La création de tunnels en mode transparent assure la sécurité des transmissions entre le Client VPN et une passerelle de sécurité au moyen d'un routeur servant de pare-feu, qui peut également effectuer la traduction d'adresses de réseau (NAT) ou la traduction d'adresses de port (PAT). La mise en tunnel en mode transparent encapsule le trafic Protocol-50 (ESP) dans des paquets UDP et peut permettre l'encapsulation des données IKE (UDP 500) et Protocol-50 dans des paquets TCP avant qu'ils ne soient envoyés par les dispositifs de traduction NAT ou PAT et les pare-feu. Elle est le plus souvent utilisée en arrière-plan d'un routeur domestique effectuant la traduction d'adresses de port.
Le Client VPN envoie fréquemment des requêtes de connexion rémanente (KeepAlive) pour s'assurer que les mappages sur les dispositifs demeurent actifs.
Cependant, certains dispositifs n'acceptent pas plusieurs connexions simultanées en arrière-plan. Certains ne peuvent pas mapper des sessions supplémentaires à des ports sources uniques. Vous devez donc vérifier auprès du fournisseur du dispositif si ces restrictions s'appliquent. Certains fournisseurs prennent en charge la traduction d'adresses de port Protocol-50 (ESP) (intercommunication IPSec), qui peut vous permettre de travailler sans activer les tunnels en mode transparent.
Pour pouvoir utiliser les tunnels en mode transparent, le groupe central doit être configuré à cet effet dans le dispositif VPN Cisco. Pour voir un exemple de cette configuration, reportez-vous à VPN 3000 Concentrator Manager, Configuration | User Management | Groups | onglet IPSec (voir VPN 3000 Series Concentrator Reference Volume 1: Configuration ou l'aide en ligne du gestionnaire du concentrateur VPN 3000).
Ce paramètre est activé par défaut. Pour le désactiver, désélectionnez cette option. Nous recommandons toutefois de laisser ce paramètre activé en tout temps.
Vous devez ensuite choisir un mode de création de tunnels transparents, avec le protocole UDP ou TCP. Le mode choisi doit correspondre à celui utilisé par la passerelle de sécurité à laquelle vous vous connectez. Ces deux modes fonctionnent correctement avec un dispositif PAT. En général, le protocole TCP est préférable dans le cas de connexions multiples simultanées et lorsque vous travaillez dans un environnement réseau extranet. Le protocole UDP ne fonctionne pas avec les pare-feu dynamiques et vous devez donc utiliser TCP le cas échéant.
Copyright © 1998-2003, Cisco Systems, Inc. Tous droits réservés.