安全 : Cisco ONS 15454 SONET Multiservice Provisioning Platform (MSPP)

使用NAT隐藏ONS15454实际IP地址建立CTC会话

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 29 日) | 反馈


目录


简介

本文为网络地址转换(NAT)提供一配置示例设立会话之间Cisco传输控制器和ONS15454。配置使用NAT和一访问列表,当ONS15454位于私有网络时,并且CTC客户端在公共网络驻留。

用于安全性目的运用NAT和访问列表。NAT隐藏ONS15454实际IP地址。访问列表担当防火墙控制IP数据流进出ONS15454。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 有Cisco ONS 15454基础知识。

  • 注意哪些Cisco路由器支持NAT。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco IOS�软件版本12.1(11)和以上

  • Cisco ONS 15454版本5.X和以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

此部分提供重要背景信息。

拓扑

测试拓扑包括:

  • 一Cisco ONS 15454,作为服务器。

  • 一个PC,担当CTC客户端。

  • 一个Cisco 2600系列路由器,提供NAT支持。

注意: Cisco ONS 15454位于内部网络,并且PC在外部网络。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 要查找本文档所用命令的其他信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用以下网络设置:

/image/gif/paws/64816/ctcto15454_01.gif

注意: 假设, 172.16.0.0是可路由的在公共网络。

配置

本文档使用以下配置:

  • ONS15454

  • PC

  • 路由器

Cisco ONS 15454配置

完成这些步骤:

  1. 在View节点,请点击供应>General >网络

    验证ONS15454的IP地址是否出现作为在IP地址字段的10.89.238.56 (请参阅箭头A在表2)和Default Router Field包含值10.89.238.1 (请参阅箭头B在表2)

    图2 – ONS15454配置

    ctcto15454_02.gif

  2. 检查Port复选框的Enable (event)袜子代理在网关设置部分(请参阅箭头C在表2),并且选择袜子代理唯一选择(请参阅箭头D在表2)

  3. 选择在TCC CORBA (IIOP)监听程序端口部分的需要的监听程序端口选项。您有这三个选项:

    • 默认-修复的TCC —请选择此选项,如果ONS15454是在防火墙的同一边作为CTC计算机,或者,如果没有防火墙(默认)。此选项设置ONS15454监听程序端口为波尔特57790。您能使用默认-,如果波尔特57790是开放的, TCC通过防火墙修复访问的选项。

    • 标准的康斯坦—选择此选项使用波尔特683, CORBA默认的端口号,作为ONS15454监听程序端口。此示例使用标准的康斯坦(683) (请参阅箭头E在表2)

    • 其他康斯坦—,如果不使用波尔特683,请选择此选项。键入您的防火墙管理员指定的IIOP端口。

个人计算机的配置

在互联网协议(TCP/IP) Properties对话框中,请验证IP地址字段是否指示172.16.1.254作为PC的IP地址(请参阅箭头A在表3)。并且请证实172.16.1.1是否是默认网关(请参阅箭头B在表3)

图3 – PC配置

ctcto15454_03.gif

路由器配置

完成这些步骤:

  1. 配置Cisco ONS 15454驻留的内部接口。

    !
    interface Ethernet1/0
     ip address 10.89.238.1 255.255.255.0
     ip access-group 101 in
     ip nat inside
    !
  2. 配置访问列表101。

    access-list 101 permit tcp any eq www any
    !
    ! Allow CTC to access TCP Port 80 on ONS 15454
    !
    access-list 101 permit tcp any eq 1080 any
    !
    ! Allow CTC to access TCP Port 1080 on ONS 15454
    !
    access-list 101 permit tcp any any eq 683
    !
    ! Allow ONS 15454 to access TCP Port 683 on the PC
    !
  3. 配置PC驻留的外部接口。

    interface Ethernet1/1
     ip address 172.16.1.1 255.255.255.0
     ip nat outside
    !
  4. 配置静态 NAT。

    配置转换10.89.238.56 (Inside local)的IP地址对172.16.1.200 (外网全局)的IP地址。发出show ip nat translation命令在路由器查看转换表(请参见图4)

    !
    ip nat inside source static 10.89.238.56 172.16.1.200
    !
    图4 – IP NAT转换

    ctcto15454_04.gif

验证

本部分所提供的信息可用于确认您的配置是否正常工作。

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

  • show access-list —显示穿过访问列表的计数数据包。

验证过程

完成这些步骤验证配置:

  1. 运行Microsoft Internet Explorer。

  2. 在浏览器窗口的地址字段键入http://172.16.1.200,并且按回车。

    172.16.1.200是内部全局地址。在公共网络中, CTC用户能访问仅172.16.1.200,是ONS15454内部全局地址内部本地地址是10.89.238.56。

    CTC登录窗口出现。

  3. 键入用户名和密码登陆。

    CTC客户端成功连接对ONS15454。

  4. 发出debug ip nat detailed命令打开IP NAT被选派的trace。您能查看在跟踪文件的地址转换。例如,从10.89.238.56的地址转换到172.16.1.200 (请参阅从172.16.1.200的箭头A在表5)和到10.89.238.56 (请参阅箭头B在表5)

    图5 –被选派的Debug ip nat

    ctcto15454_05.gif

  5. 问题show access-list命令在路由器查看穿过访问列表的计数数据包。

    图6 – show access-list命令

    ctcto15454_06.gif

    如果访问列表阻塞TCC CORBA (IIOP)监听程序波尔特,有正常ONS15454时代的CTC会话和警报消息出现每两分钟如显示此处:

    Figure7 – CTC警报:TCC CORBA (IIOP)波尔特阻塞

    /image/gif/paws/64816/ctcto15454_07.gif

    作为应急方案,您能打开CTC IIOP监听程序端口。Cisco Bug ID CSCeh96275 (仅限注册用户)解决此问题。

    将来,一conduit的创建TCP端口的80和1080在防火墙是提供支持的足够隐藏ONS15454实际IP地址。

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 64816