Results 1 to 3 of 3

Thread: NAT ảnh hưởng đến VPN như thế nào?

  1. #1
    gio Guest

    Default NAT ảnh hưởng đến VPN như thế nào?

    mạng theo sơ đồ
    Các host--->server---->firewall---->router---->HDSL--->Internet
    Do lựa chọn giải pháp phần mềm ISA để xây dựng VPN server nên thực thi tại server chứ không config FW và Router, NAT và PAT được thực hiện tại Firewall. Vậy việc NAT và PAT có ảnh hưởng gì tới lưu lượng VPN tạo ra từ VPN server không?
    Mong được chỉ giáo !!!!

  2. #2
    Join Date
    Oct 2005
    Location
    HCMC
    Posts
    3,959

    Default Re: NAT ảnh hưởng đến VPN như thế nào?

    gio:

    Có thể tài liệu này giúp ích cho bạn.

    Thứ tự hoạt động của các tác vụ khác nhau đối với packet khi đi vào routers:

    http://www.cisco.com/warp/customer/556/5.html

    Theo đó:

    Khi NAT inside ra outside, thứ tự xử lý của packet như sau:

    1. If IPSec then check input access list

    2. decryption - for CET (Cisco Encryption Technology) or IPSec

    3. check input access list

    4. check input rate limits

    5. input accounting

    6. policy routing

    7. routing

    8. redirect to web cache

    9. NAT inside to outside (local to global translation)

    10. crypto (check map and mark for encryption)

    11. check output access list

    12. inspect (Context-based Access Control (CBAC))

    13. TCP intercept

    14. encryption

    trong thứ tự trên, NAT diễn ra trước quá trình kiểm tra crypto. Do đó, bạn cần phải NO-NAT cho những traffic xuất phát từ private lan đến private lan.
    Hiểu một cách nôm na, khi dùng IPSec, ta đã tạo một tunnel từ mạng private đến mạng private. Do đó ta không cần thực hiện NAT đối với những traffic trên.

    Bạn có thể tham khảo thêm ở link này:
    http://www.cisco.com/warp/customer/707/static.html

    Trong link này có cấu hình mẫu. Minh post đây cho mọi người tham khảo:


    daphne#show run
    Building configuration...

    Current configuration:
    !
    version 12.1
    hostname Daphne
    !
    enable secret 5 $1$RRh.$lDTQl51Xteq8ZLREFh/wC1
    enable password ww
    !--- IKE policies:

    crypto isakmp policy 10
    authentication pre-share
    crypto isakmp key ciscokey address 100.1.1.2
    !
    crypto ipsec transform-set to_fred esp-des esp-md5-hmac
    !

    !--- IPSec policies:

    crypto map myvpn 10 ipsec-isakmp
    !
    !
    set peer 100.1.1.2
    set transform-set to_fred

    !--- Include the private-network-to-private-network traffic
    !--- in the encryption process:

    match address 101
    !
    interface Loopback0
    ip address 1.1.1.1 255.255.255.0
    !
    interface Ethernet0/0
    ip address 10.1.1.1 255.255.255.0
    ip Nat inside
    ip route-cache policy
    ip policy route-map nonat
    no mop enabled
    !
    interface Ethernet0/1
    ip address 200.1.1.2 255.255.255.0
    ip Nat outside
    no mop enabled
    crypto map myvpn
    !

    !--- Except the private network from the NAT process:

    ip Nat inside source list 122 interface Ethernet0/1 overload
    ip Nat inside source static 10.1.1.3 200.1.1.25
    ip classless
    ip route 0.0.0.0 0.0.0.0 200.1.1.1
    no ip http server

    !--- Include the private-network-to-private-network traffic
    !--- in the encryption process:

    access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
    access-list 101 deny ip 10.1.1.0 0.0.0.255 any

    !--- Except the private network from the NAT process:

    access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
    access-list 122 deny ip host 10.1.1.3 any
    access-list 122 permit ip 10.1.1.0 0.0.0.255 any
    access-list 123 permit ip host 10.1.1.3 172.16.1.0 0.0.0.255
    dialer-list 1 protocol ip permit
    dialer-list 1 protocol ipx permit

    !--- Except the private network from the NAT process:

    route-map nonat permit 10
    match ip address 123
    set ip next-hop 1.1.1.2

    !
    end

    Fred:
    Current configuration:
    !
    version 12.1
    -encryption
    !
    hostname fred
    !
    enable secret 5 $1$Sf8G$fmRsv2xOLVcjfIzgxHHoR/
    enable password WW
    !

    !--- IKE Policies:

    crypto isakmp policy 10
    authentication pre-share
    crypto isakmp key ciscokey address 200.1.1.2

    !--- IPSec Policies:

    crypto ipsec transform-set to_fred ESP-Des esp-md5-hmac
    !
    crypto map myvpn 10 ipsec-isakmp
    set peer 200.1.1.2
    set transform-set to_fred

    !--- Include the private-network-to-private-network traffic
    !--- in the encryption process:

    match address 101

    !
    interface Ethernet0/0
    ip address 172.16.1.1 255.255.255.0
    ip Nat inside
    no mop enabled
    !
    interface Ethernet0/1
    ip address 100.1.1.2 255.255.255.0
    ip Nat outside
    no mop enabled
    crypto map myvpn
    !

    !--- Except the private network from the NAT process:

    ip Nat inside source list 175 pool interface Ethernet0/1 overload
    ip classless
    ip route 0.0.0.0 0.0.0.0 100.1.1.1
    no ip http server
    !

    !--- Include the private-network-to-private-network traffic
    !--- in the encryption process:

    access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

    !--- Except the private network from the NAT process:

    access-list 175 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
    access-list 175 permit ip 172.16.1.0 0.0.0.255 any

    Chú ý cách họ định nghĩa các route-map và các access-list để no-nat một số traffic từ private lan.

    Mong được trao đổi thêm.
    Đặng Quang Minh, CCIE#11897 CCSI#31417

    Email : dangquangminh@vnpro.org

    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  3. #3
    Join Date
    May 2003
    Posts
    245

    Default

    Thanks anh minh ,Một câu trả lời rất hay rõ ràng tỷ mỉ
    Tuyển sinh CCNA/CCNP-BSCI Bootcamp , Dịch vụ cho thuê Lab tại Hà nội
    VNE., JSC
    VNExperts IT Club
    P 403 Nhà A 347 Đội Cấn Ba Đình Hanoi
    Tel: 84 4 7623389, Fax: 84 4 7623389
    Mobile: 84 983608069
    Email: bachonlinevn@yahoo.com
    Yahoo chat :vnexperts_net
    http://www.vnexperts.net

Similar Threads

  1. Replies: 21
    Last Post: 21-06-2004, 01:02 PM
  2. Replies: 5
    Last Post: 16-02-2004, 09:46 AM
  3. Mất điện đột xuất ảnh hưởng những gì đến Router, IOS...
    By notme in forum ICND 1 - Basic Router/Switch Config
    Replies: 12
    Last Post: 09-08-2003, 06:39 PM
  4. Replies: 4
    Last Post: 04-08-2003, 02:01 AM
  5. Replies: 0
    Last Post: 31-05-2003, 02:48 AM

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  
Website game điện thoại:Bigone