Configurando NAT Traversal en una conexión IPSec Destacado

127 0 1 0

Hola comunidad de Huawei Enmterprise. Iniciaremos la publicación sobre algunos temas que complementan la operación de IPSec con lo que se comprueba que esta tecnología es robusta y satisface las necesidades de una red para proteger sus datos cuando estos son transmitidos de un lugar a otro. Pasemos a la información sin más demora.

 

Durante la implementación de una VPN IPSec, el initiator en una red privada puede necesitar establecer un túnel IPSec con el responder en una red pública. Para garantizar que se pueda establecer un túnel IPSec cuando exista un dispositivo de traducción de direcciones de red (NAT), se requiere configurar la función NAT traversal, como se muestra en la Figura 1.

 

Figura 1 NAT transversal en IPSec

121012zeeessffqqmo3i6i.png?image.png


La verificación de integridad del Encabezado de autenticación o Authentication Header (AH) implica el cálculo de hash para paquetes IP, incluida la dirección IP, mientras que NAT cambia la dirección IP y provoca el cambio del valor hash. Los paquetes en el túnel IPSec que tiene AH habilitado no pueden atravesar un dispositivo NAT.

 

Durante la verificación de integridad de la carga de seguridad de encapsulación o Encapsulating Security Payload (ESP), no se verifica un encabezado IP externo. Si solo se realiza la traducción de direcciones, ESP puede funcionar correctamente. ESP es un protocolo de capa 3 y no admite la configuración de puertos, por lo que también hay un problema en ESP cuando se utiliza la traducción de puertos NAT. Para solucionar este problema, NAT traversal encapsula los paquetes ESP con un encabezado UDP. En el modo de transporte, se inserta un encabezado UDP estándar entre el encabezado IP original y un encabezado ESP durante NAT traversal. En modo túnel, se inserta un encabezado UDP estándar entre el nuevo encabezado IP y un encabezado ESP durante NAT traversal.


Cuando los paquetes ESP pasan a través de un dispositivo NAT, el dispositivo NAT traduce la dirección IP y el número de puerto del encabezado IP externo y el encabezado UDP insertado. Una vez que los paquetes traducidos llegan al extremo remoto del túnel IPSec, el extremo remoto procesa estos paquetes de la misma manera que los paquetes IPSec.

 

Si no se transmiten paquetes IPSec en un túnel IPSec en un período de tiempo, las entradas de sesión NAT pueden caducar y eliminarse porque las entradas de sesión NAT tienen el keepalive configurado. Como resultado, el túnel IPSec no puede transmitir paquetes IPSec entre el dispositivo NAT y el IKE peer conectado a la red pública. Para evitar que las entradas de la sesión de NAT expiren, un IKE SA en el lado de la red privada del dispositivo NAT envía paquetes NAT Keepalive a su extremo remoto en un intervalo de tiempo para mantener la sesión NAT.


121328vilyrl4pwgxgxd5z.png?image.png


Procedimiento de Configuración


1.      Ejecute el comando: system-view


2.      Ejecute: ike peer peer-name


3.      Ejecute: nat traversal

Por defecto, NAT traversal está habilitado


4.      Ejecute: quit


5.      Ejecute: ipsec nat-traversal source-port port-number [ port-number2]

El número de puerto UDP para IPSec NAT Traversal está configurado.

Por defecto, el número de puerto UDP para IPSec NAT Traversal es 4500.


6.      Ejecute: ike nat-keepalive-timer interval interval

Se establece el intervalo para enviar paquetes de Keepalive.

Por defecto, el intervalo para enviar paquetes NAT Keepalive es de 20 segundos.

 

Con el procedimiento anterior configuraremos la función de NAT Traversal entre firewall para agregar una capa más de seguridad al ocultar la dirección IP y puerto de origen de nuestra red de datos.

 

Gracias por seguirnos y no te pierdas las próximas publicaciones sobre los funciones adicionales que se pueden configurar en un túnel IPSec.

 

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión