Ce document donne un exemple de gestion de réseau qui simule le fusionnement de deux sociétés avec le même schéma d'adressage IP. Deux routeurs sont connectés à un tunnel VPN, et les réseaux derrière chaque routeur sont identiques. Pour qu'un site accède à des hôtes de l'autre site, la Traduction d'adresses de réseau (NAT) est utilisée sur les routeurs pour changer les adresses de la source et de la destination selon les différents sous-réseaux.
Remarque : Cette configuration n'est pas recommandée en tant que configuration permanente car elle risque de prêter à confusion du point de vue de la gestion du réseau.
Aucune spécification déterminée n'est requise pour ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Routeur A : Routeur Cisco 3640 utilisant le logiciel Cisco IOS®, version 12.3(4)T
Routeur B : Routeur Cisco 2621 avec Cisco IOS®, version de logiciel 12.3(5)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.
Dans cet exemple, lorsque l’hôte 172.16.1.2 du site A accède au même hôte à adresse IP sur le site B, il se connecte à une adresse 172.19.1.2 plutôt qu’à l’adresse 172.16.1.2 réelle. Lorsque l’hôte du site B accède au site A, il se connecte à une adresse 172.18.1.2. La NAT sur le routeur A traduit toute adresse 172.16.x.x pour ressembler à l’entrée d’hôte 172.18.x.x correspondante. La NAT sur le routeur B modifie l’adresse 172.16.x.x pour ressembler à 172.19.x.x.
La fonction de chiffrement sur chaque routeur chiffre le trafic traduit sur les interfaces en série. Notez que la NAT survient avant le chiffrement sur un routeur.
Remarque : cette configuration permet uniquement aux deux réseaux de communiquer. Or, il ne permet pas la connectivité Internet. Vous avez besoin de chemins supplémentaires vers Internet pour assurer la connectivité à des emplacements autres que les deux sites; autrement dit, vous devez ajouter un autre routeur ou pare-feu de chaque côté, avec plusieurs itinéraires configurés sur les hôtes.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Pour en savoir plus sur les commandes utilisées dans le présent document, utilisez l’outil de recherche de commandes (clients inscrits seulement).
Ce document utilise la configuration réseau suivante :
Ce document utilise les configurations suivantes :
Router A |
---|
Current configuration : 1404 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SV3-2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ! ! ip audit notify log ip audit po max-events 100 ip ssh break-string no ftp-server write-enable ! ! !--- These are the Internet Key Exchange (IKE) parameters. crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key cisco123 address 10.5.76.57 ! !--- These are the IPSec parameters. crypto ipsec transform-set myset1 esp-3des esp-md5-hmac ! ! crypto map mymap 10 ipsec-isakmp set peer 10.5.76.57 set transform-set myset1 !--- Encrypt traffic to the other side. match address 100 ! ! ! interface Serial0/0 description Interface to Internet ip address 10.5.76.58 255.255.0.0 ip nat outside clockrate 128000 crypto map mymap ! interface Ethernet0/0 ip address 172.16.1.1 255.255.255.0 no ip directed-broadcast ip nat inside half-duplex ! ! !--- This is the NAT traffic. ip nat inside source static network 172.16.0.0 172.18.0.0 /16 no-alias ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 Serial0/0 ! !--- Encrypt traffic to the other side. access-list 100 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255 ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! ! end |
Router B |
---|
Current configuration : 1255 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SV3-15 ! boot-start-marker boot-end-marker ! ! memory-size iomem 15 no aaa new-model ip subnet-zero ! ! ! ip audit notify log ip audit po max-events 100 ! !--- These are the IKE parameters. crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key cisco123 address 10.5.76.58 ! !--- These are the IPSec parameters. crypto ipsec transform-set myset1 esp-3des esp-md5-hmac ! crypto map mymap 10 ipsec-isakmp set peer 10.5.76.58 set transform-set myset1 !--- Encrypt traffic to the other side. match address 100 ! ! interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface Serial0/0 description Interface to Internet ip address 10.5.76.57 255.255.0.0 ip nat outside crypto map mymap ! !--- This is the NAT traffic. ip nat inside source static network 172.16.0.0 172.19.0.0 /16 no-alias ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 Serial0/0 ! !--- Encrypt traffic to the other side. access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.0.0 0.0.255.255 ! ! line con 0 line aux 0 line vty 0 4 ! ! ! end |
Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.
Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.
show crypto ipsec sa - Montre les associations de sécurisation de phase 2.
show crypto isakmp sa - Montre les associations de sécurisation de phase 1.
show ip nat translation : Cette commande affiche les NAT actuellement utilisées.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.
Remarque : avant d'émettre des commandes debug, reportez-vous à Informations importantes sur les commandes de débogage.
debug crypto ipsec : Cette commande affiche les négociations IPSec de la phase 2.
debug crypto isakmp : Cette commande affiche les négociations ISAKMP (Internet Security Association and Key Management Protocol) de la phase 1.
debug crypto engine - Montre le trafic crypté.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
14-Jan-2008 |
Première publication |