Konfigurieren eines Cisco 827 für PPPoE mit VPN IPSec NAT-Überladung
Inhalt
Einführung
Der Cisco 827 Router ist in der Regel ein DSL-Gerät am Kundenstandort (CPE). In dieser Beispielkonfiguration wird der Cisco 827 für Point-to-Point Protocol over Ethernet (PPPoE) konfiguriert und als Peer in einem LAN-to-LAN IPSec-Tunnel mit einem Cisco 3600-Router verwendet. Der Cisco 827 überlastet außerdem Network Address Translation (NAT), um eine Internetverbindung für sein internes Netzwerk bereitzustellen.
Bevor Sie beginnen
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.
Voraussetzungen
Beachten Sie bei der Konfiguration Folgendes.
-
Stellen Sie sicher, dass PPPoE funktioniert, bevor Sie eine Konfiguration für IPSec VPN in Cisco 827 hinzufügen. Um den PPPoE-Client auf dem Cisco 827 zu debuggen, müssen Sie den Protokoll-Stack berücksichtigen. Sie sollten die Fehlerbehebung in der folgenden Reihenfolge durchführen.
-
Physischer DSL-Layer
-
ATM-Schicht
-
Ethernet-Layer
-
PPP-Ebene
-
-
In dieser Beispielkonfiguration hat der Cisco 827 eine statische IP-Adresse. Wenn Ihr Cisco 827 über eine dynamische IP-Adresse verfügt, finden Sie in diesem Dokument weitere Informationen unter Konfigurieren von Dynamic-to-Static IPSec mit NAT.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den unten stehenden Software- und Hardwareversionen.
-
Cisco 827 12.1(5)YB4
-
Cisco 3600 12.1(5)T8
-
Cisco 6400 12.1(1)DC1
Die in diesem Dokument enthaltenen Informationen wurden aus Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Sie in einem Live-Netzwerk arbeiten, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen, bevor Sie es verwenden.
Konfigurieren
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
Netzwerkdiagramm
In diesem Dokument wird die im Diagramm unten dargestellte Netzwerkeinrichtung verwendet.
Konfigurationen
In diesem Dokument werden die unten angegebenen Konfigurationen verwendet.
Hinweis: Um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten, verwenden Sie das Command Lookup Tool (nur registrierte Kunden).
| Cisco 827 (CPE) |
|---|
version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 827 ! logging rate-limit console 10 except errors ! ip subnet-zero no ip finger ! no ip dhcp-client network-discovery vpdn enable no vpdn logging ! vpdn-group pppoe request-dialin protocol pppoe ! ! ! crypto isakmp policy 20 encr 3des authentication pre-share group 2 crypto isakmp key sharedkey address 30.30.30.30 ! ! crypto ipsec transform-set dsltest esp-3des esp-md5-hmac ! crypto map test 10 ipsec-isakmp set peer 30.30.30.30 set transform-set dsltest match address 101 ! interface Ethernet0 ip address 192.168.100.100 255.255.255.0 ip nat inside ! interface ATM0 no ip address no atm ilmi-keepalive bundle-enable dsl operating-mode ansi-dmt ! interface ATM0.1 point-to-point pvc 0/33 !--- This is usually provided by the ISP. protocol pppoe pppoe-client dial-pool-number 1 ! ! interface Dialer1 ip address 20.20.20.20 255.255.255.0 !--- This is provided by the ISP. !--- Another variation is ip address negotiated. ip mtu 1492 ip Nat outside encapsulation ppp no ip route-cache no ip mroute-cache dialer pool 1 ppp authentication chap callin ppp chap hostname testuser ppp chap password 7 00071A1507545A545C crypto map test ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server ! ip Nat inside source route-map nonat interface Dialer1 overload access-list 1 permit 192.168.100.0 0.0.0.255 access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 105 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 105 permit ip 192.168.100.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 105 ! ! line con 0 transport input none stopbits 1 line vty 0 4 login ! scheduler max-task-time 5000 end |
| Routerleuchte |
|---|
version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! boot system flash:c3660-jk2s-mz.121-5.T8.bin logging buffered 4096 debugging logging rate-limit console 10 except errors ! ip subnet-zero ! no ip finger ! ip cef ! crypto isakmp policy 20 encr 3des authentication pre-share group 2 crypto isakmp key sharedkey address 20.20.20.20 ! crypto ipsec transform-set dsltest esp-3des esp-md5-hmac ! crypto map test 10 ipsec-isakmp set peer 20.20.20.20 set transform-set dsltest match address 101 ! call rsvp-sync cns event-service server ! ! ! controller E1 2/0 ! ! interface FastEthernet0/0 ip address 192.168.200.200 255.255.255.0 ip Nat inside duplex auto speed auto ! interface FastEthernet0/1 ip address 30.30.30.30 255.255.255.0 ip Nat outside duplex auto speed auto crypto map test ! interface Serial1/0 no ip address shutdown ! interface Serial1/1 no ip address shutdown ! interface Serial1/2 no ip address shutdown ! interface Serial1/3 no ip address shutdown ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip kerberos source-interface any ip Nat inside source route-map nonat interface FastEthernet0/1 overload ip classless ip route 0.0.0.0 0.0.0.0 30.30.30.1 ip http server ! access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 105 deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 105 permit ip 192.168.200.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 105 ! ! dial-peer cor custom ! ! line con 0 exec-timeout 0 0 transport input none line 97 108 line aux 0 line vty 0 4 login ! end |
Überprüfen
Dieser Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Bestimmte show-Befehle werden vom Output Interpreter Tool unterstützt (nur registrierte Kunden), mit dem Sie eine Analyse der show-Befehlsausgabe anzeigen können.
Hinweis: Um genau zu verstehen, was die folgenden Befehle anzeigen, finden Sie weitere Informationen unter IP Security Troubleshooting - Understanding and Using Debug Commands.
-
show crypto isakmp sa - Zeigt die ISAKMP-Sicherheitszuordnung (Internet Security Association Management Protocol) zwischen Peers.
-
show crypto ipsec sa - Zeigt die zwischen Peers erstellte IPSec SA.
-
show crypto engine connections active - Zeigt jede erstellte Phase 2 SA und die Menge des gesendeten Datenverkehrs an.
Router IPSec Good show Command
-
show crypto isakmp sa
Cisco 827 (CPE)
DT src Staat conn-id Steckplatz 30.30.30.30 20.20.20.20 QM-IDLE 1 0 Routerleuchte
DT src Staat conn-id Steckplatz 30.30.30.30 20.20.20.20 QM_IDLE 1 0 -
Zeigen Sie Crypto Engine-Verbindungen aktiv an.
Cisco 827 (CPE)
ID Schnittstelle IP-Adresse Staat Algorithmus Verschlüsseln Entschlüsseln 1 <keine> <keine> festlegen HMAC_SHA+3DES_56_C 0 0 2000 Wählen 1 20.20.20.20 festlegen HMAC_MD5+3DES_56_C 0 104 2001 Wählen 1 20.20.20.20 festlegen HMAC_MD5+3DES_56_C 104 0 Routerleuchte
ID Schnittstelle IP-Adresse Staat Algorithmus Verschlüsseln Entschlüsseln 1 FastEthernet0/1 30.30.30.30 festlegen HMAC_SHA+3DES_56 0 0 1960 FastEthernet0/1 30.30.30.30 festlegen HMAC_MD5+3DES_56_C 0 104 1961 FastEthernet0/1 30.30.30.30 festlegen HMAC_MD5+3DES_56_C 104 0 -
show crypto ipsec sa
827#show crypto ipsec sa
interface: Dialer1
Crypto map tag: test, local addr. 20.20.20.20
local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
current_peer: 30.30.30.30
PERMIT, flags={origin_is_acl,}
#pkts encaps: 208, #pkts encrypt: 208, #pkts digest 208
#pkts decaps: 208, #pkts decrypt: 208, #pkts verify 208
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0
local crypto endpt.: 20.20.20.20, remote crypto endpt.: 30.30.30.30
path mtu 1500, media mtu 1500
current outbound spi: 4FE59EF2
inbound esp sas:
spi: 0x3491ACD6(881962198)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: test
sa timing: remaining key lifetime (k/sec): (4607840/3301)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x4FE59EF2(1340448498)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: test
sa timing: remaining key lifetime (k/sec): (4607837/3301)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas:
interface: Virtual-Access1
Crypto map tag: test, local addr. 20.20.20.20
local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
current_peer: 30.30.30.30
PERMIT, flags={origin_is_acl,}
#pkts encaps: 208, #pkts encrypt: 208, #pkts digest 208
#pkts decaps: 208, #pkts decrypt: 208, #pkts verify 208
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0
local crypto endpt.: 20.20.20.20, remote crypto endpt.: 30.30.30.30
path mtu 1500, media mtu 1500
current outbound spi: 4FE59EF2
inbound esp sas:
spi: 0x3491ACD6(881962198)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: test
sa timing: remaining key lifetime (k/sec): (4607840/3301)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x4FE59EF2(1340448498)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: test
sa timing: remaining key lifetime (k/sec): (4607837/3301)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas:
Fehlerbehebung
Dieser Abschnitt enthält Informationen zur Fehlerbehebung in Ihrer Konfiguration.
Befehle zur Fehlerbehebung
Hinweis: Bevor Sie Debug-Befehle ausgeben, finden Sie wichtige Informationen über Debug-Befehle und IP-Sicherheitsfehlerbehebung - Verständnis und Verwenden von Debug-Befehlen.
-
debug crypto ipsec- Zeigt die IPSec-Verhandlungen von Phase 2.
-
debug crypto isakmp - Zeigt die ISAKMP-Verhandlungen für Phase 1.
-
debug crypto engine - Zeigt den verschlüsselten Datenverkehr an.
-
ping - Zeigt die Verbindung durch den VPN-Tunnel an und kann zusammen mit Debug- und Show-Befehlen verwendet werden.
827#ping Protocol [ip]: Target IP address: 192.168.200.200 Repeat count [5]: 100 Datagram size [100]: 1600 Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.100.100 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 100, 1600-byte ICMP Echos to 192.168.200.200, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Success rate is 100 percent (100/100), round-trip min/avg/max = 264/266/276 ms
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
02-Feb-2006 |
Erstveröffentlichung |
Feedback