원격 디바이스 관리를 위한 TCP 포트 포워딩
포트 전달은 라우터가 라우터에 연결된 컴퓨터 또는 기타 네트워크 장치를 로컬 네트워크 외부의 다른 컴퓨터 및 네트워크 장치에 액세스할 수 있도록 하는 방법입니다. 포트 전달은 IP 주소와 포트 번호의 조합을 사용하여 네트워크 요청을 특정 디바이스로 라우팅합니다. 이 기술은 통신 요청에 대한 대상 IP 주소 및 포트 번호를 다시 매핑하여 내부 네트워크에 상주하는 호스트 또는 게이트웨이의 서비스를 외부 네트워크의 호스트에서 액세스할 수 있도록 하는 데 자주 사용됩니다.
Junos OS 릴리스 18.3R1부터 TCP 포트 포워딩(TCP 포워딩이라고도 함)을 통해 BNG는 연결된 액세스 노드와 외부 관리 및 프로비저닝 시스템, TACACS+ 서버와 같은 서비스 프로바이더 백오피스 시스템 간의 통신을 중재할 수 있습니다. BNG 및 다운스트림 액세스 노드는 주소 지정이 가능한 단일 네트워크 요소로 백오피스 시스템에 제공됩니다. BNG에서 청취 포트와 주소의 고유한 조합을 구성합니다. TCP 연결은 허용 가능한 접두사의 트래픽이 수신 대기 포트 및 일치하는 수신 주소에 도착할 때 트리거됩니다. 액세스 노드와의 통신 요청은 패킷이 MX 시리즈 라우터를 통과할 때 하나의 주소 및 포트 번호 조합에서 다른 주소 및 포트 번호 조합으로 리디렉션됩니다.
백오피스 시스템은 SSH 및 TACACS+를 통해 NETCONF XML 관리 프로토콜을 사용하여 액세스 노드와 요청을 교환합니다. 프로비저닝을 위해 PCRF 및 RADIUS를 사용하여 가입자를 위한 서비스 구성을 제공할 수 있습니다. 그림 1 은 BNG에 연결된 OLT(Optical Line Terminal)가 있는 외부 관리 시스템 사용 사례의 토폴로지 예시를 보여줍니다. 유사한 토폴로지에는 OLT가 아닌 DSLAM과 같은 다른 액세스 노드가 있을 수 있습니다.

이러한 종류의 토폴로지에서 액세스 노드는 BNG의 논리적 확장(원격 디바이스) 역할을 하므로 BNG는 모든 외부 관리 상호 작용을 프록시할 수 있습니다. BNG는 공용 주소로 구성되며 BNG 자체와 액세스 노드에 대한 단일 관리 지점 역할을 합니다. 원격 디바이스에는 개인 주소가 있으며 공개적으로 액세스할 수 없습니다. 즉, 외부 시스템은 액세스 노드와 직접 상호 작용할 수 없습니다. BNG는 액세스 노드와 관리 시스템 간의 관리 요청을 중재할 수 있어야 하지만 요청의 전체 내용을 구문 분석하거나 조치를 취할 필요는 없습니다. 이 사용 사례에 대해 다음과 같이 TCP 포트 전달을 통해 이러한 요구 사항을 충족합니다.
외부 관리 시스템은 가입자 협상이 시작되기 전 원격 디바이스의 기본 구성, 새 가입자를 위한 레이어 2 데이터 경로 구성, 원격 디바이스 상태 표시, 원격 디바이스 문제 해결 등의 작업에 SSH를 통한 NETCONF XML 프로토콜을 사용합니다.
이 경우 BNG는 관리 시스템에서 원격 디바이스로 요청을 역다중화합니다.
TACACS+는 원격 디바이스에 대한 액세스를 인증 및 검증하고, 시스템 계정을 수행하고, 운영자 액세스를 제어하는 데 사용됩니다.
이 경우 BNG는 원격 디바이스의 요청을 외부 관리 시스템과 함께 작동하는 TACACS+ 서버로 멀티플렉싱합니다.
TCP 포트 포워딩은 IPv4 수신 주소와 TCP 포트의 하나 이상의 조합을 대상 주소 및 포트에 매핑하므로 BNG는 두 가지 사용 사례 모두에 대해 적절하게 메시지를 전달할 수 있습니다. 각 매핑을 TCP 연결 쌍이라고 합니다. TCP 포트 포워딩은 다음과 같이 작동합니다.
매핑이 구성되면 TCP 포트 전달 프로세스는 구성된 수신 포트를 열고 외부 시스템 또는 액세스 노드가 연결을 트리거할 때까지 기다립니다. 그런 다음 해당 시스템 또는 노드를 트리거 엔터티라고 할 수 있습니다.
트리거 엔티티와 BNG 간의 연결이 설정된 후 TCP 포트 포워딩은 매핑에 정의된 포워딩 주소 및 포트 조합인 연결 쌍의 나머지 절반에 대한 TCP 연결을 열려고 시도합니다. TCP 포트 전달은 관리 트래픽의 TCP 헤더 정보만 검사합니다.
두 TCP 연결이 모두 설정된 경우 TCP 포트 전달은 데이터 트래픽에 대한 연결을 모니터링합니다. 하나의 연결에서 데이터가 수신되면 페어링된 연결에서 전송됩니다.
어떤 이유로든 연결 쌍의 한 쪽이 닫히면 TCP 포트 전달로 페어링된 연결이 닫힙니다. 이 연결 쌍은 트리거 엔터티가 TCP 수신 대기 포트에서 다시 연결하지 않는 한 다시 설정되지 않습니다.
연결된 연결 쌍이 활성 상태일 때 TCP 매핑에 대한 구성이 변경되면 이러한 연결이 종료됩니다. 트리거 엔터티가 TCP 수신 대기 포트에서 다시 연결하지 않는 한 연결은 다시 설정되지 않습니다
TCP 포트 전달을 사용하면 단일 TCP 매핑에 대해 여러 개의 동시 TCP 연결을 사용할 수 있습니다. 허용되는 최대 연결 수를 제한할 수 있습니다.
다음 운영 명령을 사용하여 TCP 포트 전달을 관리하고 모니터링할 수 있습니다.
clear tcp-forwarding connections
- 현재 TCP 연결 쌍을 관리적으로 닫을 수 있습니다.clear tcp-forwarding statistics
- 구성된 TCP 매핑 및 현재 TCP 연결 쌍에 대한 통계를 0으로 지울 수 있습니다. 통계 삭제를 특정 수신 포트/수신 주소 조합과 관련된 모든 연결 또는 특정 소스 주소/소스 포트 조합으로 표시되는 단일 연결 쌍으로만 제한할 수 있습니다. 어느 조합이든 선택적으로 라우팅 인스턴스를 지정할 수 있습니다. 그렇지 않으면 기본 라우팅 인스턴스가 가정됩니다.show tcp-forwarding status
- TCP 매핑의 상태와 각 매핑에 대한 현재 연결을 표시합니다. 라우팅 인스턴스별로 디스플레이를 특정 청취 포트/청취 주소 조합으로 제한할 수 있습니다. 라우팅 인스턴스를 지정하지 않으면 기본 라우팅 인스턴스가 가정됩니다.
원격 디바이스와 외부 시스템 간의 트래픽은 비교적 작은 규모의 관리 요청일 것으로 예상됩니다. 따라서 과도한 트래픽은 버퍼링되지 않으며 TCP 포트 전달에 의해 삭제됩니다. TCP 포트 포워딩은 GRES(Graceful Routing Engine Switchover) 또는 데몬 재시작 시 설정된 TCP 연결을 유지하거나 복구하지 않습니다.
계층 수준에서 문을 포함하여 disable
TCP 포트 전달을 비활성화할 수 있습니다 [edit system processes]
. 또한 명령문을 포함하여 동일한 계층 수준에서 TCP 포트 포워딩 이벤트 추적을 구성할 수 있습니다 traceoptions
. 자세한 내용은 문제 해결을 위한 TCP 포트 전달 이벤트 추적을 참조하십시오.
TCP 포트 포워딩의 이점
외부 관리 및 프로비저닝 시스템을 사용하는 토폴로지에서 BNG 및 원격 디바이스 구성과 관리를 간소화합니다.
TCP 포트 포워딩은 일반적인 기능이며 원격 디바이스 및 BNG와의 통신에 TCP 세션을 사용할 수 있는 모든 애플리케이션에서 작동할 수 있습니다.
특정 IPv4 접두사에 대한 제한, 특정 수신 및 전달 주소와 포트 조합, 허용되는 최대 연결 수 등 필요에 맞게 TCP 연결을 조정할 수 있는 몇 가지 옵션을 제공합니다.
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.