat translations 
Pro Inside global Inside local Outside local Outside global
esp 13.1.1.1:0 124.1.1.2:0 13.1.1.3:0 13.1.1.3:29E28D9E
esp 13.1.1.1:0 124.1.1.2:85043DDB 13.1.1.3 ：0 13.1.1.3:0
                              "ESP"的 "SPI"号
esp 13.1.1.1:0 124.1.1.4:27D433F 13.1.1.3:0 13.1.1.3:0
icmp 13.1.1.1:5 124.1.1.2:5 13.1.1.3 ：5 13.1.1.3:5
       "ICMP"の "SPI"番号（ "inside"のルーターリーダーPING "outside"のピアアドレス）
icmp 13.1.1.1:9 124.1.1.4:9 13.1.1.3:9 13.1.1.3： 9
udp 13.1.1.1:2 124.1.1.2:500 13.1.1.3:500 13.1.1.3:500
esp 13.1.1.1:0 124.1.1.4:0 13.1.1.3:0 13.1.1.3:AD7912D1
udp 13.1.1.1:4500 124.1.1.2:4500 13.1.1.3:4500 13.1.1.3:4500
udp 13.1.1.1:500 124.1。 1.4：500 13.1.1.3:500 13.1.1.3:500

IPSECはPAT（アプリケーション層ゲートウェイ）を通過します

1.静的変換---- PATデバイスでは、各インターフェース/サブインターフェース（外部インターフェース）は「内部」IPアドレスにのみ対応できます。
内部から開始：
PAT（config）#ip nat inside source static esp 124.1.1.2インターフェースイーサネット0 / 0.13 <==実験2によると、図
                                      内のイントラネットのルーターインターフェースアドレスPATデバイス「外部」インターフェース
PAT＃show ip nat translations 
Pro内部グローバル内部ローカル外部ローカル外部グローバル
esp 13.1.1.1:0 124.1.1.2:0 13.1.1.3:0 13.1.1.3:0
udp 13.1.1.1:5 124.1.1.4:500 13.1.1.3:500 13.1.1.3:500
udp 13.1.1.1:6 124.1.1.4:500 13.1.1.3 ：500 13.1.1.3:500
esp 13.1.1.1:0 124.1.1.2:0 --- ---
udp 13.1.1.1:500 124.1.1.2:500 13.1.1.3:500 13.1.1.3:500
udp 13.1.1.1:500 124.1.1.2:500 13.1.1.3:500 13.1.1.3:500

外部から開始：      
                               内部ネットワークのルーターインターフェイスアドレスのIKEネゴシエーションパケットポート番号    
PAT（構成）#ip nat内部ソース静的udp 124.1.1.2 500インターフェイスイーサネット0 / 0.13 500
                                                           「外部」インターフェイスのPATデバイスIKEネゴシエーションパケットポート番号
 
PAT＃show run | in static
ip nat inside source static udp 124.1.1.2 500 interface Ethernet0 / 0.13 500
ip nat inside source static esp 124.1.1.2 interface Ethernet0 / 0.13

ACL
実験3：R1
           
の左側のポートでACLを構成します：
R1（config）#ip access-list extended ACLR1IN   
R1（config-ext-nacl）#permit udp host 12.1.1.2 host 13.1.1.3 eq 500 <== =交渉パッケージ
R1をリリース（config-ext-nacl）#permit esp host 12.1.1.2 host 13.1.1.3 <===リリースデータフロー
R1（config）#int e0 / 0.12
R1（config-subif）#ip access-group ACLR1IN

R2 の正しいポートでACLを構成します。R2（config）#ip access-list extended ACLR2IN
R2（config-ext-nacl）#permit udp host 13.1.1.3 host 12.1.1.2 eq 500
R2（config-ext-nacl ）#permit esp host 13.1.1.3 host 12.1.1.2
R2（config-ext-nacl）#deny ip any any log <=== Add "log"、LOG information pop up（必ずしもここではない限り、 permit / denyステートメントを追加できます）
R2（config-ext-nacl）#int e0 / 0
R2（config-if）#ip access-group ACLR2IN in

アクセスリストが2回（復号化の前後に）チェックされたため、以前はPINGが失敗しました：
display：
R2＃
* Mar 1 01：01：49.411：％SEC-6-IPACCESSLOGDP：list ACLR2IN denied icmp 3.3.3.3 -> 2.2.2.2（8/0）、1パケット
も次のコマンドで構成する必要があります：
R2（config）#ip access-list extended ACLR2IN
R2（config-ext-nacl）＃5 permit ip 3.3.3.0 0.0.0.255 2.2 .2.0 0.0.0.255 <===復号化されたデータは再度チェックされます

R2＃show ip access-lists 
拡張IPアクセスリスト101
    10許可IP 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255（93件一致）
拡張IPアクセスリストACLR2IN
    5許可IP 3.3.3.0 0.0.0.255 2.2.2.0 0.0。 0.255（12一致）
    40許可udpホスト13.1.1.3ホスト12.1.1.2 eq isakmp（15一致）
    50許可espホスト13.1.1.3ホスト12.1.1.2（4一致）
    100 deny ip any any

      
上記のように：PATデバイス、R3の「UDP」ポート「4500」を解放する必要があります