Gestion et automatisation de réseau : Plate-forme d'approvisionnement multiservices (MSPP) Cisco ONS 15454 SONET

Utiliser NAT pour masquer l'adresse IP réelle d'ONS 15454 pour établir une session CTC

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour que le Traduction d'adresses de réseau (NAT) établisse une session entre le contrôleur de transport de Cisco (CTC) et l'ONS 15454. La configuration utilise NAT et une liste d'accès quand ONS 15454 réside dans un réseau privé, et le client CTC réside dans un réseau public.

Appliquez NAT et une liste d'accès pour des raisons de sécurité. NAT masque la vraie adresse IP d'ONS 15454. La liste d'accès sert de Pare-feu pour contrôler le trafic IP dans et hors d'ONS 15454.

Conditions préalables

Conditions requises

Assurez-vous de répondre à ces exigences avant d'essayer cette configuration :

  • Ayez la connaissance de base du Cisco ONS 15454.

  • Rendez-vous compte dont les Routeurs de Cisco prennent en charge NAT.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version de logiciel 12.1(11) et ultérieures de Cisco IOSÝ

  • Version 5.X et ultérieures du Cisco ONS 15454

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Cette section fournit l'information générale essentielle.

Topologie

La topologie de test comporte :

  • Un Cisco ONS 15454, qui agit en tant que serveur.

  • Un PC, qui sert de client CTC.

  • Un routeur de gamme Cisco 2600, qui fournit le support NAT.

Remarque: Le Cisco ONS 15454 réside dans le réseau interne et le PC est dans le réseau externe.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/64816/ctcto15454_01.gif

Remarque: Supposez que 172.16.0.0 est routable dans le réseau public.

Configurations

Ce document utilise les configurations suivantes :

  • ONS 15454

  • PC

  • Routeur

Configuration du Cisco ONS 15454

Procédez comme suit :

  1. Dans la vue noeud, ravitaillement > général > réseau de clic.

    Vérifiez si l'adresse IP d'ONS 15454 apparaît comme 10.89.238.56 dans le champ IP Address (voir la flèche A sur le schéma 2), et que le gisement par défaut de routeur contient la valeur 10.89.238.1 (voir la flèche B sur le schéma 2).

    Figure 2 ? Configuration ONS 15454

    ctcto15454_02.gif

  2. Cochez le proxy de SOCKS d'enable sur la case de port dans la section de paramètres de passerelle (voir le C de flèche sur le schéma 2), et sélectionnez l'option de proxy de SOCKS seulement (voir la flèche D sur le schéma 2).

  3. Sélectionnez l'option requise de port d'auditeur dans la section Port d'auditeur TCC CORBA (IIOP). Vous avez ces trois options :

    • Par défaut - TCC réparé — Sélectionnez cette option si ONS 15454 est du même côté du Pare-feu comme ordinateur CTC, ou s'il n'y a aucun Pare-feu (par défaut). Cette option place le port d'auditeur d'ONS 15454 au port 57790. Vous pouvez utiliser le par défaut - Le TCC a réparé l'option pour l'accès par un Pare-feu si le port 57790 est ouvert.

    • Constante standard — Sélectionnez cette option d'utiliser le port 683, le numéro de port de par défaut CORBA, comme port d'auditeur d'ONS 15454. Cet exemple utilise la constante de norme (683) (voir la flèche E sur le schéma 2).

    • L'autre constante — Sélectionnez cette option si vous n'utilisez pas le port 683. Tapez le port IIOP que votre administrateur de Pare-feu spécifie.

Configuration d'ordinateur personnel

Dans la boîte de dialogue Properties de l'Internet Protocol (TCP/IP), vérifiez si le champ d'adresse IP indique 172.16.1.254 comme adresse IP du PC (voir la flèche A sur le schéma 3). Cochez également si 172.16.1.1 est la passerelle par défaut (voir la flèche B sur le schéma 3).

Figure 3 ? Configuration de PC

ctcto15454_03.gif

Configuration du routeur

Procédez comme suit :

  1. Configurez l'interface interne où le Cisco ONS 15454 réside.

    !
    interface Ethernet1/0
     ip address 10.89.238.1 255.255.255.0
     ip access-group 101 in
     ip nat inside
    !
  2. Configurez la liste d'accès 101.

    access-list 101 permit tcp any eq www any
    !
    ! Allow CTC to access TCP Port 80 on ONS 15454
    !
    access-list 101 permit tcp any eq 1080 any
    !
    ! Allow CTC to access TCP Port 1080 on ONS 15454
    !
    access-list 101 permit tcp any any eq 683
    !
    ! Allow ONS 15454 to access TCP Port 683 on the PC
    !
  3. Configurez l'interface extérieure où le PC réside.

    interface Ethernet1/1
     ip address 172.16.1.1 255.255.255.0
     ip nat outside
    !
  4. Configurez NAT statique.

    La configuration convertit l'adresse IP de 10.89.238.56 (interne local) en adresse IP de 172.16.1.200 (extérieur global). Émettez la commande nat de traduction de show ip sur le routeur de visualiser la table de traduction (voir le schéma 4).

    !
    ip nat inside source static 10.89.238.56 172.16.1.200
    !
    Figure 4 ? Ip nat translation

    ctcto15454_04.gif

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

  • liste d'accès d'exposition — affiche le compte de paquets qui traversent la liste d'accès.

Procédure de vérification

Terminez-vous ces étapes pour vérifier la configuration :

  1. Exécutez Microsoft Internet Explorer.

  2. Tapez http://172.16.1.200 dans la zone adresse de la fenêtre du navigateur, et l'appuyez sur ENTRENT.

    172.16.1.200 est l'adresse globale interne. Dans le réseau public, les utilisateurs CTC peuvent accéder à seulement 172.16.1.200, qui est l'adresse globale interne d'ONS 15454 dont l'adresse d'interne local est 10.89.238.56.

    La fenêtre de connexion CTC apparaît.

  3. Tapez le nom d'utilisateur et le mot de passe pour ouvrir une session.

    Le client CTC se connecte avec succès à ONS 15454.

  4. Émettez la commande détaillée par debug ip nat d'activer le suivi détaillé par IP NAT. Vous pouvez visualiser les traductions d'adresses dans le fichier de suivi. Par exemple, traduction d'adresses de 10.89.238.56 à 172.16.1.200 (voir la flèche A sur le schéma 5), et de 172.16.1.200 à 10.89.238.56 (voir la flèche B sur le schéma 5).

    Figure 5 ? Debug ip nat détaillé

    ctcto15454_05.gif

  5. Émettez la commande access-list d'exposition sur le routeur de visualiser le compte de paquets qui traversent la liste d'accès.

    Figure 6 ? La commande access-list d'exposition

    ctcto15454_06.gif

    Si la liste d'accès bloque le port d'auditeur TCC CORBA (IIOP), la session CTC avec ONS 15454 fois régulièrement, et un message d'alerte apparaît toutes les deux minutes comme affiché ici :

    Figure 7 ? Alertes CTC : Le port TCC CORBA (IIOP) est bloqué

    /image/gif/paws/64816/ctcto15454_07.gif

    Comme contournement, vous pouvez ouvrir le port d'auditeur CTC IIOP. L'ID de bogue Cisco CSCeh96275 (clients enregistrés seulement) aborde cette question.

    À l'avenir, la création d'un conduit pour le port TCP 80 et 1080 sur le Pare-feu est assez pour fournir le support pour masquer la vraie adresse IP d'ONS 15454.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 64816