Encaminhamento de porta TCP para gerenciamento remoto de dispositivos
O encaminhamento de portas é um método que permite que um roteador torne um computador ou outro dispositivo de rede conectado a ele acessível a outros computadores e dispositivos de rede de fora da rede local. O encaminhamento de portas usa uma combinação de um endereço IP e um número de porta para rotear solicitações de rede para dispositivos específicos. Essa técnica é frequentemente usada para tornar os serviços em um host ou gateway, residentes em uma rede interna, acessíveis a um host em uma rede externa, remediando o endereço IP de destino e o número de porta para a solicitação de comunicação.
A partir do Junos OS Release 18.3R1, o encaminhamento de portas TCP (também chamado de encaminhamento de TCP) permite que um BNG mediasse a comunicação entre seus nós de acesso conectados e sistemas de back-office de provedores de serviços, como sistemas externos de gerenciamento e provisionamento e servidores TACACS+. O BNG e seus nós de acesso downstream são apresentados aos sistemas de back-office como um único elemento de rede endereçado. Você configura combinações exclusivas de portas de escuta e endereços no BNG. As conexões TCP são acionadas quando o tráfego de prefixos aceitáveis chega à porta de escuta e ao endereço de escuta correspondente. As solicitações de comunicação de e para nós de acesso são redirecionadas de uma combinação de endereço e número de porta para outra quando os pacotes atravessam o roteador da série MX.
Os sistemas de back-office usam o protocolo de gerenciamento NETCONF XML sobre SSH e TACACS+ para trocar solicitações com nós de acesso. Para o provisionamento, eles podem usar o PCRF e o RADIUS para fornecer configurações de serviços para assinantes. A Figura 1 mostra uma topologia de amostra para um caso de uso externo do sistema de gerenciamento com terminais de linha óptica (OLTs) conectados ao BNG. Topologias semelhantes podem ter diferentes nós de acesso, como DSLAMs, em vez de OLTs.
Os nós de acesso nesse tipo de topologia atuam como extensões lógicas (dispositivos remotos) do BNG para que o BNG possa proxy de todas as interações de gerenciamento externas para eles. O BNG está configurado com um endereço público e atua como um único ponto de gerenciamento para si mesmo e para os nós de acesso. Os dispositivos remotos têm endereços privados e não são acessíveis publicamente. Isso significa que os sistemas externos não podem interagir diretamente com os nós de acesso. O BNG deve ser capaz de mediar solicitações de gerenciamento entre os nós de acesso e o sistema de gerenciamento, mas não precisa analisar ou agir sobre o conteúdo completo das solicitações. Essa necessidade é atendida com o encaminhamento da porta TCP da seguinte forma para este caso de uso:
O sistema de gerenciamento externo usa o protocolo NETCONF XML sobre SSH para tarefas como configuração base do dispositivo remoto antes do início da negociação do assinante, configuração de caminhos de dados de Camada 2 para novos assinantes, exibição de status de dispositivo remoto e resolução de problemas do dispositivo remoto.
Neste caso, o BNG desmultiplexa solicitações do sistema de gerenciamento para os dispositivos remotos.
O TACACS+ é usado para autenticar e validar o acesso ao dispositivo remoto, realizar a contabilidade do sistema e controlar o acesso do operador.
Neste caso, os multiplexes BNG solicitam dos dispositivos remotos ao servidor TACACS+ que trabalha com o sistema de gerenciamento externo.
O encaminhamento da porta TCP mapeia uma ou mais combinações de um endereço de escuta IPv4 e uma porta TCP para endereços e portas de destino para que o BNG possa encaminhar mensagens adequadamente para ambos os casos de uso. Cada mapeamento é referido como um par de conexão TCP. O encaminhamento de portas TCP opera da seguinte forma:
Quando o mapeamento é configurado, o processo de encaminhamento de porta TCP abre a porta de escuta configurada e espera por um sistema externo ou nó de acesso para acionar uma conexão; esse sistema ou nó pode então ser referido como a entidade desencadeante.
Após a conexão entre a entidade de desencadeamento e o BNG ser estabelecida, o encaminhamento de portas TCP tenta abrir uma conexão TCP com a outra metade do par de conexão, que é o endereço de encaminhamento e a combinação de portas definida no mapeamento. O encaminhamento da porta TCP examina apenas as informações de cabeçalho do TCP no tráfego de gerenciamento.
Quando ambas as conexões TCP foram estabelecidas, o encaminhamento de porta TCP monitora as conexões para tráfego de dados. Quando os dados são recebidos em uma conexão, eles são transmitidos na conexão pareada.
Se um lado do par de conexão for fechado por algum motivo, o encaminhamento da porta TCP fecha a conexão pareada. Esse par de conexão não é restabelecido a menos que a entidade de desencadeamento faça a conexão na porta de escuta do TCP novamente.
Se uma mudança de configuração for feita em um mapeamento TCP enquanto os pares de conexão associados estiverem ativos, essas conexões serão fechadas. As conexões não são restabelecidas a menos que a entidade de desencadeamento faça a conexão na porta de escuta do TCP novamente
O encaminhamento de portas TCP permite várias conexões TCP simultâneas para qualquer mapeamento TCP. Você pode colocar um limite no número máximo de conexões permitidas.
Você pode usar os seguintes comandos operacionais para gerenciar e monitorar o encaminhamento de portas TCP:
clear tcp-forwarding connections— permite que você feche administrativamente qualquer par de conexão TCP atual.clear tcp-forwarding statistics— permite limpar (zero) estatísticas para os mapeamentos TCP configurados e quaisquer pares de conexão TCP atuais. Você pode limitar a compensação de estatísticas a todas as conexões associadas a uma combinação específica de porta de escuta/endereço de escuta ou a apenas um único par de conexão representado por uma combinação específica de endereço de origem/porta de origem. Para qualquer combinação, você pode especificar opcionalmente uma instância de roteamento; caso contrário, assume-se a instância de roteamento padrão.show tcp-forwarding status— exibe o status do mapeamento TCP e as conexões atuais para cada mapeamento. Você pode limitar o display a uma combinação específica de endereço de porta de escuta/escuta, por instância de roteamento. Se você não especificar uma instância de roteamento, a instância de roteamento padrão será assumida.
Espera-se que o tráfego entre os dispositivos remotos e os sistemas externos sejam solicitações de gerenciamento relativamente pequenas. Consequentemente, o tráfego excessivo não é buffered e é descartado pelo encaminhamento de porta TCP. O encaminhamento de portas TCP não mantém ou recupera conexões TCP estabelecidas no caso de um gracioso switchover do Mecanismo de Roteamento (GRES) ou uma reinicialização de daemon.
Você pode desabilitar o encaminhamento da porta TCP, incluindo a disable declaração no nível de [edit system processes] hierarquia. Você também pode configurar o rastreamento de eventos de encaminhamento de portas TCP no mesmo nível de hierarquia, incluindo a traceoptions declaração. Consulte o rastreamento de eventos de encaminhamento de portas TCP para resolução de problemas para obter mais informações.
Benefícios do encaminhamento de portas TCP
Simplifica a configuração e o gerenciamento de dispositivos remotos e BNG em topologias que usam sistemas externos de gerenciamento e provisionamento.
O encaminhamento de porta TCP é uma funcionalidade genérica e pode funcionar com qualquer aplicativo que possa usar sessões de TCP para comunicação com dispositivos remotos e o BNG.
Oferece várias opções para ajustar as conexões TCP às suas necessidades, incluindo restrição a prefixos IPv4 específicos, combinações de endereços e portas de escuta e encaminhamento específicos e o número máximo de conexões permitidas.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.