Network Address Translation (NAT) is ontwikkeld om het probleem aan te pakken dat IPV4 (Internet Protocol versie 4) geen adresruimte meer heeft. Vandaag de dag gebruiken thuisgebruikers en netwerken voor kleine kantoren NAT als alternatief voor het kopen van geregistreerde adressen. Bedrijven implementeren NAT alleen of met een firewall om hun interne resources te beschermen.
Veel-op-één, de meest geïmplementeerde NAT-oplossing, brengt meerdere privé-adressen in kaart naar één routable (publiek) adres; dit staat ook bekend als Port Address Translation (PAT). De vereniging wordt op het niveau van de haven ten uitvoer gelegd. De oplossing van het KLOPJE leidt tot een probleem voor verkeer IPSec dat geen havens gebruikt.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco VPN 3000 concentrator
Cisco VPN 3000 clientrelease 2.1.3 en hoger
Cisco VPN 3000 client- en concentratorrelease 3.6.1 en hoger voor NAT-T
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Protocol 50 (Encapsulating Security payload [ESP]) verwerkt de versleutelde/ingekapselde pakketten van IPSec. De meeste PAT-apparaten werken niet met ESP omdat ze zijn geprogrammeerd om alleen te werken met Transmission Control Protocol (TCP), User Datagram Protocol (UDP) en Internet Control Message Protocol (ICMP). Bovendien zijn PAT-apparaten niet in staat om meerdere security parameterindexen (SPI’s) in kaart te brengen. De NAT transparante modus in de VPN 3000 client lost dit probleem op door ESP in te kapselen binnen UDP en het naar een onderhandelde poort te sturen. De naam van het attribuut dat op de VPN 3000 Concentrator moet worden geactiveerd, is IPSec via NAT.
Een nieuw protocol NAT-T dat een IETF-standaard is (nog in de conceptfase als het schrijven van dit artikel) kapselt ook IPSec-pakketten in UDP in, maar het werkt op poort 4500. Die poort kan niet worden geconfigureerd.
Door de transparante modus van IPSec op de VPN Concentrator te activeren, worden niet-zichtbare filterregels gemaakt en worden deze op het openbare filter toegepast. Het ingestelde poortnummer wordt vervolgens op transparante wijze doorgegeven aan de VPN-client wanneer de VPN-client verbinding maakt. Aan de inkomende kant gaat UDP-verkeer vanuit die poort rechtstreeks over naar IPSec voor verwerking. Het verkeer wordt gedecrypteerd en gedecapsuleerd, en dan normaal geleid. Aan de uitgaande kant versleutelt IPSec en kapselt het vervolgens een UDP-header (indien geconfigureerd) in. De runtime filterregels worden gedeactiveerd en verwijderd van het juiste filter onder drie omstandigheden: wanneer IPSec over UDP is uitgeschakeld voor een groep, wanneer de groep is verwijderd, of wanneer de laatste actieve IPSec over UDP SA op die poort is verwijderd. Keepalives worden verzonden om te voorkomen dat een NAT-apparaat de poorttoewijzing sluit vanwege inactiviteit.
Als IPSec over NAT-T is ingeschakeld op de VPN Concentrator, gebruikt de VPN Concentrator/VPN-client NAT-T-modus van UDP-insluiting. NAT-T werkt door elk NAT-apparaat tijdens IKE-onderhandeling automatisch te detecteren tussen de VPN-client en VPN-concentrator. U moet ervoor zorgen dat UDP-poort 4500 niet wordt geblokkeerd tussen de VPN Concentrator/VPN-client zodat NAT-T kan werken. Als u ook een vorige IPSec/UDP-configuratie gebruikt die al die poort gebruikt, moet u die eerdere IPSec/UDP-configuratie opnieuw configureren om een andere UDP-poort te gebruiken. Aangezien NAT-T een IETF-concept is, helpt het bij het gebruik van apparaten van meerdere leveranciers als de andere leverancier deze standaard implementeert.
NAT-T werkt met zowel VPN-clientverbindingen als LAN-naar-LAN-verbindingen, in tegenstelling tot IPSec via UDP/TCP. Bovendien ondersteunen Cisco IOS® routers en de PIX-firewallapparaten NAT-T.
U hoeft geen IPSec via UDP in te schakelen om NAT-T te kunnen werken.
Gebruik de volgende procedure om NAT transparante modus te configureren op de VPN Concentrator.
Opmerking: IPSec via UDP is geconfigureerd per groep, terwijl IPSec via TCP/NAT-T globaal is geconfigureerd.
IPsec via UDP configureren:
Selecteer in VPN Concentrator de optie Configuratie > Gebruikersbeheer > Groepen.
Als u een groep wilt toevoegen, selecteert u Toevoegen. U kunt een bestaande groep wijzigen door deze te selecteren en op Wijzigen te klikken.
Klik op het tabblad IPSec, controleer IPSec met NAT en configureer IPSec met NAT UDP-poort. De standaardpoort voor IPSec via NAT is 10000 (bron en bestemming), maar deze instelling kan worden gewijzigd.
IPsec over NAT-T en/of IPSec over TCP configureren:
Selecteer in de VPN Concentrator Configuration > System > Tunneling Protocols > IPSec > NAT-transparantie.
Controleer het aanvinkvakje IPSec over NAT-T en/of TCP.
Als alles is ingeschakeld, gebruikt u deze voorrang:
IPsec over TCP.
IPsec over NAT-T.
IPsec via UDP.
Als u IPSec via UDP of NAT-T wilt gebruiken, moet u IPSec via UDP inschakelen op Cisco VPN-client 3.6 en hoger. De UDP-poort wordt door de VPN Concentrator toegewezen in het geval van IPSec via UDP, terwijl de poort voor NAT-T is ingesteld op UDP-poort 4500.
Om IPSec via TCP te gebruiken, moet u het inschakelen op de VPN-client en de poort configureren die handmatig moet worden gebruikt.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
22-Oct-2001 |
Eerste vrijgave |