Технологии коммутируемого доступа в сеть : Cisco ONS 15454 SDH Multiservice Provisioning Platform (MSPP)

Cisco ONS 15454 и NAT

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание

NAT

Введение

Этот документ описывает различные типы Технологии NAT и сопоставляет каждый тип NAT к соответствующей версии программного обеспечения ONS 15454, которая поддерживает тот тип.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Cisco ONS 15454

  • CTC

  • NAT

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Все версии Cisco ONS 15454

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Во многих случаях в поле, другие сценарии NAT находятся в воспроизведении и не работают должным образом. Можно определить большинство этих сценариев через признаки. Большинство проблем происходит от неспособности Сетевого элемента (NE) инициировать соединение назад с рабочей станцией Cisco Transport Controller (CTC).

Часто, когда CTC не поддерживает определенную конфигурацию NAT, CTC последовательно понижается и повторно соединяется с узлами в определенных интервалах. В более новых версиях CTC может восстановиться с разъединений, не понижаясь от представления. В таких версиях можно заметить эту проблему во время взаимодействия с узлом через CTC.

Те же признаки также происходят из-за некорректных конфигураций внешнего межсетевого экрана, где Списки доступа диктуют безопасность. Списки доступа не позволяют NE инициировать определенные соединения с или от определенных IP-адресов и/или портов, назад к Рабочей станции CTC. Когда параметры настройки таймаута внешнего межсетевого экрана слишком коротки, частые разъединения могут также произойти.

Для типовых Списков доступа межсетевого экрана, которые можно использовать с ONS 15454, обратитесь к разделу Внешних межсетевых экранов Справочного руководства Cisco ONS 15454, Выпуска 5.0.

NAT

NAT позволяет одиночному устройству, например, маршрутизатору, действовать как агент между Интернетом и локальной сетью. Этот раздел объясняет различные типы NAT.

Для получения дополнительной информации обратитесь к RFC 2663 - Терминология Транслятора сетевых IP-адресов и Факторы leavingcisco.com.

Традиционный NAT

Традиционный NAT позволяет хостам в частной сети прозрачно обращаться к хостам во внешней сети. Традиционный NAT инициирует сеансы исходящего соединения от частной сети.

Этот раздел кратко описывает два изменения Традиционного NAT:

  • Основной NAT: Основной NAT откладывает блок внешних адресов. Когда хосты инициируют сеансы с внешним доменом, основной NAT использует эти адреса для перевода адресов хостов в личном домене.

  • Преобразование адресов сетевых портов (NAPT): NAPT расширяет следующий этап понятия о преобразовании. NAPT также преобразовывает транспортные идентификаторы, например, TCP и Номера порта UDP и идентификаторы запроса ICMP. Такая трансляция мультиплексирует транспортные идентификаторы многих закрытых хостов в транспортные идентификаторы одиночного внешнего адреса.

    Примечание: NAPT также называют Преобразованием адресов портов (PAT).

Двунаправленный NAT

Устройство на внешней сети инициирует транзакцию с устройством на внутренней части. Для разрешения этого инициирования базовая версия NAT была улучшена для включения Расширенных способностей. Это усовершенствование обычно известно как Двунаправленный NAT, но также упоминается как Двухсторонний NAT и Входящий NAT. С Двунаправленным NAT можно инициировать сеансы от хостов в открытой сети и частной сети. Адреса частной сети связаны с глобально уникальными адресами, статически или динамично поскольку вы устанавливаете соединения в любом направлении.

Производительность NAT на входящих транзакциях является более трудной, чем исходящий NAT. Причина состоит в том, что внутренняя сеть обычно знает IP-адрес внешних устройств, потому что эти устройства обще. Однако внешняя сеть не знает частные адреса внутренней сети. Даже если внешняя сеть знает о IP-адресах частных сетей, вы никогда не можете задавать эти IP-адреса как цель дейтаграммы IP, которую вы инициируете снаружи, потому что они не маршрутизуемы.

Можно использовать один из этих двух методов для решения проблемы скрытого адреса:

  • Статическое отображение

  • Система доменных имен (DNS) TCP/IP

Примечание: В этом документе Двунаправленный NAT подразумевает Основной NAT, но Основной NAT не подразумевает Двунаправленный NAT.

Дважды NAT

Дважды NAT является изменением NAT. Когда дейтаграмма пересекает области адреса, дважды NAT модифицирует обоих адреса источника и назначения. Это понятие в отличие от Традиционного NAT и Двунаправленного NAT, которые преобразовывают только один из адресов (или источник или назначение).

ONS 15454 и совместимость NAT

Эта таблица показывает ONS 15454 и совместимость NAT:

Тип NAT CTC видит Шлюзовый элемент сети (GNE) видит Поддерживаемая версия CTC
Основной NAT IP GNE Преобразованный IP Выпуск 3.3
NAPT IP GNE Преобразованный IP Выпуск 4.0
Двунаправленный NAT Преобразованный IP IP CTC Выпуск 5.0
Дважды NAT Преобразованный IP Преобразованный IP Выпуск 5.0

Устранение неполадок

В случае проблемы связи между NE и CTC, выходные данные команды fhDebug содержат это сообщение об ошибках:

OCT 27 18:35:37.09 UTC ERROR     ObjectChange.cc:432   tEventMgr
 CORBA::NO_IMPLEMENT/0x3d0004 updating [192.168.1.100:EventReceiver].  Marking c

OCT 27 18:36:17.09 UTC DEBUG        AlarmImpl.cc:353   tEventMgr
 Removing corba client [192.168.1.100:EventReceiver] from auton msg list

Несколько причин могут вызвать эту ошибку. Однако, если ошибка происходит в регулярных предсказуемых интервалах (обычно ~2 или ~4 минуты), причина может быть присутствием или типа NAT, который CTC не поддерживает, или межсетевой экран без разрешений необходимого порта.

Заметьте, что 172.16.1.100 IP-адрес рабочей станции CTC, и 10.1.1.1 адрес NAT (см. рисунок 1).

Рисунок 1 – топология

nat_ons15454_01.gif

Вот частичные выходные данные команды inetstatShow:

-> inetstatShow
Active Internet connections (including servers)
PCB     Typ Rx-Q Tx-Q Local Address     Foreign Address (state)
------- --- ---- ---- ----------------- --------------- -------
2145984 TCP    0   0 10.10.10.10:1052   10.1.1.1:1029   SYN_SENT
21457f8 TCP    0   0 10.10.10.10:80     10.1.1.1:1246   TIME_WAIT
2145900 TCP    0   0 10.10.10.10:57790  10.1.1.1:1245   ESTABLISHED --- ISP assigned address
21453d8 TCP    0   0 10.10.10.10:80     10.1.1.1:1244   TIME_WAIT
2144f34 TCP    0   0 10.10.10.10:80     10.1.1.1:1238   TIME_WAIT
2144eb0 TCP    0   0 10.10.10.10:1080   10.1.1.1:1224   ESTABLISHED --- ISP assigned address

Эти выходные данные не приводят доказательства этого адреса. Выходные данные показывают общий адрес, что интернет-провайдер использует, который является доказательством традиционного сценария NAT.

Для определения Двунаправленного NAT и Дважды NAT, вам нужно отслеживание средств прослушивания от того же сегмента сети как рабочая станция CTC. Идеально, анализатор, который работает на рабочей станции CTC, наиболее подходит.


Дополнительные сведения


Document ID: 65343