• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

NAT ảnh hưởng đến VPN như thế nào?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • NAT ảnh hưởng đến VPN như thế nào?

    mạng theo sơ đồ
    Các host--->server---->firewall---->router---->HDSL--->Internet
    Do lựa chọn giải pháp phần mềm ISA để xây dựng VPN server nên thực thi tại server chứ không config FW và Router, NAT và PAT được thực hiện tại Firewall. Vậy việc NAT và PAT có ảnh hưởng gì tới lưu lượng VPN tạo ra từ VPN server không?
    Mong được chỉ giáo !!!!

  • #2
    Re: NAT ảnh hưởng đến VPN như thế nào?

    gio:

    Có thể tài liệu này giúp ích cho bạn.

    Thứ tự hoạt động của các tác vụ khác nhau đối với packet khi đi vào routers:

    Cisco is a worldwide technology leader. Our purpose is to power an inclusive future for all through software, networking, security, computing, and more solutions.


    Theo đó:

    Khi NAT inside ra outside, thứ tự xử lý của packet như sau:

    1. If IPSec then check input access list

    2. decryption - for CET (Cisco Encryption Technology) or IPSec

    3. check input access list

    4. check input rate limits

    5. input accounting

    6. policy routing

    7. routing

    8. redirect to web cache

    9. NAT inside to outside (local to global translation)

    10. crypto (check map and mark for encryption)

    11. check output access list

    12. inspect (Context-based Access Control (CBAC))

    13. TCP intercept

    14. encryption

    trong thứ tự trên, NAT diễn ra trước quá trình kiểm tra crypto. Do đó, bạn cần phải NO-NAT cho những traffic xuất phát từ private lan đến private lan.
    Hiểu một cách nôm na, khi dùng IPSec, ta đã tạo một tunnel từ mạng private đến mạng private. Do đó ta không cần thực hiện NAT đối với những traffic trên.

    Bạn có thể tham khảo thêm ở link này:
    Cisco is a worldwide technology leader. Our purpose is to power an inclusive future for all through software, networking, security, computing, and more solutions.


    Trong link này có cấu hình mẫu. Minh post đây cho mọi người tham khảo:


    daphne#show run
    Building configuration...

    Current configuration:
    !
    version 12.1
    hostname Daphne
    !
    enable secret 5 $1$RRh.$lDTQl51Xteq8ZLREFh/wC1
    enable password ww
    !--- IKE policies:

    crypto isakmp policy 10
    authentication pre-share
    crypto isakmp key ciscokey address 100.1.1.2
    !
    crypto ipsec transform-set to_fred esp-des esp-md5-hmac
    !

    !--- IPSec policies:

    crypto map myvpn 10 ipsec-isakmp
    !
    !
    set peer 100.1.1.2
    set transform-set to_fred

    !--- Include the private-network-to-private-network traffic
    !--- in the encryption process:

    match address 101
    !
    interface Loopback0
    ip address 1.1.1.1 255.255.255.0
    !
    interface Ethernet0/0
    ip address 10.1.1.1 255.255.255.0
    ip Nat inside
    ip route-cache policy
    ip policy route-map nonat
    no mop enabled
    !
    interface Ethernet0/1
    ip address 200.1.1.2 255.255.255.0
    ip Nat outside
    no mop enabled
    crypto map myvpn
    !

    !--- Except the private network from the NAT process:

    ip Nat inside source list 122 interface Ethernet0/1 overload
    ip Nat inside source static 10.1.1.3 200.1.1.25
    ip classless
    ip route 0.0.0.0 0.0.0.0 200.1.1.1
    no ip http server

    !--- Include the private-network-to-private-network traffic
    !--- in the encryption process:

    access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
    access-list 101 deny ip 10.1.1.0 0.0.0.255 any

    !--- Except the private network from the NAT process:

    access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
    access-list 122 deny ip host 10.1.1.3 any
    access-list 122 permit ip 10.1.1.0 0.0.0.255 any
    access-list 123 permit ip host 10.1.1.3 172.16.1.0 0.0.0.255
    dialer-list 1 protocol ip permit
    dialer-list 1 protocol ipx permit

    !--- Except the private network from the NAT process:

    route-map nonat permit 10
    match ip address 123
    set ip next-hop 1.1.1.2

    !
    end

    Fred:
    Current configuration:
    !
    version 12.1
    -encryption
    !
    hostname fred
    !
    enable secret 5 $1$Sf8G$fmRsv2xOLVcjfIzgxHHoR/
    enable password WW
    !

    !--- IKE Policies:

    crypto isakmp policy 10
    authentication pre-share
    crypto isakmp key ciscokey address 200.1.1.2

    !--- IPSec Policies:

    crypto ipsec transform-set to_fred ESP-Des esp-md5-hmac
    !
    crypto map myvpn 10 ipsec-isakmp
    set peer 200.1.1.2
    set transform-set to_fred

    !--- Include the private-network-to-private-network traffic
    !--- in the encryption process:

    match address 101

    !
    interface Ethernet0/0
    ip address 172.16.1.1 255.255.255.0
    ip Nat inside
    no mop enabled
    !
    interface Ethernet0/1
    ip address 100.1.1.2 255.255.255.0
    ip Nat outside
    no mop enabled
    crypto map myvpn
    !

    !--- Except the private network from the NAT process:

    ip Nat inside source list 175 pool interface Ethernet0/1 overload
    ip classless
    ip route 0.0.0.0 0.0.0.0 100.1.1.1
    no ip http server
    !

    !--- Include the private-network-to-private-network traffic
    !--- in the encryption process:

    access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

    !--- Except the private network from the NAT process:

    access-list 175 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
    access-list 175 permit ip 172.16.1.0 0.0.0.255 any

    Chú ý cách họ định nghĩa các route-map và các access-list để no-nat một số traffic từ private lan.

    Mong được trao đổi thêm.
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment


    • #3
      Thanks anh minh ,Một câu trả lời rất hay rõ ràng tỷ mỉ
      Tuyển sinh CCNA/CCNP-BSCI Bootcamp , Dịch vụ cho thuê Lab tại Hà nội
      VNE., JSC
      VNExperts IT Club
      P 403 Nhà A 347 Đội Cấn Ba Đình Hanoi
      Tel: 84 4 7623389, Fax: 84 4 7623389
      Mobile: 84 983608069
      Email: bachonlinevn@yahoo.com
      Yahoo chat :vnexperts_net
      http://www.vnexperts.net

      Comment

      Working...
      X