Este documento fornece uma configuração de exemplo para que o Network Address Translation (NAT) estabeleça uma sessão entre o Cisco Transport Controller (CTC) e o ONS15454. A configuração usa o NAT e uma lista de acessos quando o ONS15454 reside em uma rede privada, e o cliente CTC reside em uma rede pública.
Aplique o NAT e uma lista de acessos para efeitos de segurança. O NAT esconde o endereço IP real do ONS15454. A lista de acessos serve como um Firewall para controlar o tráfego IP dentro e fora do ONS15454.
Antes de você tentar esta configuração, verifique se estes requisitos são atendidos:
Tenha o conhecimento básico do Cisco ONS 15454.
Esteja ciente de que os roteadores Cisco apoiam o NAT.
As informações neste documento são baseadas nestas versões de software e hardware:
Software Release 12.1(11) e Mais Recente de Cisco IOS®
Versão 5.X e mais recente do Cisco ONS 15454
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Esta seção fornece a informações de fundo essencial.
A topologia de teste compreende:
Um Cisco ONS 15454, que atua como o server.
Um PC, que serve como o cliente CTC.
Um Cisco 2600 Series Router, que fornece o apoio NAT.
Nota: O Cisco ONS 15454 reside na rede interna e o PC está na rede externa.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).
Este documento utiliza a seguinte configuração de rede:
Nota: Supõe que 172.16.0.0 é roteável na rede pública.
Este documento utiliza as seguintes configurações:
ONS15454
PC
Router
Conclua estes passos:
Na vista de nó, clique o abastecimento > o general > a rede.
Verifique se o endereço IP de Um ou Mais Servidores Cisco ICM NT do ONS15454 aparece como 10.89.238.56 no campo do endereço IP de Um ou Mais Servidores Cisco ICM NT (veja a seta A em figura 2), e que o campo do roteador padrão contém o valor 10.89.238.1 (veja a seta B em figura 2).
Figura 2 – Configuração ONS15454
Verifique o proxy das PEÚGAS da possibilidade na caixa de verificação da porta na seção dos ajustes do gateway (veja o C da seta em figura 2), e selecione a opção do proxy das PEÚGAS somente (veja a seta D em figura 2).
Selecione a opção exigida da porta do ouvinte na seção da porta do ouvinte TCC CORBA (IIOP). Você tem estas três opções:
Padrão - TCC fixado — Selecione esta opção se o ONS15454 está no mesmo lado do Firewall que o computador CTC, ou se não há nenhum Firewall (padrão). Esta opção ajusta a porta do ouvinte ONS15454 à porta 57790. Você pode usar o padrão - O TCC fixou a opção para o acesso com um Firewall se a porta 57790 está aberta.
Constante de padrão — Selecione esta opção para usar a porta 683, o número de porta padrão de CORBA, como a porta do ouvinte ONS15454. Este exemplo usa a constante de padrão (683) (veja a seta E em figura 2).
A outra constante — Selecione esta opção se você não usa a porta 683. Datilografe a porta IIOP que seu administrador de firewall especifica.
Na caixa de diálogo das propriedades do protocolo de internet (TCP/IP), verifique se o campo do endereço IP de Um ou Mais Servidores Cisco ICM NT indica 172.16.1.254 como o endereço IP de Um ou Mais Servidores Cisco ICM NT do PC (veja a seta A em figura 3). Igualmente verifique se 172.16.1.1 seja o gateway padrão (veja a seta B em figura 3).
Figura 3 – Configuração do PC
Conclua estes passos:
Configurar a interface interna onde o Cisco ONS 15454 reside.
! interface Ethernet1/0 ip address 10.89.238.1 255.255.255.0 ip access-group 101 in ip nat inside !
Configurar o access-list 101.
access-list 101 permit tcp any eq www any ! ! Allow CTC to access TCP Port 80 on ONS 15454 ! access-list 101 permit tcp any eq 1080 any ! ! Allow CTC to access TCP Port 1080 on ONS 15454 ! access-list 101 permit tcp any any eq 683 ! ! Allow ONS 15454 to access TCP Port 683 on the PC !
Configurar a interface externa onde o PC reside.
interface Ethernet1/1 ip address 172.16.1.1 255.255.255.0 ip nat outside !
Configurar o NAT estático.
A configuração converte o endereço IP de Um ou Mais Servidores Cisco ICM NT de 10.89.238.56 (Inside Local) ao endereço IP de Um ou Mais Servidores Cisco ICM NT de 172.16.1.200 (Outside Global). Emita o comando show ip nat translation no roteador ver a tabela de tradução (veja figura 4).
Figura 4 – Tradução NAT IP! ip nat inside source static 10.89.238.56 172.16.1.200 !
Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.
A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.
lista de acesso da mostra — indica a contagem dos pacotes que passam através da lista de acessos.
Termine estas etapas para verificar a configuração:
Execute o Microsoft Internet explorer.
Datilografe http://172.16.1.200 no campo de endereço da janela de navegador, e pressione o ENTER.
172.16.1.200 é o endereço global interno. Na rede pública, os usuários CTC podem alcançar somente 172.16.1.200, que é o endereço global interno do ONS15454 cujo o endereço local interno é 10.89.238.56.
A janela de login de CTC aparece.
Datilografe o nome de usuário e a senha para entrar.
O cliente CTC conecta com sucesso ao ONS15454.
Emita o comando debug ip nat detailed girar sobre o traço detalhado NAT IP. Você pode ver as traduções de endereços no arquivo de rastreamento. Por exemplo, tradução de endereços de 10.89.238.56 a 172.16.1.200 (veja a seta A na figura 5), e de 172.16.1.200 a 10.89.238.56 (veja a seta B na figura 5).
Figura 5 – Debugar IP NAT detalhado
Emita o comando show access-list no roteador ver a contagem dos pacotes que passam através da lista de acessos.
Figura 6 – O comando show access-list
Se a lista de acessos obstrui a porta do ouvinte TCC CORBA (IIOP), a sessão CTC com os tempos ONS15454 para fora regularmente, e um mensagem de alerta aparecem cada dois minutos como mostrado aqui:
Figura 7 – Alertas CTC: A porta TCC CORBA (IIOP) é obstruída
Como uma ação alternativa, você pode abrir a porta do ouvinte CTC IIOP. A identificação de bug Cisco CSCeh96275 (clientes registrados somente) endereça esta edição.
No futuro, a criação de uma conduíte para a porta TCP 80 e 1080 no Firewall é bastante para fornecer o apoio para esconder o endereço IP real do ONS15454.
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.