Este documento explica a utilização do recurso de IP fácil do software Cisco IOS®, que é útil em casos em que toda uma estação se conecta à Internet via um Provedor de Serviço da Internet (ISP) que designa somente um endereço IP para toda a estação remota. O Easy IP Router disca para o Servidor de Acesso à Rede (NAS) no provedor de serviço e negocia seu próprio endereço IP WAN. O roteador então utiliza a Conversão de endereços de rede (NAT) por meio desse endereço negociado com Conversão de endereços de porta (PAT) para fornecer acesso externo a clientes internos. Outra função opcional do roteador Easy IP é agir como um servidor de protocolo de configuração de host dinâmico (DHCP) para os clientes internos da LAN. O roteador Cisco de escritório pequeno/doméstico (SOHO) geralmente é usado nesse tipo de configuração.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Easy IP Router - Um Cisco 3620 com quatro interfaces Ethernet e oito interfaces BRI executando o software Cisco IOS versão 12.0 (7) XK2.
Servidor de acesso Um Cisco AS5300 com uma porta Ethernet, uma porta Fast Ethernet e quatro portas T1/PRI canalizadas executando o Cisco IOS Software versão 12.1(7).
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.
Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.
Protocolo Ponto a Ponto (PPP - Point-to-Point Protocol)/Protocolo de Controle IP (IPCP - IP Control Protocol): Isso é definido no RFC 1332 . O IPCP oferece a capacidade de configurar dinamicamente endereços IP sobre PPP. Um Cisco IOS Easy IP Router utiliza PPP/IPCP para negociar dinamicamente seus próprios IP Addresses da interface WAN registrada, com servidores de acesso central ou de DHCP.
NAT: Opera em um roteador que conecta duas ou mais redes juntas. No Easy IP, pelo menos uma dessas redes (designada como "interna" ou "LAN") é endereçada com endereços particulares que devem ser convertidos em endereços registrados antes que os pacotes possam ser encaminhados à outra rede registrada (designada como "externa" ou "WAN"). Dentro do contexto de Easy IP, a PAT é usada para traduzir todos os endereços internos privados em um único endereço IP registrado externo.
DHCP para os clientes de LAN: Esta é uma função opcional do roteador Cisco Easy IP que pode ser usada para atribuir endereços IP aos clientes de LAN internos. Outros métodos para atribuir endereços IP aos clientes, como atribuições estáticas ou o uso de um servido DHCP PC também podem ser usados.
Se o roteador Easy IP estiver configurado como um servidor DHCP, os clientes internos da LAN receberão um endereço IP privado dele quando ligados. Caso não esteja configurado deste modo, os clientes devem ter um endereço IP atribuído a eles de alguma outra maneira.
Quando um cliente dentro da LAN gera tráfego “interessante” (conforme definido pelas listas de controle de acesso) de discagem, o roteador Easy IP disca e solicita um único endereço IP registrado no servidor de acesso do local central, via PPP/IPCP. Depois de feita a conexão, outros clientes dentro da LAN poderão usar esse circuito, conforme explicado na etapa 4.
O servidor central de site de acesso reponde com um endereço global dinâmico de um pool de endereços de IP local designado à interface WAN do roteador Easy IP.
O roteador Easy IP usa PAT para criar automaticamente uma conversão que associa o endereço IP registrado da interface WAN com o endereço IP privado do cliente interno da LAN e uma conexão com o Servidor de Acesso do Site Central é feita.
Para obter uma compreensão mais detalhada do Easy IP, consulte o white paper - Cisco IOS Easy IP.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Este documento utiliza a instalação de rede mostrada no diagrama abaixo.
Este documento utiliza esta configuração:
Easy IP Router |
---|
EasyIP#show running-config Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname EasyIP ! username ISP-AS password 0 ipnegotiate ! --- Username for remote router (ISP-AS) and shared secret. ! --- Shared secret(used for CHAP) must be the same on both sides. ip subnet-zero no ip domain-lookup no ip dhcp conflict logging ! --- Disable the recording of DHCP address conflicts on the DHCP server. ip dhcp excluded-address 10.0.0.1 ! --- Specifies a IP address that the DHCP server should not assign to clients. ip dhcp pool soho ! --- Configure the DHCP address pool name and enter DHCP pool configuration mode. network 10.0.0.0 255.0.0.0 ! --- Specifies the subnet network number and mask of the DHCP address pool. default-router 10.0.0.1 ! --- Specifies the IP address of the default router for a DHCP clients. lease infinite ! --- Specifies the duration of the lease. ! isdn switch-type basic-5ess isdn voice-call-failure 0 ! interface Ethernet0/0 ip address 10.0.0.1 255.0.0.0 ! --- IP address for the Ethernet interface. no ip directed-broadcast ip nat inside ! --- Defines the interface as internal for network address translation. ! ! Unused ethernet interfaces omitted for brevity ! interface BRI1/0 ip address negotiated ! --- Enables PPP/IPCP negotiation for this interface. no ip directed-broadcast ip nat outside ! --- Defines the interface as external for network address translation. encapsulation ppp dialer idle-timeout 60 ! --- Idle timeout(in seconds)for this BRI interface. dialer string 97771200 ! --- Specifies the telephone number required to reach the central access server. dialer-group 1 ! --- Apply interesting traffic defined in dialer-list 1. isdn switch-type basic-5ess ppp authentication chap ! !-- Unused BRI interfaces omitted for brevity. ! ip nat inside source list 100 interface BRI1/0 overload ! --- Establishes dynamic source translation (with PAT) for addresses which are ! --- identified by the access list 100. ip classless ip route 0.0.0.0 0.0.0.0 BRI1/0 permanent ! --- Default route is via BRI1/0. no ip http server ! access-list 100 permit ip 10.0.0.0 0.255.255.255 any ! --- Defines an access list permitting those addresses that are to be translated. dialer-list 1 protocol ip permit ! --- Interesting traffic is defined by dialer-list1. ! --- This is applied to BRI1/0 using dialer-group 1. line con 0 transport input none line aux 0 line vty 0 4 login ! end |
Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.
Determinados comandos show são suportados pela Ferramenta Output Interpreter, que permite que você veja uma análise do resultado do comando show.
show ip interface brief – Exibe o status da interface e o endereço IP configurado na interface.
show interfaces - Fornece informações de alto nível sobre o status da interface para uma interface específica.
show ip nat statistics - exibe as estatísticas de Tradução de Endereço de Rede (NAT).
show ip nat translations - Exibe as conversões NAT ativas.
show isdn status- Exibe o status de cada camada de ISDN. Verifica se as camadas 1 e 2 de ISDN estão funcionando. Consulte o documento Using the show isdn status Command for BRI Troubleshooting para obter mais informações sobre troubleshooting.
show dialer - Exibe as informações do discador.
As seguintes saídas do comando show, obtidas antes de o Roteador Easy IP iniciar a conexão dialup com o Servidor Central de Site de Acesso mostra que a interface BRI1/0 está ativa e não possui um endereço IP, mas esse endereço IP será negociado com o uso do IPCP.
EasyIP#show ip interface brief Interface IP-Address OK? Method Status Prol Ethernet0/0 10.0.0.1 YES manual up up Ethernet0/1 unassigned YES manual administratively down dow Ethernet0/2 unassigned YES manual administratively down dow Ethernet0/3 unassigned YES manual administratively down dow BRI1/0 unassigned YES IPCP up up ! -- Interface is Up, but no IP Address is assigned since it is not connected BRI1/0:1 unassigned YES unset down dow BRI1/0:2 unassigned YES unset down dow ! -- Both B-channels are down BRI1/1 unassigned YES manual administratively down dow BRI1/1:1 unassigned YES unset administratively down dow BRI1/1:2 unassigned YES unset administratively down dow EasyIP#show interfaces bri1/0 BRI1/0 is up, line protocol is up (spoofing) Hardware is BRI with integrated NT1 Internet address will be negotiated using IPCP MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set . . EasyIP#
As seguintes saídas do comando show, obtidas depois que o Easy IP Router iniciou a conexão de discagem com o Central Site Access Server, mostram que a interface BRI1/0 recebeu seu endereço IP 200.1.0.3 do Central Site Access Server via PPP/IPCP.
EasyIP#show ip interface brief Interface IP-Address OK? Method Status Prorocol Ethernet0/0 10.0.0.1 YES manual up up Ethernet0/1 unassigned YES manual administratively down dow Ethernet0/2 unassigned YES manual administratively down dow Ethernet0/3 unassigned YES manual administratively down dow BRI1/0 200.1.0.3 YES IPCP up up ! -- Int BRI1/0 has a registers IP address assigned after connection is up BRI1/0:1 unassigned YES unset up up BRI1/0:2 unassigned YES unset down dow ! -- 1st B-channel (BRI1/0:1) is UP BRI1/1 unassigned YES manual administratively down dow BRI1/1:1 unassigned YES unset administratively down dow BRI1/1:2 unassigned YES unset administratively down dow EasyIP#show interfaces bri1/0 BRI1/0 is up, line protocol is up (spoofing) Hardware is BRI with integrated NT1 Internet address is 200.1.0.3/32 MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set . . EasyIP#
Precisamos verificar se os hosts internos da rede privada conseguem se conectar ou não ao Servidor de acesso da estação central e se o recurso NAT está funcionando apropriadamente ou não. Isso pode ser feito usando-se o utilitário ping estendido. No roteador EasyIP, execute o ping da interface Ethernet do Servidor central de estação de acesso e especifique a origem do ping como o endereço da LAN (privado) do roteador EasyIP. Isso garante que o pacote seja processado pelo PAT e que os clientes na LAN possam se comunicar com a rede do local central.
EasyIP#ping Protocol [ip]: Target IP address: 192.168.16.1 ! -- Ethernet interface IP address of the Central Site Access Server. Repeat count [5]: 10 Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.0.0.1 ! --Ethernet interface IP address (private) of the Easy IP router. Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 10, 100-byte ICMP Echos to 192.168.16.1, timeout is 2 seconds: !!!!!!!!!! Success rate is 100 percent (10/10), round-trip min/avg/max = 32/34/36 ms
A saída acima mostra a taxa de sucesso em 100%, o que significa que o recurso NAT está funcionando corretamente e que os hosts SOHO podem se comunicar com o Servidor de Acesso de Instalação Central. Podemos obter informações mais detalhadas sobre as traduções de NAT a partir da saída dos seguintes comandos show.
EasyIP#show ip nat statistics Total active translations: 10 (0 static, 10 dynamic; 10 extended) Outside interfaces: BRI1/0, BRI1/0:1, BRI1/0:2 Inside interfaces: Ethernet0/0 Hits: 169 Misses: 185 Expired translations: 175 Dynamic mappings: -- Inside Source access-list 100 interface BRI1/0 refcount 10
EasyIP#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 200.1.0.3:32 10.0.0.1:32 192.168.16.1:32 192.168.16.1:32 icmp 200.1.0.3:33 10.0.0.1:33 192.168.16.1:33 192.168.16.1:33 icmp 200.1.0.3:34 10.0.0.1:34 192.168.16.1:34 192.168.16.1:34 icmp 200.1.0.3:35 10.0.0.1:35 192.168.16.1:35 192.168.16.1:35 icmp 200.1.0.3:36 10.0.0.1:36 192.168.16.1:36 192.168.16.1:36 icmp 200.1.0.3:37 10.0.0.1:37 192.168.16.1:37 192.168.16.1:37 icmp 200.1.0.3:38 10.0.0.1:38 192.168.16.1:38 192.168.16.1:38 icmp 200.1.0.3:39 10.0.0.1:39 192.168.16.1:39 192.168.16.1:39 icmp 200.1.0.3:40 10.0.0.1:40 192.168.16.1:40 192.168.16.1:40 icmp 200.1.0.3:41 10.0.0.1:41 192.168.16.1:41 192.168.16.1:41 EasyIP#
A seguinte saída de comando show isdn status mostra o status de cada camada ISDN. Verifique se as camadas 1 e 2 são indicadas no exemplo
EasyIP#show isdn status Global ISDN Switchtype = basic-5ess ISDN BRI1/0 interface dsl 8, interface ISDN Switchtype = basic-5ess Layer 1 Status: ACTIVE Layer 2 Status: TEI = 64, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED Layer 3 Status: 1 Active Layer 3 Call(s) Activated dsl 8 CCBs = 1 CCB:callid=8098, sapi=0, ces=1, B-chan=1, calltype=DATA The Free Channel Mask: 0x80000002
Consulte o documento Using the show isdn status Command for BRI Troubleshooting para obter mais informações sobre troubleshooting.
A seguinte saída show dialer mostra que a discagem é iniciada pelo endereço IP da rede privada interna (por exemplo,10.0.0.1).
EasyIP#show dialer BRI1/0 - dialer type = ISDN Dial String Successes Failures Last DNIS Last status 97771200 23 0 00:02:02 successful Default 0 incoming call(s) have been screened. 0 incoming call(s) rejected for callback. BRI1/0:1 - dialer type = ISDN Idle timer (120 secs), Fast idle timer (20 secs) Wait for carrier (30 secs), Re-enable (15 secs) Dialer state is data link layer up Dial reason: ip (s=10.0.0.1, d=192.168.16.1) Time until disconnect 36 secs Current call connected 00:02:03 Connected to 97771200 (ISP-AS) BRI1/0:2 - dialer type = ISDN Idle timer (120 secs), Fast idle timer (20 secs) Wait for carrier (30 secs), Re-enable (15 secs) Dialer state is idle
Observação: antes de emitir comandos debug, consulte Informações importantes sobre comandos debug.
debug ppp negotiation - Fornece informações sobre o processo de negociação do protocolo PPP. debug ip nat - Fornece informações
debug ip nat- Fornece informações sobre os pacotes IP convertidos pelo recurso NAT (Conversão de endereço de rede) de IP.
debug isdn q921 - Fornece depuração da camada de enlace de dados de mensagens q.921.
debug isdn q931 - Fornece depuração da camada de rede de mensagens q.931.
debug dialer – Fornece informações de DDR para a chamada de saída.
A seguinte saída de negociação ppp de depuração mostra o processo de negociação de protocolos PPP/IPCP.
EasyIP#debug ppp negotiation PPP protocol negotiation debugging is on . . 2d07h: BR1/0:1 IPCP: O CONFREQ [Closed] id 223 len 10 2d07h: BR1/0:1 IPCP: Address 0.0.0.0 (0x030600000000) 2d07h: BR1/0:1 CDPCP: O CONFREQ [Closed] id 63 len 4 2d07h: BR1/0:1 IPCP: I CONFREQ [REQsent] id 47 len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.1 (0x0306C8010001) 2d07h: BR1/0:1 IPCP: O CONFACK [REQsent] id 47 len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.1 (0x0306C8010001) 2d07h: BR1/0:1 CDPCP: I CONFREQ [REQsent] id 41 Len 4 2d07h: BR1/0:1 CDPCP: O CONFACK [REQsent] id 41 Len 4 2d07h: BR1/0:1 IPCP: I CONFNAK [ACKsent] id 223 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 IPCP: O CONFREQ [ACKsent] id 224 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 CDPCP: I CONFACK [ACKsent] id 63 Len 4 2d07h: BR1/0:1 CDPCP: State is Open 2d07h: BR1/0:1 IPCP: I CONFACK [ACKsent] id 224 Len 10 2d07h: BR1/0:1 IPCP: Address 200.1.0.3 (0x0306C8010003) 2d07h: BR1/0:1 IPCP: State is Open 2d07h: BR1/0 IPCP: Install negotiated IP interface address 200.1.0.3 ! -- The EasyIP router will install the negotiated WAN IP address. 2d07h: BR1/0 IPCP: Install route to 200.1.0.1 ! -- A route to the Central Site Access Server is installed. 2d07h: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI1/0:1, changed state Up 2d07h: %ISDN-6-CONNECT: Interface BRI1/0:1 is now connected to 97771200 ISP-AS EasyIP#
A saída debug ip nat exibe as informações sobre os pacotes IP convertidos pelo recurso de conversão de endereço de rede (NAT - Network Address Translation) IP.
EasyIP#debug ip nat detailed IP NAT detailed debugging is on . . 2d00h: NAT: o: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909] 2d00h: NAT: i: icmp (10.0.0.1, 2015) -> (192.168.16.1, 2015) [909] 2d00h: NAT: ipnat_allocate_port: wanted 2015 got 2015 2d00h: NAT*: o: icmp (192.168.16.1, 2015) -> (200.1.0.3, 2015) [909] 2d00h: NAT: o: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910] 2d00h: NAT: i: icmp (10.0.0.1, 2016) -> (192.168.16.1, 2016) [910] 2d00h: NAT: ipnat_allocate_port: wanted 2016 got 2016 2d00h: NAT*: o: icmp (192.168.16.1, 2016) -> (200.1.0.3, 2016) [910] 2d00h: NAT: o: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911] 2d00h: NAT: i: icmp (10.0.0.1, 2017) -> (192.168.16.1, 2017) [911] 2d00h: NAT: ipnat_allocate_port: wanted 2017 got 2017 2d00h: NAT*: o: icmp (192.168.16.1, 2017) -> (200.1.0.3, 2017) [911] 2d00h: NAT: o: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912] 2d00h: NAT: i: icmp (10.0.0.1, 2018) -> (192.168.16.1, 2018) [912] . . EasyIP#undebug all All possible debugging has been turned off
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
24-Oct-2005 |
Versão inicial |