本文为网络地址转换(NAT)提供一配置示例设立会话之间Cisco传输控制器和ONS15454。配置使用NAT和一访问列表,当ONS15454位于私有网络时,并且CTC客户端在公共网络驻留。
用于安全性目的运用NAT和访问列表。NAT隐藏ONS15454实际IP地址。访问列表担当防火墙控制IP数据流进出ONS15454。
尝试进行此配置之前,请确保满足以下要求:
有Cisco ONS 15454基础知识。
注意哪些Cisco路由器支持NAT。
本文档中的信息基于以下软件和硬件版本:
Cisco IOS软件版本12.1(11)和以后
Cisco ONS 15454版本5.X和以上
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
此部分提供重要背景信息。
测试拓扑包括:
一Cisco ONS 15454,作为服务器。
一个PC,担当CTC客户端。
一个Cisco 2600系列路由器,提供NAT支持。
注意: Cisco ONS 15454位于内部网络,并且PC在外部网络。
本部分提供有关如何配置本文档所述功能的信息。
注意: 要查找本文档所用命令的其他信息,请使用命令查找工具(仅限注册用户)。
本文档使用以下网络设置:
注意: 假设, 172.16.0.0是可路由的在公共网络。
本文档使用以下配置:
ONS15454
PC
路由器
完成这些步骤:
在View节点,请点击供应>General >网络。
验证ONS15454的IP地址是否出现作为在IP地址字段的10.89.238.56 (请参阅箭头A在表2)和Default Router Field包含值10.89.238.1 (请参阅箭头B在表2)。
图2 – ONS15454配置
检查Port复选框的Enable (event)袜子代理在网关设置部分(请参阅箭头C在表2),并且选择袜子代理唯一选择(请参阅箭头D在表2)。
选择在TCC CORBA (IIOP)监听程序端口部分的需要的监听程序端口选项。您有这三个选项:
默认-修复的TCC —请选择此选项,如果ONS15454是在防火墙的同一边作为CTC计算机,或者,如果没有防火墙(默认)。此选项设置ONS15454监听程序端口为波尔特57790。您能使用默认-,如果波尔特57790是开放的, TCC通过防火墙修复访问的选项。
标准的康斯坦—选择此选项使用波尔特683, CORBA默认的端口号,作为ONS15454监听程序端口。此示例使用标准的康斯坦(683) (请参阅箭头E在表2)。
其他康斯坦—,如果不使用波尔特683,请选择此选项。键入您的防火墙管理员指定的IIOP端口。
在互联网协议(TCP/IP) Properties对话框中,请验证IP地址字段是否指示172.16.1.254作为PC的IP地址(请参阅箭头A在表3)。并且请证实172.16.1.1是否是默认网关(请参阅箭头B在表3)。
图3 – PC配置
完成这些步骤:
配置Cisco ONS 15454驻留的内部接口。
! interface Ethernet1/0 ip address 10.89.238.1 255.255.255.0 ip access-group 101 in ip nat inside !
配置访问列表101。
access-list 101 permit tcp any eq www any ! ! Allow CTC to access TCP Port 80 on ONS 15454 ! access-list 101 permit tcp any eq 1080 any ! ! Allow CTC to access TCP Port 1080 on ONS 15454 ! access-list 101 permit tcp any any eq 683 ! ! Allow ONS 15454 to access TCP Port 683 on the PC !
配置PC驻留的外部接口。
interface Ethernet1/1 ip address 172.16.1.1 255.255.255.0 ip nat outside !
配置静态 NAT。
配置转换10.89.238.56 (Inside local)的IP地址对172.16.1.200 (外网全局)的IP地址。发出show ip nat translation命令在路由器查看转换表(请参见图4)。
图4 – IP NAT转换! ip nat inside source static 10.89.238.56 172.16.1.200 !
本部分所提供的信息可用于确认您的配置是否正常工作。
命令输出解释程序工具(仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。
show access-list —显示穿过访问列表的计数数据包。
完成这些步骤验证配置:
运行Microsoft Internet Explorer。
在浏览器窗口的地址字段键入http://172.16.1.200,并且按回车。
172.16.1.200是内部全局地址。在公共网络中, CTC用户能访问仅172.16.1.200,是ONS15454内部全局地址内部本地地址是10.89.238.56。
CTC登录窗口出现。
键入用户名和密码登陆。
CTC客户端成功连接对ONS15454。
发出debug ip nat detailed命令打开IP NAT被选派的trace。您能查看在跟踪文件的地址转换。例如,从10.89.238.56的地址转换到172.16.1.200 (请参阅从172.16.1.200的箭头A在表5)和到10.89.238.56 (请参阅箭头B在表5)。
图5 –被选派的Debug ip nat
问题show access-list命令在路由器查看穿过访问列表的计数数据包。
图6 – show access-list命令
如果访问列表阻塞TCC CORBA (IIOP)监听程序波尔特,有正常ONS15454时代的CTC会话和警报消息出现每两分钟如显示此处:
Figure7 – CTC警报:TCC CORBA (IIOP)波尔特阻塞
作为应急方案,您能打开CTC IIOP监听程序端口。Cisco Bug ID CSCeh96275 (仅限注册用户)解决此问题。
将来,一conduit的创建TCP端口的80和1080在防火墙是提供支持的足够隐藏ONS15454实际IP地址。
目前没有针对此配置的故障排除信息。