セキュリティと VPN : Cisco ONS 15454 SDH Multiservice Provisioning Platform (MSPP)

Cisco ONS 15454 と NAT

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次

NAT

概要

このドキュメントでは、さまざまなタイプのネットワーク アドレス変換(NAT)について説明し、各 NAT タイプをそのタイプをサポートする関連の ONS 15454 ソフトウェア バージョンにマップしています。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco ONS 15454

  • CTC

  • NAT

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ONS 15454 のすべてのバージョン

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

多くの場合フィールドで、異なる NAT シナリオは演劇にあり、きちんと機能しません。 現象によってこれらのシナリオのほとんどを識別できます。 問題のほとんどは Network Element (NE)の不可能から Cisco Transport Controller (CTC) ワークステーションに戻って接続を開始する生じます。

多くの場合 CTC が NAT の特定の設定をサポートしないとき、一貫して CTC ドロップは特定の間隔でノードに再接続し。 新しいバージョンでは、CTC は切断からビューから廃棄しないで回復できます。 そのようなバージョンでは、CTC によってノードの相互対話の間にこの問題に注意できます。

同じ症状はまたアクセス リストがセキュリティを定める外部ファイアウォールの誤ったコンフィギュレーションが原因で発生します。 アクセス リストは NE が CTCワークステーションの方に背部定義された IP アドレスやポートに/からある特定の接続を開始しないようにしません。 頻繁な切断はまた外部ファイアウォール タイムアウト設定が余りに短いとき発生する場合があります。

ONS 15454 によって使用できるサンプル ファイアウォール アクセス リストに関しては Cisco ONS 15454 参照マニュアル外部ファイアウォール セクションを、リリース 5.0 参照して下さい。

NAT

NAT は単一 の デバイス、たとえば、ルータが、インターネットとローカルネットワーク間のエージェントとして機能するようにします。 このセクションは NAT のさまざまな型を説明します。

詳細については、参照して下さい RFC 2663 - IPネットワークアドレス変換機構専門用語および考察leavingcisco.com

従来の NAT

透過的に外部ネットワークのホストをアクセスするプライベート ネットワーク内の従来の NAT 割り当てホスト。 従来の NAT はプライベート ネットワークからのアウトバウンド セッションを始めます。

このセクションは従来の NAT の 2 つのバリエーションを簡潔に説明します:

  • 基本 NAT: 基本 NAT は外部アドレスのブロックを確保しました。 ホストが外部ドメインとのセッションを始めるとき基本 NAT はこれらのアドレスを私用 ドメインのホストのアドレスを変換するのに使用します。

  • Network Address Port Translation (NAPT): NAPT は変換 一歩 先の概念を拡張します。 NAPT はまた転送する識別を、たとえば、TCP および UDP ポート番号および ICMP クエリ識別変換します。 そのような変換は単一 外部アドレスの転送する識別にいくつかのプライベートホストの転送する識別を多重化します。

    注: NAPT はまたポート アドレス変換 (PAT)と呼ばれます。

双方向 NAT

外部ネットワークのデバイスは内部のデバイスとのトランザクションを始めます。 割り当てはこの開始、NAT の基本的なバージョン高度な能力を含む高められました。 この機能拡張は双方向 NAT として最も一般に既知でが、また双方向 NAT および受信 NAT と言われます。 双方向 NAT では、パブリックネットワークおよびプライベート ネットワークのホストからのセッションを始めることができます。 プライベート ネットワーク アドレスは、いずれかの方向で接続を確率すると、グローバルに一意のアドレスに静的または動的にバインディングされます。

受信 トランザクションの NAT のパフォーマンスは発信 NAT より困難です。 原因はこれらのデバイスが公共であるので内部ネットワークが一般に 外部デバイスの IP アドレスを知っていることです。 ただし、外部ネットワークは内部ネットワークのプライベートアドレスを認識していません。 外部ネットワークがプライベート ネットワークの IP アドレスに気づいていても、ルーティング可能ではないので、外部でから始める IPデータグラムのターゲットとして決してこれらの IP アドレスを規定できません。

隠さ れた アドレス問題を解決するのにこれら二つのメソッドの 1 つを使用できます:

  • 静的マッピング

  • TCP/IP Domain Name System (DNS)

注: この資料では、双方向 NAT は基本 NAT を意味しますが、基本 NAT は双方向 NAT を意味しません。

二度 NAT

NAT は NAT の変化の二倍になります。 二度 NAT はデータグラムがアドレス レルムを交差させるとき両方の送信元 および 宛先アドレスを修正します。 この概念はアドレスの 1 つだけを変換する従来の NAT および双方向 NAT と対照をなしてあります、(ソースか宛先)。

ONS 15454 および NAT 互換性

この表は ONS 15454 および NAT 互換性を示したものです:

NAT の型 CTC は見ます ゲートウェイ ネットワーク エレメント (GNE)は見ます サポートされた CTC バージョン
基本 NAT GNE IP 変換された IP リリース 3.3
NAPT GNE IP 変換された IP リリース 4.0
双方向 NAT 変換された IP CTC IP リリース 5.0
二度 NAT 変換された IP 変換された IP リリース 5.0

トラブルシューティング

NE と CTC 間の通信上の問題の場合には、fhDebug コマンドの出力はこのエラーメッセージが含まれています:

OCT 27 18:35:37.09 UTC ERROR     ObjectChange.cc:432   tEventMgr
 CORBA::NO_IMPLEMENT/0x3d0004 updating [192.168.1.100:EventReceiver].  Marking c

OCT 27 18:36:17.09 UTC DEBUG        AlarmImpl.cc:353   tEventMgr
 Removing corba client [192.168.1.100:EventReceiver] from auton msg list

複数の原因によりこのエラーを引き起こす場合があります。 ただし、エラーが規則的な予想できる間隔(通常 ~2 か ~4 分)で発生すれば、原因は必要なポート権限なしにどちらかの存在 CTC がサポートしない、またはファイアウォール場合もあります NAT の型である。

172.16.1.100 が CTCワークステーションの IP アドレスであり、10.1.1.1 が NAT アドレスであることを観察して下さい(図を 1)参照して下さい。

図 1 - トポロジ

nat_ons15454_01.gif

inetstatshow コマンドの部分的な出力はここにあります:

-> inetstatShow
Active Internet connections (including servers)
PCB     Typ Rx-Q Tx-Q Local Address     Foreign Address (state)
------- --- ---- ---- ----------------- --------------- -------
2145984 TCP    0   0 10.10.10.10:1052   10.1.1.1:1029   SYN_SENT
21457f8 TCP    0   0 10.10.10.10:80     10.1.1.1:1246   TIME_WAIT
2145900 TCP    0   0 10.10.10.10:57790  10.1.1.1:1245   ESTABLISHED --- ISP assigned address
21453d8 TCP    0   0 10.10.10.10:80     10.1.1.1:1244   TIME_WAIT
2144f34 TCP    0   0 10.10.10.10:80     10.1.1.1:1238   TIME_WAIT
2144eb0 TCP    0   0 10.10.10.10:1080   10.1.1.1:1224   ESTABLISHED --- ISP assigned address

この出力はこのアドレスの証拠がないことを示したものです。 出力は従来の NAT シナリオの証拠であるパブリックアドレスをこと ISP 使用示したものです。

双方向 NAT および二度 NAT を識別するために、CTCワークステーションと同じネットワークセグメントからのスニファートレースを必要とします。 理想的には、CTCワークステーションで動作するスニファーは最も適しています。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 65343