Configuration de la Traduction d'adresses réseau LAN à LAN entre deux concentrateurs Cisco VPN 3000 Contenu Introduction Conditions préalables Conditions requises Composants utilisés Diagramme du réseau Conventions Configurez le concentrateur de Cisco VPN 3005-1 Vérifier la configuration Dépannez la configuration Configurez le concentrateur de Cisco VPN 3005-2 Vérifier la configuration Dépannez la configuration Informations connexes Introduction Ce document explique comment configurer le Traduction d'adresses de réseau (NAT) au-dessus de la caractéristique d'entre réseaux locaux comme présenté dans le concentrateur 3.6 de Cisco VPN 3000. Cette caractéristique te permet pour configurer le tunnel entre réseaux locaux d'ipsec avec superposer les réseaux privés de chaque côté du tunnel VPN. Avec le NAT au-dessus de la fonction activée d'entre réseaux locaux, des paquets qui entrent dans l'interface privée du concentrateur VPN sont traduits selon la règle NAT définie avant qu'ils soient chiffrés. De l'autre côté, les paquets VPN qui atteignent l'interface publique du concentrateur VPN sont traduits accordant les règles NAT définies après qu'ils soient déchiffrés. Conditions préalables Conditions requises Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration : Vous avez exécuté les étapes de configuration initiale pour les concentrateurs VPN afin d'obtenir la connexion Internet. Connaissance des configurations standard de tunnel d'ipsec d'entre réseaux locaux de l'utilisation des concentrateurs VPN. Référez-vous à configurer un concentrateur central de Cisco VPN 3000 pour permettre la transmission entre les rais pour davantage de référence. Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Version 3.6 de Concentrateur Cisco VPN 3005 Remarque: Ce document a été récemment examiné avec le code 4.x le 4 octobre, 2004. Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Diagramme du réseau Ce document utilise la configuration réseau suivante :
Ce schéma de réseau prouve que le LAN1 privé et le LAN2 privé ont des réseaux en superposition de 10.1.1.0/24. Les exemples de configuration dans ce document expliquent comment configurer le NAT au-dessus de la caractéristique d'entre réseaux locaux de sorte que les hôtes sur les deux réseaux locaux privés puissent communiquer facilement par le tunnel d'ipsec entre les concentrateurs de Cisco VPN 3005-1 et de Cisco VPN 3005-2. Cette table met en valeur le schéma de traduction utilisé dans cet exemple pour tracer les réseaux en superposition sur chaque côté aux différents sous-réseaux et trafic intéressant correspondant pour le tunnel entre réseaux locaux d'ipsec : 3005-1 Tableau NAT Remarque: Le tunnel entre réseaux locaux d'ipsec pour les réseaux locaux est 30.1.1.0/24 et le tunnel entre réseaux locaux d'ipsec pour les réseaux distants est 20.1.1.0/24. 3005-1 Tableau NAT Remarque: Le tunnel entre réseaux locaux d'ipsec pour les réseaux locaux est 20.1.1.0/24 et le tunnel entre réseaux locaux d'ipsec pour les réseaux distants est 30.1.1.0/24. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Configurez le concentrateur de Cisco VPN 3005-1 Terminez-vous ces étapes pour configurer le concentrateur de Cisco VPN 3005-1 avec une adresse IP de 172.16.172.36. 1. La configuration > le système > les protocoles > l'ipsec > l'entre réseaux locaux choisis de Tunnellisation > modifient pour définir un tunnel entre réseaux locaux avec le concentrateur de Cisco VPN 3005-1 (172.16.172.36). Une chose importante à noter est que les adresses IP dans le réseau local et le réseau distant doivent être les sous-réseaux traduits IP comme prévu dans la table de traduction. 2. Terminez-vous ces étapes de la fenêtre de modifier : d. Écrivez le nom pour votre connexion entre réseaux locaux dans la zone d'identification. Sélectionnez l'interface pour votre connexion entre réseaux locaux de la liste déroulante d'interface. Écrivez l'adresse IP du pair distant pour votre connexion entre réseaux locaux dans le domaine de pair. Sélectionnez le certificat numérique pour l'utiliser de la liste déroulante de certificat numérique. e. Choisissez comment envoyer le certificat numérique au pair d'ike de la transmission de certificat. Sélectionnez la chaîne ou le certificat d'identité de certificat entière seulement. f. g. h. Introduisez la clé pré-partagée pour votre connexion entre réseaux locaux dans le domaine de clé pré-partagée. Spécifiez le mécanisme d'authentification de paquet pour l'utiliser de la liste déroulante d'authentification. Sélectionnez le mécanisme de chiffrement pour l'utiliser de la liste déroulante de cryptage. i. Sélectionnez la proposition d'ike pour l'utiliser pour cette connexion entre réseaux locaux de la liste déroulante de proposition d'ike. j. Sélectionnez le filtre pour s'appliquer au trafic qui est percé un tunnel par la connexion entre réseaux locaux de la liste déroulante de
filtre. k. Sélectionnez la case NAT-T pour permettre à NAT-T les pairs compatibles d'ipsec pour établir votre connexion entre réseaux locaux par un périphérique NAT. Vous devez également activer IPsec au-dessus de NAT-T sous la transparence NAT. l. Choisissez la stratégie de bande passante pour s'appliquer à votre connexion entre réseaux locaux de la liste déroulante de stratégie de bande passante. m. Sélectionnez le mécanisme de routage pour l'utiliser de la liste déroulante de routage. Remarque: Vous n'avez pas besoin de spécifier ces le prochain ensemble de paramètres si vous choisissez la découverte automatique du réseau. Sélectionnez la liste d'adresses de réseau local ou le masque d'adresse IP et de masque pour cette connexion entre réseaux locaux du champ de déroulant de liste des réseaux. d. Écrivez l'adresse IP dans le champ IP Address. Écrivez le masque de masque (inverse d'un masque de sous-réseau) dans le domaine de masque de masque. Répétez les étapes a à c pour la section de réseau distant et cliquez sur Apply pour appliquer la configuration de tunnel entre réseaux locaux. 3. Après que vous appliquiez la configuration de tunnel entre réseaux locaux, cliquez sur en fonction les règles NAT d'entre réseaux locaux de définir le NAT pour le tunnel de Nat-à-RÉSEAU LOCAL.
4. Cliquez sur Add pour ajouter une connexion entre réseaux locaux, ou sélectionner une connexion et cliquer sur modifiez ou supprimez du champ de connexion entre réseaux locaux. 5. La configuration > la Gestion des stratégies > la gestion de trafic choisies > NAT > des règles d'entre réseaux locaux > modifient pour ajouter une règle NAT d'entre réseaux locaux basée sur le plan NAT défini dans l'étape 3 et puis pour se terminer ces étapes. Remarque: Dans ce cas, les 10.1.1.0/24 derrière le concentrateur VPN 3005-1 est traduits à 30.1.1.0/24 quand il communique avec le RÉSEAU LOCAL privé derrière le concentrateur VPN 3005-2 par le tunnel entre réseaux locaux d'ipse Sélectionnez l'un ou l'autre de statique, de dynamique, ou PAT pour modifier une règle NAT d'entre réseaux locaux. Écrivez le masque d'adresse IP et de masque dans le réseau de source, les domaines de colonne traduite de réseau, et de réseau distant. Cliquez sur Apply. 6. Configuration > Gestion des stratégies > gestion de trafic choisies > NAT > enable pour activer la règle NAT d'entre réseaux locaux. 7. Sélectionnez le contrôle pour activer des règles NAT sur des tunnels entre réseaux locaux de la fenêtre d'enable et pour cliquer sur Apply.
8. Configuration > système > Routage IP > artères choisis de charge statique pour vérifier la configuration de routage. Dans ce cas, un default route simple est utilisé. Vérifier la configuration Cette section fournit des informations qui vous permettront de vérifier que votre configuration fonctionne correctement. Après que vous vous terminiez cette configuration, testez le tunnel d'ipsec en envoyant le trafic entre les deux réseaux locaux privés. Notez que les hôtes sur le LAN1 privé voient le LAN2 privé pendant que 20.1.1.0/24 et les hôtes sur le LAN2 privé voient le LAN1 privé en tant que 30.1.1.0/24. Le processus explique comment vérifier et surveiller les sessions d'ipsec du concentrateur de Cisco VPN 3005-1. 1. La gestion choisie > gèrent des sessions sur le concentrateur de Cisco VPN 3005-1. 2. La gestion choisie > gèrent les sessions > le détail pour visualiser les informations détaillées sur l'ipsec SAS.
Dépannez la configuration Référez-vous aux problèmes de connexion de dépannage sur le concentrateur de Cisco VPN 3000 pour des informations supplémentaires sur des questions de connexion de concentrateur de Cisco VPN 3000 de dépannage. Configurez le concentrateur de Cisco VPN 3005-2 Terminez-vous ces étapes pour configurer le concentrateur de Cisco VPN 3005-2 avec une adresse IP de 172.16.172.55. 1. 2. La configuration > le système > les protocoles > l'ipsec > l'entre réseaux locaux choisis de Tunnellisation > modifient pour définir un tunnel entre réseaux locaux avec Cisco VPN 3005-2 (172.16.172.55). Une chose importante à noter est que les adresses IP dans le réseau local et le réseau distant devraient être les sous-réseaux traduits IP comme prévu dans les tables NAT. Terminez-vous ces étapes de la fenêtre de modifier : d. Écrivez le nom pour votre connexion entre réseaux locaux dans la zone d'identification. Sélectionnez l'interface pour votre connexion entre réseaux locaux de la liste déroulante d'interface. Écrivez l'adresse IP du pair distant pour votre connexion entre réseaux locaux dans le domaine de pair. Sélectionnez le certificat numérique pour l'utiliser de la liste déroulante de certificat numérique. e. Choisissez comment envoyer le certificat numérique au pair d'ike en sélectionnant la chaîne ou le certificat d'identité de certificat entière seulement de la transmission de certificat. f. g. h. Introduisez la clé pré-partagée pour votre connexion entre réseaux locaux dans le domaine de clé pré-partagée. Spécifiez le mécanisme d'authentification de paquet pour l'utiliser de la liste déroulante d'authentification. Sélectionnez le mécanisme de chiffrement pour l'utiliser de la liste déroulante de cryptage. i. j. Sélectionnez la proposition d'ike pour l'utiliser pour cette connexion entre réseaux locaux de la liste déroulante de proposition d'ike. Sélectionnez le filtre pour s'appliquer au trafic qui est percé un tunnel par la connexion entre réseaux locaux de la liste déroulante de filtre. k. Sélectionnez la case NAT-T pour permettre à NAT-T les pairs compatibles d'ipsec pour établir votre connexion entre réseaux locaux par un périphérique NAT. Vous devez également activer IPSec au-dessus de NAT-T sous la transparence NAT. l. Choisissez la stratégie de bande passante pour s'appliquer à votre connexion entre réseaux locaux de la liste déroulante de stratégie de bande passante. m. Sélectionnez le mécanisme de routage pour l'utiliser de la liste déroulante de routage.
Remarque: Vous n'avez pas besoin de spécifier le prochain ensemble de paramètres si vous choisissez la découverte automatique du réseau. Sélectionnez la liste d'adresses de réseau local ou le masque d'adresse IP et de masque pour cette connexion entre réseaux locaux du champ de déroulant de liste des réseaux. d. Écrivez l'adresse IP dans le champ IP Address. Écrivez le masque de masque (inverse d'un masque de sous-réseau) dans le domaine de masque de masque. Répétez les étapes a à c pour la section de réseau distant et cliquez sur Apply pour appliquer la configuration de tunnel entre réseaux locaux. 3. La configuration > la Gestion des stratégies > la gestion de trafic choisies > NAT > des règles d'entre réseaux locaux > modifient pour ajouter une règle NAT d'entre réseaux locaux basée sur le plan NAT que vous avez défini plus tôt dans ce document et se terminent ces étapes. Remarque: Dans ce cas, les 10.1.1.0/24 derrière le concentrateur de Cisco VPN 3005-2 est traduits à 20.1.1.0/24 quand ils communiquent avec le RÉSEAU LOCAL privé derrière le concentrateur de Cisco VPN 3005-1 par le tunnel entre réseaux locaux d'ipse Sélectionnez l'un ou l'autre de statique, de dynamique, ou PAT pour modifier un entre réseaux locaux NAT. Écrivez le masque d'adresse IP et de masque dans le réseau de source, les domaines de colonne traduite de réseau, et de réseau distant. Cliquez sur Apply.
4. 5. Configuration > Gestion des stratégies > gestion de trafic choisies > NAT > enable pour activer la règle NAT d'entre réseaux locaux. Sélectionnez le contrôle pour activer des règles NAT sur des tunnels entre réseaux locaux de la fenêtre d'enable et pour cliquer sur Apply. Vérifier la configuration Cette section fournit des informations qui vous permettront de vérifier que votre configuration fonctionne correctement. Après que vous vous terminiez cette configuration, testez le tunnel d'ipsec en envoyant le trafic entre les deux réseaux locaux privés. Notez que les hôtes sur le LAN1 privé voient le LAN2 privé pendant que 20.1.1.0/24 et les hôtes sur le LAN2 privé voient le LAN1 privé en tant que 30.1.1.0/24. Ce processus explique comment vérifier et surveiller les sessions d'ipsec du concentrateur de Cisco VPN 3005-2. 1. La gestion choisie > gèrent des sessions sur le concentrateur de Cisco VPN 3005-2. 2. La gestion choisie > gèrent les sessions > le détail pour visualiser les informations détaillées de l'ipsec SAS.
3. Surveillance > statistiques choisies > NAT dans cet onglet à vérifier, que la règle NAT fonctionne ou pas. Vous pouvez visualiser les traductions NAT, des détails de paquet (source ip, IP de destination, et ainsi de suite). Ceci te permet pour voir les entrées traduites pour l'intéressant et non le trafic intéressant (dépend des listes des réseaux) du concentrateur VPN de sorte que vous puissiez tracer les paquets traduits sortants. Dépannez la configuration Référez-vous aux problèmes de connexion de dépannage sur le concentrateur de Cisco VPN 3000 pour des informations supplémentaires sur des questions de connexion de concentrateur de Cisco VPN 3000 de dépannage. Informations connexes Exemples et notes techniques de configuration 1992-2010 Cisco Systems In Tous droits réservés. Date du fichier PDF généré: 18 octobre 2014 http://www.cisco.com/cisco/web/support/ca/fr/109/1095/1095496_vpn3k-nat-lan2lan.html