Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

IPSec NAT Transparency

Anuncio 
IPSec NAT Transparency
Contenidos
IPSec NAT Transparency
Contenidos
Restricciones de IPSec NAT Transparency
Información sobre IPSec NAT Transparency
Ventajas de IPSec NAT Transparency
Diseño de características de IPSec NAT Traversal
Negociación de la fase 1 IKE: detección de NAT
Negociación de la fase 2 IKE: decisión de NAT Traversal
Encapsulación UDP de paquetes IPSec para NAT Traversal
Proceso de encapulación UDP para motores de software: encapsulación ESP de modo de túnel y de transporte
Señales de mantenimiento de NAT
Cómo configurar NAT e IPSec
Configuración de NAT Traversal
Desactivación de NAT Traversal
Configuración de las señales de mantenimiento de NAT
Verificación de la configuración de IPSec
Ejemplos de configuración de IPSec y NAT
Ejemplo de configuración de señales de mantenimiento de NAT
Referencias adicionales
Documentos relacionados
Normas
MIB
RFC
Asistencia técnica
Referencia de comandos
crypto isamkp nat keepalive
access-list (IP extended)
show crypto ipsec sa
Glosario
IPSec NAT Transparency
La característica IPSec NAT Transparency incorpora el soporte para el tráfico de seguridad IP (IPSec) que circula a través de la traducción de
direcciones de red (NAT) o puntos de traducción de direcciones de punto (PAT) de la red resolviendo diversas incompatibilidades conocidas
entre NAT e IPSec.
Especificaciones de características de la característica IPSec NAT Transparency
Historial de características
Versión
Modificación
12.2(13)T
Se agregó esta característica.
Plataformas compatibles
Para las plataformas compatibles en la versión 12.2(13)T de Cisco IOS, consulte Cisco Feature Navigator.
Determinación de la compatibilidad de la plataforma a través de Cisco Feature Navigator
El software Cisco IOS está incluido en paquetes de conjuntos de características compatibles en plataformas específicas. Para obtener información
actualizada sobre la compatibilidad de la plataforma de esta característica, acceda a Cisco Feature Navigator. El Cisco Feature Navigator
actualiza de manera dinámica la lista de plataformas compatibles cuando se agrega un soporte nuevo de plataforma a la característica.
El Cisco Feature Navigator es una herramienta basada en la Web que le permite determinar qué imágenes del software Cisco IOS son
compatibles con un conjunto específico de características y qué características es compatible con una imagen específica del Cisco IOS. Puede
realizar la búsqueda por característica o por versión. En la sección de versión, puede comparar las versiones una junto a otra para poder ver tanto
las características que son únicas para cada versión de software como las características que éstas tienen en común.
Para acceder al Cisco Feature Navigator, debe tener una cuenta en Cisco.com. Si ha olvidado o perdido la información de la cuenta, envíe un
correo electrónico en blanco a [email protected]. Una prueba automática verificará que la dirección de correo electrónico esté registrada
en Cisco.com. Si la prueba se realiza con éxito, se le enviará un correo electrónico con los detalles de la cuenta junto con una contraseña nueva
aleatoria. Para crear una cuenta en Cisco.com, los usuarios calificados pueden seguir las instrucciones de la siguiente dirección URL:
http://www.cisco.com/cisco/web/LA/support/index.html
El Cisco Feature Navigator se actualiza regularmente cuando tienen lugar los principales lanzamientos tecnológicos y de software Cisco IOS.
Para consultar la información más actual, vaya a la página de inicio del Cisco Feature Navigator en la siguiente dirección URL:
http://www.cisco.com/cisco/web/LA/support/index.html
Disponibilidad de imágenes de Software Cisco IOS
La compatibilidad de la plataforma para determinadas versiones de Software Cisco IOS depende de la disponibilidad de las imágenes de software
para dichas plataformas. Es posible que las imágenes de software de algunas plataformas se posterguen, retrasen o cambien sin notificación
previa. Para obtener información actualizada sobre la compatibilidad de la plataforma y la disponibilidad de las imágenes de software para cada
versión de software Cisco IOS, consulte las notas en línea de las versiones o, si es compatible, consulte el Cisco Feature Navigator.
Contenidos
Restricciones de IPSec NAT Transparency
Información sobre IPSec NAT Transparency
Cómo configurar NAT e IPSec
Ejemplos de configuración de IPSec y NAT
Referencias adicionales
Referencia de comandos
Glosario
Restricciones de IPSec NAT Transparency
Aunque esta característica trata muchas incompatibilidades entre NAT e IPSec, seguirán dándose los siguientes problemas:
Dirección IP de intercambio de claves de Internet (IKE) y NAT
Esta incompatibilidad se produce únicamente cuando las direcciones IP se utilizan como clave de acceso para encontrar una clave previamente
compartida. Modificación de las direcciones IP de origen o de destino por NAT o por los resultados de NAT inversos en una discordancia entre la
dirección IP y la clave previamente compartida.
NAT y direcciones IP incluidas
Debido a que la carga útil está protegida íntegramente, NAT no puede traducir cualquier dirección IP cerrada dentro de los paquetes IPSec. Entre
los protocolos que utilizan direcciones IP incorporadas se incluyen FTP, Internet Relay Chat (IRC), el Protocolo de administración de red simple
(SNMP), el Protocolo ligero de acceso a directorios (LDAP), H.323 y el Protocolo de inicio de sesión (SIP).
Información sobre IPSec NAT Transparency
Para configurar la característica de IPSec NAT Transparency, debe entender los siguientes conceptos:
Ventajas de IPSec NAT Transparency
Diseño de características de IPSec NAT Traversal
Señales de mantenimiento de NAT
Ventajas de IPSec NAT Transparency
Antes de introducir esta característica, un túnel de red privada virtual (VPN) de IPSec estándar no funcionaría si hubiera uno o más puntos NAT
o PAT en la ruta de la entrega del paquete IPSec. Esta característica hace que IPSec se de cuenta de la presencia de NAT y así permite a los
usuarios de acceso remoto construir túneles IPSec hacia las gateways de inicio.
Diseño de características de IPSec NAT Traversal
La característica IPSec NAT Transparency introduce el soporte para que el tráfico IPSec se desplace a través de los puntos NAT o PAT de la red
mediante el encapsulación de paquetes IPSec en un envoltorio de protocolo de datagrama de usuario (UDP), que permite que los paquetes se
desplacen a través de los dispositivos NAT. En las siguientes secciones se definen los detalles de NAT traversal:
Negociación de la fase 1 IKE: detección de NAT
Negociación de la fase 2 IKE: decisión de NAT Traversal
Encapsulación UDP de paquetes IPSec para NAT Traversal
Proceso de encapulación UDP para motores de software: encapsulación ESP de modo de túnel y de transporte
Negociación de la fase 1 IKE: detección de NAT
Durante la negociación de la fase 1 de intercambio de claves de Internet (IKE), se detectan dos tipos de NAT antes de que comience el modo
rápido IKE—el soporte NAT y la existencia de NAT a lo largo de la ruta de la red.
Para detectar el soporte NAT, debe intercambiar la cadena de identificación del proveedor (ID) con el par remoto. Durante el modo principal
(MM) 1 y 2 de la fase 1 IKE, el par remoto envía una carga útil de la cadena de identificación del vendedor a su par para indicar que esta versión
admite NAT traversal. A partir de ese momento, se puede determinar la existencia de NAT en la ruta de la red.
La detección de la existencia de NAT en la ruta de la red le permitirá encontrar cualquier dispositivo NAT entre dos pares y la ubicación exacta
de NAT. Un dispositivo NAT puede traducir el puerto y la dirección IP privados a un valor público (o de público a privado). Esta traducción
cambia la dirección IP y el puerto si el paquete pasa por el dispositivo. Para detectar si un dispositivo NAT existe en la ruta de la red, los pares
deben enviar una carga útil con hash de la dirección IP y el puerto tanto de la direcciones fuente como de destino desde cada extremo. Si ambos
extremos calculan los hash y la coincidencia de hash, cada par sabrá que no existe un dispositivo NAT en la ruta de la red de entre ellos. Si los
hash no coinciden (es decir, la dirección o el puerto se ha traducido), entonces cada par necesita realizar NAT traversal para que el paquete IPSec
circule por la red.
Los hash se envían como series de carga útil de datos de descubrimiento NAT (NAT-D). Cada carga útil contiene un hash. Si existen varios hash,
se envían varias cargas útiles de datos NAT-D. En la mayoría de los entornos existen únicamente dos cargas útiles de datos NAT-D, una para la
dirección y el puerto de origen y otra para la dirección y el puerto de destino. Primero se envían las cargas útiles de los datos NAT-D de destino,
seguida de la carga de los datos NAT-D de origen, lo que implica que el receptor debe procesar primero la carga útil de los datos NAT-D locales
y después la carga de los datos NAT-D remotos. Las cargas útiles de los datos NAT-D están incluidas en los mensajes tercero y cuarto del modo
principal y en los mensajes segundo y tercero del modo agresivo (AM).
Negociación de la fase 2 IKE: decisión de NAT Traversal
Mientras que la fase 1 IKE detecta la compatibilidad y la existencia de NAT en la ruta de la red, la fase 2 IKE decide si los pares en ambos
extremos utilizarán NAT traversal. La carga útil de la asociación de seguridad (SA) del modo rápido (QM) se utiliza en QM1 y QM2 para la
negociación de NAT traversal.
Se pueden producir incompatibilidades entre NAT y IPSec debido a que el dispositivo NAT cambia de dirección IP y número de puerto. De esta
forma, para eludir incompatibilidades intercambie la dirección de origen inicial.
Encapsulación UDP de paquetes IPSec para NAT Traversal
Además de permitir que los paquetes IPSec atraviesen los dispositivos NAT, el encapsulación UDP también trata muchos de los problemas de
incompatibilidad entre IPSec, NAT y PAT. Los problemas resueltos son los siguientes:
Incompatibilidad entre IPSec ESP y PAT—Resuelto
Si PAT encontrara un puerto y una dirección IP legislativa, dejaría caer el paquete de carga útil de seguridad encapsulada (ESP). Para evitar esta
situación, se utiliza el encapsulación UDP para esconder el paquete ESP detrás del encabezado UDP. De esta forma, PAT trata el paquete ESP
como un paquete UDP y procesa el paquete ESP como un paquete UDP normal.
Incompatibilidad entre sumas de comprobación y NAT—Resuelto
En el nuevo encabezado UDP, al valor de suma de comprobación se le asigna siempre cero. Este valor evita que un dispositivo intermedio valide
la suma de comprobación en contra de la suma de comprobación del paquete y, de esta forma, se resuelve el problema de la suma de
comprobación TCP UDP, ya que NAT cambia la dirección IP de origen y de destino.
Incompatibilidad entre los puertos de destino IKE fijos y PAT—Resuelto
PAT cambia la dirección de puerto en el nuevo encabezado UDP para traducir y deja igual la carga útil original.
Para ver cómo ayuda el encapsulación UDP a enviar los paquetes IPSec, consulte la Figura 1 y la Figura 2.
Figura 1 Túnel IPSec estándar a través de un punto NAT/PAT (sin encapsulación UDP)
Figura 2 Paquete IPSec con encapsulación UDP
Proceso de encapulación UDP para motores de software: encapsulación ESP de modo de túnel y de transporte
Después de que un acelerador de hardware o un sistema de criptografía de software cifren el paquete IPSec, se insertan un encabezado UDP y un
marcador distinto de IKE (de 8 bytes de longitud) entre el encabezado IP original y el encabezado ESP. Los campos de longitud total, de
protocolo y de suma de comprobación se cambian para que coincidan con esta modificación. En la Figura 3, se muestra un paquete IPSec antes y
después de aplicarle el modo transporte. En la Figura 4, se muestra un paquete IPSec antes y después de aplicarle el modo de túnel.
Figura 3 Modo de transporte— paquete IPSec antes y después del encapsulación ESP
Figura 4 Modo de túnel— paquete IPSec antes y después del encapsulación ESP
Señales de mantenimiento de NAT
Las señales de mantenimiento de NAT se activan para mantener conectado la asignación dinámica de NAT durante la conexión entre dos pares.
Las señales de mantenimiento NAT son paquetes UDP con una carga útil no cifrada de 1 byte. Aunque la implementación actual de la detección
de par inactivo (DPD) es parecida a las señales de mantenimiento de NAT, existe una pequeña diferencia: DPD se utiliza para detectar el estado
del par, mientras que las señales de mantenimiento NAT se envían si la entidad IPSec no ha recibido o enviado el paquete en un período de
tiempo específico —el intervalo válido oscila entre los 5 y los 3600 segundos.
Si las señales de mantenimiento NAT están activadas (mediante el comando crypto isamkp nat keepalive), los usuarios deben asegurarse de que
el valor de inactividad sea menor que el tiempo de vencimiento de la asignación de NAT, es decir, 20 segundos.
Cómo configurar NAT e IPSec
En esta sección, se incluyen los siguientes procedimientos:
Configuración de NAT Traversal (opcional)
Desactivación de NAT Traversal (opcional)
Configuración de las señales de mantenimiento de NAT (opcional)
Verificación de la configuración de IPSec (opcional)
Configuración de NAT Traversal
NAT Traversal es una característica que los dispositivos VPN detectan de manera automática. El router con la versión 12.2(13)T de Cisco IOS no
dispone de pasos de configuración. Si los dispositivos VPN disponen de NAT-T, NAT Traversal se detectará y negociará de manera automática.
Desactivación de NAT Traversal
Si sabe que su red utiliza NAT de reconocimiento de IPSec (esquema de correspondencia de SPI), es posible que desee desactivar NAT
Traversal. Para desactivar NAT Traversal, utilice los siguientes comandos:
RESUMEN DE PASOS:
1. enable
2. configure terminal
3. no crypto ipsec nat-transparency udp-encapsulation
PASOS DETALLADOS
Comando o acción
Propósito
Paso 1
enable
Activa niveles de privilegios superiores, como el modo EXEC
con privilegios.
Ejemplo:
Introduzca la contraseña si se le solicita.
Router> enable
Paso 2
configure terminal
Introduce el modo de configuración global.
Ejemplo:
Router# configure terminal
Paso 3
no crypto ipsec nat-transparency udp-encapsulation
Ejemplo:
Desactiva NAT Traversal.
Router(config)# no crypto ipsec nat-transparency udpencapsulation
Configuración de las señales de mantenimiento de NAT
Para configurar el router para que envíe señales de mantenimiento de NAT, utilice los siguientes comandos:
RESUMEN DE PASOS:
1. enable
2. configure terminal
3. crypto isakmp nat keepalive segundos
PASOS DETALLADOS
Comando o acción
Paso 1
Propósito
enable
Activa niveles de privilegios superiores, como el modo EXEC con privilegios.
Ejemplo:
Introduzca la contraseña si se le solicita.
Router> enable
Paso 2
configure terminal
Introduce el modo de configuración global.
Ejemplo:
Router# configure terminal
Paso 3
crypto isakmp nat keepalive
segundos
Ejemplo:
Router(config)# crypto isakmp nat
Permite que un nodo IPSec envíe paquetes de señales de mantenimiento de NAT.
segundos: el número de segundos entre los paquetes de señales de mantenimiento;
el intervalo oscila entre los 5 y 3.600 segundos.
keepalive 20
Verificación de la configuración de IPSec
Para verificar la configuración, realice los siguientes pasos opcionales:
RESUMEN DE PASOS:
1. enable
2. show crypto ipsec sa [map nombre-asignación | address | identity] [detail]
PASOS DETALLADOS
Comando o acción
Paso 1
Propósito
enable
Activa niveles de privilegios superiores, como el modo
EXEC con privilegios.
Ejemplo:
Introduzca la contraseña si se le solicita.
Router> enable
Paso 2
show crypto ipsec sa [map nombre-asignación | address |
identity] [detail]
Muestra la configuración que utilizan las SA actuales.
Ejemplo:
Router# show crypto ipsec sa
Ejemplos de configuración de IPSec y NAT
Esta sección proporciona el siguiente ejemplo de configuración:
Ejemplo de configuración de señales de mantenimiento de NAT
Ejemplo de configuración de señales de mantenimiento de NAT
En el siguiente ejemplo, se muestra cómo activar las señales de mantenimiento de NAT para que se envíen cada 20 segundos:
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 1234 address 56.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 56.0.0.1
set transform-set t2
match address 101
Referencias adicionales
En las siguientes secciones encontrará referencias adicionales relacionadas con IPSec NAT Transparency:
Documentos relacionados
Normas
MIB
RFC
Asistencia técnica
Documentos relacionados
Tema relacionado
Título del documento
Tareas de configuración adicionales de NAT.
El capítulo "Configuring IP Addressing" de la Cisco IOS IP Configuration Guide,
versión 12.2
Comandos NAT adicionales
El capítulo "IP Addressing Commands" de Cisco IOS IP Command Reference,
Volume 1 of 3: Addressing and Services, versión 12.2
Tareas de configuración adicionales de IPSec
El capítulo "Configuring IPSec Network Security" de Cisco IOS Security
Configuration Guide, versión 12.2
Comandos IPSec adicionales
El capítulo "IPSec Network Security Commands" de Cisco IOS Security Command
Reference, versión 12.2
Información de la fase 1 y 2 de IKE, de modo
agresivo y de modo principal.
El capítulo "Configuring Internet Key Exchange Security Protocol" de Cisco IOS
Security Configuration Guide, versión 12.2
Información adicional sobre la detección de par
inactivo de IKE.
Easy VPN Server , módulo de la característica de Cisco IOS, versión 12.2(8)T
Normas
Normas
Título
Ninguno
—
MIB
MIB
Ninguno
Enlace de MIB
Para obtener las listas de las MIB compatibles con la plataforma y por la versión de Cisco IOS y para descargar los módulos
MIB, vaya al sitio web de MIB de Cisco en Cisco.com en la siguiente dirección URL:
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
Para localizar y descargar MIB para las plataformas seleccionadas, las versiones de Cisco IOS y los conjuntos de características, utilice el
localizador MIB de Cisco que se encuentra en la siguiente URL:
http://tools.cisco.com/ITDIT/MIBS/servlet/index
Si el localizador de MIB de Cisco no admite la información de MIB que necesita, también puede obtener una lista de las MIB compatibles y
descargarlas desde la página de MIB de Cisco en la siguiente URL:
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
Para acceder al localizador de MIB de Cisco, debe tener una cuenta en Cisco.com. Si ha olvidado o perdido la información de la cuenta, envíe un
correo electrónico en blanco a [email protected]. Una prueba automática verificará que la dirección de correo electrónico esté registrada
en Cisco.com. Si la prueba se realiza con éxito, se le enviará un correo electrónico con los detalles de la cuenta junto con una contraseña nueva
aleatoria. Para crear una cuenta en Cisco.com, los usuarios calificados pueden seguir las instrucciones de la siguiente dirección URL:
http://www.cisco.com/cisco/web/LA/support/index.html
RFC
RFC1
Título
RFC 2402
Encabezamiento de autenticación de IP
RFC 2406
Carga útil de seguridad encapsulada IP (ESP)
1No se enumeran todas las RFC compatibles.
Asistencia técnica
Descripción
La página de inicio del Centro de asistencia técnica (TAC) contiene 30.000
páginas en las que se pueden buscar contenidos técnicos que incluyen enlaces a
los productos, tecnologías, soluciones, consejos técnicos y herramientas. Los
usuarios registrados en Cisco.com pueden iniciar sesión desde esta página para
acceder a más contenido.
Enlace
http://www.cisco.com/cisco/web/LA/support/index.html
Referencia de comandos
En esta sección, se explican los comandos nuevos y modificados. El resto de los comandos que se utilizan con esta característica se explican en
las publicaciones de referencia de la versión 12.2 de Tcommand de Cisco IOS.
Comando nuevo
crypto isamkp nat keepalive
Comandos modificados
access-list (IP extended)
show crypto ipsec sa
crypto isamkp nat keepalive
Para permitir que un nodo de seguridad IP (IPSec) envíe paquetes de señales de mantenimiento de traducción de direcciones de redes (NAT),
utilice el comando crypto isakmp nat keepalive en el modo de configuración global. Para desactivar los paquetes de señales de mantenimiento
de NAT, utilice la forma de este comando con no.
crypto isakmp nat keepalive segundos
no crypto isakmp nat keepalive
Descripción de la sintaxis
segundos
Número de segundos entre los paquetes de señales de mantenimiento; el intervalo oscila entre los 5 y 3600 segundos.
Valores predeterminados
Los paquetes de señales de mantenimiento NAT no se han enviado.
Modos de comando
Configuración global
Historial de comando
Versión
Modificación
12.2(13)T
Se agregó este comando.
Pautas de uso
El comando crypto isakmp nat keepalive permite a los usuarios mantener conectado la asignación de NAT dinámica durante la conexión entre
dos pares. Se envía un batido de señales de mantenimiento de NAT si IPSec no envía ni recibe un paquete dentro de un período de tiempo
específico; el intervalo válido oscila entre los 5 y los 3600 segundos.
Si este comando está activado, los usuarios deben asegurarse de que el valor de inactividad sea menor que el tiempo de vencimiento de la
asignación de NAT, es decir, 20 segundos.
Ejemplos
En el siguiente ejemplo, se muestra cómo activar las señales de mantenimiento de NAT para que se envíen cada 20 segundos:
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 1234 address 56.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 56.0.0.1
set transform-set t2
match address 101
access-list (IP extended)
Para definir una lista de acceso de IP ampliado utilice la versión ampliada del comando de configuración global access-list. Para eliminar las
listas de acceso, utilice la fórmula de este comando con no.
Protocolo de datagrama de usuario (UDP)
También puede utilizar la siguiente sintaxis para UDP:
access-list número-lista-acceso [dynamic nombre-dinámico [timeout minutos]] {deny | permit} udp source comodín-origen [operator [
puerto]] destination comodín-destino [operator [puerto]] [precedence precedencia] [tos tos] [log | log-input] [time-range nombreintervalo-tiempo] [fragments]
Descripción de la sintaxis
número-listaacceso
Número de lista de acceso. Es un número decimal entre 100 y 199 o entre 2000 y 2699.
dynamic
nombredinámico
(Opcional) Identifica esta lista de acceso como una lista de acceso dinámica. Consulte el acceso Lock-and-Key que se
incluye en el capítulo "Configuring Lock-and-Key Security (Dynamic Access Lists)" de la Cisco IOS Security
Configuration Guide.
timeout minutos
(Opcional) Especifica el tiempo total en minutos que una entrada de lista de acceso temporal puede permanecer en una
lista de acceso dinámico. El valor predeterminado en minutos es infinito, lo que permite que una entrada pueda incluirse
de forma permanente. Consulte el acceso Lock-and-Key que se incluye en el capítulo "Configuring Lock-and-Key
Security (Dynamic Access Lists)" de la Cisco IOS Security Configuration Guide.
deny
Deniega el acceso si se dan las condiciones.
permit
Permite el acceso si se dan las condiciones.
protocolo
Nombre o número de un protocolo de Internet. Puede ser una de las palabras claves eigrp, gre, icmp, igmp, igrp, ip,
ipinip, nos, ospf, pim, tcp, o udp, o un número entero entre 0 y 255 que represente un número de protocolo de Internet.
Para que coincida con un protocolo de Internet (incluidos ICMP, TCP, y UDP) utilice la palabra clave ip. Algunos
protocolos permiten más calificadores que se describen a continuación.
source
Número de red o host desde el que se envía el paquete. Existen tres maneras alternativas de especificar el origen:
Utilizar una cantidad de 32 bits en formato decimal con cuatro partes.
Utilizar la palabra clave any como abreviatura de source y de un comodín–origen de 0.0.0.0 255.255.255.255.
Utilizar host source como abreviatura de un source y de un comodín-origen de source 0.0.0.0.
comodín-origen
Número de bits de comodín para aplicar al origen. Cada bit de comodín 0 indica la posición de bit correspondiente en el
origen. Cada bit de comodín configurado en 1 indica que tanto 0 bit como 1 bit en la posición correspondiente de la
dirección IP del paquete se considerarán coincidencias de esta entrada de lista de acceso.
Existen tres maneras alternativas de especificar un comodín de origen:
Utilizar una cantidad de 32 bits en formato decimal con cuatro partes. Coloque unos (1) en las posiciones de bit
que desea ignorar.
Utilizar la palabra clave any como abreviatura de source y de un comodín-origen de 0.0.0.0 255.255.255.255.
Utilizar host source como abreviatura de un source y comodón-origen de source 0.0.0.0.
Los bits de comodín configurados en 1 no necesitan ser contiguos en el comodín de origen. Por ejemplo, un comodín de
origen de 0.255.0.64 sería válido.
destination
Número de red o host al que se envía el paquete. Existen tres maneras alternativas de especificar un destino:
Utilizar una cantidad de 32 bits en formato decimal con cuatro partes.
Utilizar la palabra clave any como abreviatura de destination y comodín-destino de 0.0.0.0 255.255.255.255.
Utilizar host destination como abreviatura de destination y comodín-destino de destination 0.0.0.0.
comodín-destino
Número de bits de comodín para aplicar al destino. Existen tres maneras alternativas de especificar un comodín de
destino:
Utilizar una cantidad de 32 bits en formato decimal con cuatro partes. Coloque unos (1) en las posiciones de bit
que desea ignorar.
Utilizar la palabra clave any como abreviatura de destination y comodín-destino de 0.0.0.0 255.255.255.255.
Utilizar host destination como abreviatura de destination y comodín-destino de destination 0.0.0.0.
precedence
precedencia
(Opcional) Se pueden filtrar los paquetes por nivel de precedencia, especificándolos con un número entre 0 y 7 o con un
nombre, como se detalla en la sección "Pautas de uso".
tos tos
(Opcional) Se pueden filtrar los paquetes por nivel de tipo de servicio, especificándolos con un número entre 0 y 15 o
con un nombre, como se detalla en la sección "Pautas de uso".
log
(Opcional) Genera un mensaje de registro de información sobre el paquete que coincide con la entrada que se va a
enviar a la consola. (El nivel de mensajes registrados en la consola está controlado por el comando logging console).
El mensaje incluye el número de lista de acceso, si el paquete se ha permitido o denegado; el protocolo, si se trata de
TCP, UDP, ICMP o un número y, si corresponde, las direcciones y los números de puertos de origen y de destino. El
mensaje se genera para el primer paquete que coincida y, a continuación, a intervalos de 5 minutos, incluido el número
de paquetes permitidos o denegados en el intervalo de 5 minutos anterior.
La función de registro podría eliminar algunos paquetes de mensajes de registro si existen demasiados como para
manejarlos o si existe más de un mensaje de registro para manejar en un segundo. Este comportamiento impide que el
router sufra una caída debido a demasiados paquetes de registro. Por tanto, la función de registro no se debe utilizar
como herramienta de facturación o como origen preciso del número de coincidencias con una lista de acceso.
log-input
(Opcional) Incluye la interfaz de entrada y la dirección MAC de origen o VC en la salida de registro.
time-range
nombreintervalo-tiempo
(Opcional) Nombre del intervalo de tiempo que corresponde a esta sentencia. El nombre del intervalo de tiempo y sus
restricciones se especifican mediante el comando time-range.
operator
(Opcional) Compara los puertos fuente y de destino. Entre los posibles operandos se incluyen lt (menor que), gt (mayor
que), eq (igual a), neq (no igual a) y range (intervalo incluido).
Si se ha colocado el operador después de source y comodín-origen, debe coincidir con el puerto de origen.
Si se ha colocado el operador después de destination y comodín-destino, debe coincidir con el puerto de destino.
El operador range requiere dos números de puerto. El resto de operadores requiere uno.
puerto
(Opcional) El nombre o número decimal de un puerto TCP o UDP. Un número de puerto es un número entre 0 y 65535.
Los nombres de puertos TCP y UDP se enumeran en la sección "Pautas de uso". Los nombres de puertos TCP sólo se
pueden utilizar al filtrar TCP. Los nombres de puertos UDP sólo se pueden utilizar al filtrar UDP.
Los nombres de puertos TCP sólo se pueden utilizar al filtrar TCP. Los nombres de puertos UDP sólo se pueden utilizar
al filtrar UDP.
fragments
(Opcional) La entrada de lista de acceso se aplica a fragmentos no iniciales de paquetes. El fragmento se permite o
deniega de la forma correspondiente. Para obtener más detalles sobre la palabra clave fragments, consulte las secciones
"Procesamiento de fragmentos de lista de acceso" y "Fragmentos y enrutamiento de políticas" de la sección "Pautas de
uso".
Valores predeterminados
Una lista de acceso ampliado está predeterminada como una lista que lo deniega todo. Una sentencia deny implícita termina una lista de acceso
ampliado.
Modos de comando
Configuración global
Historial de comando
Versión
Modificación
10.0
Se agregó este comando.
10.3
Se han agregado los siguientes argumentos y palabras clave:
source
comodín-origen
destination
comodín-destino
precedence precedencia
icmp-type
icm-code
icmp-message
igmp-type
operator
puerto
established
11.1
Se han agregado la palabra clave y el argumento dynamic nombre-dinámico.
11.1
Se han agregado la palabra clave y el argumento timeout minutos.
11.2
Se ha agregado la palabra clave log-input.
12.0(1)T
Se han agregado la palabra clave y el argumento time-range nombre-intervalo-tiempo.
12.0(11) y 12.1(2)
Se ha agregado la palabra clave fragments.
12.2(13)T
La palabra clave non500-isakmp se ha agregado a la lista de los nombres de puertos UDP.
Pautas de uso
Puede utilizar las listas de acceso para controlar la transmisión de paquetes en una interfaz, controlar el acceso a vty y restringir el contenido de
las actualizaciones de enrutamiento. El Software Cisco IOS detiene la comprobación de la lista de acceso ampliado después de que se produce
una coincidencia.
Los paquetes IP fragmentados distintos del fragmento inicial son aceptados inmediatamente por una lista de acceso IP ampliado. Las listas de
acceso ampliado que se utilizan para controlar el acceso a vty o restringir el contenido de las actualizaciones de enrutamiento no deben coincidir
con el puerto de origen TCP, el valor de tipo de servicio (ToS) o la precedencia del paquete.
Nota Después de crear una lista de acceso numerada, cualquier adición posterior se coloca (posiblemente introducida desde la terminal) al
final de la lista. En otras palabras, no puede agregar o eliminar de forma selectiva las líneas de comandos de lista de acceso de una lista de
acceso numerada determinada.
A continuación se incluye una lista de nombres de precedencia:
crítico
flash
flash-override
inmediato
internet
network
prioridad
routine
A continuación se incluye una lista de nombres de puertos UDP que se pueden utilizar en lugar de los números de puertos. Consulte la RFC de
números asignados actuales para encontrar una referencia a estos protocolos. Los números de puertos que corresponden a estos protocolos
también se pueden encontrar si se escribe ? en el lugar de un número de puerto.
biff
bootpc
bootps
discard
dnsix
domain
echo
mobile-ip
nameserver
netbios-dgm
netbios-ns
non500-isamkmp
ntp
rip
snmp'
snmptrap
sunrpc
syslog
tacacs-ds
talk
tftp
time
who
xdmcp
Procesamiento de fragmentos de lista de acceso
El comportamiento de las entradas de lista de acceso con respecto al uso o la falta de la palabra clave fragments se puede resumir de la siguiente
forma:
Si la entrada de lista de acceso tiene...
...ninguna palabra clave fragments (el
comportamiento predeterminado) y siempre
que toda la información de entrada de lista de
acceso coincida,
Entonces...
En el caso de una entrada de lista de acceso que contenga sólo información de capa 3:
La entrada se aplica a paquetes sin fragmentar, fragmentos iniciales y no iniciales.
En el caso de una entrada de lista de acceso que contenga información de capa 3 y capa 4:
La entrada se aplica a paquetes no fragmentados e iniciales.
Si la entrada es una sentencia permit, se permiten el paquete o el fragmento.
Si la entrada es una sentencia deny, se deniegan el paquete o el fragmento.
La entrada también se aplica a fragmentos no iniciales de la siguiente forma. Debido
a que los fragmentos no iniciales contienen sólo información de capa 3, sólo se
puede aplicar la parte de capa 3 de una entrada de lista de acceso. Si la parte de capa
3 de la entrada de lista de acceso coincide y
Si la entrada es una sentencia permit, se permite el fragmento no inicial.
Si la entrada es una sentencia deny, se procesa la siguiente entrada de lista de
acceso.
Nota Las sentencias deny se manejan de forma diferente en el caso de los
fragmentos no iniciales frente a los fragmentos iniciales o no fragmentados.
...la palabra clave fragments y siempre que
toda la información de entrada de lista de
acceso coincida,
La entrada de lista de acceso se aplica sólo a fragmentos no iniciales.
Nota La palabra clave fragments no se puede configurar para una entrada de
lista de acceso que contenga cualquier información de capa 4.
Tenga en cuenta que no se debe agregar simplemente la palabra clave fragments a todas las entradas de lista de acceso, ya que el primer
fragmento del paquete IP no se considera un fragmento y se trata de manera independiente de los fragmentos posteriores. Un fragmento inicial no
coincidirá con una entrada permit o deny de lista de acceso que contenga la palabra clave fragments: el paquete se compara con la siguiente
entrada de lista de acceso y así en adelante, hasta que sea permitido o denegado por una entrada de lista de acceso que no contenga la palabra
clave fragments. Por tanto, es posible que necesite dos entradas de lista de acceso para todas las entradas deny. La primera entrada deny del par
no incluirá la palabra clave fragments y se aplica al fragmento inicial. La segunda entrada deny del par incluirá la palabra clave fragments y se
aplica a los fragmentos posteriores. En caso de que existan varias entradas de lista de acceso deny para el mismo host pero con diferentes puertos
de capa 4, lo único que se tiene que agregar es una sola entrada de lista de acceso deny con la palabra clave fragments al host. Además, la lista
de acceso maneja todos los fragmentos de un paquete de la misma forma.
Los fragmentos de paquetes de datagramas IP se consideran paquetes individuales y cada uno cuenta de forma individual como paquete en la lista
de acceso contable y en los recuentos de violación a la lista de acceso.
Nota La palabra clave fragments no puede solucionar todos los casos que implican fragmentos IP y listas de acceso.
Fragmentos y enrutamiento de políticas
La característica de control de fragmentos y la fragmentación afectan al enrutamiento de políticas si éste se basa en el comando match ip address
y la lista de acceso tenía entradas que coinciden con la información que va de la capa 4 a la 7. Es posible que los fragmentos no iniciales pasen la
lista de acceso y se enrute su política, incluso aunque el primero no tenía la política enrutada o a la inversa.
Mediante el uso de la palabra clave fragments en las entradas de lista de acceso como se ha descrito anteriormente, se puede obtener una mayor
coincidencia entre la acción llevada a cabo para los fragmentos iniciales y no iniciales y es más probable que el enrutamiento de políticas se
produzca según lo previsto.
Ejemplos
En el siguiente ejemplo, la interfaz de serie 0 forma parte de la red de clase B con la dirección 128.88.0.0, y la dirección del host de correo es
128.88.1.2. La palabra clave established se utiliza sólo para indicar que se ha establecido una conexión en el protocolo TCP. Se produce una
coincidencia si el datagrama TCP tiene configurados los bits ACK o RST, lo que indica que el paquete pertenece a una conexión existente.
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25
interface serial 0
ip access-group 102 in
En el siguiente ejemplo, se permiten los paquetes del sistema de nombres de dominio (DNS) y los paquetes echo ICMP y de respuesta de eco:
access-list
access-list
access-list
access-list
access-list
access-list
102
102
102
102
102
102
permit
permit
permit
permit
permit
permit
tcp any 128.88.0.0 0.0.255.255 established
tcp any host 128.88.1.2 eq smtp
tcp any any eq domain
udp any any eq domain
icmp any any echo
icmp any any echo-reply
En los siguientes ejemplos, se muestra cómo se utilizan los bits de comodín para indicar el número de bits del prefijo o la máscara que son
relevantes. Los bits de comodín son parecidos a las máscaras de bits que se utilizan con las listas de acceso normales. Los bits de máscara o
prefijo que corresponden a los bits de comodín configurados a 1 se ignoran durante las comparaciones y los bits de comodín o prefijo que
corresponden a bits de comodín configurados a 0 se utilizan en la comparación.
En el siguiente ejemplo, se permite 192.108.0.0 255.255.0.0, pero se deniega cualquier ruta más específica de 192.108.0.0 (incluida 192.108.0.0
255.255.255.0):
access-list 101 permit ip 192.108.0.0 0.0.0.0 255.255.0.0 0.0.0.0
access-list 101 deny ip 192.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255
En el siguiente ejemplo se permite 131.108.0/24 pero se deniega 131.108/16 y el resto de subredes de 131.108.0.0:
access-list 101 permit ip 131.108.0.0 0.0.0.0 255.255.255.0 0.0.0.0
access-list 101 deny ip 131.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255
En el siguiente ejemplo, se utiliza un intervalo de tiempo para denegar el tráfico HTTP de lunes a viernes, desde las 8:00 a.m. a las 6:00 p.m.:
time-range no-http
periodic weekdays 8:00 to 18:00
!
access-list 101 deny tcp any any eq http time-range no-http
!
interface ethernet 0
ip access-group 101 in
show crypto ipsec sa
Para mostrar la configuración utilizada por las asociaciones de seguridad actuales (SAs), utilice el comando EXEC show crypto ipsec sa.
show crypto ipsec sa [map nombre-asignación | address | identity] [detail]
Descripción de la sintaxis
map nombreasignación
(Opcional) Muestra cualquier asociación de seguridad existente creada para cualquier conjunto de asignación de
criptografía denominada nombre-asignación.
address
(Opcional) Muestra todas las asociaciones de seguridad existentes, ordenadas por la dirección de destino (ya sea la
dirección local o la dirección del par remoto de seguridad IP ) y, a continuación, por protocolo (encabezamiento de
autenticación o protocolo de seguridad encapsulada).
identity
(Opcional) Muestra sólo la información de flujo. No muestra la información de asociación de seguridad.
detail
(Opcional) Muestra contadores de errores detallados. (El valor predeterminado es contadores de error de envío y
recepción de alto nivel).
Modos de comando
EXEC
Historial de comando
Versión
Modificación
11.3 T
Se agregó este comando.
12.2(13)T
Los campos "remote crypto endpt" e "in use settings" se modificaron para soportar NAT traversal.
Pautas de uso
Si no se utiliza una palabra clave, se muestran todos los SAs. Se ordenan primero por interfaz y, a continuación, por flujo de tráfico (por ejemplo,
dirección fuente/destino, máscara, protocolo, puerto). Dentro de un flujo, los SAs se enumeran por protocolo (ESP/AH) y dirección
(entrante/saliente).
Ejemplos
A continuación se incluye un resultado de ejemplo del comando show crypto ipsec sa:
Router# show crypto ipsec sa
interface:FastEthernet0
Crypto map tag:testtag, local addr. 10.2.80.161
local ident (addr/mask/prot/port):(10.2.80.161/255.255.255.255/0/0)
remote ident (addr/mask/prot/port):(100.0.0.1/255.255.255.255/0/0)
current_peer:100.0.0.1:4500
PERMIT, flags={origin_is_acl,}
#pkts encaps:109, #pkts encrypt:109, #pkts digest 109
#pkts decaps:109, #pkts decrypt:109, #pkts verify 109
#pkts compressed:0, #pkts decompressed:0
#pkts not compressed:0, #pkts compr. failed:0, #pkts decompress failed:0
#send errors 90, #recv errors 0
local crypto endpt.:10.2.80.161, remote crypto endpt.:100.0.0.1:4500
path mtu 1500, media mtu 1500
current outbound spi:23945537
inbound esp sas:
spi:0xF423E273(4095992435)
transform:esp-des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
slot:0, conn id:200, flow_id:1, crypto map:testtag
sa timing:remaining key lifetime (k/sec):(4607996/2546)
IV size:8 bytes
replay detection support:Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi:0x23945537(596923703)
transform:esp-des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
slot:0, conn id:201, flow_id:2, crypto map:testtag
sa timing:remaining key lifetime (k/sec):(4607998/2519)
IV size:8 bytes
replay detection support:Y
outbound ah sas:
outbound pcp sas:
Glosario
IKE: intercambio de claves de Internet. Protocolo híbrido que implementa el intercambio de claves Oakley y Skeme dentro del marco Asociación
de seguridad en Internet y administración de claves (ISAKMP). Aunque IKE se puede utilizar con otros protocolos, su implementación inicial es
con IPSec. IKE proporciona la autenticación de pares IPSec, negocia las claves de IPSec y las asociaciones de seguridad IPSec (SAs).
IPSec: Seguridad IP. Marco de normativas abiertas desarrollado por el Grupo de trabajo en ingeniería de Internet (IETF). IPSec proporciona
seguridad para la transmisión de información confidencial por redes no protegidas, como Internet. IPSec actúa como capa de red, protegiendo y
autenticando paquetes IP entre los dispositivos IPSec que participan ("pares"), como los routers Cisco.
NAT: Traducción de dirección de red. Traduce una dirección IP privada utilizada dentro de la corporación en una dirección pública enrutable
para su uso fuera de la empresa, como Internet. Por NAT se entiende la asignación de direcciones individuales de privadas a públicas.
PAT: Traducción de dirección de puerto. Al igual que NAT, PAT también traduce direcciones IP a direcciones enrutables y públicas. A
diferencia de NAT, PAT proporciona una asignación de muchos a una direcciones privadas a una dirección pública; cada instancia de la dirección
pública se asocia a un número de puerto determinado para garantizar la unicidad. PAT se puede utilizar en entornos donde el costo de obtener un
intervalo de direcciones públicas es demasiado caro para una organización.
Nota Consulte Internetworking Terms and Acronyms para consultar los términos no incluidos en este glosario.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 14 Abril 2008
http://www.cisco.com/cisco/web/support/LA/8/81/81624_prod_sw_iosswrel_ps1839_prod_feature_guide09186a0080110bca.html
Documentos relacionados
Packet Tracer: configuración de NAT dinámica (instrucciones)
Packet Tracer: configuración de NAT dinámica (instrucciones)
Actividad de clase: Revisión de NAT
Actividad de clase: Revisión de NAT
Actividad de clase: NAT conceptual (instrucciones)
Actividad de clase: NAT conceptual (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Packet Tracer: implementación de NAT estática y dinámica (instrucciones)
Packet Tracer: implementación de NAT estática y dinámica (instrucciones)
Redes NAT
Redes NAT
Descargar
Anuncio
Anuncio