Ce document explique l'utilisation de la fonctionnalité Easy IP du logiciel Cisco IOS® qui est utile dans les cas où un site entier se connecte à Internet via un fournisseur d'accès à Internet (FAI) qui n'attribue qu'une seule adresse IP pour l'ensemble du site distant. Le routeur Easy IP compose le numéro du serveur d'accès réseau (NAS) du fournisseur de services et négocie sa propre adresse IP WAN. Le routeur utilise ensuite la traduction d'adresses de réseau (NAT) via cette adresse négociée avec la traduction d'adresses de port (PAT) pour fournir un accès externe aux clients internes. Une autre fonction facultative du routeur Easy IP est d'agir en tant que serveur DHCP (Dynamic Host Configuration Protocol) sur les clients internes du réseau local. Le routeur SOHO (Small Office, Home Office) de Cisco est couramment utilisé dans ce type de configuration.
Aucune condition préalable spécifique n'est requise pour ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Easy IP Router - Un Cisco 3620 avec quatre interfaces Ethernet et huit interfaces BRI exécutant le logiciel Cisco IOS version 12.0 (7) XK2.
Access Server : Cisco AS5300 avec un port Ethernet, un port Fast Ethernet et quatre ports T1/PRI multicanaux fractionnés exécutant la version 12.1(7) du logiciel Cisco IOS.
Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.
Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.
Protocole point à point (PPP)/protocole de contrôle IP (IPCP) : Ceci est défini dans RFC 1332 . Le protocole IPCP permet de configurer dynamiquement des adresses IP sur PPP. Un routeur Cisco IOS Easy IP utilise PPP/IPCP pour négocier dynamiquement sa propre adresse IP d'interface WAN enregistrée à partir d'un serveur d'accès central ou d'un serveur DHCP.
NAT : Fonctionne sur un routeur qui relie deux réseaux ou plus. Dans Easy IP, au moins un de ces réseaux (désigné comme « interne » ou « LAN ») est adressé avec des adresses privées qui doivent être converties en adresse enregistrée avant que les paquets puissent être transférés à l'autre réseau enregistré (désigné comme « externe » ou « WAN »). Dans le contexte d’Easy IP, la traduction d’adresses de port (PAT) est utilisée pour traduire toutes les adresses privées internes en une seule adresse IP externe enregistrée.
DHCP aux clients LAN : Il s’agit d’une fonction facultative du routeur Cisco Easy IP qui peut être utilisée pour attribuer des adresses IP aux clients LAN internes. D'autres méthodes d'attribution d'adresses IP aux clients, telles que les affectations statiques ou l'utilisation d'un serveur de PC DHCP, peuvent également être utilisées.
Si le routeur Easy IP est configuré en tant que serveur DHCP, les clients internes du réseau local reçoivent une adresse IP privée de sa part lors de la mise sous tension. S'il n'est pas configuré en tant que tel, une adresse IP doit leur être attribuée d'une autre manière.
Lorsqu'un client interne de réseau local génère un trafic « intéressant » (tel que défini par les listes de contrôle d'accès) pour la connexion commutée, le routeur Easy IP compose et demande une adresse IP enregistrée unique à partir du serveur d'accès du site central via PPP/IPCP. Une fois cette connexion établie, d’autres clients LAN internes peuvent utiliser ce circuit comme expliqué à l’étape 4.
Le serveur d'accès au site central répond avec une adresse globale dynamique à partir d'un pool d'adresses IP locales qui est attribué à l'interface WAN du routeur Easy IP.
Le routeur Easy IP utilise la PAT pour créer automatiquement une traduction qui associe l'adresse IP enregistrée de l'interface WAN à l'adresse IP privée du client interne du LAN et une connexion au serveur d'accès au site central est établie.
Pour une compréhension plus détaillée de Easy IP, reportez-vous au livre blanc - Cisco IOS Easy IP.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Ce document utilise la configuration réseau indiquée dans le diagramme suivant :
Ce document utilise la configuration suivante :
Routeur IP facile |
---|
EasyIP#show running-config Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname EasyIP ! username ISP-AS password 0 ipnegotiate ! --- Username for remote router (ISP-AS) and shared secret. ! --- Shared secret(used for CHAP) must be the same on both sides. ip subnet-zero no ip domain-lookup no ip dhcp conflict logging ! --- Disable the recording of DHCP address conflicts on the DHCP server. ip dhcp excluded-address 10.0.0.1 ! --- Specifies a IP address that the DHCP server should not assign to clients. ip dhcp pool soho ! --- Configure the DHCP address pool name and enter DHCP pool configuration mode. network 10.0.0.0 255.0.0.0 ! --- Specifies the subnet network number and mask of the DHCP address pool. default-router 10.0.0.1 ! --- Specifies the IP address of the default router for a DHCP clients. lease infinite ! --- Specifies the duration of the lease. ! isdn switch-type basic-5ess isdn voice-call-failure 0 ! interface Ethernet0/0 ip address 10.0.0.1 255.0.0.0 ! --- IP address for the Ethernet interface. no ip directed-broadcast ip nat inside ! --- Defines the interface as internal for network address translation. ! ! Unused ethernet interfaces omitted for brevity ! interface BRI1/0 ip address negotiated ! --- Enables PPP/IPCP negotiation for this interface. no ip directed-broadcast ip nat outside ! --- Defines the interface as external for network address translation. encapsulation ppp dialer idle-timeout 60 ! --- Idle timeout(in seconds)for this BRI interface. dialer string 97771200 ! --- Specifies the telephone number required to reach the central access server. dialer-group 1 ! --- Apply interesting traffic defined in dialer-list 1. isdn switch-type basic-5ess ppp authentication chap ! !-- Unused BRI interfaces omitted for brevity. ! ip nat inside source list 100 interface BRI1/0 overload ! --- Establishes dynamic source translation (with PAT) for addresses which are ! --- identified by the access list 100. ip classless ip route 0.0.0.0 0.0.0.0 BRI1/0 permanent ! --- Default route is via BRI1/0. no ip http server ! access-list 100 permit ip 10.0.0.0 0.255.255.255 any ! --- Defines an access list permitting those addresses that are to be translated. dialer-list 1 protocol ip permit ! --- Interesting traffic is defined by dialer-list1. ! --- This is applied to BRI1/0 using dialer-group 1. line con 0 transport input none line aux 0 line vty 0 4 login ! end |
Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.
certaines commandes show sont prises en charge par l'outil Interpréteur de sortie, qui vous permet d'afficher une analyse de la sortie de la commande show.
show ip interface brief - Affiche l'état de l'interface et l'adresse IP configurée sur l'interface.
show interfaces - Fournit des informations de haut niveau sur l'état de l'interface d'une interface particulière.
show ip nat statistics - Affiche les statistiques NAT (Network Address Translation).
show ip nat translations - Affiche les traductions NAT actives.
show isdn status - Affiche l'état de chaque couche RNIS. Vérifie que les couches 1 et 2 RNIS fonctionnent. Reportez-vous au document Utilisation de la commande show isdn status pour le dépannage BRI pour plus d'informations de dépannage.
show dialer - Affiche les informations de numérotation.
Les résultats de la commande show suivants, qui sont exécutés avant que le routeur Easy IP ne lance la connexion commutée au serveur d'accès au site central, indiquent que l'interface BRI1/0 est active et n'a pas d'adresse IP mais que l'adresse IP sera négociée à l'aide du protocole IPCP.
EasyIP#show ip interface brief Interface IP-Address OK? Method Status Prol Ethernet0/0 10.0.0.1 YES manual up up Ethernet0/1 unassigned YES manual administratively down dow Ethernet0/2 unassigned YES manual administratively down dow Ethernet0/3 unassigned YES manual administratively down dow BRI1/0 unassigned YES IPCP up up ! -- Interface is Up, but no IP Address is assigned since it is not connected BRI1/0:1 unassigned YES unset down dow BRI1/0:2 unassigned YES unset down dow ! -- Both B-channels are down BRI1/1 unassigned YES manual administratively down dow BRI1/1:1 unassigned YES unset administratively down dow BRI1/1:2 unassigned YES unset administratively down dow EasyIP#show interfaces bri1/0 BRI1/0 is up, line protocol is up (spoofing) Hardware is BRI with integrated NT1 Internet address will be negotiated using IPCP MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set . . EasyIP#
Les résultats de la commande show suivants, qui sont exécutés après que le routeur Easy IP a initié la connexion commutée avec le serveur d'accès au site central, montrent que l'interface BRI1/0 a reçu son adresse IP 200.1.0.3 du serveur d'accès au site central via PPP/IPCP.
EasyIP#show ip interface brief Interface IP-Address OK? Method Status Prorocol Ethernet0/0 10.0.0.1 YES manual up up Ethernet0/1 unassigned YES manual administratively down dow Ethernet0/2 unassigned YES manual administratively down dow Ethernet0/3 unassigned YES manual administratively down dow BRI1/0 200.1.0.3 YES IPCP up up ! -- Int BRI1/0 has a registers IP address assigned after connection is up BRI1/0:1 unassigned YES unset up up BRI1/0:2 unassigned YES unset down dow ! -- 1st B-channel (BRI1/0:1) is UP BRI1/1 unassigned YES manual administratively down dow BRI1/1:1 unassigned YES unset administratively down dow BRI1/1:2 unassigned YES unset administratively down dow EasyIP#show interfaces bri1/0 BRI1/0 is up, line protocol is up (spoofing) Hardware is BRI with integrated NT1 Internet address is 200.1.0.3/32 MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set . . EasyIP#
Nous devons vérifier si les hôtes du réseau privé interne peuvent se connecter au serveur d'accès au site central ou non et si la fonction NAT fonctionne correctement ou non. Pour ce faire, utilisez l’utilitaire ping étendu. Sur le routeur EasyIP, envoyez une requête ping à l’interface Ethernet du serveur d’accès au site central et spécifiez la source de la requête ping en tant qu’adresse LAN (privée) du routeur EasyIP. Cela garantit que le paquet est traité par la PAT et que les clients du réseau local peuvent communiquer avec le réseau du site central.
EasyIP#ping Protocol [ip]: Target IP address: 192.168.16.1 ! -- Ethernet interface IP address of the Central Site Access Server. Repeat count [5]: 10 Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.0.0.1 ! --Ethernet interface IP address (private) of the Easy IP router. Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 10, 100-byte ICMP Echos to 192.168.16.1, timeout is 2 seconds: !!!!!!!!!! Success rate is 100 percent (10/10), round-trip min/avg/max = 32/34/36 ms
Le résultat ci-dessus montre que le taux de réussite est de 100 %, ce qui signifie que la fonction NAT fonctionne correctement et que les hôtes SOHO peuvent communiquer avec le serveur d'accès au site central. Nous pouvons obtenir des informations plus détaillées sur les traductions NAT à partir de la sortie des commandes show suivantes.
EasyIP#show ip nat statistics Total active translations: 10 (0 static, 10 dynamic; 10 extended) Outside interfaces: BRI1/0, BRI1/0:1, BRI1/0:2 Inside interfaces: Ethernet0/0 Hits: 169 Misses: 185 Expired translations: 175 Dynamic mappings: -- Inside Source access-list 100 interface BRI1/0 refcount 10
EasyIP#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 200.1.0.3:32 10.0.0.1:32 192.168.16.1:32 192.168.16.1:32 icmp 200.1.0.3:33 10.0.0.1:33 192.168.16.1:33 192.168.16.1:33 icmp 200.1.0.3:34 10.0.0.1:34 192.168.16.1:34 192.168.16.1:34 icmp 200.1.0.3:35 10.0.0.1:35 192.168.16.1:35 192.168.16.1:35 icmp 200.1.0.3:36 10.0.0.1:36 192.168.16.1:36 192.168.16.1:36 icmp 200.1.0.3:37 10.0.0.1:37 192.168.16.1:37 192.168.16.1:37 icmp 200.1.0.3:38 10.0.0.1:38 192.168.16.1:38 192.168.16.1:38 icmp 200.1.0.3:39 10.0.0.1:39 192.168.16.1:39 192.168.16.1:39 icmp 200.1.0.3:40 10.0.0.1:40 192.168.16.1:40 192.168.16.1:40 icmp 200.1.0.3:41 10.0.0.1:41 192.168.16.1:41 192.168.16.1:41 EasyIP#
La sortie de commande show isdn status suivante affiche l'état de chaque couche RNIS. Vérifiez que les couches 1 et 2 sont comme indiqué dans l’exemple
EasyIP#show isdn status Global ISDN Switchtype = basic-5ess ISDN BRI1/0 interface dsl 8, interface ISDN Switchtype = basic-5ess Layer 1 Status: ACTIVE Layer 2 Status: TEI = 64, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED Layer 3 Status: 1 Active Layer 3 Call(s) Activated dsl 8 CCBs = 1 CCB:callid=8098, sapi=0, ces=1, B-chan=1, calltype=DATA The Free Channel Mask: 0x80000002
Reportez-vous au document Utilisation de la commande show isdn status pour le dépannage BRI pour plus d'informations de dépannage.
La sortie show dialer suivante montre que la numérotation est initiée par l'adresse IP du réseau privé interne (par exemple,10.0.0.1).
EasyIP#show dialer BRI1/0 - dialer type = ISDN Dial String Successes Failures Last DNIS Last status 97771200 23 0 00:02:02 successful Default 0 incoming call(s) have been screened. 0 incoming call(s) rejected for callback. BRI1/0:1 - dialer type = ISDN Idle timer (120 secs), Fast idle timer (20 secs) Wait for carrier (30 secs), Re-enable (15 secs) Dialer state is data link layer up Dial reason: ip (s=10.0.0.1, d=192.168.16.1) Time until disconnect 36 secs Current call connected 00:02:03 Connected to 97771200 (ISP-AS) BRI1/0:2 - dialer type = ISDN Idle timer (120 secs), Fast idle timer (20 secs) Wait for carrier (30 secs), Re-enable (15 secs) Dialer state is idle
Note : Avant d'émettre des commandes debug, consultez Informations importantes sur les commandes de débogage.
debug ppp negotiation - Fournit des informations sur le processus de négociation de protocole PPP. debug ip nat - Fournit des informations
debug ip nat - Fournit des informations sur les paquets IP traduits par la fonction NAT (IP network address translation).
debug isdn q921 - Fournit le débogage de la couche liaison de données des messages q.921.
debug isdn q931 - Fournit le débogage de la couche réseau des messages q.931.
debug dialer - Fournit des informations DDR pour l'appel sortant.
Le résultat suivant de la négociation debug ppp montre le processus de négociation de protocole PPP/IPCP.
EasyIP#debug ppp negotiation PPP protocol negotiation debugging is on . . 2d07h: BR1/0:1 IPCP: O CONFREQ [Closed] id 223 len 10 2d07h: BR1/0:1 IPCP: Address 0.0.0.0 (0x030600000000) 2d07h: BR1/0:1 CDPCP: O CONFREQ [Closed] id 63 len 4 2d07h: BR1/0:1 IPCP: I CONFREQ [REQsent] id 47 len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.1 (0x0306C8010001) 2d07h: BR1/0:1 IPCP: O CONFACK [REQsent] id 47 len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.1 (0x0306C8010001) 2d07h: BR1/0:1 CDPCP: I CONFREQ [REQsent] id 41 Len 4 2d07h: BR1/0:1 CDPCP: O CONFACK [REQsent] id 41 Len 4 2d07h: BR1/0:1 IPCP: I CONFNAK [ACKsent] id 223 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 IPCP: O CONFREQ [ACKsent] id 224 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 CDPCP: I CONFACK [ACKsent] id 63 Len 4 2d07h: BR1/0:1 CDPCP: State is Open 2d07h: BR1/0:1 IPCP: I CONFACK [ACKsent] id 224 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 IPCP: State is Open 2d07h: BR1/0 IPCP: Install negotiated IP interface address 200.1.0.3 ! -- The EasyIP router will install the negotiated WAN IP address. 2d07h: BR1/0 IPCP: Install route to 200.1.0.1 ! -- A route to the Central Site Access Server is installed. 2d07h: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI1/0:1, changed state Up 2d07h: %ISDN-6-CONNECT: Interface BRI1/0:1 is now connected to 97771200 ISP-AS EasyIP#
La sortie debug ip nat affiche les informations sur les paquets IP traduits par la fonction NAT (IP network address translation).
EasyIP#debug ip nat detailed IP NAT detailed debugging is on . . 2d00h: NAT: o: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909] 2d00h: NAT: i: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909] 2d00h: NAT: ipnat_allocate_port: wanted 2015 got 2015 2d00h: NAT*: o: icmp (192.168.16.1, 2015) -> (200.1.0.3, 2015) [909] 2d00h: NAT: o: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910] 2d00h: NAT: i: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910] 2d00h: NAT: ipnat_allocate_port: wanted 2016 got 2016 2d00h: NAT*: o: icmp (192.168.16.1, 2016) -> (200.1.0.3, 2016) [910] 2d00h: NAT: o: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911] 2d00h: NAT: i: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911] 2d00h: NAT: ipnat_allocate_port: wanted 2017 got 2017 2d00h: NAT*: o: icmp (192.168.16.1, 2017) -> (200.1.0.3, 2017) [911] 2d00h: NAT: o: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912] 2d00h: NAT: i: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912] . . EasyIP#undebug all All possible debugging has been turned off
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
24-Oct-2005 |
Première publication |