comment le NAT fonctionne dans IPSecVPN sur le pare-feu usg PART2 - RÉIMPRESSION

31 0 0 0

Réimpression autorisée par l'auteur zhushigeng (Vinsoney)

 

 

 

NAT dans IPSecVPN (groupe d'adresses NAT)

182356d7sst71tbss6bee8.jpg


Comme le montre la figure ci-dessus, FW1 et PC1 sont des périphériques du site 1; NAT-Device, FW2 et PC2 sont des périphériques du site 2. La traduction des adresses source (NAPT) basée sur un pool d'adresses est déployée sur le périphérique NAT. Les périphériques intranet (y compris FW2) du site 2 accèdent au réseau externe à l’aide de l’adresse de réseau public 200.2.2.2.

Tout d’abord, considérons que FW1 et FW2 n’activent pas NAT Transversal. Etant donné que la négociation du tunnel VPN IPSec est effectuée par ISAKMP et que le paquet ISAKMP utilise le port source et de destination UDP 500, le paquet sera correctement traduit par NAT-Device (la négociation IPSecVPN doit être lancée par FW2). La négociation du tunnel VPN IPSec est lancée activement, de sorte que l'établissement du tunnel VPN IPSec est normal.

Mais une fois le tunnel IPSecVPN établi:


182356wwjelmgeyenqewld.jpg


FW2 encapsule l'en-tête ESP et le nouvel en-tête IP sur le paquet envoyé par PC2 à PC1, puis l'envoie au périphérique NAT. Notez que le périphérique NAT est déployé avec NAPT, c'est-à-dire que plusieurs adresses intranet partagent une adresse IP publique et utilisent le numéro de port pour distinguer l'adresse IP interne. Dans cette situation, le paquet reçu par le périphérique NAT est un paquet IP. L'en-tête de paquet ESP suit l'en-tête de paquet IP, puis les données cryptées suivent. Le périphérique NAT ne peut pas former une entrée NAT basée sur les données existantes et terminer la traduction d'adresse. Une entrée de session NAT comprend généralement un quintuple du type de protocole, de l'adresse source, du port source, de l'adresse de destination et du port de destination. L'élément de données est insuffisant dans cette situation, le périphérique NAT ne peut pas créer une entrée NAT et ne peut pas traduire le paquet. Par conséquent, il transmet le message directement.Évidemment, ce message ne peut pas être transmis sur le réseau public car son adresse IP source est 10.0.0.2, qui est une adresse IP privée.

Maintenant, FW1 et FW2 activent la conversion transversale NAT. Après négociation, les deux parties ajoutent un en-tête UDP à partir de l'en-tête ESP dans le paquet protégé. Les numéros de port source et de destination sont 4500. Avec cet en-tête, le paquet passe à travers le NAT-Device peut être correctement traduit quand il est:


182357mmjczhiwvk1l2ill.jpg


 

comment cofigre IPSecVPN NAT

 

[FW1] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

 

[FW1] acl number 3000                                             

[FW1-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255

 

#configure IKE Proposition KE Telle est la stratégie de IKE Phase One 

[FW1] ike proposal 1

[FW1-ike-proposal-1] authentication-method pre-share

[FW1-ike-proposal-1] authentication-algorithm sha1

[FW1-ike-proposal-1] encryption-algorithm 3des-cbc

 

#configure IKE peer 

[FW1] ike peer fw2

[FW1-ike-peer-fw2] pre-shared-key Huawei123

[FW1-ike-peer-fw2] ike-proposal 1

[FW1-ike-peer-fw2] nat traversal

 

#configurer la proposition IPsec ,C’est la stratégie d’IKE Phase deux :

[FW1] ipsec proposal myset

[FW1-ipsec-proposal-myset] transform esp

[FW1-ipsec-proposal-myset] esp authentication-algorithm sha1

[FW1-ipsec-proposal-myset] esp encryption-algorithm 3des

 

#configure IPsec policy template 

[FW1] ipsec policy-template policy_temp 1

[FW1-ipsec-policy-template-policy_temp-1] security acl 3000

[FW1-ipsec-policy-template-policy_temp-1] ike-peer fw2

[FW1-ipsec-policy-template-policy_temp-1] proposal myset

 

#configure IPsec Policy 

[FW1] ipsec policy mymap 1 isakmp template policy_temp

 

#apply IPsec Policy 

[FW1] interface GigabitEthernet0/0/2

[FW1-GigabitEthernet0/0/2] ipsec policy mymap

 

#autorise le trafic de la zone locale vers la zone non fiable, cela pourrait permettre à FW1 d'envoyer le trafic de négociation ISAKMP et le trafic qui devrait être chiffré et envoyé à FW2 après l'établissement du tunnel:

[FW1]policy interzone local untrust outbound   

[FW1-policy-interzone-local-untrust-outbound] policy 0

[FW1-policy-interzone-local-untrust-outbound-0] policy destination 200.2.2.2 0

[FW1-policy-interzone-local-untrust-outbound-0] action permit

 

#allow le trafic vient du tunnel IPSecVPN

[FW1] policy interzone local untrust inbound

[FW1-policy-interzone-local-untrust-inbound] policy 0

[FW1-policy-interzone-local-untrust-inbound-0] policy source 200.2.2.2 0

[FW1-policy-interzone-local-untrust-inbound-0] action permit


#allow le trafic intranet vient de la télécommande :

[FW1] policy interzone trust untrust inbound

[FW1-policy-interzone-trust-untrust-inbound] policy 0

[FW1-policy-interzone-trust-untrust-inbound-0] policy source 10.2.2.0 0.0.0.255

[FW1-policy-interzone-trust-untrust-inbound-0] policy destination 10.1.1.0 0.0.0.255

[FW1-policy-interzone-trust-untrust-inbound-0] action permit

 

#allouez le trafic de l'intranet local à l'intranet distant:

[FW1] policy interzone trust untrust outbound    

[FW1-policy-interzone-trust-untrust-outbound] policy 0

[FW1-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255

[FW1-policy-interzone-trust-untrust-outbound-0] policy destination 10.2.2.0 0.0.0.255

[FW1-policy-interzone-trust-untrust-outbound-0] action permit

 

Configuration FW2 :

[FW2] ip route-static 0.0.0.0 0 10.0.0.1

 

[FW2] acl number 3000                                             

[FW2-acl-adv-3000] rule permit ip source 10.2.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 

[FW2] ike proposal 1

[FW2-ike-proposal-1] authentication-method pre-share

[FW2-ike-proposal-1] authentication-algorithm sha1

[FW2-ike-proposal-1] encryption-algorithm 3des-cbc

 

[FW2] ipsec proposal myset

[FW2-ipsec-proposal-myset] transform esp

[FW2-ipsec-proposal-myset] esp authentication-algorithm sha1

[FW2-ipsec-proposal-myset] esp encryption-algorithm 3des

 

[FW2] ike peer fw1

[FW2-ike-peer-fw1] pre-shared-key Huawei123

[FW2-ike-peer-fw1] ike-proposal 1

[FW2-ike-peer-fw1] remote-address 200.1.1.1

[FW2-ike-peer-fw1] nat traversal

 

[FW2] ipsec policy mymap 1 isakmp   

[FW2-ipsec-policy-isakmp-mymap-1] security acl 3000

[FW2-ipsec-policy-isakmp-mymap-1] ike-peer fw1

[FW2-ipsec-policy-isakmp-mymap-1] proposal myset

 

[FW2] interface GigabitEthernet0/0/2

[FW2-GigabitEthernet0/0/2] ipsec policy mymap

 

[FW2] policy interzone local untrust outbound   

[FW2-policy-interzone-local-untrust-outbound] policy 0

[FW2-policy-interzone-local-untrust-outbound-0] policy destination 200.1.1.1 0

[FW2-policy-interzone-local-untrust-outbound-0] action permit

 

[FW2] policy interzone local untrust inbound

[FW2-policy-interzone-local-untrust-inbound] policy 0

[FW2-policy-interzone-local-untrust-inbound-0] policy source 200.1.1.1 0

[FW2-policy-interzone-local-untrust-inbound-0] action permit

 

[FW2] policy interzone trust untrust inbound

[FW2-policy-interzone-trust-untrust-inbound] policy 0

[FW2-policy-interzone-trust-untrust-inbound-0] policy source 10.1.1.0 0.0.0.255

[FW2-policy-interzone-trust-untrust-inbound-0] policy destination 10.2.2.0 0.0.0.255

[FW2-policy-interzone-trust-untrust-inbound-0] action permit

 

[FW2] policy interzone trust untrust outbound    

[FW2-policy-interzone-trust-untrust-outbound] policy 0

[FW2-policy-interzone-trust-untrust-outbound-0] policy destination 10.1.1.0 0.0.0.255

[FW2-policy-interzone-trust-untrust-outbound-0] policy source 10.2.2.0 0.0.0.255

[FW2-policy-interzone-trust-untrust-outbound-0] action permit


 

Lorsque PC2 accède à PC1, le trafic déclenche la négociation du tunnel IPSecVPN entre FW2 et FW1.

Les premier et second paquets de la phase IKE IKE utilisent les ports UDP 500 source et cible. Lorsque le trafic transite par le périphérique NAT, l'adresse est traduite. Les entrées NAT suivantes apparaissent:


[NAT] display firewall session table

Nombre total de sessions en cours: 2

Udp VPN: public -> public 10.0.0.2:500[200.2.2.2:2048]-->200.1.1.1.1:500


Ces messages effectueront également la négociation NAT Traversal et découvriront les périphériques NAT. Après négociation, les deux parties décident d'utiliser le port UDP 4500 pour l'échange de paquets. Ensuite, le paquet ISAKMP utilisé pour l'authentification entre homologues utilise la source UDP et le port de destination 4500. Lorsque le trafic transite par le périphérique NAT, l'adresse est traduite. Les entrées NAT suivantes apparaissent:


Udp VPN: public -> public 10.0.0.2:4500[200.2.2.2:2048]-->200.1.1.1:4500


Une fois le tunnel VPN IPSec établi, le trafic protégé continuera à utiliser le port UDP4500 pour la communication. Puisque le périphérique NAT a déjà les entrées ci-dessus, les paquets sont lisses. (Bien entendu, une fois le tunnel IPSecVPN établi, le périphérique NAT comporte déjà des entrées liées, de sorte que PC1 peut également initier un accès de trafic à PC2).

 


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier