Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモートデバイス管理用のTCPポートフォワーディング

ポートフォワーディングは、ルーターが接続されているコンピューターまたはその他のネットワークデバイスを、ローカルネットワークの外部から他のコンピューターやネットワークデバイスからアクセスできるようにする方法です。ポート転送では、IPアドレスとポート番号の組み合わせを使用して、ネットワーク要求を特定のデバイスにルーティングします。この手法は、通信要求の宛先 IP アドレスとポート番号を再マップすることによって、内部ネットワークに存在するホストまたはゲートウェイ上のサービスを外部ネットワーク上のホストからアクセス可能にするためによく使用されます。

Junos OS Release 18.3R1以降、TCPポートフォワーディング(TCP転送とも呼ばれる)により、BNGは、接続されたアクセスノードと、外部の管理およびプロビジョニングシステムやTACACS+サーバーなどのサービスプロバイダのバックオフィスシステムとの間の通信を仲介できます。BNGとそのダウンストリームアクセスノードは、アドレス指定可能な単一のネットワーク要素としてバックオフィスシステムに提示されます。BNGでは、リスニングポートとアドレスの独自の組み合わせを設定します。TCP 接続は、受け入れ可能なプレフィックスからのトラフィックがリスニング ポートと一致するリスニング アドレスに到着したときにトリガーされます。アクセスノードとの間の通信要求は、パケットがMXシリーズルーターを通過するときに、あるアドレスとポート番号の組み合わせから別のアドレスとポート番号の組み合わせにリダイレクトされます。

バックオフィスシステムでは、SSHおよびTACACS+を介したNETCONF XML管理プロトコルを使用して、アクセスノードとリクエストを交換します。プロビジョニングでは、PCRF と RADIUS を使用して、加入者にサービス構成を提供できます。 図1 は、BNGに接続された光回線端末(OLT)を使用した外部管理システムのユースケースのトポロジーの例を示しています。類似したトポロジーでは、OLT ではなく DSLAM などの異なるアクセス・ノードを持つことができます。

図1:リモートデバイス管理Topology for Remote Device Managementのトポロジ

この種のトポロジーのアクセスノードは、BNGの論理的な拡張(リモートデバイス)として機能するため、BNGは外部管理とのやり取りをすべてプロキシできます。BNGはパブリックアドレスで構成され、BNGとアクセスノードの単一管理ポイントとして機能します。リモートデバイスにはプライベートアドレスがあり、パブリックにはアクセスできません。つまり、外部システムはアクセスノードと直接対話できません。BNGは、アクセスノードと管理システム間の管理要求を仲介できなければなりませんが、要求の全内容を解析したり、それに基づいて行動したりする必要はありません。このユースケースでは、次のようにTCPポートフォワーディングでこのニーズが満たされます。

  • 外部管理システムは、加入者のネゴシエーション開始前のリモートデバイスの基本設定、新規加入者向けのレイヤー2データパスの設定、リモートデバイスステータスの表示、リモートデバイスのトラブルシューティングなどのタスクに、SSH経由のNETCONF XMLプロトコルを使用します。

    この場合、BNGは管理システムからリモート・デバイスに要求を逆多重化します。

  • TACACS+ は、リモートデバイスへのアクセスの認証と検証、システムアカウンティングの実行、オペレーターアクセスの制御に使用されます。

    この場合、BNGは、リモートデバイスから、外部管理システムで動作するTACACS+サーバーに要求を多重化します。

TCPポート転送は、IPv4リスニングアドレスとTCPポートの1つ以上の組み合わせを宛先アドレスとポートにマッピングし、BNGが両方のユースケースでメッセージを適切に転送できるようにします。各マッピングは、 TCP 接続ペアと呼ばれます。TCPポート転送は次のように動作します。

  1. マッピングが構成されると、TCP ポート転送プロセスは構成されたリスニング ポートを開き、外部システムまたはアクセス ノードが接続をトリガーするのを待ちます。その場合、そのシステムまたはノードを トリガー・エンティティーと呼ぶことができます。

  2. トリガーとなるエンティティーと BNG 間の接続が確立された後、TCP ポート転送は、マッピングで定義された転送アドレスとポートの組み合わせである、接続ペアの残りの半分への TCP 接続を開こうとします。TCP ポート フォワーディングは、管理トラフィックの TCP ヘッダー情報のみを調べます。

  3. 両方の TCP 接続が確立されると、TCP ポート フォワーディングはデータ トラフィックの接続を監視します。1つの接続でデータを受信すると、ペアの接続で送信されます。

手記:

  • 何らかの理由で接続ペアの片側が閉じると、TCP ポート フォワーディングはペアリングされた接続を閉じます。この接続ペアは、トリガーとなるエンティティが TCP リスニング ポートで再度接続しない限り、再確立されません。

  • 関連付けられた接続ペアがアクティブなときに TCP マッピングの構成が変更された場合、これらの接続は閉じられます。トリガー エンティティが TCP リスニング ポートで再度接続しない限り、接続は再確立されません

TCP ポート転送では、1 つの TCP マッピングに対して複数の TCP 同時接続が可能です。許可される最大接続数に制限を設けることができます。

以下の操作コマンドを使用して、TCPポート転送を管理および監視できます。

  • clear tcp-forwarding connections- 現在のTCP接続ペアを管理上閉じることができます。

  • clear tcp-forwarding statistics- 設定された TCP マッピングと現在の TCP 接続ペアの統計情報をクリア(ゼロ)できます。統計情報のクリアを、特定のリスニング ポート/リスニング アドレスの組み合わせに関連付けられているすべての接続に制限することも、特定の送信元アドレス/送信元ポートの組み合わせで表される 1 つの接続ペアのみに制限することもできます。どちらの組み合わせでも、オプションでルーティングインスタンスを指定できます。それ以外の場合は、デフォルトのルーティング インスタンスが使用されます。

  • show tcp-forwarding status- 各マッピングの TCP マッピングのステータスと現在の接続を表示します。ルーティングインスタンスごとに、表示を特定のリスニングポート/リスニングアドレスの組み合わせに制限できます。ルーティングインスタンスを指定しない場合は、デフォルトのルーティングインスタンスが想定されます。

リモート デバイスと外部システム間のトラフィックは、比較的小規模な管理要求であることが想定されます。その結果、過剰なトラフィックはバッファリングされず、TCP ポート転送によって破棄されます。TCP ポート フォワーディングは、グレースフル ルーティング エンジン スイッチオーバー(GRES)またはデーモンの再起動が発生した場合に、確立された TCP 接続を維持または回復しません。

TCP ポート転送を無効にするには、[edit system processes] 階層レベルで disable ステートメントを含めます。また、traceoptions ステートメントを含めることで、同じ階層レベルで TCP ポート転送イベント トレースを設定できます。詳細については、「トラブルシューティングのための TCP ポート転送イベントのトレース」を参照してください。

TCPポートフォワーディングの利点

  • 外部の管理システムとプロビジョニングシステムを使用するトポロジーで、BNGおよびリモートデバイスの設定と管理を簡素化します。

  • TCPポートフォワーディングは一般的な機能であり、リモートデバイスおよびBNGとの通信にTCPセッションを使用できる任意のアプリケーションで動作します。

  • 特定の IPv4 プレフィックスへの制限、特定のリスニングおよび転送アドレスとポートの組み合わせ、許可される最大接続数など、ニーズに合わせて TCP 接続を調整するためのいくつかのオプションを提供します。

関連ドキュメント

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

解放
形容
18.3R1
Junos OS Release 18.3R1以降、TCPポートフォワーディング(TCP転送とも呼ばれる)により、BNGは、接続されたアクセスノードと、外部の管理およびプロビジョニングシステムやTACACS+サーバーなどのサービスプロバイダのバックオフィスシステムとの間の通信を仲介できます。