Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Transfert de ports TCP pour la gestion des équipements à distance

La redirection de port est une méthode qui permet à un routeur de rendre un ordinateur ou un autre périphérique réseau qui lui est connecté accessible à d’autres ordinateurs et périphériques réseau depuis l’extérieur du réseau local. La redirection de port utilise une combinaison d’une adresse IP et d’un numéro de port pour acheminer les demandes réseau vers des périphériques spécifiques. Cette technique est souvent utilisée pour rendre les services sur un hôte ou une passerelle résidant sur un réseau interne accessibles à un hôte sur un réseau externe en remappant l’adresse IP de destination et le numéro de port de la demande de communication.

À partir de la version 18.3R1 de Junos OS, le transfert de port TCP (également appelé transfert TCP) permet à un BNG d’assurer la communication entre ses nœuds d’accès connectés et les systèmes de back-office des fournisseurs de services, tels que les systèmes de gestion et de provisionnement externes et les serveurs TACACS+. Le BNG et ses nœuds d’accès en aval sont présentés aux systèmes de back-office comme un élément réseau adressable unique. Vous configurez des combinaisons uniques de ports d’écoute et d’adresses sur le BNG. Les connexions TCP sont déclenchées lorsque du trafic provenant de préfixes acceptables arrive sur le port d’écoute et l’adresse d’écoute correspondante. Les demandes de communication à destination et en provenance des nœuds d’accès sont redirigées d’une combinaison d’adresses et de numéros de port à une autre lorsque les paquets traversent le routeur MX Series.

Les systèmes de back-office utilisent le protocole de gestion XML NETCONF sur SSH et TACACS+ pour échanger des demandes avec les nœuds d’accès. Pour le provisionnement, ils peuvent utiliser PCRF et RADIUS pour fournir des configurations de service aux abonnés. La figure 1 montre un exemple de topologie pour un cas d’utilisation de système de gestion externe avec des terminaux de ligne optique (OLT) connectés au BNG. Des topologies similaires peuvent avoir des nœuds d’accès différents, tels que des DSLAM, plutôt que des OLT.

Figure 1 : Topologie de gestion des Topology for Remote Device Management équipements à distance

Les nœuds d’accès de ce type de topologie agissent comme des extensions logiques (appareils distants) du BNG afin que celui-ci puisse proxy toutes les interactions de gestion externes pour eux. Le BNG est configuré avec une adresse publique et sert de point de gestion unique pour lui-même et les nœuds d’accès. Les périphériques distants ont des adresses privées et ne sont pas accessibles au public. Cela signifie que les systèmes externes ne peuvent pas interagir directement avec les nœuds d’accès. Le BNG doit être en mesure d’arbitrer les demandes de gestion entre les nœuds d’accès et le système de gestion, mais il n’a pas besoin d’analyser ou d’agir sur l’ensemble du contenu des demandes. Ce besoin est satisfait comme suit avec la redirection de port TCP pour ce cas d’utilisation :

  • Le système de gestion externe utilise le protocole XML NETCONF sur SSH pour des tâches telles que la configuration de base de l’appareil distant avant le début de la négociation avec les abonnés, la configuration des chemins de données de couche 2 pour les nouveaux abonnés, l’affichage de l’état de l’équipement distant et le dépannage de l’équipement distant.

    Dans ce cas, le BNG démultiplexe les requêtes du système de gestion vers les équipements distants.

  • TACACS+ est utilisé pour authentifier et valider l’accès à l’équipement distant, effectuer la comptabilité du système et contrôler l’accès des opérateurs.

    Dans ce cas, le BNG multiplexe les requêtes des périphériques distants vers le serveur TACACS+ qui fonctionne avec le système de gestion externe.

Le transfert de port TCP mappe une ou plusieurs combinaisons d’une adresse d’écoute IPv4 et d’un port TCP aux adresses et ports de destination afin que le BNG puisse transférer les messages de manière appropriée pour les deux cas d’utilisation. Chaque mappage est appelé paire de connexion TCP. Le transfert de port TCP fonctionne comme suit :

  1. Lorsque le mappage est configuré, le processus de transfert de port TCP ouvre le port d’écoute configuré et attend qu’un système externe ou un nœud d’accès déclenche une connexion ; Ce système ou nœud peut alors être appelé l’entité déclencheur.

  2. Une fois la connexion entre l’entité déclenchrice et le BNG établie, le transfert de port TCP tente d’ouvrir une connexion TCP vers l’autre moitié de la paire de connexions, qui correspond à la combinaison d’adresses et de ports de transfert définie dans le mappage. Le transfert de port TCP examine uniquement les informations d’en-tête TCP dans le trafic de gestion.

  3. Lorsque les deux connexions TCP ont été établies, le transfert de port TCP surveille les connexions pour le trafic de données. Lorsque des données sont reçues sur une connexion, elles sont transmises sur la connexion appairée.

Remarque :

  • Si un côté de la paire de connexions se ferme pour une raison quelconque, le transfert de port TCP ferme la connexion appariée. Cette paire de connexions n’est rétablie que si l’entité déclenchrice établit à nouveau la connexion sur le port d’écoute TCP.

  • Si une modification de configuration est apportée à un mappage TCP alors que les paires de connexions associées sont actives, ces connexions sont fermées. Les connexions ne sont pas rétablies tant que l’entité déclenchrice n’établit pas à nouveau la connexion sur le port d’écoute TCP

Le transfert de port TCP permet plusieurs connexions TCP simultanées pour un seul mappage TCP. Vous pouvez limiter le nombre maximal de connexions autorisées.

Vous pouvez utiliser les commandes opérationnelles suivantes pour gérer et surveiller le transfert de port TCP :

  • clear tcp-forwarding connections: vous permet de fermer administrativement toute paire de connexions TCP actuelle.

  • clear tcp-forwarding statistics: permet d’effacer (zéro) les statistiques pour les mappages TCP configurés et toutes les paires de connexions TCP actuelles. Vous pouvez limiter l’effacement des statistiques à toutes les connexions associées à une combinaison spécifique de port d’écoute/adresse d’écoute ou à une seule paire de connexions représentée par une combinaison spécifique d’adresse source/port source. Pour l’une ou l’autre combinaison, vous pouvez éventuellement spécifier une instance de routage ; Sinon, l’instance de routage par défaut est utilisée.

  • show tcp-forwarding status: affiche l’état du mappage TCP et les connexions actuelles pour chaque mappage. Vous pouvez limiter l’affichage à une combinaison spécifique de port d’écoute/adresse d’écoute, par instance de routage. Si vous ne spécifiez pas d’instance de routage, l’instance de routage par défaut est utilisée.

Le trafic entre les équipements distants et les systèmes externes devrait concerner des demandes de gestion de petite taille. Par conséquent, un trafic excessif n’est pas mis en mémoire tampon et est abandonné par le transfert de port TCP. Le transfert de port TCP ne maintient ni ne récupère les connexions TCP établies en cas de basculement GRES (Graceful moteur de routage switchover) ou de redémarrage par un démon.

Vous pouvez désactiver le transfert de port TCP en incluant l’instruction disable au niveau de la [edit system processes] hiérarchie. Vous pouvez également configurer le suivi des événements de transfert de port TCP au même niveau hiérarchique en incluant l’instruction traceoptions . Voir Suivi des événements de transfert de port TCP pour le dépannage pour plus d’informations.

Avantages du transfert de port TCP

  • Simplifie la configuration et la gestion des BNG et des appareils distants dans les topologies qui utilisent des systèmes de gestion et de provisionnement externes.

  • Le transfert de port TCP est une fonctionnalité générique qui peut fonctionner avec n’importe quelle application capable d’utiliser des sessions TCP pour communiquer avec des appareils distants et le BNG.

  • Fournit plusieurs options pour ajuster les connexions TCP selon vos besoins, y compris la restriction à des préfixes IPv4 spécifiques, des combinaisons d’adresses et de ports d’écoute et de transfert spécifiques, et le nombre maximal de connexions autorisées.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
18.3R1
À partir de la version 18.3R1 de Junos OS, le transfert de port TCP (également appelé transfert TCP) permet à un BNG d’assurer la communication entre ses nœuds d’accès connectés et les systèmes de back-office des fournisseurs de services, tels que les systèmes de gestion et de provisionnement externes et les serveurs TACACS+.