Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

用于远程设备管理的 TCP 端口转发

端口转发是一种使路由器能够使连接到它的计算机或其他网络设备从本地网络外部被其他计算机和网络设备访问的方法。端口转发使用 IP 地址和端口号的组合将网络请求路由到特定设备。此技术通常用于通过重新映射通信请求的目标 IP 地址和端口号,使驻留在内部网络上的主机或网关上的服务可供外部网络上的主机访问。

从 Junos OS 18.3R1 版开始,TCP 端口转发(也称为 TCP 转发)使 BNG 能够调解其连接的接入节点与服务提供商后台系统(如外部管理和配置系统以及 TACACS+ 服务器)之间的通信。BNG 及其下游接入节点作为单个可寻址网络元素提供给后台系统。您可以在 BNG 上配置侦听端口和地址的唯一组合。当来自可接受前缀的流量到达侦听端口和匹配的侦听地址时,将触发 TCP 连接。当数据包遍历 MX 系列路由器时,与接入节点之间的通信请求会从一个地址和端口号组合重定向到另一个地址和端口号组合。

后台办公系统通过 SSH 和 TACACS+ 使用NETCONF XML 管理协议与接入节点交换请求。对于预配,他们可以使用 PCRF 和 RADIUS 为订阅者提供服务配置。 图 1 显示了将光线路端子 (OLT) 连接到 BNG 的外部管理系统用例的示例拓扑。类似的拓扑可能具有不同的访问节点,例如 DSLAM,而不是 OLT。

图 1:远程设备管理的 Topology for Remote Device Management拓扑

这种拓扑中的接入节点充当 BNG 的逻辑扩展(远程设备),以便 BNG 可以为它们代理所有外部管理交互。BNG 配置了公共地址,充当自身和接入节点的单一管理点。远程设备具有专用地址,不可公开访问。这意味着外部系统无法直接与接入节点交互。BNG 必须能够在访问节点和管理系统之间调解管理请求,但它不需要解析请求的全部内容或对其执行操作。此用例的 TCP 端口转发可满足此需求,如下所示:

  • 外部管理系统使用 SSH 上的 NETCONF XML 协议执行一些任务,例如在订阅者协商开始之前对远程设备进行基本配置、为新订阅者配置第 2 层数据路径、显示远程设备状态以及远程设备故障排除。

    在这种情况下,BNG 会多路复用从管理系统到远程设备的请求。

  • TACACS+ 用于验证和验证对远程设备的访问、执行系统核算以及控制操作员访问。

    在这种情况下,BNG 会将请求从远程设备多路复用到与外部管理系统配合使用的 TACACS+ 服务器。

TCP 端口转发将 IPv4 侦听地址和 TCP 端口的一个或多个组合映射到目标地址和端口,以便 BNG 可以针对这两种用例适当地转发消息。每个映射称为一个 TCP 连接对。TCP 端口转发的运作方式如下:

  1. 配置映射后,TCP 端口转发进程打开配置的监听端口,等待外部系统或接入节点触发连接;然后,可以将该系统或节点称为 触发实体

  2. 在触发实体与 BNG 之间建立连接后,TCP 端口转发会尝试打开与连接对另一半的 TCP 连接,即映射中定义的转发地址和端口组合。TCP 端口转发仅检查管理流量中的 TCP 标头信息。

  3. 建立两个 TCP 连接后,TCP 端口转发将监控连接中的数据流量。当在一个连接上接收到数据时,它将在配对的连接上传输。

注意:

  • 如果连接对的一端因任何原因关闭,TCP 端口转发将关闭配对的连接。除非触发实体再次在 TCP 侦听端口上建立连接,否则不会重新建立此连接对。

  • 如果在关联的连接对处于活动状态时对 TCP 映射进行了配置更改,则会关闭这些连接。除非触发实体再次在 TCP 侦听端口上建立连接,否则不会重新建立连接

TCP 端口转发允许对任何单个 TCP 映射进行多个同时 TCP 连接。您可以对允许的最大连接数设置限制。

您可以使用以下操作命令来管理和监控 TCP 端口转发:

  • clear tcp-forwarding connections- 使您能够以管理方式关闭任何当前的 TCP 连接对。

  • clear tcp-forwarding statistics- 允许您清除已配置的 TCP 映射和任何当前 TCP 连接对的(零)统计数据。您可以将统计信息清除限制为与特定侦听端口/侦听地址组合关联的所有连接,或仅限制为由特定源地址/源端口组合表示的单个连接对。对于任一组合,您都可以选择指定路由实例;否则,将采用默认路由实例。

  • show tcp-forwarding status- 显示 TCP 映射的状态以及每个映射的当前连接。您可以将每个路由实例的显示限制为特定的侦听端口/侦听地址组合。如果未指定路由实例,则采用默认路由实例。

远程设备和外部系统之间的流量应该是相对较小的管理请求。因此,过多的流量不会被缓冲,并通过 TCP 端口转发丢弃。TCP 端口转发不会在平稳路由引擎切换 (GRES) 或守护程序重新启动时保持或恢复已建立的 TCP 连接。

您可以通过在层次结构级别包含 disable 语句 [edit system processes] 来禁用 TCP 端口转发。您还可以通过包含 traceoptions 语句来在同一层次结构级别配置 TCP 端口转发事件跟踪。有关详细信息 ,请参阅跟踪 TCP 端口转发事件以进行故障排除

TCP 端口转发的优势

  • 简化使用外部管理和配置系统的拓扑中的 BNG 和远程设备配置和管理。

  • TCP 端口转发是一项通用功能,可以与任何可以使用 TCP 会话与远程设备和 BNG 通信的应用程序配合使用。

  • 提供多个选项来根据需要调整 TCP 连接,包括限制为特定 IPv4 前缀、特定侦听和转发地址及端口组合,以及允许的最大连接数。

相关文档

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
18.3R1
从 Junos OS 18.3R1 版开始,TCP 端口转发(也称为 TCP 转发)使 BNG 能够调解其连接的接入节点与服务提供商后台系统(如外部管理和配置系统以及 TACACS+ 服务器)之间的通信。