使用NAT隐藏ONS15454实际IP地址建立CTC会话

简介

本文为网络地址转换(NAT)提供一配置示例设立会话之间Cisco传输控制器和ONS15454。配置使用NAT和一访问列表，当ONS15454位于私有网络时，并且CTC客户端在公共网络驻留。

用于安全性目的运用NAT和访问列表。NAT隐藏ONS15454实际IP地址。访问列表担当防火墙控制IP数据流进出ONS15454。

先决条件

要求

尝试进行此配置之前，请确保满足以下要求：

• 有Cisco ONS 15454基础知识。

• 注意哪些Cisco路由器支持NAT。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco IOS软件版本12.1(11)和以后

• Cisco ONS 15454版本5.X和以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

背景信息

此部分提供重要背景信息。

拓扑

测试拓扑包括：

• 一Cisco ONS 15454，作为服务器。

• 一个PC，担当CTC客户端。

• 一个Cisco 2600系列路由器，提供NAT支持。

注意： Cisco ONS 15454位于内部网络，并且PC在外部网络。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意： 要查找本文档所用命令的其他信息，请使用命令查找工具（仅限注册用户）。

网络图

本文档使用以下网络设置：

注意： 假设， 172.16.0.0是可路由的在公共网络。

配置

本文档使用以下配置：

• ONS15454

• PC

• 路由器

Cisco ONS 15454配置

完成这些步骤：

1. 在View节点，请点击供应>General >网络。

   验证ONS15454的IP地址是否出现作为在IP地址字段的10.89.238.56 (请参阅箭头A在表2)和Default Router Field包含值10.89.238.1 (请参阅箭头B在表2)。

   图2 – ONS15454配置

   

2. 检查Port复选框的Enable (event)袜子代理在网关设置部分(请参阅箭头C在表2)，并且选择袜子代理唯一选择(请参阅箭头D在表2)。

3. 选择在TCC CORBA (IIOP)监听程序端口部分的需要的监听程序端口选项。您有这三个选项：

   • 默认-修复的TCC —请选择此选项，如果ONS15454是在防火墙的同一边作为CTC计算机，或者，如果没有防火墙(默认)。此选项设置ONS15454监听程序端口为波尔特57790。您能使用默认-，如果波尔特57790是开放的， TCC通过防火墙修复访问的选项。

   • 标准的康斯坦—选择此选项使用波尔特683， CORBA默认的端口号，作为ONS15454监听程序端口。此示例使用标准的康斯坦(683) (请参阅箭头E在表2)。

   • 其他康斯坦—，如果不使用波尔特683，请选择此选项。键入您的防火墙管理员指定的IIOP端口。

个人计算机的配置

在互联网协议(TCP/IP) Properties对话框中，请验证IP地址字段是否指示172.16.1.254作为PC的IP地址(请参阅箭头A在表3)。并且请证实172.16.1.1是否是默认网关(请参阅箭头B在表3)。

路由器配置

完成这些步骤：

1. 配置Cisco ONS 15454驻留的内部接口。

   !
   interface Ethernet1/0
    ip address 10.89.238.1 255.255.255.0
    ip access-group 101 in
    ip nat inside
   !

2. 配置访问列表101。

   access-list 101 permit tcp any eq www any
   !
   ! Allow CTC to access TCP Port 80 on ONS 15454
   !
   access-list 101 permit tcp any eq 1080 any
   !
   ! Allow CTC to access TCP Port 1080 on ONS 15454
   !
   access-list 101 permit tcp any any eq 683
   !
   ! Allow ONS 15454 to access TCP Port 683 on the PC
   !

3. 配置PC驻留的外部接口。

   interface Ethernet1/1
    ip address 172.16.1.1 255.255.255.0
    ip nat outside
   !

4. 配置静态 NAT。

   配置转换10.89.238.56 (Inside local)的IP地址对172.16.1.200 (外网全局)的IP地址。发出show ip nat translation命令在路由器查看转换表(请参见图4)。

   !
   ip nat inside source static 10.89.238.56 172.16.1.200
   !

   图4 – IP NAT转换

   

验证

本部分所提供的信息可用于确认您的配置是否正常工作。

命令输出解释程序工具（仅限注册用户）支持某些 show 命令，使用此工具可以查看对 show 命令输出的分析。

• show access-list —显示穿过访问列表的计数数据包。

验证过程

完成这些步骤验证配置：

1. 运行Microsoft Internet Explorer。

2. 在浏览器窗口的地址字段键入http://172.16.1.200，并且按回车。

   172.16.1.200是内部全局地址。在公共网络中， CTC用户能访问仅172.16.1.200，是ONS15454内部全局地址内部本地地址是10.89.238.56。

   CTC登录窗口出现。

3. 键入用户名和密码登陆。

   CTC客户端成功连接对ONS15454。

4. 发出debug ip nat detailed命令打开IP NAT被选派的trace。您能查看在跟踪文件的地址转换。例如，从10.89.238.56的地址转换到172.16.1.200 (请参阅从172.16.1.200的箭头A在表5)和到10.89.238.56 (请参阅箭头B在表5)。

   图5 –被选派的Debug ip nat

   

5. 问题show access-list命令在路由器查看穿过访问列表的计数数据包。

   图6 – show access-list命令

   

   如果访问列表阻塞TCC CORBA (IIOP)监听程序波尔特，有正常ONS15454时代的CTC会话和警报消息出现每两分钟如显示此处：

   Figure7 – CTC警报：TCC CORBA (IIOP)波尔特阻塞

   

   作为应急方案，您能打开CTC IIOP监听程序端口。Cisco Bug ID CSCeh96275 (仅限注册用户)解决此问题。

   将来，一conduit的创建TCP端口的80和1080在防火墙是提供支持的足够隐藏ONS15454实际IP地址。

故障排除

目前没有针对此配置的故障排除信息。

相关信息

• 技术支持和文档 - Cisco Systems