Routage DDR (Dial-on-demand Routing) avec Easy IP et serveur DHCP

Introduction

Ce document explique l'utilisation de la fonctionnalité Easy IP du logiciel Cisco IOS^® qui est utile dans les cas où un site entier se connecte à Internet via un fournisseur d'accès à Internet (FAI) qui n'attribue qu'une seule adresse IP pour l'ensemble du site distant. Le routeur Easy IP compose le numéro du serveur d'accès réseau (NAS) du fournisseur de services et négocie sa propre adresse IP WAN. Le routeur utilise ensuite la traduction d'adresses de réseau (NAT) via cette adresse négociée avec la traduction d'adresses de port (PAT) pour fournir un accès externe aux clients internes. Une autre fonction facultative du routeur Easy IP est d'agir en tant que serveur DHCP (Dynamic Host Configuration Protocol) sur les clients internes du réseau local. Le routeur SOHO (Small Office, Home Office) de Cisco est couramment utilisé dans ce type de configuration.

Conditions préalables

Conditions requises

Aucune condition préalable spécifique n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Easy IP Router - Un Cisco 3620 avec quatre interfaces Ethernet et huit interfaces BRI exécutant le logiciel Cisco IOS version 12.0 (7) XK2.

• Access Server : Cisco AS5300 avec un port Ethernet, un port Fast Ethernet et quatre ports T1/PRI multicanaux fractionnés exécutant la version 12.1(7) du logiciel Cisco IOS.

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Informations générales

Composants d'Easy IP

• Protocole point à point (PPP)/protocole de contrôle IP (IPCP) : Ceci est défini dans RFC 1332 . Le protocole IPCP permet de configurer dynamiquement des adresses IP sur PPP. Un routeur Cisco IOS Easy IP utilise PPP/IPCP pour négocier dynamiquement sa propre adresse IP d'interface WAN enregistrée à partir d'un serveur d'accès central ou d'un serveur DHCP.

• NAT : Fonctionne sur un routeur qui relie deux réseaux ou plus. Dans Easy IP, au moins un de ces réseaux (désigné comme « interne » ou « LAN ») est adressé avec des adresses privées qui doivent être converties en adresse enregistrée avant que les paquets puissent être transférés à l'autre réseau enregistré (désigné comme « externe » ou « WAN »). Dans le contexte d’Easy IP, la traduction d’adresses de port (PAT) est utilisée pour traduire toutes les adresses privées internes en une seule adresse IP externe enregistrée.

• DHCP aux clients LAN : Il s’agit d’une fonction facultative du routeur Cisco Easy IP qui peut être utilisée pour attribuer des adresses IP aux clients LAN internes. D'autres méthodes d'attribution d'adresses IP aux clients, telles que les affectations statiques ou l'utilisation d'un serveur de PC DHCP, peuvent également être utilisées.

Fonctionnement de Easy IP pas à pas

1. Si le routeur Easy IP est configuré en tant que serveur DHCP, les clients internes du réseau local reçoivent une adresse IP privée de sa part lors de la mise sous tension. S'il n'est pas configuré en tant que tel, une adresse IP doit leur être attribuée d'une autre manière.

2. Lorsqu'un client interne de réseau local génère un trafic « intéressant » (tel que défini par les listes de contrôle d'accès) pour la connexion commutée, le routeur Easy IP compose et demande une adresse IP enregistrée unique à partir du serveur d'accès du site central via PPP/IPCP. Une fois cette connexion établie, d’autres clients LAN internes peuvent utiliser ce circuit comme expliqué à l’étape 4.

3. Le serveur d'accès au site central répond avec une adresse globale dynamique à partir d'un pool d'adresses IP locales qui est attribué à l'interface WAN du routeur Easy IP.

4. Le routeur Easy IP utilise la PAT pour créer automatiquement une traduction qui associe l'adresse IP enregistrée de l'interface WAN à l'adresse IP privée du client interne du LAN et une connexion au serveur d'accès au site central est établie.

Pour une compréhension plus détaillée de Easy IP, reportez-vous au livre blanc - Cisco IOS Easy IP.

Configuration

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

Configurations

Ce document utilise la configuration suivante :

EasyIP#show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname EasyIP
!
username ISP-AS password 0 ipnegotiate

! --- Username for remote router (ISP-AS) and shared secret. ! --- Shared secret(used for CHAP) must be the same on both sides.

ip subnet-zero
no ip domain-lookup
no ip dhcp conflict logging

! --- Disable the recording of DHCP address conflicts on the DHCP server.

ip dhcp excluded-address 10.0.0.1

! --- Specifies a IP address that the DHCP server should not assign to clients.

ip dhcp pool soho

! --- Configure the DHCP address pool name and enter DHCP pool configuration mode.

 network 10.0.0.0 255.0.0.0

 ! --- Specifies the subnet network number and mask of the DHCP address pool.

 default-router 10.0.0.1

 ! --- Specifies the IP address of the default router for a DHCP clients.
 
 lease infinite

 ! --- Specifies the duration of the lease.

!
isdn switch-type basic-5ess
isdn voice-call-failure 0
!
interface Ethernet0/0
 ip address 10.0.0.1 255.0.0.0

 ! --- IP address for the Ethernet interface. 

 no ip directed-broadcast
 ip nat inside

! --- Defines the interface as internal for network address translation.

!

! Unused ethernet interfaces omitted for brevity

!
interface BRI1/0
 ip address negotiated

! --- Enables PPP/IPCP negotiation for this interface.

 no ip directed-broadcast
 ip nat outside

! --- Defines the interface as external for network address translation.

 encapsulation ppp
 dialer idle-timeout 60

! --- Idle timeout(in seconds)for this BRI interface.

 dialer string 97771200

! --- Specifies the telephone number required to reach the central access server.

 dialer-group 1

! --- Apply interesting traffic defined in dialer-list 1.

 isdn switch-type basic-5ess
 ppp authentication chap
!

!-- Unused BRI interfaces omitted for brevity.

!
ip nat inside source list 100 interface BRI1/0 overload 

! --- Establishes dynamic source translation (with PAT) for addresses which are ! --- identified by the access list 100.

ip classless
ip route 0.0.0.0 0.0.0.0 BRI1/0 permanent

! --- Default route is via BRI1/0.

no ip http server
!
access-list 100 permit ip 10.0.0.0 0.255.255.255 any

! --- Defines an access list permitting those addresses that are to be translated.

dialer-list 1 protocol ip permit

! --- Interesting traffic is defined by dialer-list1. ! --- This is applied to BRI1/0 using dialer-group 1.

line con 0
 transport input none
line aux 0
line vty 0 4
 login
!         
end

Vérification

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Commandes show

certaines commandes show sont prises en charge par l'outil Interpréteur de sortie, qui vous permet d'afficher une analyse de la sortie de la commande show.

• show ip interface brief - Affiche l'état de l'interface et l'adresse IP configurée sur l'interface.

• show interfaces - Fournit des informations de haut niveau sur l'état de l'interface d'une interface particulière.

• show ip nat statistics - Affiche les statistiques NAT (Network Address Translation).

• show ip nat translations - Affiche les traductions NAT actives.

• show isdn status - Affiche l'état de chaque couche RNIS. Vérifie que les couches 1 et 2 RNIS fonctionnent. Reportez-vous au document Utilisation de la commande show isdn status pour le dépannage BRI pour plus d'informations de dépannage.

• show dialer - Affiche les informations de numérotation.

Exemple de résultat de show

Les résultats de la commande show suivants, qui sont exécutés avant que le routeur Easy IP ne lance la connexion commutée au serveur d'accès au site central, indiquent que l'interface BRI1/0 est active et n'a pas d'adresse IP mais que l'adresse IP sera négociée à l'aide du protocole IPCP.

EasyIP#show ip interface brief
Interface                  IP-Address      OK? Method Status                Prol
Ethernet0/0                10.0.0.1        YES manual up                    up  
Ethernet0/1                unassigned      YES manual administratively down dow 
Ethernet0/2                unassigned      YES manual administratively down dow 
Ethernet0/3                unassigned      YES manual administratively down dow 
BRI1/0                     unassigned      YES IPCP   up                    up

! -- Interface is Up, but no IP Address is assigned since it is not connected

BRI1/0:1                   unassigned      YES unset  down                  dow 
BRI1/0:2                   unassigned      YES unset  down                  dow 

! -- Both B-channels are down

BRI1/1                     unassigned      YES manual administratively down dow 
BRI1/1:1                   unassigned      YES unset  administratively down dow 
BRI1/1:2                   unassigned      YES unset  administratively down dow

EasyIP#show interfaces bri1/0
BRI1/0 is up, line protocol is up (spoofing)
  Hardware is BRI with integrated NT1
Internet address will be negotiated using IPCP
  MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
   .
   .
EasyIP#

Les résultats de la commande show suivants, qui sont exécutés après que le routeur Easy IP a initié la connexion commutée avec le serveur d'accès au site central, montrent que l'interface BRI1/0 a reçu son adresse IP 200.1.0.3 du serveur d'accès au site central via PPP/IPCP.

EasyIP#show ip interface brief 
Interface                  IP-Address      OK? Method Status                Prorocol
Ethernet0/0                10.0.0.1        YES manual up                    up  
Ethernet0/1                unassigned      YES manual administratively down dow 
Ethernet0/2                unassigned      YES manual administratively down dow 
Ethernet0/3                unassigned      YES manual administratively down dow 
BRI1/0                     200.1.0.3       YES IPCP   up                    up  

! -- Int BRI1/0 has a registers IP address assigned after connection is up

BRI1/0:1                   unassigned      YES unset  up                    up  
BRI1/0:2                   unassigned      YES unset  down                  dow 

! -- 1st B-channel (BRI1/0:1) is UP

BRI1/1                     unassigned      YES manual administratively down dow 
BRI1/1:1                   unassigned      YES unset  administratively down dow 
BRI1/1:2                   unassigned      YES unset  administratively down dow
EasyIP#show interfaces bri1/0
BRI1/0 is up, line protocol is up (spoofing)
  Hardware is BRI with integrated NT1
Internet address is 200.1.0.3/32
  MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
  .
  . 
  EasyIP#

Nous devons vérifier si les hôtes du réseau privé interne peuvent se connecter au serveur d'accès au site central ou non et si la fonction NAT fonctionne correctement ou non. Pour ce faire, utilisez l’utilitaire ping étendu. Sur le routeur EasyIP, envoyez une requête ping à l’interface Ethernet du serveur d’accès au site central et spécifiez la source de la requête ping en tant qu’adresse LAN (privée) du routeur EasyIP. Cela garantit que le paquet est traité par la PAT et que les clients du réseau local peuvent communiquer avec le réseau du site central.

EasyIP#ping
Protocol [ip]: 
Target IP address: 192.168.16.1

! -- Ethernet interface IP address of the Central Site Access Server.

Repeat count [5]: 10
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: y
Source address or interface: 10.0.0.1

! --Ethernet interface IP address (private) of the Easy IP router.

Type of service [0]: 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 192.168.16.1, timeout is 2 seconds:
!!!!!!!!!!
Success rate is 100 percent (10/10), round-trip min/avg/max = 32/34/36 ms

Le résultat ci-dessus montre que le taux de réussite est de 100 %, ce qui signifie que la fonction NAT fonctionne correctement et que les hôtes SOHO peuvent communiquer avec le serveur d'accès au site central. Nous pouvons obtenir des informations plus détaillées sur les traductions NAT à partir de la sortie des commandes show suivantes.

EasyIP#show ip nat statistics 
Total active translations: 10 (0 static, 10 dynamic; 10 extended)
Outside interfaces:
  BRI1/0, BRI1/0:1, BRI1/0:2
Inside interfaces: 
  Ethernet0/0
Hits: 169  Misses: 185
Expired translations: 175
Dynamic mappings:
-- Inside Source
access-list 100 interface BRI1/0 refcount 10

EasyIP#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
icmp 200.1.0.3:32      10.0.0.1:32        192.168.16.1:32    192.168.16.1:32
icmp 200.1.0.3:33      10.0.0.1:33        192.168.16.1:33    192.168.16.1:33
icmp 200.1.0.3:34      10.0.0.1:34        192.168.16.1:34    192.168.16.1:34
icmp 200.1.0.3:35      10.0.0.1:35        192.168.16.1:35    192.168.16.1:35
icmp 200.1.0.3:36      10.0.0.1:36        192.168.16.1:36    192.168.16.1:36
icmp 200.1.0.3:37      10.0.0.1:37        192.168.16.1:37    192.168.16.1:37
icmp 200.1.0.3:38      10.0.0.1:38        192.168.16.1:38    192.168.16.1:38
icmp 200.1.0.3:39      10.0.0.1:39        192.168.16.1:39    192.168.16.1:39
icmp 200.1.0.3:40      10.0.0.1:40        192.168.16.1:40    192.168.16.1:40
icmp 200.1.0.3:41      10.0.0.1:41        192.168.16.1:41    192.168.16.1:41
EasyIP#

La sortie de commande show isdn status suivante affiche l'état de chaque couche RNIS. Vérifiez que les couches 1 et 2 sont comme indiqué dans l’exemple

EasyIP#show isdn status 
Global ISDN Switchtype = basic-5ess
ISDN BRI1/0 interface
        dsl 8, interface ISDN Switchtype = basic-5ess
    Layer 1 Status:
        ACTIVE
    Layer 2 Status:
        TEI = 64, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED
    Layer 3 Status:
        1 Active Layer 3 Call(s)
    Activated dsl 8 CCBs = 1
        CCB:callid=8098, sapi=0, ces=1, B-chan=1, calltype=DATA
    The Free Channel Mask:  0x80000002

Reportez-vous au document Utilisation de la commande show isdn status pour le dépannage BRI pour plus d'informations de dépannage.

La sortie show dialer suivante montre que la numérotation est initiée par l'adresse IP du réseau privé interne (par exemple,10.0.0.1).

EasyIP#show dialer 

BRI1/0 - dialer type = ISDN

Dial String      Successes   Failures    Last DNIS   Last status
97771200                23          0    00:02:02       successful   Default
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.

BRI1/0:1 - dialer type = ISDN
Idle timer (120 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (15 secs)
Dialer state is data link layer up
Dial reason: ip (s=10.0.0.1, d=192.168.16.1)
Time until disconnect 36 secs
Current call connected 00:02:03
Connected to 97771200 (ISP-AS)

BRI1/0:2 - dialer type = ISDN
Idle timer (120 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (15 secs)
Dialer state is idle

Dépannage

Commandes de débogage

Note : Avant d'émettre des commandes debug, consultez Informations importantes sur les commandes de débogage.

• debug ppp negotiation - Fournit des informations sur le processus de négociation de protocole PPP. debug ip nat - Fournit des informations

• debug ip nat - Fournit des informations sur les paquets IP traduits par la fonction NAT (IP network address translation).

• debug isdn q921 - Fournit le débogage de la couche liaison de données des messages q.921.

• debug isdn q931 - Fournit le débogage de la couche réseau des messages q.931.

• debug dialer - Fournit des informations DDR pour l'appel sortant.

Exemple de sortie de débogage

Le résultat suivant de la négociation debug ppp montre le processus de négociation de protocole PPP/IPCP.

EasyIP#debug ppp negotiation 
PPP protocol negotiation debugging is on
.
.

2d07h: BR1/0:1 IPCP: O CONFREQ [Closed] id 223 len 10
2d07h: BR1/0:1 IPCP:    Address 0.0.0.0 (0x030600000000)
2d07h: BR1/0:1 CDPCP: O CONFREQ [Closed] id 63 len 4
2d07h: BR1/0:1 IPCP: I CONFREQ [REQsent] id 47 len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.1 (0x0306C8010001)
2d07h: BR1/0:1 IPCP: O CONFACK [REQsent] id 47 len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.1 (0x0306C8010001)
2d07h: BR1/0:1 CDPCP: I CONFREQ [REQsent] id 41 Len 4
2d07h: BR1/0:1 CDPCP: O CONFACK [REQsent] id 41 Len 4
2d07h: BR1/0:1 IPCP: I CONFNAK [ACKsent] id 223 Len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.3 (0x0306C8010003)
2d07h: BR1/0:1 IPCP: O CONFREQ [ACKsent] id 224 Len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.3 (0x0306C8010003)
2d07h: BR1/0:1 CDPCP: I CONFACK [ACKsent] id 63 Len 4
2d07h: BR1/0:1 CDPCP: State is Open
2d07h: BR1/0:1 IPCP: I CONFACK [ACKsent] id 224 Len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.3 (0x0306C8010003)
2d07h: BR1/0:1 IPCP: State is Open
2d07h: BR1/0 IPCP: Install negotiated IP interface address 200.1.0.3

! -- The EasyIP router will install the negotiated WAN IP address.

2d07h: BR1/0 IPCP: Install route to 200.1.0.1

! -- A route to the Central Site Access Server is installed.

2d07h: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI1/0:1, changed state Up
2d07h: %ISDN-6-CONNECT: Interface BRI1/0:1 is now connected to 97771200 ISP-AS
EasyIP#

La sortie debug ip nat affiche les informations sur les paquets IP traduits par la fonction NAT (IP network address translation).

EasyIP#debug ip nat detailed 
IP NAT detailed debugging is on
.
.
2d00h: NAT: o: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909]
2d00h: NAT: i: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909]
2d00h: NAT: ipnat_allocate_port: wanted 2015 got 2015
2d00h: NAT*: o: icmp (192.168.16.1, 2015) -> (200.1.0.3, 2015) [909]
2d00h: NAT: o: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910]
2d00h: NAT: i: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910]
2d00h: NAT: ipnat_allocate_port: wanted 2016 got 2016
2d00h: NAT*: o: icmp (192.168.16.1, 2016) -> (200.1.0.3, 2016) [910]
2d00h: NAT: o: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911]
2d00h: NAT: i: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911]
2d00h: NAT: ipnat_allocate_port: wanted 2017 got 2017
2d00h: NAT*: o: icmp (192.168.16.1, 2017) -> (200.1.0.3, 2017) [911]
2d00h: NAT: o: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912]
2d00h: NAT: i: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912]
.
.

EasyIP#undebug all 
All possible debugging has been turned off

Informations connexes

• Utilisation de la commande show isdn status pour le dépannage d'un accès de base (BRI)
• Vérification de l'opération NAT et dépannage NAT de base
• Page de support NAT
• Numérotation et accès de l'assistance technique
• Support et documentation techniques - Cisco Systems