Dit document biedt een voorbeeldconfiguratie voor Network Address Translation (NAT) om een sessie te maken tussen Cisco Transport Controller (CTC) en ONS 15454. De configuratie gebruikt NAT en een toegangslijst wanneer ONS 15454 in een privaat netwerk verblijft en de CTC-client in een openbaar netwerk.
Pas NAT en een toegangslijst voor veiligheidsdoeleinden toe. NAT verbergt het echte IP-adres van ONS 15454. De toegangslijst dient als firewall voor de controle van het IP-verkeer in en uit ONS 15454.
Zorg er voordat u deze configuratie probeert voor dat u aan deze vereisten voldoet:
beschikken over basiskennis van Cisco ONS 15454.
Let op welke Cisco-routers NAT ondersteunen.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco IOS® softwarerelease 12.1(11)en hoger
Cisco ONS 15454 versie 5.X en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Dit deel bevat de essentiële achtergrondinformatie.
De testtopologie omvat:
Eén Cisco ONS 15454, dat als de server fungeert.
Eén pc, die fungeert als de CTC-client.
Eén Cisco 2600 Series router, die de NAT-ondersteuning biedt.
Opmerking: Cisco ONS 15454 bevindt zich in het interne netwerk en de pc is in het externe netwerk.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
N.B.: Als u aanvullende informatie wilt vinden over de opdrachten in dit document, gebruikt u het Opdrachtplanningprogramma (alleen geregistreerd klanten).
Het netwerk in dit document is als volgt opgebouwd:
Opmerking: Ga ervan uit dat 172.16.0.0 routeerbaar is in het openbare netwerk.
Dit document gebruikt deze configuraties:
ONS 15454 router
PC
router
Voer de volgende stappen uit:
Klik in de noerenweergave op Provisioning > Algemeen > Netwerk.
Controleer of het IP-adres van ONS 15454 op 10.89.238.56 verschijnt in het veld IP-adres (zie pijl A in afbeelding 2) en dat het veld Default Router de waarde 10.89.238.1 bevat (zie pijl B in afbeelding 2).
Afbeelding 2 - ONS 15454 configuratie
Controleer de proxy voor SOCKS inschakelen op poort en controleer het vakje in het vak Gateway Settings (zie pijl C in afbeelding 2) en selecteer de optie alleen SOCKS-proxy (zie pijl D in afbeelding 2).
Selecteer de gewenste luisteraarpoort in het vak TCC CORBA (IOOP) Luisterpoort. U hebt deze drie opties:
Standaard - TCC vast-Selecteer deze optie als de ONS 15454 aan dezelfde kant van de firewall staat als de CTC-computer of als er geen firewall is (standaard). Met deze optie wordt de ONS 15454-luisterpoort ingesteld op Port 5790. U kunt de standaardinstelling - TCC vaste optie gebruiken voor toegang via een firewall als Port 57790 is geopend.
Standaard constante-selecteer deze optie om poort 683 te gebruiken, het CORBA standaard poortnummer, als de ONS 15454 luisterpoort. Dit voorbeeld gebruikt Standaard Constante (683) (zie pijl E in afbeelding 2).
Andere constante-Selecteer deze optie als u Port 683 niet gebruikt. Typ de IOD-poort die door uw firewallbeheerder wordt gespecificeerd.
In het dialoogvenster Internet Protocol (TCP/IP) Properties controleert u of het IP-adresveld 172.16.1.254 aangeeft als IP-adres van de PC (zie pijl A in afbeelding 3). Controleer ook of 172.16.1.1 de standaardgateway is (zie pijl B in afbeelding 3).
Afbeelding 3 - PC-configuratie
Voer de volgende stappen uit:
Configureer de interne interface waar Cisco ONS 15454 gevestigd is.
! interface Ethernet1/0 ip address 10.89.238.1 255.255.255.0 ip access-group 101 in ip nat inside !
Configuratie van toegang - lijst 101.
access-list 101 permit tcp any eq www any ! ! Allow CTC to access TCP Port 80 on ONS 15454 ! access-list 101 permit tcp any eq 1080 any ! ! Allow CTC to access TCP Port 1080 on ONS 15454 ! access-list 101 permit tcp any any eq 683 ! ! Allow ONS 15454 to access TCP Port 683 on the PC !
Configureer de externe interface waar de pc zich bevindt.
interface Ethernet1/1 ip address 172.16.1.1 255.255.255.0 ip nat outside !
Statische NAT configureren
De configuratie converteert het IP-adres van 10.89.238.56 (lokaal) naar het IP-adres van 172.16.1.200 (buiten de wereld). Geef het opdracht nat-vertaling van de show uit op de router om de vertaaltabel te bekijken (zie afbeelding 4).
Afbeelding 4 - IP-NAT-omzetting! ip nat inside source static 10.89.238.56 172.16.1.200 !
Deze sectie verschaft informatie die u kunt gebruiken om te bevestigen dat uw configuratie correct werkt.
Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.
De toegang-lijst tonen - toont de telling van pakketten die door de toegangslijst overgaan.
Voltooi deze stappen om de configuratie te controleren:
Start Microsoft Internet Explorer.
Typ http://172.16.1.200 in het veld Adres van het browser en druk op ENTER.
172.16.1.2000 is het binnenste mondiale adres. Op het openbare netwerk hebben CTC-gebruikers alleen toegang tot 172.16.1.2000, het interne mondiale adres van ONS 15454, waarvan het lokale adres 10.89.238.56 is.
Het CTC-inlogvenster verschijnt.
Typ de naam en het wachtwoord voor het inloggen.
De CTC-client is met succes verbonden met ONS 15454.
Geef de debug ip opdracht in om de gedetailleerde NAT-overtrek in te schakelen. U kunt de adresvertalingen in het logbestand bekijken. Bijvoorbeeld, adresomzetting van 10.89.238.56 in 172.16.1.200 (zie pijl A in afbeelding 5) en van 172.16.1.200 tot 10.89.238.56 (zie pijl B in ) Afbeelding 5).
Afbeelding 5 - Debug IP NAT gedetailleerd
Maak een opdracht om toegangslijsten op de router op te geven om de telling van pakketten die door de toegangslijst gaan te bekijken.
Afbeelding 6 - De opdracht Toegang/List
Als de toegangslijst de poort van de TCC CORBA (IIOP) Luisteraar blokkeert, verschijnt de CTC sessie met de ONS 15454 keer uit en verschijnt er elke twee minuten een waarschuwingsbericht zoals hier wordt getoond:
Afbeelding 7 - CTC-meldingen: De TCC CORBA (IOOP)-poort is geblokkeerd
Als tijdelijke oplossing kunt u de CTC IOOP luisterpoort openen. Cisco bug-ID CSCeh96275 (alleen geregistreerde klanten) richt zich op dit probleem.
In de toekomst is het creëren van een leiding voor TCP Port 80 en 1080 op de firewall genoeg om ondersteuning te bieden om het echte IP-adres van ONS 15454 te verbergen.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.