Routing su chiamata su richiesta (DDR) con Easy IP e server DHCP

Introduzione

Questo documento spiega l'uso del software Cisco IOS^® Easy IP, utile nei casi in cui un intero sito si connette a Internet tramite un provider di servizi Internet (ISP) che assegna solo un indirizzo IP per l'intero sito remoto. Il router Easy IP compone il Network Access Server (NAS) presso il provider di servizi e negozia il proprio indirizzo IP WAN. Il router quindi utilizza NAT (Network Address Translation) tramite questo indirizzo negoziato con PAT (Port Address Translation) per fornire l'accesso esterno ai client interni. Un'altra funzione opzionale del router Easy IP consiste nel fungere da server DHCP (Dynamic Host Configuration Protocol) per la LAN all'interno dei client. In questo tipo di configurazione, viene in genere utilizzato il router Cisco per piccoli uffici e uffici domestici (SOHO).

Prerequisiti

Requisiti

Non sono previsti prerequisiti specifici per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Easy IP Router - Cisco 3620 con quattro interfacce Ethernet e otto interfacce BRI con software Cisco IOS versione 12.0 (7) XK2.

• Access Server: Cisco AS5300 con una porta Ethernet, una porta Fast Ethernet e quattro porte Channelized T1/PRI con software Cisco IOS versione 12.1(7).

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Premesse

Componenti di Easy IP

• Protocollo PPP (Point-to-Point Protocol)/protocollo IPCP (IP Control Protocol): Questa condizione è definita nella RFC 1332 . IPCP consente di configurare in modo dinamico un indirizzo IP tramite PPP. Un router Cisco IOS Easy IP utilizza il protocollo PPP/IPCP per negoziare dinamicamente il proprio indirizzo IP dell'interfaccia WAN registrata da un server di accesso centrale o da un server DHCP.

• NAT: Funziona su un router che connette due o più reti. In Easy IP, almeno una di queste reti (designate come "inside" o "LAN") è indirizzata con indirizzi privati che devono essere convertiti in un indirizzo registrato prima che i pacchetti possano essere inoltrati all'altra rete registrata (designate come "outside" o "WAN"). Nel contesto di Easy IP, PAT (Port Address Translation) viene utilizzato per tradurre tutti gli indirizzi privati interni in un unico indirizzo IP registrato esterno.

• DHCP ai client LAN: Questa è una funzione opzionale del router Cisco Easy IP che può essere utilizzata per assegnare indirizzi IP ai client LAN interni. È possibile utilizzare anche altri metodi di assegnazione degli indirizzi IP ai client, come le assegnazioni statiche o l'uso di un server DHCP PC.

Funzionamento semplice dell'IP

1. Se il router Easy IP è configurato come server DHCP, la LAN all'interno dei client riceve un indirizzo IP privato da esso al momento dell'accensione. Se non è configurato come tale, ai client deve essere assegnato un indirizzo IP in un altro modo.

2. Quando una LAN all'interno di un client genera traffico "interessante" (come definito dalle liste di controllo degli accessi) per la connessione remota, il router Easy IP compone e richiede un singolo indirizzo IP registrato dal server di accesso del sito centrale tramite PPP/IPCP. Una volta stabilita questa connessione, altri client LAN interni possono utilizzare questo circuito come spiegato nel passaggio 4.

3. Il server Accesso sito centrale risponde con un indirizzo globale dinamico da un pool di indirizzi IP locali assegnato all'interfaccia WAN del router Easy IP.

4. Il router Easy IP utilizza PAT per creare automaticamente una conversione che associa l'indirizzo IP registrato dell'interfaccia WAN all'indirizzo IP privato della LAN all'interno del client e consente la connessione al server di accesso al sito centrale.

Per una comprensione più dettagliata di Easy IP, consultare il white paper - Cisco IOS Easy IP.

Configurazione

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Esempio di rete

Questo documento utilizza le impostazioni di rete mostrate nel diagramma sottostante.

Configurazioni

Nel documento viene usata questa configurazione:

EasyIP#show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname EasyIP
!
username ISP-AS password 0 ipnegotiate

! --- Username for remote router (ISP-AS) and shared secret. ! --- Shared secret(used for CHAP) must be the same on both sides.

ip subnet-zero
no ip domain-lookup
no ip dhcp conflict logging

! --- Disable the recording of DHCP address conflicts on the DHCP server.

ip dhcp excluded-address 10.0.0.1

! --- Specifies a IP address that the DHCP server should not assign to clients.

ip dhcp pool soho

! --- Configure the DHCP address pool name and enter DHCP pool configuration mode.

 network 10.0.0.0 255.0.0.0

 ! --- Specifies the subnet network number and mask of the DHCP address pool.

 default-router 10.0.0.1

 ! --- Specifies the IP address of the default router for a DHCP clients.
 
 lease infinite

 ! --- Specifies the duration of the lease.

!
isdn switch-type basic-5ess
isdn voice-call-failure 0
!
interface Ethernet0/0
 ip address 10.0.0.1 255.0.0.0

 ! --- IP address for the Ethernet interface. 

 no ip directed-broadcast
 ip nat inside

! --- Defines the interface as internal for network address translation.

!

! Unused ethernet interfaces omitted for brevity

!
interface BRI1/0
 ip address negotiated

! --- Enables PPP/IPCP negotiation for this interface.

 no ip directed-broadcast
 ip nat outside

! --- Defines the interface as external for network address translation.

 encapsulation ppp
 dialer idle-timeout 60

! --- Idle timeout(in seconds)for this BRI interface.

 dialer string 97771200

! --- Specifies the telephone number required to reach the central access server.

 dialer-group 1

! --- Apply interesting traffic defined in dialer-list 1.

 isdn switch-type basic-5ess
 ppp authentication chap
!

!-- Unused BRI interfaces omitted for brevity.

!
ip nat inside source list 100 interface BRI1/0 overload 

! --- Establishes dynamic source translation (with PAT) for addresses which are ! --- identified by the access list 100.

ip classless
ip route 0.0.0.0 0.0.0.0 BRI1/0 permanent

! --- Default route is via BRI1/0.

no ip http server
!
access-list 100 permit ip 10.0.0.0 0.255.255.255 any

! --- Defines an access list permitting those addresses that are to be translated.

dialer-list 1 protocol ip permit

! --- Interesting traffic is defined by dialer-list1. ! --- This is applied to BRI1/0 using dialer-group 1.

line con 0
 transport input none
line aux 0
line vty 0 4
 login
!         
end

Verifica

Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.

Comandi show

Alcuni comandi show sono supportati dallo strumento Output Interpreter, che consente di visualizzare un'analisi dell'output del comando show.

• show ip interface brief: visualizza lo stato dell'interfaccia e l'indirizzo IP configurato sull'interfaccia.

• show interfaces: fornisce informazioni di alto livello sullo stato dell'interfaccia per un'interfaccia specifica.

• show ip nat statistics - Visualizza le statistiche NAT (Network Address Translation).

• show ip nat translation - Visualizza le traduzioni NAT attive.

• show isdn status: visualizza lo stato di ciascun livello ISDN. Verifica che ISDN Layer 1 e 2 funzionino. Per ulteriori informazioni sulla risoluzione dei problemi, consultare il documento Uso del comando show isdn status per la risoluzione dei problemi BRI.

• show dialer - Visualizza le informazioni sulla composizione.

Output di esempio

Nei seguenti output del comando show, ottenuti prima che il router Easy IP avvii la connessione di accesso remoto al server Accesso sito centrale, viene indicato che l'interfaccia BRI1/0 è attiva e non dispone di un indirizzo IP, ma che l'indirizzo IP verrà negoziato tramite IPCP.

EasyIP#show ip interface brief
Interface                  IP-Address      OK? Method Status                Prol
Ethernet0/0                10.0.0.1        YES manual up                    up  
Ethernet0/1                unassigned      YES manual administratively down dow 
Ethernet0/2                unassigned      YES manual administratively down dow 
Ethernet0/3                unassigned      YES manual administratively down dow 
BRI1/0                     unassigned      YES IPCP   up                    up

! -- Interface is Up, but no IP Address is assigned since it is not connected

BRI1/0:1                   unassigned      YES unset  down                  dow 
BRI1/0:2                   unassigned      YES unset  down                  dow 

! -- Both B-channels are down

BRI1/1                     unassigned      YES manual administratively down dow 
BRI1/1:1                   unassigned      YES unset  administratively down dow 
BRI1/1:2                   unassigned      YES unset  administratively down dow

EasyIP#show interfaces bri1/0
BRI1/0 is up, line protocol is up (spoofing)
  Hardware is BRI with integrated NT1
Internet address will be negotiated using IPCP
  MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
   .
   .
EasyIP#

Di seguito vengono riportati gli output del comando show, ottenuti dopo che il router Easy IP ha avviato la connessione di accesso remoto con il server di accesso al sito centrale. L'interfaccia BRI1/0 ha ricevuto l'indirizzo IP 200.1.0.3 dal server di accesso al sito centrale tramite PPP/IPCP.

EasyIP#show ip interface brief 
Interface                  IP-Address      OK? Method Status                Prorocol
Ethernet0/0                10.0.0.1        YES manual up                    up  
Ethernet0/1                unassigned      YES manual administratively down dow 
Ethernet0/2                unassigned      YES manual administratively down dow 
Ethernet0/3                unassigned      YES manual administratively down dow 
BRI1/0                     200.1.0.3       YES IPCP   up                    up  

! -- Int BRI1/0 has a registers IP address assigned after connection is up

BRI1/0:1                   unassigned      YES unset  up                    up  
BRI1/0:2                   unassigned      YES unset  down                  dow 

! -- 1st B-channel (BRI1/0:1) is UP

BRI1/1                     unassigned      YES manual administratively down dow 
BRI1/1:1                   unassigned      YES unset  administratively down dow 
BRI1/1:2                   unassigned      YES unset  administratively down dow
EasyIP#show interfaces bri1/0
BRI1/0 is up, line protocol is up (spoofing)
  Hardware is BRI with integrated NT1
Internet address is 200.1.0.3/32
  MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
  .
  . 
  EasyIP#

È necessario verificare se gli host della rete privata interna sono in grado o meno di connettersi al server di accesso al sito centrale e se la funzionalità NAT funziona correttamente. A tale scopo, è possibile usare l'utilità ping estesa. Sul router EasyIP, eseguire il ping dell'interfaccia ethernet del server di accesso al sito centrale e specificare l'origine del ping come indirizzo LAN (privato) del router EasyIP. In questo modo, il pacchetto viene elaborato da PAT e i client della LAN possono comunicare con la rete del sito centrale.

EasyIP#ping
Protocol [ip]: 
Target IP address: 192.168.16.1

! -- Ethernet interface IP address of the Central Site Access Server.

Repeat count [5]: 10
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: y
Source address or interface: 10.0.0.1

! --Ethernet interface IP address (private) of the Easy IP router.

Type of service [0]: 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 192.168.16.1, timeout is 2 seconds:
!!!!!!!!!!
Success rate is 100 percent (10/10), round-trip min/avg/max = 32/34/36 ms

L'output precedente mostra che la percentuale di successo è 100 per cento, il che significa che la funzione NAT funziona correttamente e che gli host SOHO sono in grado di comunicare con il server Accesso sito centrale. Per informazioni più dettagliate sulle traduzioni NAT, consultare l'output del comando show seguente.

EasyIP#show ip nat statistics 
Total active translations: 10 (0 static, 10 dynamic; 10 extended)
Outside interfaces:
  BRI1/0, BRI1/0:1, BRI1/0:2
Inside interfaces: 
  Ethernet0/0
Hits: 169  Misses: 185
Expired translations: 175
Dynamic mappings:
-- Inside Source
access-list 100 interface BRI1/0 refcount 10

EasyIP#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
icmp 200.1.0.3:32      10.0.0.1:32        192.168.16.1:32    192.168.16.1:32
icmp 200.1.0.3:33      10.0.0.1:33        192.168.16.1:33    192.168.16.1:33
icmp 200.1.0.3:34      10.0.0.1:34        192.168.16.1:34    192.168.16.1:34
icmp 200.1.0.3:35      10.0.0.1:35        192.168.16.1:35    192.168.16.1:35
icmp 200.1.0.3:36      10.0.0.1:36        192.168.16.1:36    192.168.16.1:36
icmp 200.1.0.3:37      10.0.0.1:37        192.168.16.1:37    192.168.16.1:37
icmp 200.1.0.3:38      10.0.0.1:38        192.168.16.1:38    192.168.16.1:38
icmp 200.1.0.3:39      10.0.0.1:39        192.168.16.1:39    192.168.16.1:39
icmp 200.1.0.3:40      10.0.0.1:40        192.168.16.1:40    192.168.16.1:40
icmp 200.1.0.3:41      10.0.0.1:41        192.168.16.1:41    192.168.16.1:41
EasyIP#

Nell'output del comando show isdn status che segue viene visualizzato lo stato di ciascun livello ISDN. Verificate che i livelli 1 e 2 siano quelli mostrati nell'esempio

EasyIP#show isdn status 
Global ISDN Switchtype = basic-5ess
ISDN BRI1/0 interface
        dsl 8, interface ISDN Switchtype = basic-5ess
    Layer 1 Status:
        ACTIVE
    Layer 2 Status:
        TEI = 64, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED
    Layer 3 Status:
        1 Active Layer 3 Call(s)
    Activated dsl 8 CCBs = 1
        CCB:callid=8098, sapi=0, ces=1, B-chan=1, calltype=DATA
    The Free Channel Mask:  0x80000002

Per ulteriori informazioni sulla risoluzione dei problemi, consultare il documento Uso del comando show isdn status per la risoluzione dei problemi BRI.

L'output del comando show dialer seguente mostra che la composizione viene avviata dall'indirizzo IP della rete privata interna (ad esempio, 10.0.0.1).

EasyIP#show dialer 

BRI1/0 - dialer type = ISDN

Dial String      Successes   Failures    Last DNIS   Last status
97771200                23          0    00:02:02       successful   Default
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.

BRI1/0:1 - dialer type = ISDN
Idle timer (120 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (15 secs)
Dialer state is data link layer up
Dial reason: ip (s=10.0.0.1, d=192.168.16.1)
Time until disconnect 36 secs
Current call connected 00:02:03
Connected to 97771200 (ISP-AS)

BRI1/0:2 - dialer type = ISDN
Idle timer (120 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (15 secs)
Dialer state is idle

Risoluzione dei problemi

Comandi debug

Nota: prima di usare i comandi di debug, consultare le informazioni importanti sui comandi di debug.

• debug ppp negotiation: fornisce informazioni sul processo di negoziazione del protocollo PPP. debug ip nat - Fornisce informazioni

• debug ip nat: fornisce informazioni sui pacchetti IP convertiti dalla funzionalità NAT (IP Network Address Translation).

• debug isdn q921: fornisce il debug a livello di collegamento dati dei messaggi q.921.

• debug isdn q931 - Fornisce il debug a livello di rete dei messaggi q.931.

• debug dialer: fornisce informazioni sul DDR per la chiamata in uscita.

Output di esempio del comando debug

L'output di debug della negoziazione PPP mostra il processo di negoziazione del protocollo PPP/IPCP.

EasyIP#debug ppp negotiation 
PPP protocol negotiation debugging is on
.
.

2d07h: BR1/0:1 IPCP: O CONFREQ [Closed] id 223 len 10
2d07h: BR1/0:1 IPCP:    Address 0.0.0.0 (0x030600000000)
2d07h: BR1/0:1 CDPCP: O CONFREQ [Closed] id 63 len 4
2d07h: BR1/0:1 IPCP: I CONFREQ [REQsent] id 47 len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.1 (0x0306C8010001)
2d07h: BR1/0:1 IPCP: O CONFACK [REQsent] id 47 len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.1 (0x0306C8010001)
2d07h: BR1/0:1 CDPCP: I CONFREQ [REQsent] id 41 Len 4
2d07h: BR1/0:1 CDPCP: O CONFACK [REQsent] id 41 Len 4
2d07h: BR1/0:1 IPCP: I CONFNAK [ACKsent] id 223 Len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.3 (0x0306C8010003)
2d07h: BR1/0:1 IPCP: O CONFREQ [ACKsent] id 224 Len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.3 (0x0306C8010003)
2d07h: BR1/0:1 CDPCP: I CONFACK [ACKsent] id 63 Len 4
2d07h: BR1/0:1 CDPCP: State is Open
2d07h: BR1/0:1 IPCP: I CONFACK [ACKsent] id 224 Len 10
2d07h: BR1/0:1 IPCP:    Address 200.1.0.3 (0x0306C8010003)
2d07h: BR1/0:1 IPCP: State is Open
2d07h: BR1/0 IPCP: Install negotiated IP interface address 200.1.0.3

! -- The EasyIP router will install the negotiated WAN IP address.

2d07h: BR1/0 IPCP: Install route to 200.1.0.1

! -- A route to the Central Site Access Server is installed.

2d07h: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI1/0:1, changed state Up
2d07h: %ISDN-6-CONNECT: Interface BRI1/0:1 is now connected to 97771200 ISP-AS
EasyIP#

L'output debug ip nat visualizza le informazioni sui pacchetti IP convertiti dalla funzionalità NAT (Network Address Translation).

EasyIP#debug ip nat detailed 
IP NAT detailed debugging is on
.
.
2d00h: NAT: o: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909]
2d00h: NAT: i: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909]
2d00h: NAT: ipnat_allocate_port: wanted 2015 got 2015
2d00h: NAT*: o: icmp (192.168.16.1, 2015) -> (200.1.0.3, 2015) [909]
2d00h: NAT: o: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910]
2d00h: NAT: i: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910]
2d00h: NAT: ipnat_allocate_port: wanted 2016 got 2016
2d00h: NAT*: o: icmp (192.168.16.1, 2016) -> (200.1.0.3, 2016) [910]
2d00h: NAT: o: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911]
2d00h: NAT: i: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911]
2d00h: NAT: ipnat_allocate_port: wanted 2017 got 2017
2d00h: NAT*: o: icmp (192.168.16.1, 2017) -> (200.1.0.3, 2017) [911]
2d00h: NAT: o: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912]
2d00h: NAT: i: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912]
.
.

EasyIP#undebug all 
All possible debugging has been turned off

Informazioni correlate

• Uso del comando show isdn status per la risoluzione dei problemi BRI
• Verifica del funzionamento e risoluzione dei problemi base del protocollo NAT
• Pagina di supporto NAT
• Supporto della tecnologia Dial and Access
• Documentazione e supporto tecnico – Cisco Systems