Configuration DDR Standard Sites multiples aves RNIS ccnp_cch
Sommaire • Introduction - Prérequis - Matériels utilisés • Configuration - Schéma du réseau - Configuration des routeurs - Vérification • Résolution de problèmes - Commandes debug - Exemple de sortie de commande debug ccnp_cch
Introduction Dans certaines situations vous devez configurer un routeur pour qu'il se connecte avec de multiples sites. Par exemple le routeur doit se connecter avec le réseau distant de l'entreprise et se connecter à un opérateur Internet. Ce document présente un exemple de configuration dans lequel un routeur central accède à Internet et à un site distant en utilisant le RNIS. Le site distant peut accè- der au site central et à Internet via le site central. Prérequis Avant de commencer la configuration, assurez-vous que les étapes suivantes ont bien été réalisées. • Vérifier les couches 1 et 2 du RNIS à l'aide de la commande show isdn status. • Obtenir les informations suivantes de l'opérateur telles que la méthode d'authen- tification qui peut être CHAP ou PAP, le nom de l'utilisateur et le mot de passe, le numéro d'appel, l'adresse IP de l'interface dialer si elle n'est pa négociée. Il faut aussi s'assurer si NAT est nécessaire pour connecter plusieurs hosts à Internet. • Obtenir les informations suivantes au sujet du routeur distant: - Méthode d'authentification utilisée, nom d'utilisateur et mot de passe, numéro d'appel et adresse IP. Matériels utilisés Les informations utilisées dans ce document sont basées sur les versions logiciel et matériels suivantes: • Routeur Cisco 803 avec l'IOS Cisco IP Plus Release 12.1(11) Note: Pour utiliser NAT , il faut absolument avoir un IOS IP Plus • Routeur Cisco 2501 avec un IOS Cisco Release 12.2(5) • La configuration pour le routeur ISP n'est pas incluse. Referez- vous au document Access-Dial Technical Tips pour avoir quelques exemples de configuration. Cette configuration peut être utilisée avec tout routeur comportant une interface RNIS BRI. Ceci inclut les routeurs avec une interface BRI intégrée tels que les routeurs Cisco de la série 800 (par exemple 801, 802, 803 804) et Cisco 1600 (par exemple 1603-R et 1604-R) ainsi que les routeurs avec des Interfaces BRI WIC ou des "Network Modules". ccnp_cch
Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau Internet Ethernet0 10.1.0.0/24 Central ISP Dialer 1 RNIS Dialer 2 192.168.17.2/252 Agence Dialer 1 192.168.17.1/252 Ethernet0 10.2.0.0/24 Configurations des routeurs Dans cette configuration le routeur central est appelé "Central" et le routeur distant "Agence". Sur le routeur central, l'interface Dialer 1 est configurée pour accéder à Internet . L'adresse IP est affectée de manière dynamique par l'ISP. Nous utilisons NAT pour permettre aux réseaux LAN du site central et du site distant d'accéder à Internet en utilisant l'adresse IP unique affectée dynamiquement. ccnp_cch
Configuration des Routeurs Routeur Central version 12.1 no parser cache service timestamps debug datetime msec service timestamps log datetime msec ! hostname Central username Agence password 0 cch_net !--- username pour le routeur distant et secret partagé !--- pour l'authentification CHAP !--- Le secret partagé doit être le même à chaque extrémité ip subnet-zero isdn switch-type basic-net3 interface ethernet0 ip address 10.1.0.1 255.255.255.0 ip nat inside ! !--- Ethernet 0 esr une interface NAT inside !--- Tout le trafic venant de ce réseau sera traduit no cdp enable ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 !--- Affectation de BRI0 comme membre du dialer pool 1 !--- Le Dialer pool est spécifié comme interface Dialer 1 dialer pool-member 2 !--- Affectation de BRI0 comme membre du dialer pool 2 !--- Le Dialer pool est spécifié comme interface Dialer 2 isdn switch-type basic-net3 no cdp enable ppp authentication chap pap callin !--- Permet une authentification unidirectionnelle chap pap !--- Configurer l'authentification sur l'interface physique et !--- l'interface Dialer (Suite de configuration page suivante) ccnp_cch
interface Dialer1 description CONNEXION INTERNET ip address negotiated !--- Adresse IP obtenue de l'ISP ip nat outside !--- Interface NAT outside. Comme l'interface a une seule adresse IP !--- , la traduction utilisera Port Address Translation. encapsulation ppp dialer pool 1 dialer remote-name ISP dialer idle-timeout 180 dialer string 0145667788 !--- Numéro utilisé pour appeler l'ISP dialer-group 1 !--- Trafic interessant lié à la commande Dialer-list no cdp enable ppp authentication chap pap callin ppp chap hostname xxxxx !--- xxxxx est le nom d'utilisateur attendu par l'ISP pour !--- authentifier le routeur ppp chap password YYYYY !--- YYYYY est le mot de passe attendu par l'ISP pour !--- authentifier le routeur ppp pap sent-username XXXXX password YYYYY !--- PAP username et Mot de passe !--- Nécessaire uniquement si CHAP n'est pas supporté interface Dialer2 description CONNEXION AU SITE DISTANT ip address 192.168.17.2 255.255.255.252 !--- Adresse IP pour la connexion au site distant ip nat inside !--- Interface NAT inside. Le trafic du site distant sera traduit !--- avant d'être acheminé vers l'ISP dialer pool 2 dialer remote-name Agence dialer idle-timeout 180 dialer string 0145990011 !--- Numéro utilisé pour appeler le routeur distant ccnp_cch
dialer-group 1 !--- Trafic interessant lié à la commande dialer-list no cdp enable ppp authentication chap callin ! ip nat inside source list 101 interface Dialer1 overload !--- Etablit une traduction dynamique de la source pour les adresses !--- qui sont identifiées par l'accès-list 101 no ip http server ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 !--- Route par défaut menant vers l'ISP ip route 10.2.0.0. 255.255.255.0 Dialer2 !--- Route statique vers le réseau 10.2.0.0 utilisée par le Dialer2 access-list 101 permit ip 10.1.0.0 0.0.0.255 any access-list 101 permit ip 10.2.0.0 0.0.0.255 any access-list 101 permet ip 192.168.17.0 0.0.0.3 any ! !--- Cette access-list définit le trafic qui doit être traduit dialer-list 1 protocol ip permit ! !--- Définition du trafic intéressant pour les deux connexions no cdp run ! line con 0 exec-timeout 0 0 login authentication NO_AUTHEN transport input none line vty 0 4 end ccnp_cch
Routeur Agence ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec ! hostname Agence username Central password 0 cch_net !--- username pour le routeur distant et secret partagé !--- pour l'authentification CHAP !--- Le secret partagé doit être le même à chaque extrémité ip subnet-zero isdn switch-type basic-net3 interface ethernet0 ip address 10.2.0.1 255.255.255.0 no cdp enable interface BRI0 no ip address encapsulation ppp dialer pool-member 1 !--- Affectation de BRI0 comme membre du dialer pool 1 !--- Le Dialer pool est spécifié comme interface Dialer 1 isdn switch-type basic-net3 dialer pool 1 !--- Dialer profile 1. BRI0 est membre de ce profil dialer remote-name Central dialer string 0139553322 !--- Numéro d'appel de l'utilisateur distant dialer group 1 !--- Trafic interessant lié à la commande Dialer-list pulse-time 0 no cdp enable ppp authentication chap callin ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 !--- Route par défaut menant vers le site central ccnp_cch
no ip http server ! dialer-list 1 protocol ip permit !--- Définition du trafic intéressant line con 0 exec-timeout 3 0 line aux 0 line vty 0 4 ! end Vérification Cette section fournit des informations que vous pouvez utiliser pour vérifier votre configuration. • show isdn active - Affiche le numéro RNIs utilisé pour la communication et si celle-ci est entrante ou sortante. • show caller ip - Affiche un résumé des informations sur l'appelant pour l'adresse IP fournie. • show ip interface dialer1 | include Internet - Affiche un résumé des informations IP et de l'état d'une interface Dialer • show dialer [interface-type number] - Affiche des informations générales sur les interfaces configurées pour le Dial on Demand Routing (DDR). Si l'interface Dialer passe en service correctement, le message suivant est affiché: Dialer state is data link layer up Si la couche physique est opérationnelle, la couche liaison doit l'être mais pas la couche NCP (Network Control Protocol). Les adresses source et destination du protocole qui a initié l'appel sont affichées dans la ligne "Dial reason". Cette commande show affiche également les timers et le temps restant avant décon- nexion s'il n'y a pas de trafic. ccnp_cch
Résolution de problèmes Cette section fournit des informations utilisables pour résoudre les problèmes de configuration. Commandes pour la résolution de problèmes • debug isdn q931 : Affiche les messages du protocole de couche 3 du RNIS utilisé pour l'établissement et la libération des communications. • debug isdn q921 : Affiche les messages de couche liaison de données du canal D entre le routeur et le commutateur RNIS. Utilisez cette commande si la commande show isdn status n'affiche pas les couches 1 et 2 à l'état "up". • debug dialer [events|packets] : Affiche des informations sur les paquets reçus sur une interface dialer. • debug ppp negotiation : Affiche les informations sur le trafic PPP et les échanges de négociation incluant LCP ( Link Control Protocol), l'authentification et NCP. Une négociation PPP réussie passe l'état LCP à "OPEN", ensuite il y la phase d'authentification et finalement la négociation NCP. • debug ppp authentication : Affiche les messages du protocole d'authentification tels PAP (Password Authentication Protocol) et CHAP (Challenge Athentication Protocol). • debug ip peer : Affiche les informations sur le voisin. Exemple de sortie de commande debug Central#debug isdn q931 ISDN Q931 packets debugging is on Central#debug dialer Dial on demand events debugging is on Central#debug ppp negotiation PPP negotiation debugging is on Central#debug ppp authentication PPP authentication debugging is on Central#debug ip peer IP peer address activity debuggong is on Le routeur Central initie une commande ping vers l'adresse internet 198.133.219.25 Central#ping 198.133.219.25 Type escape sequence to abort. Sending 5, 100-byte ICMP to 172.22.85.1, timeout is 2 seconds: *Mar 1 02:10:12.984: BR0 DDR: rotor dialout [priority] *Mar 1 02:10:12.988: BR0 DDR: Dialing cause ip (s=172.17.243.115, d=198.133.219.5) *Mar 1 02:10:12.988: BR0 DDR: Attempting to dial 0145667788 *Mar 1 02:10:12.996: ISDN BR0: TX -> SETUP pd = 8 callref = 0x01 !--- Le routeur Central initie un appel vers le numéro RNIS 0145667788 ccnp_cch
Mar 1 02:10:13. 000: Bearer Capability i = 0x8890. Mar 1 02:10:13 *Mar 1 02:10:13.000: Bearer Capability i = 0x8890 *Mar 1 02:10:13.008: Channel ID i = 0x83 *Mar 1 02:10:13.008: Called party number i = 0x80, '0145667788', Plan:Unknown, Type:Unknown *Mar 1 02:10:13.088: ISDN BR0: RX <- CALL_PROC pd = 8 callref = 0x81 *Mar 1 02:10:13.092: Channel ID i = 0x89 *Mar 1 02:10:13.244: ISDN BR0: RX <- CONNECT pd = 8 callref = 0x81 !-- Le routeur Central reçoit un message de connexion du canal B *Mar 1 02:10:13.252: ISDN BR0: TX -> CONNECT_ACK pd = 8 callref = 0x01 *Mar 1 02:10:13.260: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up *Mar 1 02:10:13.268: BR0:1 interface must be fifo queue, force FIFO *Mar 1 02:10:13.272: %DIALER-6-BIND: Interface BR0:1 bound to profile Di1 *Mar 1 02:10:13.280: BR0:1 PPP: Treating connection as a callout *Mar 1 02:10:13.280: BR0:1 PPP: Phase is ESTABLISHING, Active Open *Mar 1 02:10:13.284: BR0:1 PPP: No remote authentication for call-out *Mar 1 02:10:13.284: BR0:1 LCP: O CONFREQ [Closed] id 1 len 10 *Mar 1 02:10:13.284: BR0:1 LCP: MagicNumber 0x108130DD (0x0506130108DD) *Mar 1 02:10:13.300: BR0:1 LCP: I CONFREQ [REQsent] id 132 len 15 *Mar 1 02:10:13.300: BR0:1 LCP: AuthProto CHAP (0x0305C22305) !--- L'ISP veut utiliser l'authentification CHAP *Mar 1 02:10:13.304: BR0:1 LCP: MagicNumber 0xE4225290 (0x0506E4225290) *Mar 1 02:10:13.304: BR0:1 LCP: O CONFACK [REQsent] id 132 Len 15 *Mar 1 02:10:13.308: BR0:1 LCP: AuthProto CHAP (0x0305C22305) *Mar 1 02:10:13.308: BR0:1 LCP: MagicNumber 0xE4225290 (0x0506E4225290) *Mar 1 02:10:13.308: BR0:1 LCP: I CONFACK [ACKsent] id 1 Len 10 *Mar 1 02:10:13.312: BR0:1 LCP: MagicNumber 0x108130DD (0x0506108130DD) *Mar 1 02:10:13.312: BR0:1 LCP: State is Open *Mar 1 02:10:13.320: BR0:1 PPP: Phase is AUTHENTICATING, by the peer *Mar 1 02:10:13.328: BR0:1 AUTH: Started process 0 pid 22 *Mar 1 02:10:13.328: BR0:1 CHAP: I CHALLENGE id 118 Len 27 from "roger" *Mar 1 02:10:13.332: BR0:1 CHAP: Using alternate hostname XXXXX *Mar 1 02:10:13.332: BR0:1 CHAP: Username roger not found *Mar 1 02:10:13.336: BR0:1 CHAP: Using default password *Mar 1 02:10:13.336: BR0:1 CHAP: O RESPONSE id 118 Len 26 from "XXXXX" *Mar 1 02:10:13.360: BR0:1 CHAP: I SUCCESS id 118 Len 4 !--- Le routeur Central reçoit un message CHAP SUCCESS de l'ISP *Mar 1 02:10:13.360: BR0:1 PPP: Phase is UP *Mar 1 02:10:13.364: BR0:1 IPCP: O CONFREQ [Not negotiated] id 1 len 10 *Mar 1 02:10:13.364: BR0:1 IPCP: Address 0.0.0.0 (0x030600000000) *Mar 1 02:10:13.368: BR0:1 IPCP: I CONFREQ [REQsent] id 108 Len 10 *Mar 1 02:10:13.368: BR0:1 IPCP: Address 194.183.201.1 (0x0306C2B7C901) *Mar 1 02:10:13.368: BR0:1 IPPOOL: Validate address = 194.183.201.1 *Mar 1 02:10:13.372: BR0:1 set_ip_peer(3): new address 194.183.201.1 *Mar 1 02:10:13.372: BR0:1 IPCP: O CONFACK [REQsent] id 1 len 10 *Mar 1 02:10:13.376: BR0:1 IPCP: Address 194.183.201.1 (0x0306C2B7C901) *Mar 1 02:10:13.380: BR0:1 IPCP: I CONFNAK [ACKsent] id 1 len 10 *Mar 1 02:10:13.380: BR0:1 IPCP: Address 194.183.201.3 (0x0306C2B7C903) !--- L'adresse IP 194.183.201.3 est affectée par l'ISP au Dialer du routeur Central *Mar 1 02:10:13.384: BR0:1 IPCP: O CONFREQ [ACKsent] id 2 Len 10 *Mar 1 02:10:13.384: BR0:1 IPCP: Address 194.183.201.3 (0x0306C2B7C903) ccnp_cch
*Mar 1 02:10:13.396: BR0:1 IPCP: I CONFACK [ACKsent] id 2 len 10 *Mar 1 02:10:13.396: BR0:1 IPCP: Address 194.183.201.3 (0x0306C2B7C903) *Mar 1 02:10:13.400: BR0:1 IPCP: State is Open *Mar 1 02:10:13.400: Di1 IPCP: Install negotiated IP interface address 194.183.201.3 *Mar 1 02:10:13.412: BR0:1 DDR: dialer protocol up *Mar 1 02:10:13.416: BR0:1 Di1 IPCP: Install route to 194.183.201.1 *Mar 1 02:10:14.360: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state to up *Mar 1 02:10:17.276: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 0145667788 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 40/41/44 ms Central# ccnp_cch