Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

用于远程设备管理的 TCP 端口转发

端口转发是一种使路由器能够从本地网络外部的其他计算机和网络设备访问连接到它的计算机或其他网络设备的方法。端口转发使用 IP 地址和端口号的组合将网络请求路由到特定设备。此技术通常用于通过重新映射通信请求的目标 IP 地址和端口号,使位于内部网络的主机或网关上的服务可供外部网络上的主机访问。

从 Junos OS 18.3R1 版开始,TCP 端口转发(也称为 TCP 转发)使 BNG 能够调解其连接的接入节点与服务提供商后台系统(如外部管理和调配系统以及 TACACS+ 服务器)之间的通信。BNG 及其下游接入节点作为单个可寻址网络元素呈现给后台系统。您可以在 BNG 上配置侦听端口和地址的唯一组合。当来自可接受前缀的流量到达侦听端口和匹配的侦听地址时,将触发 TCP 连接。当数据包遍历 MX 系列路由器时,与接入节点之间的通信请求将从一个地址和端口号组合重定向到另一个地址和端口号组合。

后台系统使用通过 SSH 和 TACACS+ 的 NETCONF XML 管理协议与接入节点交换请求。在配置方面,他们可以使用 PCRF 和 RADIUS 为订阅者提供服务配置。 图 1 显示了将光纤线路终端 (OLT) 连接到 BNG 的外部管理系统用例的示例拓扑。类似的拓扑可能具有不同的访问节点,如 DSLAM,而不是 OLT。

图 1:用于远程设备管理 Topology for Remote Device Management的拓扑

这种拓扑中的接入节点充当 BNG 的逻辑扩展(远程设备),以便 BNG 可以为其代理所有外部管理交互。BNG 配置了公共地址,充当自身和接入节点的单点管理。远程设备具有专用地址,不可公开访问。这意味着外部系统无法直接与接入节点交互。BNG 必须能够在接入节点和管理系统之间调解管理请求,但不需要解析请求的全部内容或对其采取行动。对于此用例,TCP 端口转发可满足这一需求,如下所示:

  • 外部管理系统通过 SSH 使用 NETCONF XML 协议来执行诸如在用户协商开始之前对远程设备进行基本配置、为新用户配置第 2 层数据路径、显示远程设备状态以及对远程设备进行故障排除等任务。

    在这种情况下,BNG 对从管理系统到远程设备的请求进行多路分离。

  • TACACS+ 用于验证和验证对远程设备的访问、执行系统计费以及控制操作员访问。

    在这种情况下,BNG 多路复用来自远程设备的请求到与外部管理系统配合使用的 TACACS+ 服务器。

TCP 端口转发将一个或多个 IPv4 侦听地址和 TCP 端口组合映射到目标地址和端口,以便 BNG 可以针对这两种用例适当转发消息。每个映射称为一个 TCP 连接对。TCP 端口转发的工作方式如下:

  1. 配置映射后,TCP 端口转发过程将打开配置的侦听端口并等待外部系统或访问节点触发连接;然后可以将该系统或节点称为 触发实体

  2. 触发实体与 BNG 之间建立连接后,TCP 端口转发会尝试打开与连接对另一半的 TCP 连接,即映射中定义的转发地址和端口组合。TCP 端口转发仅检查管理流量中的 TCP 报头信息。

  3. 建立两个 TCP 连接后,TCP 端口转发将监控连接中的数据流量。当在一个连接上接收到数据时,它会在配对的连接上传输。

注意:

  • 如果连接对的一端由于任何原因关闭,TCP 端口转发将关闭配对连接。除非触发实体再次在 TCP 侦听端口上建立连接,否则不会重新建立此连接对。

  • 如果在关联的连接对处于活动状态时对 TCP 映射进行配置更改,则这些连接将关闭。除非触发实体再次在 TCP 侦听端口上建立连接,否则不会重新建立连接

TCP 端口转发允许任意单个 TCP 映射同时进行多个 TCP 连接。您可以对允许的最大连接数进行限制。

您可以使用以下作命令来管理和监控 TCP 端口转发:

  • clear tcp-forwarding connections—允许您以管理方式关闭任何当前的 TCP 连接对。

  • clear tcp-forwarding statistics— 允许您清除配置的 TCP 映射和任何当前 TCP 连接对的(零)统计信息。您可以将统计信息清除限制为与特定侦听端口/侦听地址组合关联的所有连接,也可以限制为仅由特定源地址/源端口组合表示的单个连接对。对于任一组合,您可以选择指定路由实例;否则,将假定默认路由实例。

  • show tcp-forwarding status— 显示 TCP 映射的状态以及每个映射的当前连接。您可以将显示限制为每个路由实例的特定侦听端口/侦听地址组合。如果未指定路由实例,则会假定默认路由实例。

远程设备与外部系统之间的流量预计为相对较小规模的管理请求。因此,多余的流量不会被缓冲,而是会被 TCP 端口转发丢弃。在发生平滑路由引擎切换 (GRES) 或守护程序重启时,TCP 端口转发不会维持或恢复已建立的 TCP 连接。

您可以通过在层次结构级别包含[edit system processes]该语句来disable禁用 TCP 端口转发。您还可以通过包含traceoptions语句在同一层级配置 TCP 端口转发事件跟踪。有关详细信息,请参阅跟踪 TCP 端口转发事件以进行故障排除

TCP 端口转发的优势

  • 在使用外部管理和配置系统的拓扑中简化 BNG 和远程设备的配置和管理。

  • TCP 端口转发是一项通用功能,可与可使用 TCP 会话与远程设备和 BNG 通信的任何应用配合使用。

  • 提供了多个选项,用于根据您的需求调整 TCP 连接,包括对特定 IPv4 前缀的限制、特定的侦听和转发地址和端口组合以及允许的最大连接数。

相关文档

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
18.3R1
从 Junos OS 18.3R1 版开始,TCP 端口转发(也称为 TCP 转发)使 BNG 能够调解其连接的接入节点与服务提供商后台系统(如外部管理和调配系统以及 TACACS+ 服务器)之间的通信。