Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Transfert de port TCP pour la gestion des équipements à distance

La redirection de port est une méthode qui permet à un routeur de rendre un ordinateur ou un périphérique réseau qui lui est connecté accessible à d’autres ordinateurs et périphériques réseau depuis l’extérieur du réseau local. La redirection de port utilise une combinaison d’une adresse IP et d’un numéro de port pour acheminer les requêtes réseau vers des périphériques spécifiques. Cette technique est souvent utilisée pour rendre les services d’un hôte ou d’une passerelle, résidant sur un réseau interne, accessibles à un hôte sur un réseau externe en remappant l’adresse IP de destination et le numéro de port pour la demande de communication.

À partir de Junos OS version 18.3R1, le transfert de port TCP (également appelé transfert TCP) permet à un BNG d’assurer la communication entre ses nuds d’accès connectés et les systèmes de back-office des fournisseurs de services, tels que les systèmes de gestion et de provisionnement externes et les serveurs TACACS+. Le BNG et ses nœuds d’accès en aval sont présentés aux systèmes de back-office comme un seul élément de réseau adressable. Vous configurez des combinaisons uniques de ports et d’adresses d’écoute sur le BNG. Les connexions TCP sont déclenchées lorsque le trafic provenant de préfixes acceptables arrive sur le port d’écoute et l’adresse d’écoute correspondante. Les demandes de communication à destination et en provenance des nuds d’accès sont redirigées d’une combinaison d’adresse et de numéro de port à une autre lorsque les paquets traversent le routeur MX Series.

Les systèmes de back-office utilisent le protocole de gestion XML NETCONF sur SSH et TACACS+ pour échanger des requêtes avec les nœuds d’accès. Pour le provisionnement, ils peuvent utiliser PCRF et RADIUS pour fournir des configurations de service aux abonnés. La figure 1 montre un exemple de topologie pour un cas d’utilisation de système de gestion externe avec des terminaux de ligne optique (OLT) connectés au BNG. Des topologies similaires peuvent avoir des nuds d’accès différents, tels que des DSLAM plutôt que des OLT.

Figure 1 : topologie pour la gestion des Topology for Remote Device Management équipements à distance

Dans ce type de topologie, les nuds d’accès agissent comme des extensions logiques (équipements distants) du BNG, de sorte que le BNG peut utiliser un proxy pour toutes les interactions de gestion externes qui leur sont associées. Le BNG est configuré avec une adresse publique et agit comme le point de gestion unique pour lui-même et les nœuds d’accès. Les appareils distants ont des adresses privées et ne sont pas accessibles au public. Cela signifie que les systèmes externes ne peuvent pas interagir directement avec les nœuds d’accès. Le BNG doit être en mesure d’arbitrer les demandes de gestion entre les nœuds d’accès et le système de gestion, mais il n’a pas besoin d’analyser ou d’agir sur le contenu complet des demandes. La redirection de port TCP répond à ce besoin comme suit pour ce cas d’utilisation :

  • Le système de gestion externe utilise le protocole XML NETCONF sur SSH pour des tâches telles que la configuration de base de l’équipement distant avant le début de la négociation avec l’abonné, la configuration des chemins de données de couche 2 pour les nouveaux abonnés, l’affichage de l’état de l’équipement distant et le dépannage de l’équipement distant.

    Dans ce cas, le BNG démultiplexe les requêtes du système de gestion vers les périphériques distants.

  • TACACS+ est utilisé pour authentifier et valider l’accès à l’appareil distant, effectuer la comptabilité du système et contrôler l’accès de l’opérateur.

    Dans ce cas, les multiplexes BNG adressent les appareils distants au serveur TACACS+ qui fonctionne avec le système de gestion externe.

La redirection de port TCP mappe une ou plusieurs combinaisons d’une adresse d’écoute IPv4 et d’un port TCP aux adresses et ports de destination afin que le BNG puisse transférer les messages de manière appropriée pour les deux cas d’utilisation. Chaque mappage est appelé paire de connexions TCP. La redirection de port TCP fonctionne comme suit :

  1. Lorsque le mappage est configuré, le processus de transfert de port TCP ouvre le port d’écoute configuré et attend qu’un système externe ou un nœud d’accès déclenche une connexion ; Ce système ou ce nœud peut alors être appelé l’entité déclencheuse.

  2. Une fois la connexion établie entre l’entité déclencheuse et le BNG, le transfert de port TCP tente d’ouvrir une connexion TCP vers l’autre moitié de la paire de connexions, c’est-à-dire la combinaison d’adresses de transfert et de ports définie dans le mappage. La redirection de port TCP examine uniquement les informations d’en-tête TCP dans le trafic de gestion.

  3. Lorsque les deux connexions TCP ont été établies, la redirection de port TCP surveille les connexions pour le trafic de données. Lorsque des données sont reçues sur une connexion, elles sont transmises sur la connexion couplée.

Note:

  • Si un côté de la paire de connexions se ferme pour une raison quelconque, la redirection de port TCP ferme la connexion couplée. Cette paire de connexions n’est pas rétablie à moins que l’entité déclencheuse n’établisse à nouveau la connexion sur le port d’écoute TCP.

  • Si une modification de configuration est apportée à un mappage TCP alors que les paires de connexions associées sont actives, ces connexions sont fermées. Les connexions ne sont pas rétablies à moins que l’entité déclencheuse n’établisse à nouveau la connexion sur le port d’écoute TCP

La redirection de port TCP permet d’établir plusieurs connexions TCP simultanées pour un mappage TCP unique. Vous pouvez limiter le nombre maximal de connexions autorisées.

Vous pouvez utiliser les commandes opérationnelles suivantes pour gérer et surveiller la redirection de port TCP :

  • clear tcp-forwarding connections: permet de fermer administrativement n’importe quelle paire de connexions TCP en cours.

  • clear tcp-forwarding statistics: permet d’effacer (zéro) les statistiques pour les mappages TCP configurés et toutes les paires de connexions TCP actuelles. Vous pouvez limiter l’effacement des statistiques à toutes les connexions associées à une combinaison spécifique de port d’écoute/adresse d’écoute ou à une seule paire de connexions représentée par une combinaison spécifique d’adresse source/port source. Pour l’une ou l’autre combinaison, vous pouvez éventuellement spécifier une instance de routage ; Dans le cas contraire, l’instance de routage par défaut est utilisée.

  • show tcp-forwarding status: affiche l’état du mappage TCP et les connexions actuelles pour chaque mappage. Vous pouvez limiter l’affichage à une combinaison spécifique de port d’écoute/adresse d’écoute, par instance de routage. Si vous ne spécifiez pas d’instance de routage, l’instance de routage par défaut est utilisée.

Le trafic entre les équipements distants et les systèmes externes devrait représenter des demandes de gestion de taille relativement faible. Par conséquent, le trafic excessif n’est pas mis en mémoire tampon et est abandonné par la redirection de port TCP. La redirection de port TCP ne maintient pas ou ne récupère pas les connexions TCP établies en cas de basculement GRES (Graceful moteur de routage Switchover) ou de redémarrage du démon.

Vous pouvez désactiver la redirection de port TCP en incluant l’instruction disable au niveau de la [edit system processes] hiérarchie. Vous pouvez également configurer le suivi d’événements de transfert de port TCP au même niveau hiérarchique en incluant l’instruction traceoptions . Pour plus d’informations, reportez-vous à la section Suivi des événements de transfert de port TCP pour le dépannage .

Avantages de la redirection de port TCP

  • Simplifie la configuration et la gestion des BNG et des équipements distants dans les topologies qui utilisent des systèmes de gestion et de provisionnement externes.

  • La redirection de port TCP est une fonctionnalité générique qui peut fonctionner avec n’importe quelle application pouvant utiliser des sessions TCP pour communiquer avec des périphériques distants et le BNG.

  • Fournit plusieurs options pour ajuster les connexions TCP en fonction de vos besoins, notamment la restriction à des préfixes IPv4 spécifiques, des combinaisons spécifiques d’adresses et de ports d’écoute et de transfert, ainsi que le nombre maximal de connexions autorisées.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
18.3R1
À partir de Junos OS version 18.3R1, le transfert de port TCP (également appelé transfert TCP) permet à un BNG d’assurer la communication entre ses nuds d’accès connectés et les systèmes de back-office des fournisseurs de services, tels que les systèmes de gestion et de provisionnement externes et les serveurs TACACS+.