?????? : Cisco ONS 15454 Series Multiservice Provisioning Platforms

CTC とのセッション確立に NAT を使用して ONS 15454 の実 IP アドレスを隠蔽

2006 年 1 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 1 月 1 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
      トポロジ
設定
      ネットワーク ダイアグラム
      設定例
      Cisco ONS 15454 の設定
      パーソナル コンピュータの設定
      ルータの設定
確認
      確認手順
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco Transport Controller(CTC; シスコ トランスポート コントローラ)と ONS 15454 間でセッションを確立するための Network Address Translation(NAT; ネットワーク アドレス変換)の設定例を示します。この設定では、ONS 15454 がプライベート ネットワーク上、CTC クライアントがパブリック ネットワーク上にある状況で、NAT とアクセス リストを使用しています。

NAT とアクセス リストはセキュリティ上の理由で適用します。 NAT によって ONS 15454 の実 IP アドレスが隠蔽されます。アクセス リストは、ONS 15454 での IP トラフィック(発信および着信)を制御するファイアウォールとして機能します。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • Cisco ONS 15454 についての基本的な知識がある。

  • どの Cisco ルータで NAT がサポートされているかを把握している。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 12.1(11) 以降

  • Cisco ONS 15454 バージョン 5.X 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

このセクションには、重要な背景情報を記載します。

トポロジ

テスト トポロジは次の要素で構成されています。

  • Cisco ONS 15454:1 台(サーバとして機能)

  • PC:1 台(CTC クライアントとして機能)

  • Cisco 2600 シリーズ ルータ:1 台(NAT サポートを提供)

注:Cisco ONS 15454 は内部ネットワーク上にあり、PC は外部ネットワーク上にあります。

設定

このセクションでは、このドキュメントに記載されている機能を設定するための情報を示します。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

ctcto15454_01.gif

図 1 - ネットワーク構成
※ 画像をクリックすると、大きく表示されます。

注:172.16.0.0 はパブリック ネットワーク内でルーティング可能という前提です。

設定例

このドキュメントでは、次の構成を使用しています。

  • ONS 15454

  • PC

  • ルータ

Cisco ONS 15454 の設定

次の手順を実行します。

  1. ノード ビューで、Provisioning > General > Network の順にクリックします。

    IP Address フィールドに ONS 15454 の IP アドレスとして 10.89.238.56(図 2 の矢印 A を参照)と表示され、Default Router フィールドに 10.89.238.1(図 2 の矢印 B を参照)と表示されていることを確認します。

    ctcto15454_02.gif

    図 2 - ONS 15454 の設定
    ※ 画像をクリックすると、大きく表示されます。

  2. Gateway Settings のセクションで Enable SOCKS proxy on port チェックボックスにチェックマークを付け(図 2 の矢印 C を参照)、SOCKS proxy only オプション(図 2 の矢印 D を参照)を選択します。

  3. TCC CORBA (IIOP) Listener Port セクションで、適切なリスナー ポート オプションを選択します。 次の 3 つのオプションがあります。

    • Default - TCC Fixed - ONS 15454 と CTC コンピュータがファイアウォールに対して同じ側にある場合、またはファイアウォールがない場合に選択します(デフォルト)。 このオプションを選択すると ONS 15454 リスナー ポートがポート 57790 に設定されます。ポート 57790 が開いている場合は、ファイアウォールを越えるアクセスに Default - TCC Fixed オプションを使用できます。

    • Standard Constant - CORBA のデフォルト ポート番号であるポート 683 を、ONS 15454 のリスナー ポートとして使用する場合に選択します。 この例では Standard Constant(683)(図 2 の矢印 E を参照)を使用します。

    • Other Constant - ポート 683 を使用しない場合に選択します。ファイアウォール管理者から指定された IIOP ポートを入力します。

パーソナル コンピュータの設定

Internet Protocol (TCP/IP) Properties ダイアログボックスで、PC の IP アドレスとして IP address フィールドに 172.16.1.254 と表示されていることを確認します(図 3 の矢印 A を参照)。 また、デフォルト ゲートウェイが 172.16.1.1 になっていることを確認します(図 3 の矢印 B を参照)。

ctcto15454_03.gif

図 3 - PC の設定

ルータの設定

次の手順を実行します。

  1. Cisco ONS 15454 が存在する内部インターフェイスを設定します。

      !
      interface Ethernet1/0
       ip address 10.89.238.1 255.255.255.0
       ip access-group 101 in
       ip nat inside
      !
      
  2. access- list 101 を設定します。

      access-list 101 permit tcp any eq www any
      !
      ! Allow CTC to access TCP Port 80 on ONS 15454
      !
      access-list 101 permit tcp any eq 1080 any
      !
      ! Allow CTC to access TCP Port 1080 on ONS 15454
      !
      access-list 101 permit tcp any any eq 683
      !
      ! Allow ONS 15454 to access TCP Port 683 on the PC
      !
      
  3. PC が存在する外部インターフェイスを設定します。

      interface Ethernet1/1
       ip address 172.16.1.1 255.255.255.0
       ip nat outside
      !
      
  4. 静的 NAT を設定します。

    この設定により、IP アドレス 10.89.238.56(内部ローカル)が IP アドレス 172.16.1.200(外部グローバル)に変換されます。 ルータで show ip nat translation コマンドを発行すると、変換テーブルを表示できます(図 4 を参照)。

      !
      ip nat inside source static 10.89.238.56 172.16.1.200
      ! 
    ctcto15454_04.gif

    図 4 - IP NAT 変換

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show access-list - アクセス リストを通過したパケットの数を表示します。

確認手順

次の手順を実行して設定を確認します。

  1. Microsoft Internet Explorer を起動します。

  2. ブラウザ ウィンドウのアドレス フィールドに http://172.16.1.200 と入力し、Enter キーを押します。

    172.16.1.200 は内部グローバル アドレスです。 パブリック ネットワークで CTC ユーザがアクセスできるのは 172.16.1.200 だけです。これは、内部ローカル アドレスが 10.89.238.56 である ONS 15454 の内部グローバル アドレスです。

    CTC ログイン ウィンドウが表示されます。

  3. ユーザ名とパスワードを入力してログインします。

    CTC クライアントが ONS 15454 との接続に成功します。

  4. debug ip nat detailed コマンドを発行して、IP NAT 詳細トレースを有効にします。 トレース ファイル内のアドレス変換を表示できます。 たとえば、10.89.238.56 から 172.16.1.200 へのアドレス変換(図 5 の矢印 A を参照)および 172.16.1.200 から 10.89.238.56 へのアドレス変換が表示されます(図 5 の矢印 B を参照)。

    ctcto15454_05.gif

    図 5 - debug ip nat detailed

  5. ルータで show access-list コマンドを発行し、アクセス リストを通過したパケットの数を表示します。

    ctcto15454_06.gif

    図 6 - show access-list コマンド

    アクセス リストで TCC CORBA(IIOP)リスナー ポートがブロックされている場合、CTC と ONS 15454 のセッションが常にタイム アウトになり、次のような警告メッセージが 2 分おきに表示されます。

    ctcto15454_07.gif

    図 7 - CTC の警告: TCC CORBA(IIOP)ポートのブロック
    ※ 画像をクリックすると、大きく表示されます。

    この回避策は、CTC IIOP リスナー ポートを開けることです。 Cisco Bug ID CSCeh96275登録ユーザ専用)で、この問題が取り上げられています。

    将来的には、ファイアウォールで TCP ポート 80 および 1080 のコンジットを作成するだけで、ONS 15454 の実 IP アドレスの隠蔽がサポートされるようになります。

トラブルシューティング

現在、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 64816