أستخدم NAT لإخفاء عنوان IP الحقيقي من ONS 15454 لإنشاء جلسة CTC
المحتويات
المقدمة
يزود هذا وثيقة عينة تشكيل ل شبكة عنوان ترجمة (NAT) أن يخلق جلسة بين cisco نقل جهاز تحكم (CTC) و ONS 15454. يستخدم التكوين NAT وقائمة الوصول عندما يكون ONS 15454 موجودا في شبكة خاصة، ويكون عميل CTC موجودا في شبكة عامة.
تطبيق NAT وقائمة الوصول لأغراض الأمان. يخفي NAT عنوان IP الحقيقي ل ONS 15454. تعمل قائمة الوصول كجدار حماية للتحكم في حركة مرور IP من وإلى ONS 15454.
المتطلبات الأساسية
المتطلبات
قبل أن تحاول إجراء هذا التكوين، فتأكد من استيفاء المتطلبات التالية:
-
معرفة أساسية ب Cisco ONS 15454.
-
مدرك لموجهات Cisco التي تدعم NAT.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
برنامج IOS® الإصدار 12.1(11) من Cisco والإصدارات الأحدث
-
Cisco ONS 15454 version 5.x والإصدارات الأحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
معلومات أساسية
يقدم هذا القسم معلومات أساسية أساسية عن الخلفية.
طوبولوجيا
تتضمن طبولوجيا الاختبار ما يلي:
-
واحد Cisco ONS 15454، والذي يعمل كخادم.
-
جهاز كمبيوتر واحد، يعمل كعميل CTC.
-
واحد cisco 2600 sery مسحاج تخديد، أي يزود ال nat دعم.
ملاحظة: يوجد Cisco ONS 15454 في الشبكة الداخلية ويوجد الكمبيوتر في الشبكة الخارجية.
التكوين
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند، أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط).
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي:
ملاحظة: افترض أنه يمكن توجيه 172.16.0.0 في الشبكة العامة.
التكوينات
يستخدم هذا المستند التكوينات التالية:
-
ONS 15454
-
كمبيوتر شخصي
-
الموجّه
التكوين Cisco ONS 15454 Configuration
أكمل الخطوات التالية:
-
في عرض العقدة، انقر فوق توفير > عام > الشبكة.
تحقق ما إذا كان عنوان IP الخاص ب ONS 15454 يظهر على أنه 10.89.238.56 في حقل عنوان IP (راجع السهم A في الشكل 2)، وأن حقل الموجه الافتراضي يحتوي على القيمة 10.89.238.1 (راجع السهم B في الشكل 2).
شكل 2 - التكوين ONS 15454
-
حدد خانة الاختيار تمكين وكيل SOCKS على المنفذ في قسم إعدادات البوابة (راجع السهم C في الشكل 2)، وحدد خيار وكيل SOCKS فقط (راجع السهم D في الشكل 2).
-
حدد خيار منفذ وحدة الإصغاء المطلوب في قسم منفذ وحدة إصغاء TCC Corba (IOP). لديك هذه الخيارات الثلاثة:
-
الافتراضي - ثابت TCC— حدد هذا الخيار إذا كان ONS 15454 على نفس جانب جدار الحماية مثل كمبيوتر CTC، أو إذا لم يوجد جدار حماية (الافتراضي). يثبت هذا خيار ال ONS 15454 مستمع ميناء إلى ميناء 57790. أنت يستطيع استعملت التقصير - TCC ثابت خيار أن ينفذ من خلال جدار حماية إن يكون ميناء 57790 مفتوح.
-
ثابت قياسي— حدد هذا الخيار لاستخدام المنفذ 683، رقم المنفذ الافتراضي ل CORBA، كمنفذ موزع رسائل ONS 15454. يستخدم هذا المثال الثابت القياسي (683) (راجع السهم E في الشكل 2).
-
آخر ثابت- حدد هذا الخيار إن لا يستعمل أنت ميناء 683. اكتب منفذ IIOP الذي يحدده مسؤول جدار الحماية.
-
تكوين الكمبيوتر الشخصي
في شاشة خصائص بروتوكول الإنترنت (TCP/IP)، تحقق مما إذا كان حقل عنوان IP يشير إلى أن 172.16.1.254 هو عنوان IP الخاص بالكمبيوتر الشخصي (راجع السهم أ في الشكل 3). تحقق أيضا من أن 172.16.1.1 هي البوابة الافتراضية (راجع السهم B في الشكل 3).
شكل 3 - تكوين الكمبيوتر 
تكوين الموجّه
أكمل الخطوات التالية:
-
قم بتكوين الواجهة الداخلية حيث يتواجد Cisco ONS 15454.
! interface Ethernet1/0 ip address 10.89.238.1 255.255.255.0 ip access-group 101 in ip nat inside !
-
تكوين الوصول- القائمة 101.
access-list 101 permit tcp any eq www any ! ! Allow CTC to access TCP Port 80 on ONS 15454 ! access-list 101 permit tcp any eq 1080 any ! ! Allow CTC to access TCP Port 1080 on ONS 15454 ! access-list 101 permit tcp any any eq 683 ! ! Allow ONS 15454 to access TCP Port 683 on the PC !
-
قم بتكوين الواجهة الخارجية حيث يتواجد الكمبيوتر الشخصي.
interface Ethernet1/1 ip address 172.16.1.1 255.255.255.0 ip nat outside !
-
شكلت NAT ساكن إستاتيكي.
يحول التكوين عنوان IP 10.89.238.56 (داخل المحلي) إلى عنوان IP الخاص ب 172.16.1.200 (خارج العام). قم بإصدار الأمر show ip nat translation على الموجه لعرض جدول الترجمة (راجع الشكل 4).
الشكل 4 - ترجمة NAT لبروتوكول IP! ip nat inside source static 10.89.238.56 172.16.1.200 !
التحقق من الصحة
يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين يعمل بشكل صحيح.
يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.
-
show access-list— يعرض عدد الحزم التي تمر عبر قائمة الوصول.
إجراء التحقق
أكمل الخطوات التالية للتحقق من التكوين:
-
قم بتشغيل Microsoft Internet Explorer.
-
اكتب http://172.16.1.200 في حقل العنوان من نافذة المستعرض، واضغط ENTER.
172.16.1.200 هو العنوان العمومي الداخلي. في الشبكة العامة، يمكن لمستخدمي CTC الوصول إلى 172.16.1.200 فقط، وهو العنوان العمومي الداخلي ل ONS 15454 الذي يكون عنوانه المحلي الداخلي 10.89.238.56.
تظهر نافذة تسجيل دخول CTC.
-
اكتب اسم المستخدم وكلمة المرور لتسجيل الدخول.
يتصل عميل CTC بنجاح مع ONS 15454.
-
قم بإصدار الأمر debug ip nat detail لتشغيل التتبع التفصيلي ل IP nat. يمكنك عرض ترجمات العناوين في ملف التتبع. على سبيل المثال، ترجمة العنوان من 10.89.238.56 إلى 172.16.1.200 (راجع السهم أ في الشكل 5)، ومن 172.16.1.200 إلى 10.89.238.56 (راجع السهم ب في الشكل 5).
الشكل 5 - تفاصيل تصحيح أخطاء IP NAT
-
قم بإصدار الأمر show access-list على الموجه لعرض عدد الحزم التي تمر عبر قائمة الوصول.
شكل 6 - الأمر show access-list
إذا كانت قائمة الوصول تقوم بحظر منفذ وحدة إصغاء TCC Corba (IIOP)، فإن جلسة CTC مع ONS 15454 مرة تتم بشكل منتظم، وتظهر رسالة تنبيه كل دقيقتين كما هو موضح هنا:
شكل 7 - تنبيهات CTC: تم حظر منفذ TCC Corba (IIOP)
وكحل بديل، يمكنك فتح منفذ وحدة الإصغاء CTC IIOP. يخاطب معرف تصحيح الأخطاء من Cisco CSCeh96275 (العملاء المسجلون فقط) هذه المشكلة.
في المستقبل، يكون إنشاء قناة لمنفذ TCP 80 و 1080 على جدار الحماية كافيا لتوفير الدعم لإخفاء عنوان IP الحقيقي من ONS 15454.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
التعليقات