NAT Transparent Mode voor IPSec configureren op de VPN 3000 Concentrator

Downloadopties

  • PDF     (249.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (97.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (123.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 januari 2008
Document-id:5753

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Network Address Translation (NAT) is ontwikkeld om het probleem aan te pakken dat IPV4 (Internet Protocol versie 4) geen adresruimte meer heeft. Vandaag de dag gebruiken thuisgebruikers en netwerken voor kleine kantoren NAT als alternatief voor het kopen van geregistreerde adressen. Bedrijven implementeren NAT alleen of met een firewall om hun interne resources te beschermen.

Veel-op-één, de meest geïmplementeerde NAT-oplossing, brengt meerdere privé-adressen in kaart naar één routable (publiek) adres; dit staat ook bekend als Port Address Translation (PAT). De vereniging wordt op het niveau van de haven ten uitvoer gelegd. De oplossing van het KLOPJE leidt tot een probleem voor verkeer IPSec dat geen havens gebruikt.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco VPN 3000 concentrator

  • Cisco VPN 3000 clientrelease 2.1.3 en hoger

  • Cisco VPN 3000 client- en concentratorrelease 3.6.1 en hoger voor NAT-T

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Security payload-encryptie insluiten

Protocol 50 (Encapsulating Security payload [ESP]) verwerkt de versleutelde/ingekapselde pakketten van IPSec. De meeste PAT-apparaten werken niet met ESP omdat ze zijn geprogrammeerd om alleen te werken met Transmission Control Protocol (TCP), User Datagram Protocol (UDP) en Internet Control Message Protocol (ICMP). Bovendien zijn PAT-apparaten niet in staat om meerdere security parameterindexen (SPI’s) in kaart te brengen. De NAT transparante modus in de VPN 3000 client lost dit probleem op door ESP in te kapselen binnen UDP en het naar een onderhandelde poort te sturen. De naam van het attribuut dat op de VPN 3000 Concentrator moet worden geactiveerd, is IPSec via NAT.

Een nieuw protocol NAT-T dat een IETF-standaard is (nog in de conceptfase als het schrijven van dit artikel) kapselt ook IPSec-pakketten in UDP in, maar het werkt op poort 4500. Die poort kan niet worden geconfigureerd.

Hoe werkt NAT transparante modus?

Door de transparante modus van IPSec op de VPN Concentrator te activeren, worden niet-zichtbare filterregels gemaakt en worden deze op het openbare filter toegepast. Het ingestelde poortnummer wordt vervolgens op transparante wijze doorgegeven aan de VPN-client wanneer de VPN-client verbinding maakt. Aan de inkomende kant gaat UDP-verkeer vanuit die poort rechtstreeks over naar IPSec voor verwerking. Het verkeer wordt gedecrypteerd en gedecapsuleerd, en dan normaal geleid. Aan de uitgaande kant versleutelt IPSec en kapselt het vervolgens een UDP-header (indien geconfigureerd) in. De runtime filterregels worden gedeactiveerd en verwijderd van het juiste filter onder drie omstandigheden: wanneer IPSec over UDP is uitgeschakeld voor een groep, wanneer de groep is verwijderd, of wanneer de laatste actieve IPSec over UDP SA op die poort is verwijderd. Keepalives worden verzonden om te voorkomen dat een NAT-apparaat de poorttoewijzing sluit vanwege inactiviteit.

Als IPSec over NAT-T is ingeschakeld op de VPN Concentrator, gebruikt de VPN Concentrator/VPN-client NAT-T-modus van UDP-insluiting. NAT-T werkt door elk NAT-apparaat tijdens IKE-onderhandeling automatisch te detecteren tussen de VPN-client en VPN-concentrator. U moet ervoor zorgen dat UDP-poort 4500 niet wordt geblokkeerd tussen de VPN Concentrator/VPN-client zodat NAT-T kan werken. Als u ook een vorige IPSec/UDP-configuratie gebruikt die al die poort gebruikt, moet u die eerdere IPSec/UDP-configuratie opnieuw configureren om een andere UDP-poort te gebruiken. Aangezien NAT-T een IETF-concept is, helpt het bij het gebruik van apparaten van meerdere leveranciers als de andere leverancier deze standaard implementeert.

NAT-T werkt met zowel VPN-clientverbindingen als LAN-naar-LAN-verbindingen, in tegenstelling tot IPSec via UDP/TCP. Bovendien ondersteunen Cisco IOS® routers en de PIX-firewallapparaten NAT-T.

U hoeft geen IPSec via UDP in te schakelen om NAT-T te kunnen werken.

NAT transparante modus configureren

nat_trans1.gif

nat_trans2.gif

Gebruik de volgende procedure om NAT transparante modus te configureren op de VPN Concentrator.

Opmerking: IPSec via UDP is geconfigureerd per groep, terwijl IPSec via TCP/NAT-T globaal is geconfigureerd.

  1. IPsec via UDP configureren:

    1. Selecteer in VPN Concentrator de optie Configuratie > Gebruikersbeheer > Groepen.

    2. Als u een groep wilt toevoegen, selecteert u Toevoegen. U kunt een bestaande groep wijzigen door deze te selecteren en op Wijzigen te klikken.

    3. Klik op het tabblad IPSec, controleer IPSec met NAT en configureer IPSec met NAT UDP-poort. De standaardpoort voor IPSec via NAT is 10000 (bron en bestemming), maar deze instelling kan worden gewijzigd.

  2. IPsec over NAT-T en/of IPSec over TCP configureren:

    1. Selecteer in de VPN Concentrator Configuration > System > Tunneling Protocols > IPSec > NAT-transparantie.

    2. Controleer het aanvinkvakje IPSec over NAT-T en/of TCP.

Als alles is ingeschakeld, gebruikt u deze voorrang:

  1. IPsec over TCP.

  2. IPsec over NAT-T.

  3. IPsec via UDP.

Cisco VPN-clientconfiguratie voor gebruik van NAT-transparantie

Als u IPSec via UDP of NAT-T wilt gebruiken, moet u IPSec via UDP inschakelen op Cisco VPN-client 3.6 en hoger. De UDP-poort wordt door de VPN Concentrator toegewezen in het geval van IPSec via UDP, terwijl de poort voor NAT-T is ingesteld op UDP-poort 4500.

Om IPSec via TCP te gebruiken, moet u het inschakelen op de VPN-client en de poort configureren die handmatig moet worden gebruikt.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
22-Oct-2001
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco