簡介:
本文檔描述了分配給思科傳輸控制器(CTC)中啟用安全模式的ONS 15454節點的基本配置IP地址。
必要條件:
思科推薦網路中的TCP/IP和資料通訊網路(DCN)管理基礎知識。
要求:
適用於ONS裝置的ONS15454控制器卡
ONS平台特定系統軟體
背景資訊:
如果安裝了TCC2P卡,則可使用安全模式進行雙IP編址。當安全模式關閉(有時稱為中繼器模式)時,在IP Address欄位中輸入的IP地址將應用於ONS 15454背板LAN埠和TCC2P TCP/IP(LAN)埠。當安全模式開啟時,「IP地址」欄位顯示分配給TCC2P TCP/IP(LAN)埠的地址,超級使用者可以啟用或禁用背板IP地址的顯示。
TCC2、TCC2P、TCC3、TNC、TNCE、TSC和TSCE卡預設為中繼器模式。在此模式下,前端和後端乙太網(LAN)埠共用一個MAC地址和IP地址。TCC2P、TCC3、TNC、TNCE、TSC和TSCE卡允許您將節點置於安全模式,這可以防止前端訪問工藝埠使用者通過背板埠訪問LAN。
安全模式行為:
將TCC2P、TCC3、TNC、TNCE、TSC或TSCE節點從中繼器模式更改為安全模式,可以為ONS 15454提供兩個IP地址,並使節點為埠分配不同的MAC地址。在安全模式下,為ONS 15454背板LAN埠調配一個IP地址,為卡乙太網埠調配另一個IP地址。這兩個地址位於不同的子網中,在工藝接入埠和ONS 15454 LAN之間提供額外的隔離層。如果啟用了安全模式,為背板LAN埠和卡乙太網埠調配的IP地址必須遵循常規IP編址指南,並且必須位於彼此不同的子網上。
在安全模式下,分配給背板LAN埠的IP地址成為私有地址,它通過中央辦公室LAN或私有企業網路將節點連線到運營支援系統(OSS)。超級使用者可以將節點配置為在CTC、路由表或TL1自治消息報告中隱藏或顯示背板的LAN IP地址。
在中繼器模式下,節點可以是GNE或ENE。將節點置於安全模式將自動開啟SOCKS代理,並將節點預設為GNE狀態。但是,該節點可以更改回ENE。在中繼器模式下,可以禁用ENE的SOCKS代理(有效隔離了超過LAN防火牆的節點),但無法在安全模式下禁用。Net/Subnet Mask Length — 鍵入子網掩碼長度(以位表示子網掩碼長度的十進位制數),或按一下箭頭調整子網掩碼長度。對於同一子網中的所有ONS 15454節點,子網掩碼長度相同。MAC Address — (僅顯示)顯示ONS 15454 IEEE 802 MAC地址。
在安全模式下,前後TCP/IP(LAN)埠分配了不同的MAC地址,並且超級使用者可以隱藏或洩露背板資訊。
分配給TCC2P TCP/IP(LAN)埠的IP地址必須與背板LAN埠和ONS 15454預設路由器位於不同的子網中。驗證新的TCC2P IP地址是否滿足此要求並且是否與ONS 15454網路IP地址相容。
通過CTC更改為安全模式的過程:
第1步點選Provisioning > Security > Data Comm頁籤,如下所示:
步驟2按一下Change Mode。
第3步檢視Change Secure Mode頁面上的資訊,然後按一下Next。
第4步在TCC Ethernet Port頁面上,輸入TCC2P TCP/IP(LAN)埠的IP地址和子網掩碼。IP地址不能與背板LAN埠或ONS 15454預設路由器駐留在同一子網中,如果不是這樣,CTC中會出現以下錯誤。
第5步確保第4步後按一下下一步。
步驟6如果需要,在Backplane Ethernet Port頁面上,修改背板IP地址、子網掩碼和預設路由器。(如果未發生ONS 15454網路更改,則通常不修改這些欄位。)
第7步點選Next。
第8步在SOCKS Proxy Server Settings頁面上,選擇以下選項之一:
- 外部網元(ENE) — 如果選定該選項,CTC電腦只對連線CTC電腦的ONS 15454可見。連線到DCC的節點看不到CTC電腦。此外,還啟用了防火牆,這意味著節點可以防止IP流量在DCC和LAN埠之間路由。
- 網關網路元素(GNE) — 如果選擇此選項,CTC電腦對於其他DCC連線的節點可見。該節點可防止IP流量在DCC和LAN埠之間路由。
附註:啟用安全模式時,SOCKS代理伺服器會自動啟用。
第9步點選Finish。
在接下來的30到40秒內,TCC2P卡將重新啟動。CTC切換到網路檢視,並顯示「CTC警報」對話方塊。在網路檢視中,節點變為灰色,並且DISCONNECTED條件出現在Alarms頁籤中。
在CTC中啟用安全模式後,驗證它們是否為一個測試節點正確地定義了節點,如下所示。
還驗證CTC節點檢視中的兩個IP地址,如下所示。
安全節點鎖定和解鎖行為:
可以在以安全模式運行的節點上鎖定或解鎖安全模式。預設狀態為解除鎖定,只有超級使用者才能發出鎖定。當安全模式被鎖定時,任何網路使用者都無法更改節點的配置(包括乙太網埠狀態)和鎖定狀態。要移除安全節點的鎖,請聯絡思科技術支援為貨架元件安排退貨授權(RMA)。啟用鎖會對貨架的EEPROM進行永久更改。
如果重新載入活動TCC2P卡的資料庫,則維護節點的配置鎖。例如,如果您嘗試將解鎖節點資料庫載入到鎖定節點的備用TCC2P卡上,以便轉移到活動TCC2P卡(不建議執行此操作),則解鎖節點的狀態(通過上載的資料庫)不會覆蓋節點的鎖定狀態。如果嘗試將鎖定的資料庫載入到未鎖定的安全節點的備用TCC2P卡上,則活動TCC2P卡將上載資料庫。如果上傳的預設值指示鎖定狀態,這將導致節點被鎖定。如果在啟用鎖定之前已經自定義了軟體載入,所有可鎖定調配功能都將永久設定為載入中提供的自定義NE預設值,任何使用者都無法更改。
實用附註:
- 如果在ENE中禁用了前部和底板接入埠,並且節點與DCC通訊隔離(由於使用者調配或網路故障),則會自動重新啟用前部和底板埠。
- 可以鎖定安全模式,防止模式被更改。
- 啟用安全模式會導致TCC2P、TCC3、TNC、TNCE、TSC和TSCE卡重新啟動;卡重新啟動會影響流量。
- 如果安裝了TCC2卡或TCC2和TCC2P卡的組合,則在CTC中無法使用安全模式選項。
- 啟用安全模式會導致TCC2P卡重新啟動;tcc2P卡重新啟動會影響流量。
- 當將TCC2卡作為備用卡新增到包含在安全模式下配置的活動TCC2P卡的節點時,TCC2卡無法啟動。