Sécurité : Cisco ONS 15454 SDH Multiservice Provisioning Platform (MSPP)

Cisco ONS 15454 et NAT

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu

NAT

Introduction

Ce document décrit les différents types de Traduction d'adresses de réseau (NAT), et trace chaque type de NAT à la version de logiciel appropriée d'ONS 15454 qui prend en charge ce type.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Cisco ONS 15454

  • CTC

  • NAT

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Toutes les versions du Cisco ONS 15454

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Dans de nombreux cas dans le domaine, les différents scénarios NAT sont dans le jeu et ne fonctionnent pas correctement. Vous pouvez identifier la plupart de ces scénarios par les symptômes. La plupart des problèmes proviennent de l'incapacité de l'élément de réseau (Ne) d'initier une connexion de nouveau au poste de travail du contrôleur de transport de Cisco (CTC).

Souvent, quand le CTC ne prend en charge pas une configuration particulière de NAT, CTC les baisses uniformément et rebranche aux Noeuds à intervalles spécifiques. Dans de plus nouvelles versions, le CTC peut récupérer des débranchements sans relâcher de la vue. Dans de telles versions, vous pouvez noter cette question pendant l'interaction avec le noeud par le CTC.

Les mêmes symptômes se produisent également en raison des configurations incorrectes du pare-feu externe où les Listes d'accès dictent la Sécurité. Les Listes d'accès ne permettent pas au Ne pour initier certaines connexions à ou des adresses IP et/ou des ports définis, arrières vers le poste de travail CTC. Les débranchements fréquents peuvent également se produire quand les configurations de minuterie du pare-feu externe sont trop courtes.

Pour les Listes d'accès de Pare-feu d'échantillon que vous pouvez utiliser avec l'ONS 15454, référez-vous à la section des pare-feux externes du manuel de référence du Cisco ONS 15454, version 5.0.

NAT

NAT permet à un à un dispositif, par exemple, à un routeur, pour agir en tant qu'agent entre l'Internet et un réseau local. Cette section explique les divers types de NAT.

Le pour en savoir plus, se rapportent à RFC 2663 - Terminologie et considérations de traducteur d'adresse de réseau IPleavingcisco.com .

NAT traditionnel

NAT traditionnel permet à des hôtes dans un réseau privé pour accéder à d'une manière transparente des hôtes dans le réseau externe. Sessions sortantes d'initiés NAT traditionnels du réseau privé.

Cette section décrit brièvement les deux variations de NAT traditionnel :

  • NAT de base : NAT de base a mis de côté un bloc d'adresses externes. NAT de base emploie ces adresses pour traduire des adresses du hôte dans un domaine privé quand les hôtes initient des sessions avec le domaine externe.

  • Traduction de port d'adresse réseau (NAPT) : NAPT étend la notion de l'un peu plus de traduction. NAPT traduit également des identifiants de transport, par exemple, des numéros de port de TCP et UDP, et des identifiants de requête d'ICMP. Une telle traduction multiplexe les identifiants de transport d'un certain nombre d'hôtes privés dans les identifiants de transport d'une adresse externe simple.

    Remarque: NAPT s'appelle également la translation d'adresses d'adresse du port (PAT).

NAT bidirectionnel

Un périphérique sur le réseau extérieur initie une transaction avec un périphérique sur l'intérieur. Afin de permettre cette initiation, la version de base de NAT a été améliorée pour inclure des possibilités avancées. Cette amélioration le plus généralement est connue en tant que NAT bidirectionnel, mais désigné également sous le nom de NAT NAT et d'arrivée bi-directionnel. Avec un NAT bidirectionnel, vous pouvez initier des sessions des hôtes dans le réseau public et le réseau privé. Des adresses de réseau privé sont liées globalement - aux adresses uniques, statiquement ou dynamiquement pendant que vous établissez des connexions dans l'un ou l'autre de direction.

La représentation de NAT sur des transactions d'arrivée est plus difficile que NAT sortant. La raison est que le réseau intérieur connaît généralement l'adresse IP des périphériques externes, parce que ces périphériques sont publics. Cependant, le réseau extérieur ne connaît pas les adresses privées du réseau intérieur. Même si le réseau extérieur se rend compte des adresses IP des réseaux privés, vous pouvez ne jamais spécifier ces adresses IP comme cible d'un datagramme IP que vous initiez de l'extérieur, parce qu'elles ne sont pas routable.

Vous pouvez employer une de ces deux méthodes pour résoudre le problème d'adresse masqué :

  • Mappage statique

  • Système de noms de domaine (DNS) TCP/IP

Remarque: Dans ce document, NAT bidirectionnel implique NAT de base, mais NAT de base n'implique pas NAT bidirectionnel.

Deux fois NAT

Deux fois NAT est une variation de NAT. Deux fois NAT modifie la source et des adresses de destination quand un datagramme croise des royaumes d'adresse. Ce concept contraste avec NAT NAT et bidirectionnel traditionnel, qui traduit seulement un des adresses (source ou destination).

ONS 15454 et compatibilité NAT

Cette table affiche ONS 15454 et la compatibilité NAT :

Type de NAT Le CTC voit Le Gateway Network Element (GNE) voit Version prise en charge CTC
NAT de base IP GNE IP traduit Version 3.3
NAPT IP GNE IP traduit Version 4.0
NAT bidirectionnel IP traduit IP CTC Version 5.0
Deux fois NAT IP traduit IP traduit Version 5.0

Dépannez

En cas de problème de communication entre le Ne et le CTC, la sortie de la commande de fhDebug contient ce message d'erreur :

OCT 27 18:35:37.09 UTC ERROR     ObjectChange.cc:432   tEventMgr
 CORBA::NO_IMPLEMENT/0x3d0004 updating [192.168.1.100:EventReceiver].  Marking c

OCT 27 18:36:17.09 UTC DEBUG        AlarmImpl.cc:353   tEventMgr
 Removing corba client [192.168.1.100:EventReceiver] from auton msg list

Plusieurs raisons peuvent entraîner cette erreur. Cependant, si l'erreur se produit à intervalles prévisibles réguliers (habituellement ~2 ou ~4 minutes), la raison peut être la présence de l'un ou l'autre par type de NAT que le CTC ne prend en charge pas, ou un Pare-feu sans autorisations nécessaires de port.

Observez que 172.16.1.100 est l'adresse IP du poste de travail CTC et 10.1.1.1 est l'adresse NAT (voir le schéma 1).

Figure 1 ? Topologie

nat_ons15454_01.gif

Voici la sortie partielle de la commande d'inetstatShow :

-> inetstatShow
Active Internet connections (including servers)
PCB     Typ Rx-Q Tx-Q Local Address     Foreign Address (state)
------- --- ---- ---- ----------------- --------------- -------
2145984 TCP    0   0 10.10.10.10:1052   10.1.1.1:1029   SYN_SENT
21457f8 TCP    0   0 10.10.10.10:80     10.1.1.1:1246   TIME_WAIT
2145900 TCP    0   0 10.10.10.10:57790  10.1.1.1:1245   ESTABLISHED --- ISP assigned address
21453d8 TCP    0   0 10.10.10.10:80     10.1.1.1:1244   TIME_WAIT
2144f34 TCP    0   0 10.10.10.10:80     10.1.1.1:1238   TIME_WAIT
2144eb0 TCP    0   0 10.10.10.10:1080   10.1.1.1:1224   ESTABLISHED --- ISP assigned address

Cette sortie n'affiche aucune preuve de cette adresse. La sortie affiche l'annonce publique que les utilisations ISP, qui est des preuves d'un scénario NAT traditionnel.

Afin d'identifier NAT bidirectionnel et deux fois NAT, vous avez besoin d'un tracé de renifleur du même segment de réseau que le poste de travail CTC. Dans le meilleur des cas, un renifleur qui fonctionne sur le poste de travail CTC est le plus approprié.


Informations connexes


Document ID: 65343