Introduction:
O documento descreve o endereço IP de configuração básica atribuído ao nó ONS 15454 com o Modo Seguro Habilitado no Cisco Transport Controller (CTC).
Pré-requisitos:
A Cisco recomenda o conhecimento básico do gerenciamento da rede de comunicação de dados (DCN) e TCP/IP na rede.
Requisitos:
Placas controladoras OSN15454 para dispositivo ONS
Software de sistema específico da plataforma ONS
Informações de Apoio:
Se as placas TCC2P estiverem instaladas, o endereçamento IP duplo estará disponível usando o modo seguro. Quando o modo seguro está desativado (às vezes chamado modo repetidor), o endereço IP inserido no campo Endereço IP se aplica à porta LAN do painel traseiro ONS 15454 e à porta TCP/IP (LAN) TCC2P. Quando o modo seguro está ativo, o campo Endereço IP mostra o endereço atribuído à porta TCP/IP (LAN) TCC2P e o Superusuário pode ativar ou desativar a exibição do endereço IP do painel traseiro.
As placas TCC2, TCC2P, TCC3, TNC, TNCE, TSC e TSCE assumem como padrão o modo de repetidor. Nesse modo, as portas Ethernet frontais e traseiras (LAN) compartilham um único endereço MAC e endereço IP. As placas TCC2P, TCC3, TNC, TNCE, TSC e TSCE permitem colocar um nó em modo seguro, o que impede que um usuário de porta de acesso frontal acesse a LAN através da porta do backplane.
Comportamento do modo seguro:
A alteração de um nó TCC2P, TCC3, TNC, TNCE, TSC ou TSCE do modo repetidor para o modo seguro permite que você provisione dois endereços IP para o ONS 15454 e faz com que o nó atribua às portas endereços MAC diferentes. No modo seguro, um endereço IP é provisionado para a porta LAN do backplane ONS 15454, e o outro endereço IP é provisionado para a porta Ethernet da placa. Ambos os endereços residem em sub-redes diferentes, fornecendo uma camada adicional de separação entre a porta de acesso da embarcação e a LAN ONS 15454. Se o modo seguro estiver ativado, os endereços IP provisionados para a porta LAN do painel traseiro e a porta Ethernet da placa devem seguir as diretrizes gerais de endereçamento IP e devem residir em sub-redes diferentes umas das outras.
No modo seguro, o endereço IP atribuído à porta LAN do painel traseiro torna-se um endereço privado, que conecta o nó a um sistema de suporte operacional (OSS) através de uma LAN de escritório central ou de uma rede corporativa privada. Um superusuário pode configurar o nó para ocultar ou revelar o endereço IP da LAN do painel traseiro no CTC, na tabela de roteamento ou nos relatórios de mensagens autônomas TL1.
No modo de repetidor, um nó pode ser um GNE ou ENE. Colocar o nó no modo seguro ativa automaticamente o proxy SOCKS e padroniza o nó para o status GNE. No entanto, o nó pode ser alterado de volta para um ENE. No modo repetidor, um proxy SOCKS de ENE pode ser desabilitado—isolando efetivamente o nó além do firewall de LAN—mas não pode ser desabilitado no modo seguro. O comprimento da máscara de rede/sub-rede — digite o comprimento da máscara de sub-rede (número decimal que representa o comprimento da máscara de sub-rede em bits) ou clique nas setas para ajustar o comprimento da máscara de sub-rede. O comprimento da máscara de sub-rede é o mesmo para todos os nós ONS 15454 na mesma sub-rede. O endereço MAC (somente exibição) exibe o endereço MAC ONS 15454 IEEE 802.
No modo seguro, as portas TCP/IP (LAN) dianteiras e traseiras recebem endereços MAC diferentes, e as informações do painel traseiro podem ser ocultadas ou reveladas por um superusuário.
O endereço IP atribuído à porta TCP/IP (LAN) TCC2P deve residir em uma sub-rede diferente da porta LAN do backplane e do roteador padrão ONS 15454. Verifique se o novo endereço IP TCC2P atende a esse requisito e é compatível com endereços IP de rede ONS 15454.
Procedimento para alterar o modo de segurança via CTC:
Etapa 1 Clique nas guias Provisioning > Security > Data Comm, conforme mostrado abaixo:
Etapa 2 Clique em Alterar modo.
Etapa 3 Revise as informações na página Alterar modo seguro e clique em Avançar.
Etapa 4 Na página TCC Ethernet Port, insira o endereço IP e a máscara de sub-rede da porta TCP/IP (LAN) TCC2P. O endereço IP não pode residir na mesma sub-rede que a porta LAN do backplane ou o roteador padrão ONS 15454 e se esse não for o caso, o erro abaixo ocorrerá no CTC.
Etapa 5 Clique em Next (Avançar) após garantir a etapa 4.
Etapa 6 Se necessário, na página Porta Ethernet do Backplane, modifique o endereço IP do backplane, a máscara de sub-rede e o roteador padrão. (Normalmente, você não modifica esses campos se nenhuma alteração na rede ONS 15454 tiver ocorrido.)
Etapa 7 Clique em Next (Avançar).
Etapa 8 Na página Configurações do servidor proxy SOCKS, escolha uma das seguintes opções:
- Elemento de Rede Externo (ENE - External Network Element)—Se selecionado, o computador CTC só é visível para o ONS 15454 onde o computador CTC está conectado. O computador CTC não está visível para os nós conectados ao DCC. Além disso, o firewall está ativado, o que significa que o nó impede que o tráfego IP seja roteado entre o DCC e a porta LAN.
- Elemento de rede de gateway (GNE)—Se selecionado, o computador CTC está visível para outros nós conectados ao DCC. O nó impede que o tráfego IP seja roteado entre o DCC e a porta LAN.
Note: O servidor proxy SOCKS é ativado automaticamente quando você ativa o modo de segurança.
Etapa 9 Clique em Finish.
Nos próximos 30 a 40 segundos, as placas TCC2P serão reinicializadas. O CTC muda para a exibição de rede e a caixa de diálogo Alertas CTC é exibida. Na exibição de rede, o nó muda para cinza e uma condição DESCONECTADA aparece na guia Alarmes.
Depois de habilitar o modo seguro no CTC, verifique se eles estão corretamente definidos para o nó como mostrado abaixo para um nó de teste.
Verifique também o endereço IP na exibição do nó CTC, conforme mostrado abaixo.
Comportamento do nó seguro bloqueado e desbloqueado:
O modo seguro pode ser bloqueado ou desbloqueado em um nó que opera em modo seguro. O status padrão é desbloqueado e somente um Superusuário pode emitir um bloqueio. Quando o modo seguro está bloqueado, a configuração do nó (incluindo o status da porta Ethernet) e o status de bloqueio não podem ser alterados por nenhum usuário da rede. Para remover o bloqueio de um nó seguro, entre em contato com o Suporte Técnico da Cisco para organizar uma RMA (Return Material Authorization, Autorização de devolução de material) para o conjunto do sub-bastidor. Habilitar um cadeado faz uma alteração permanente na EEPROM do sub-bastidor.
O bloqueio de configuração de um nó será mantido se o banco de dados da placa TCC2P ativa for recarregado. Por exemplo, se você tentar carregar um banco de dados de nó desbloqueado na placa TCC2P de standby de um nó bloqueado para transferência para a placa TCC2P ativa (uma ação que não é recomendada), o status do nó desbloqueado (através do banco de dados carregado) não substituirá o status de bloqueio do nó. Se você tentar carregar um banco de dados bloqueado na placa TCC2P em standby de um nó seguro desbloqueado, a placa TCC2P ativa carregará o banco de dados. Se os padrões carregados indicarem um status bloqueado, isso fará com que o nó fique bloqueado. Se uma carga de software tiver sido personalizada antes de um bloqueio ser ativado, todos os recursos de provisionamento bloqueáveis serão permanentemente definidos com os padrões NE personalizados fornecidos na carga e não poderão ser alterados por nenhum usuário.
Notas úteis:
- Se as portas de acesso da frente e do backplane estiverem desabilitadas em um ENE e o nó for isolado da comunicação DCC (devido a falhas de provisionamento ou rede do usuário), as portas da frente e do backplane serão automaticamente rehabilitadas.
- O modo seguro pode ser bloqueado, o que impede que o modo seja alterado.
- A ativação do modo seguro faz com que as placas TCC2P, TCC3, TNC, TNCE, TSC e TSCE sejam reinicializadas; a reinicialização da placa afeta o tráfego.
- As opções do modo de segurança não estarão disponíveis no CTC se as placas TCC2 ou uma combinação de placas TCC2 e TCC2P estiverem instaladas.
- A habilitação do modo seguro faz com que a placa TCC2P seja reinicializada; uma reinicialização da placa TCC2P afeta o tráfego.
- A placa TCC2 não inicializa quando é adicionada como placa de espera a um nó que contém uma placa TCC2P ativa configurada no modo seguro.