In diesem Dokument wird die Verwendung der Cisco IOS® Software Easy IP-Funktion erläutert, die nützlich ist, wenn ein ganzer Standort über einen Internetdienstanbieter (Internet Service Provider, ISP), der dem gesamten Remote-Standort nur eine IP-Adresse zuweist, eine Verbindung zum Internet herstellt. Der Easy IP-Router wählt beim Service Provider den Network Access Server (NAS) und handelt eine eigene WAN-IP-Adresse aus. Der Router verwendet dann Network Address Translation (NAT) über diese ausgehandelte Adresse mit Port Address Translation (PAT), um externen Zugriff für interne Clients bereitzustellen. Eine weitere optionale Funktion des Easy IP-Routers besteht darin, als DHCP-Server (Dynamic Host Configuration Protocol) für das LAN innerhalb der Clients zu fungieren. Der Cisco Small Office-, Home Office- (SOHO)-Router wird häufig in diesem Konfigurationstyp verwendet.
Für dieses Dokument bestehen keine besonderen Voraussetzungen.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Easy IP Router - Ein Cisco 3620 mit vier Ethernet- und acht BRI-Schnittstellen und Cisco IOS Software Release 12.0 (7) XK2.
Zugangs-Server - Ein Cisco AS5300 mit einem Ethernet, einem Fast Ethernet und vier Channelized T1/PRI-Ports mit Cisco IOS Software Version 12.1(7).
Die in diesem Dokument enthaltenen Informationen wurden aus Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Sie in einem Live-Netzwerk arbeiten, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen, bevor Sie es verwenden.
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.
Point-to-Point Protocol (PPP)/IP Control Protocol (IPCP): Dies ist in RFC 1332 definiert. IPCP ermöglicht die dynamische Konfiguration von IP-Adressen über PPP. Ein Cisco IOS Easy IP-Router verwendet PPP/IPCP, um dynamisch die eigene registrierte IP-Adresse der WAN-Schnittstelle von einem zentralen Zugangs-Server oder DHCP-Server aus auszuhandeln.
NAT: Betreibt einen Router, der zwei oder mehr Netzwerke miteinander verbindet. Bei Easy IP wird mindestens eines dieser Netzwerke (als "inside" oder "LAN" bezeichnet) mit privaten Adressen adressiert, die in eine registrierte Adresse konvertiert werden müssen, bevor Pakete an das andere registrierte Netzwerk weitergeleitet werden können (bezeichnet als "outside" oder "WAN"). Im Kontext von Easy IP wird die Port-Adressenumwandlung (PAT) verwendet, um alle internen privaten Adressen in eine einzige externe registrierte IP-Adresse zu übersetzen.
DHCP für LAN-Clients: Dies ist eine optionale Funktion des Cisco Easy IP-Routers, mit der den internen LAN-Clients IP-Adressen zugewiesen werden können. Es können auch andere Methoden für die Zuweisung von IP-Adressen an die Clients verwendet werden, z. B. statische Zuweisungen oder die Verwendung eines DHCP-PC-Servers.
Wenn der Easy IP-Router als DHCP-Server konfiguriert ist, erhält das LAN in den Clients beim Hochfahren eine private IP-Adresse von diesem. Wenn sie nicht als solche konfiguriert ist, muss den Clients eine andere IP-Adresse zugewiesen sein.
Wenn ein LAN-interner Client "interessanten" Datenverkehr (wie in den Zugriffskontrolllisten definiert) für die Einwahl generiert, wählt der Easy IP-Router und fordert eine einzige registrierte IP-Adresse vom Zugriffsserver der Zentrale über PPP/IPCP an. Sobald diese Verbindung hergestellt ist, können andere LAN-interne Clients diese Verbindung verwenden, wie in Schritt 4 erläutert.
Der Central Site Access Server antwortet mit einer dynamischen globalen Adresse aus einem lokalen IP-Adresspool, der der WAN-Schnittstelle des Easy IP-Routers zugewiesen ist.
Der Easy IP-Router verwendet PAT, um automatisch eine Übersetzung zu erstellen, die die registrierte IP-Adresse der WAN-Schnittstelle mit der privaten IP-Adresse des LAN im Client verknüpft und eine Verbindung zum Central Site Access Server herstellt.
Weitere Informationen zu Easy IP finden Sie im Whitepaper Cisco IOS Easy IP.
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
In diesem Dokument wird die im Diagramm unten dargestellte Netzwerkeinrichtung verwendet.
In diesem Dokument wird diese Konfiguration verwendet:
Einfacher IP-Router |
---|
EasyIP#show running-config Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname EasyIP ! username ISP-AS password 0 ipnegotiate ! --- Username for remote router (ISP-AS) and shared secret. ! --- Shared secret(used for CHAP) must be the same on both sides. ip subnet-zero no ip domain-lookup no ip dhcp conflict logging ! --- Disable the recording of DHCP address conflicts on the DHCP server. ip dhcp excluded-address 10.0.0.1 ! --- Specifies a IP address that the DHCP server should not assign to clients. ip dhcp pool soho ! --- Configure the DHCP address pool name and enter DHCP pool configuration mode. network 10.0.0.0 255.0.0.0 ! --- Specifies the subnet network number and mask of the DHCP address pool. default-router 10.0.0.1 ! --- Specifies the IP address of the default router for a DHCP clients. lease infinite ! --- Specifies the duration of the lease. ! isdn switch-type basic-5ess isdn voice-call-failure 0 ! interface Ethernet0/0 ip address 10.0.0.1 255.0.0.0 ! --- IP address for the Ethernet interface. no ip directed-broadcast ip nat inside ! --- Defines the interface as internal for network address translation. ! ! Unused ethernet interfaces omitted for brevity ! interface BRI1/0 ip address negotiated ! --- Enables PPP/IPCP negotiation for this interface. no ip directed-broadcast ip nat outside ! --- Defines the interface as external for network address translation. encapsulation ppp dialer idle-timeout 60 ! --- Idle timeout(in seconds)for this BRI interface. dialer string 97771200 ! --- Specifies the telephone number required to reach the central access server. dialer-group 1 ! --- Apply interesting traffic defined in dialer-list 1. isdn switch-type basic-5ess ppp authentication chap ! !-- Unused BRI interfaces omitted for brevity. ! ip nat inside source list 100 interface BRI1/0 overload ! --- Establishes dynamic source translation (with PAT) for addresses which are ! --- identified by the access list 100. ip classless ip route 0.0.0.0 0.0.0.0 BRI1/0 permanent ! --- Default route is via BRI1/0. no ip http server ! access-list 100 permit ip 10.0.0.0 0.255.255.255 any ! --- Defines an access list permitting those addresses that are to be translated. dialer-list 1 protocol ip permit ! --- Interesting traffic is defined by dialer-list1. ! --- This is applied to BRI1/0 using dialer-group 1. line con 0 transport input none line aux 0 line vty 0 4 login ! end |
Dieser Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Bestimmte show-Befehle werden vom Tool Output Interpreter unterstützt, mit dem Sie eine Analyse der Ausgabe des Befehls show anzeigen können.
show ip interface brief - Zeigt den Schnittstellenstatus und die auf der Schnittstelle konfigurierte IP-Adresse an.
show interfaces - Stellt allgemeine Informationen über den Schnittstellenstatus für eine bestimmte Schnittstelle bereit.
show ip nat statistics - Zeigt Statistiken zur Network Address Translation (NAT) an.
show ip nat translations - Zeigt aktive NAT-Übersetzungen an.
show isdn status - Zeigt den Status jeder ISDN-Ebene an. Überprüft, ob die ISDN Layer 1 und 2 funktionieren. Weitere Informationen zur Fehlerbehebung finden Sie im Dokument Using the show isdn status Command for BRI Troubleshooting.
show dialer - Zeigt die Wählinformationen an.
Die folgenden Befehlsausgaben werden angezeigt, bevor der Easy IP-Router, der die Einwahlverbindung zum Central Site Access Server initiiert, die BRI1/0-Schnittstelle anzeigt und über keine IP-Adresse verfügt. Die IP-Adresse wird jedoch mithilfe von IPCP ausgehandelt.
EasyIP#show ip interface brief Interface IP-Address OK? Method Status Prol Ethernet0/0 10.0.0.1 YES manual up up Ethernet0/1 unassigned YES manual administratively down dow Ethernet0/2 unassigned YES manual administratively down dow Ethernet0/3 unassigned YES manual administratively down dow BRI1/0 unassigned YES IPCP up up ! -- Interface is Up, but no IP Address is assigned since it is not connected BRI1/0:1 unassigned YES unset down dow BRI1/0:2 unassigned YES unset down dow ! -- Both B-channels are down BRI1/1 unassigned YES manual administratively down dow BRI1/1:1 unassigned YES unset administratively down dow BRI1/1:2 unassigned YES unset administratively down dow EasyIP#show interfaces bri1/0 BRI1/0 is up, line protocol is up (spoofing) Hardware is BRI with integrated NT1 Internet address will be negotiated using IPCP MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set . . EasyIP#
Die folgenden Befehlsausgaben werden angezeigt, nachdem der Easy IP-Router die Einwahlverbindung mit dem Central Site Access Server initiiert hat. Sie zeigen, dass die BRI1/0-Schnittstelle ihre IP-Adresse 200.1.0.3 über PPP/IPCP vom Central Site Access Server erhalten hat.
EasyIP#show ip interface brief Interface IP-Address OK? Method Status Prorocol Ethernet0/0 10.0.0.1 YES manual up up Ethernet0/1 unassigned YES manual administratively down dow Ethernet0/2 unassigned YES manual administratively down dow Ethernet0/3 unassigned YES manual administratively down dow BRI1/0 200.1.0.3 YES IPCP up up ! -- Int BRI1/0 has a registers IP address assigned after connection is up BRI1/0:1 unassigned YES unset up up BRI1/0:2 unassigned YES unset down dow ! -- 1st B-channel (BRI1/0:1) is UP BRI1/1 unassigned YES manual administratively down dow BRI1/1:1 unassigned YES unset administratively down dow BRI1/1:2 unassigned YES unset administratively down dow EasyIP#show interfaces bri1/0 BRI1/0 is up, line protocol is up (spoofing) Hardware is BRI with integrated NT1 Internet address is 200.1.0.3/32 MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set . . EasyIP#
Wir müssen prüfen, ob die internen privaten Netzwerk-Hosts eine Verbindung zum Central Site Access Server herstellen können oder nicht und die NAT-Funktion ordnungsgemäß funktioniert. Dies kann mithilfe des erweiterten Ping-Dienstprogramms erreicht werden. Pingen Sie auf dem EasyIP-Router die Ethernet-Schnittstelle des Central Site Access Server an, und geben Sie die Quelle des Pings als LAN-Adresse (privat) des EasyIP-Routers an. Dadurch wird sichergestellt, dass das Paket von der PAT verarbeitet wird und dass die Clients im LAN mit dem Netzwerk des zentralen Standorts kommunizieren können.
EasyIP#ping Protocol [ip]: Target IP address: 192.168.16.1 ! -- Ethernet interface IP address of the Central Site Access Server. Repeat count [5]: 10 Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.0.0.1 ! --Ethernet interface IP address (private) of the Easy IP router. Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 10, 100-byte ICMP Echos to 192.168.16.1, timeout is 2 seconds: !!!!!!!!!! Success rate is 100 percent (10/10), round-trip min/avg/max = 32/34/36 ms
Die obige Ausgabe zeigt eine Erfolgsrate von 100 Prozent. Das bedeutet, dass die NAT-Funktion funktioniert und die SOHO-Hosts mit dem Central Site Access Server kommunizieren können. Detaillierte Informationen zu den NAT-Übersetzungen erhalten Sie in der folgenden Ausgabe der show-Befehle.
EasyIP#show ip nat statistics Total active translations: 10 (0 static, 10 dynamic; 10 extended) Outside interfaces: BRI1/0, BRI1/0:1, BRI1/0:2 Inside interfaces: Ethernet0/0 Hits: 169 Misses: 185 Expired translations: 175 Dynamic mappings: -- Inside Source access-list 100 interface BRI1/0 refcount 10
EasyIP#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 200.1.0.3:32 10.0.0.1:32 192.168.16.1:32 192.168.16.1:32 icmp 200.1.0.3:33 10.0.0.1:33 192.168.16.1:33 192.168.16.1:33 icmp 200.1.0.3:34 10.0.0.1:34 192.168.16.1:34 192.168.16.1:34 icmp 200.1.0.3:35 10.0.0.1:35 192.168.16.1:35 192.168.16.1:35 icmp 200.1.0.3:36 10.0.0.1:36 192.168.16.1:36 192.168.16.1:36 icmp 200.1.0.3:37 10.0.0.1:37 192.168.16.1:37 192.168.16.1:37 icmp 200.1.0.3:38 10.0.0.1:38 192.168.16.1:38 192.168.16.1:38 icmp 200.1.0.3:39 10.0.0.1:39 192.168.16.1:39 192.168.16.1:39 icmp 200.1.0.3:40 10.0.0.1:40 192.168.16.1:40 192.168.16.1:40 icmp 200.1.0.3:41 10.0.0.1:41 192.168.16.1:41 192.168.16.1:41 EasyIP#
Der folgende Befehl show isdn status gibt den Status der einzelnen ISDN-Ebenen an. Stellen Sie sicher, dass Layer 1 und 2 wie im Beispiel dargestellt sind.
EasyIP#show isdn status Global ISDN Switchtype = basic-5ess ISDN BRI1/0 interface dsl 8, interface ISDN Switchtype = basic-5ess Layer 1 Status: ACTIVE Layer 2 Status: TEI = 64, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED Layer 3 Status: 1 Active Layer 3 Call(s) Activated dsl 8 CCBs = 1 CCB:callid=8098, sapi=0, ces=1, B-chan=1, calltype=DATA The Free Channel Mask: 0x80000002
Weitere Informationen zur Fehlerbehebung finden Sie im Dokument Using the show isdn status Command for BRI Troubleshooting.
Die folgende Ausgabe des Wählers zeigt, dass die Wahl von der IP-Adresse des internen privaten Netzwerks initiiert wird (z. B. 10.0.0.1).
EasyIP#show dialer BRI1/0 - dialer type = ISDN Dial String Successes Failures Last DNIS Last status 97771200 23 0 00:02:02 successful Default 0 incoming call(s) have been screened. 0 incoming call(s) rejected for callback. BRI1/0:1 - dialer type = ISDN Idle timer (120 secs), Fast idle timer (20 secs) Wait for carrier (30 secs), Re-enable (15 secs) Dialer state is data link layer up Dial reason: ip (s=10.0.0.1, d=192.168.16.1) Time until disconnect 36 secs Current call connected 00:02:03 Connected to 97771200 (ISP-AS) BRI1/0:2 - dialer type = ISDN Idle timer (120 secs), Fast idle timer (20 secs) Wait for carrier (30 secs), Re-enable (15 secs) Dialer state is idle
Hinweis: Bevor Sie Debugbefehle ausgeben, lesen Sie Wichtige Informationen über Debug-Befehle.
debug ppp negotiation - Stellt Informationen über den Verhandlung des PPP-Protokolls bereit. debuggen ip nat - Stellt Informationen bereit
debug ip nat - Stellt Informationen über IP-Pakete bereit, die durch die NAT-Funktion (IP Network Address Translation) übersetzt wurden.
debug isdn q921 - Bietet Debugging auf Datenlinkebene für q.921-Meldungen.
debug isdn q931 - Bietet Debugging von q.931-Meldungen auf Netzwerkebene.
Debug Dialer - Stellt DDR-Informationen für ausgehende Anrufe bereit.
Die folgende Debug-PPP-Aushandlung zeigt den Verhandlungsprozess für das PPP/IPCP-Protokoll.
EasyIP#debug ppp negotiation PPP protocol negotiation debugging is on . . 2d07h: BR1/0:1 IPCP: O CONFREQ [Closed] id 223 len 10 2d07h: BR1/0:1 IPCP: Address 0.0.0.0 (0x030600000000) 2d07h: BR1/0:1 CDPCP: O CONFREQ [Closed] id 63 len 4 2d07h: BR1/0:1 IPCP: I CONFREQ [REQsent] id 47 len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.1 (0x0306C8010001) 2d07h: BR1/0:1 IPCP: O CONFACK [REQsent] id 47 len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.1 (0x0306C8010001) 2d07h: BR1/0:1 CDPCP: I CONFREQ [REQsent] id 41 Len 4 2d07h: BR1/0:1 CDPCP: O CONFACK [REQsent] id 41 Len 4 2d07h: BR1/0:1 IPCP: I CONFNAK [ACKsent] id 223 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 IPCP: O CONFREQ [ACKsent] id 224 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 CDPCP: I CONFACK [ACKsent] id 63 Len 4 2d07h: BR1/0:1 CDPCP: State is Open 2d07h: BR1/0:1 IPCP: I CONFACK [ACKsent] id 224 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 IPCP: State is Open 2d07h: BR1/0 IPCP: Install negotiated IP interface address 200.1.0.3 ! -- The EasyIP router will install the negotiated WAN IP address. 2d07h: BR1/0 IPCP: Install route to 200.1.0.1 ! -- A route to the Central Site Access Server is installed. 2d07h: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI1/0:1, changed state Up 2d07h: %ISDN-6-CONNECT: Interface BRI1/0:1 is now connected to 97771200 ISP-AS EasyIP#
Die Debug-Ausgabe ip nat zeigt Informationen zu IP-Paketen an, die durch die NAT-Funktion (IP Network Address Translation) übersetzt wurden.
EasyIP#debug ip nat detailed IP NAT detailed debugging is on . . 2d00h: NAT: o: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909] 2d00h: NAT: i: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909] 2d00h: NAT: ipnat_allocate_port: wanted 2015 got 2015 2d00h: NAT*: o: icmp (192.168.16.1, 2015) -> (200.1.0.3, 2015) [909] 2d00h: NAT: o: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910] 2d00h: NAT: i: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910] 2d00h: NAT: ipnat_allocate_port: wanted 2016 got 2016 2d00h: NAT*: o: icmp (192.168.16.1, 2016) -> (200.1.0.3, 2016) [910] 2d00h: NAT: o: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911] 2d00h: NAT: i: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911] 2d00h: NAT: ipnat_allocate_port: wanted 2017 got 2017 2d00h: NAT*: o: icmp (192.168.16.1, 2017) -> (200.1.0.3, 2017) [911] 2d00h: NAT: o: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912] 2d00h: NAT: i: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912] . . EasyIP#undebug all All possible debugging has been turned off
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
24-Oct-2005 |
Erstveröffentlichung |