Guest

使用NAT隐藏ONS15454实际IP地址建立CTC会话

下载选项

  • PDF     (186.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (66.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (68.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2006 年 1 月 1 日
文档 ID:1496451243111208
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文为网络地址转换(NAT)提供一配置示例设立会话之间Cisco传输控制器和ONS15454。配置使用NAT和一访问列表,当ONS15454位于私有网络时,并且CTC客户端在公共网络驻留。

用于安全性目的运用NAT和访问列表。NAT隐藏ONS15454实际IP地址。访问列表担当防火墙控制IP数据流进出ONS15454。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 有Cisco ONS 15454基础知识。

  • 注意哪些Cisco路由器支持NAT。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco IOS软件版本12.1(11)和以后

  • Cisco ONS 15454版本5.X和以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

此部分提供重要背景信息。

拓扑

测试拓扑包括:

  • 一Cisco ONS 15454,作为服务器。

  • 一个PC,担当CTC客户端。

  • 一个Cisco 2600系列路由器,提供NAT支持。

注意: Cisco ONS 15454位于内部网络,并且PC在外部网络。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 要查找本文档所用命令的其他信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用以下网络设置:

ctcto15454_01.gif

注意: 假设, 172.16.0.0是可路由的在公共网络。

配置

本文档使用以下配置:

  • ONS15454

  • PC

  • 路由器

Cisco ONS 15454配置

完成这些步骤:

  1. 在View节点,请点击供应>General >网络

    验证ONS15454的IP地址是否出现作为在IP地址字段的10.89.238.56 (请参阅箭头A在表2)和Default Router Field包含值10.89.238.1 (请参阅箭头B在表2)

    图2 – ONS15454配置

    ctcto15454_02.gif

  2. 检查Port复选框的Enable (event)袜子代理在网关设置部分(请参阅箭头C在表2),并且选择袜子代理唯一选择(请参阅箭头D在表2)

  3. 选择在TCC CORBA (IIOP)监听程序端口部分的需要的监听程序端口选项。您有这三个选项:

    • 默认-修复的TCC —请选择此选项,如果ONS15454是在防火墙的同一边作为CTC计算机,或者,如果没有防火墙(默认)。此选项设置ONS15454监听程序端口为波尔特57790。您能使用默认-,如果波尔特57790是开放的, TCC通过防火墙修复访问的选项。

    • 标准的康斯坦—选择此选项使用波尔特683, CORBA默认的端口号,作为ONS15454监听程序端口。此示例使用标准的康斯坦(683) (请参阅箭头E在表2)

    • 其他康斯坦—,如果不使用波尔特683,请选择此选项。键入您的防火墙管理员指定的IIOP端口。

个人计算机的配置

在互联网协议(TCP/IP) Properties对话框中,请验证IP地址字段是否指示172.16.1.254作为PC的IP地址(请参阅箭头A在表3)。并且请证实172.16.1.1是否是默认网关(请参阅箭头B在表3)

图3 – PC配置

ctcto15454_03.gif

路由器配置

完成这些步骤:

  1. 配置Cisco ONS 15454驻留的内部接口。

    !
interface Ethernet1/0
 ip address 10.89.238.1 255.255.255.0
 ip access-group 101 in
 ip nat inside
!

  2. 配置访问列表101。

    access-list 101 permit tcp any eq www any
!
! Allow CTC to access TCP Port 80 on ONS 15454
!
access-list 101 permit tcp any eq 1080 any
!
! Allow CTC to access TCP Port 1080 on ONS 15454
!
access-list 101 permit tcp any any eq 683
!
! Allow ONS 15454 to access TCP Port 683 on the PC
!

  3. 配置PC驻留的外部接口。

    interface Ethernet1/1
 ip address 172.16.1.1 255.255.255.0
 ip nat outside
!

  4. 配置静态 NAT。

    配置转换10.89.238.56 (Inside local)的IP地址对172.16.1.200 (外网全局)的IP地址。发出show ip nat translation命令在路由器查看转换表(请参见图4)

    !
ip nat inside source static 10.89.238.56 172.16.1.200
!
    图4 – IP NAT转换

    ctcto15454_04.gif

验证

本部分所提供的信息可用于确认您的配置是否正常工作。

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

  • show access-list —显示穿过访问列表的计数数据包。

验证过程

完成这些步骤验证配置:

  1. 运行Microsoft Internet Explorer。

  2. 在浏览器窗口的地址字段键入http://172.16.1.200,并且按回车。

    172.16.1.200是内部全局地址。在公共网络中, CTC用户能访问仅172.16.1.200,是ONS15454内部全局地址内部本地地址是10.89.238.56。

    CTC登录窗口出现。

  3. 键入用户名和密码登陆。

    CTC客户端成功连接对ONS15454。

  4. 发出debug ip nat detailed命令打开IP NAT被选派的trace。您能查看在跟踪文件的地址转换。例如,从10.89.238.56的地址转换到172.16.1.200 (请参阅从172.16.1.200的箭头A在表5)和到10.89.238.56 (请参阅箭头B在表5)

    图5 –被选派的Debug ip nat

    ctcto15454_05.gif

  5. 问题show access-list命令在路由器查看穿过访问列表的计数数据包。

    图6 – show access-list命令

    ctcto15454_06.gif

    如果访问列表阻塞TCC CORBA (IIOP)监听程序波尔特,有正常ONS15454时代的CTC会话和警报消息出现每两分钟如显示此处:

    Figure7 – CTC警报:TCC CORBA (IIOP)波尔特阻塞

    ctcto15454_07.gif

    作为应急方案,您能打开CTC IIOP监听程序端口。Cisco Bug ID CSCeh96275 (仅限注册用户)解决此问题。

    将来,一conduit的创建TCP端口的80和1080在防火墙是提供支持的足够隐藏ONS15454实际IP地址。

故障排除

目前没有针对此配置的故障排除信息。

相关信息

由思科工程师提供

此文档是否有帮助?

反馈

联系我们