In questo documento viene fornita una configurazione di esempio per Network Address Translation (NAT) per stabilire una sessione tra Cisco Transport Controller (CTC) e ONS 15454. La configurazione utilizza NAT e un elenco degli accessi quando ONS 15454 risiede in una rete privata e il client CTC risiede in una rete pubblica.
Applica NAT e un elenco degli accessi per motivi di sicurezza. NAT nasconde l'indirizzo IP reale di ONS 15454. L'elenco degli accessi funge da firewall per il controllo del traffico IP in entrata e in uscita da ONS 15454.
Prima di provare la configurazione, verificare che siano soddisfatti i seguenti requisiti:
Conoscenze base di Cisco ONS 15454.
Tieni presente quali router Cisco supportano NAT.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Software Cisco IOS® versione 12.1(1) e successive
Cisco ONS 15454 versione 5.X e successive
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
In questa sezione vengono fornite le informazioni di base essenziali.
La topologia di test comprende:
Un Cisco ONS 15454 che funge da server.
Un PC che funge da client CTC.
Un router Cisco serie 2600, che fornisce il supporto NAT.
Nota: Cisco ONS 15454 risiede nella rete interna e il PC nella rete esterna.
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Nota: per ulteriori informazioni sui comandi menzionati in questo documento, usare lo strumento di ricerca dei comandi (solo utenti registrati).
Nel documento viene usata questa impostazione di rete:
Nota: si supponga che 172.16.0.0 sia instradabile nella rete pubblica.
Nel documento vengono usate queste configurazioni:
ONS 15454
PC
Router
Attenersi alla seguente procedura:
Nella vista del nodo, fare clic su Provisioning > Generale > Rete.
Verificare che l'indirizzo IP di ONS 15454 venga visualizzato come 10.89.238.56 nel campo IP Address (vedere la freccia A nella Figura 2) e che il campo Default Router contenga il valore 10.89.238.1 (vedere la freccia B nella Figura 2).
Figura 2 - Configurazione di ONS 15454
Selezionare la casella di controllo Enable SOCKS proxy on port nella sezione Gateway Settings (vedere la freccia C nella Figura 2), quindi selezionare l'opzione SOCKS proxy only (vedere la freccia D nella Figura 2).
Selezionare l'opzione della porta listener richiesta nella sezione Porta listener TCC CORBA (IIOP). Sono disponibili le tre opzioni seguenti:
Default - TCC Fixed: selezionare questa opzione se ONS 15454 si trova sullo stesso lato del firewall del computer CTC o se non è presente alcun firewall (impostazione predefinita). Questa opzione imposta la porta del listener ONS 15454 sulla porta 57790. Se la porta 5790 è aperta, è possibile utilizzare l'opzione Default - TCC Fixed per l'accesso attraverso un firewall.
Costante standard (Standard Constant) - Selezionate questa opzione per utilizzare la porta 683 (il numero di porta predefinito CORBA) come porta listener di ONS 15454. In questo esempio viene utilizzato Standard Constant (683) (vedere la freccia E nella Figura 2).
Altra costante: selezionare questa opzione se non si utilizza la porta 683. Digitare la porta IIOP specificata dall'amministratore del firewall.
Nella finestra di dialogo Proprietà - Protocollo Internet (TCP/IP) verificare se il campo dell'indirizzo IP indica 172.16.1.254 come indirizzo IP del PC (vedere la freccia A nella Figura 3). Verificare inoltre se il gateway predefinito è 172.16.1.1 (vedere la freccia B nella Figura 3).
Figura 3 - Configurazione PC
Attenersi alla seguente procedura:
Configurare l'interfaccia interna in cui risiede Cisco ONS 15454.
! interface Ethernet1/0 ip address 10.89.238.1 255.255.255.0 ip access-group 101 in ip nat inside !
Configurare l'accesso - elenco 101.
access-list 101 permit tcp any eq www any ! ! Allow CTC to access TCP Port 80 on ONS 15454 ! access-list 101 permit tcp any eq 1080 any ! ! Allow CTC to access TCP Port 1080 on ONS 15454 ! access-list 101 permit tcp any any eq 683 ! ! Allow ONS 15454 to access TCP Port 683 on the PC !
Configurare l'interfaccia esterna in cui risiede il PC.
interface Ethernet1/1 ip address 172.16.1.1 255.255.255.0 ip nat outside !
Configurare NAT statico.
La configurazione converte l'indirizzo IP 10.89.238.56 (locale interno) nell'indirizzo IP 172.16.1.200 (globale esterno). Eseguire il comando show ip nat translation sul router per visualizzare la tabella di conversione (vedere la Figura 4).
Figura 4 - Traduzione IP NAT! ip nat inside source static 10.89.238.56 172.16.1.200 !
Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.
Alcuni comandi show sono supportati dallo strumento Output Interpreter (solo utenti registrati); lo strumento permette di visualizzare un'analisi dell'output del comando show.
show access-list: visualizza il numero di pacchetti che passano attraverso l'elenco degli accessi.
Completare la procedura seguente per verificare la configurazione:
Eseguire Microsoft Internet Explorer.
Digitare http://172.16.1.200 nel campo Indirizzo della finestra del browser e premere INVIO.
172.16.1.200 è l'indirizzo globale interno. Nella rete pubblica, gli utenti CTC possono accedere solo a 172.16.1.200, che è l'indirizzo globale interno di ONS 15454 il cui indirizzo locale interno è 10.89.238.56.
Viene visualizzata la finestra Accesso CTC.
Digitare il nome utente e la password per l'accesso.
Il client CTC si connette correttamente a ONS 15454.
Eseguire il comando debug ip nat detail per attivare la traccia dettagliata dell'IP NAT. È possibile visualizzare le traduzioni degli indirizzi nel file di traccia. Ad esempio, la conversione degli indirizzi da 10.89.238.56 a 172.16.1.200 (vedere la freccia A nella Figura 5) e da 172.16.1.200 a 10.89.238.56 (vedere la freccia B nella Figura 5).
Figura 5 - Dettagli sul debug IP NAT
Eseguire il comando show access-list sul router per visualizzare il numero di pacchetti che passano attraverso l'elenco degli accessi.
Figura 6 - Comando show access-list
Se l'elenco degli accessi blocca la porta del listener TCC CORBA (IIOP), la sessione CTC con ONS 15454 scade regolarmente e viene visualizzato un messaggio di avviso ogni due minuti, come mostrato di seguito:
Figura 7 - Avvisi CTC: La porta TCC CORBA (IIOP) è bloccata
Per risolvere il problema, è possibile aprire la porta del listener IIOP CTC. Per risolvere questo problema, consultare l'ID bug Cisco CSCeh96275 (solo utenti registrati).
In futuro, la creazione di un canale per le porte TCP 80 e 1080 sul firewall è sufficiente per fornire supporto per nascondere l'indirizzo IP reale di ONS 15454.
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.