Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Reenvío de puertos TCP para la administración remota de dispositivos

El reenvío de puertos es un método que permite a un enrutador hacer que una computadora u otro dispositivo de red que esté conectado a él sea accesible para otras computadoras y dispositivos de red desde fuera de la red local. El reenvío de puertos utiliza una combinación de una dirección IP y un número de puerto para enrutar las solicitudes de red a dispositivos específicos. Esta técnica se utiliza a menudo para hacer que los servicios en un host o puerta de enlace, que residen en una red interna, sean accesibles para un host en una red externa mediante la reasignación de la dirección IP de destino y el número de puerto para la solicitud de comunicación.

A partir de la versión 18.3R1 de Junos OS, el reenvío de puerto TCP (también conocido como reenvío TCP) permite a un BNG mediar en la comunicación entre sus nodos de acceso conectados y los sistemas administrativos de los proveedores de servicios, como los sistemas de administración y aprovisionamiento externos y los servidores TACACS+. El BNG y sus nodos de acceso descendente se presentan a los sistemas de back-office como un único elemento de red direccionable. Puede configurar combinaciones únicas de puertos de escucha y direcciones en la BNG. Las conexiones TCP se activan cuando el tráfico de los prefijos aceptables llega al puerto de escucha y a la dirección de escucha coincidente. Las solicitudes de comunicación hacia y desde los nodos de acceso se redirigen de una combinación de dirección y número de puerto a otra cuando los paquetes atraviesan el enrutador de la serie MX.

Los sistemas de back-office utilizan el protocolo de administración XML NETCONF sobre SSH y TACACS+ para intercambiar solicitudes con nodos de acceso. Para el aprovisionamiento, pueden usar PCRF y RADIUS a fin de proporcionar configuraciones de servicio para los suscriptores. La Figura 1 muestra un ejemplo de topología para un caso de uso de sistema de gestión externo con terminales de línea óptica (OLT) conectadas al BNG. Topologías similares pueden tener nodos de acceso diferentes, como DSLAM, en lugar de OLT.

Figura 1: Topología para la administración remota de Topology for Remote Device Management dispositivos

Los nodos de acceso en este tipo de topología actúan como extensiones lógicas (dispositivos remotos) del BNG para que el BNG pueda proxy todas las interacciones de administración externa para ellos. El BNG se configura con una dirección pública y actúa como el único punto de administración para sí mismo y para los nodos de acceso. Los dispositivos remotos tienen direcciones privadas y no son de acceso público. Esto significa que los sistemas externos no pueden interactuar directamente con los nodos de acceso. El BNG debe ser capaz de mediar en las solicitudes de administración entre los nodos de acceso y el sistema de administración, pero no necesita analizar o actuar sobre el contenido completo de las solicitudes. Esta necesidad se satisface con el reenvío de puertos TCP de la siguiente manera para este caso de uso:

  • El sistema de administración externo utiliza el protocolo XML NETCONF a través de SSH para tareas como la configuración base del dispositivo remoto antes de que comience la negociación del suscriptor, la configuración de rutas de datos de capa 2 para nuevos suscriptores, la visualización del estado del dispositivo remoto y la solución de problemas del dispositivo remoto.

    En este caso, el BNG demultiplexa las solicitudes del sistema de administración a los dispositivos remotos.

  • TACACS+ se utiliza para autenticar y validar el acceso al dispositivo remoto, realizar la contabilidad del sistema y controlar el acceso del operador.

    En este caso, la BNG multiplexa la solicitud de los dispositivos remotos al servidor TACACS+ que funciona con el sistema de gestión externo.

El reenvío de puerto TCP asigna una o más combinaciones de una dirección de escucha IPv4 y un puerto TCP a direcciones y puertos de destino para que el BNG pueda reenviar mensajes de manera adecuada para ambos casos de uso. Cada asignación se conoce como un par de conexión TCP. El reenvío de puertos TCP funciona de la siguiente manera:

  1. Cuando se configura la asignación, el proceso de reenvío de puerto TCP abre el puerto de escucha configurado y espera a que un sistema externo o un nodo de acceso activen una conexión; Ese sistema o nodo se puede denominar entidad desencadenante.

  2. Después de establecer la conexión entre la entidad desencadenante y el BNG, el reenvío de puerto TCP intenta abrir una conexión TCP a la otra mitad del par de conexión, que es la combinación de dirección de reenvío y puerto definida en la asignación. El reenvío de puerto TCP examina solo la información del encabezado TCP en el tráfico de administración.

  3. Cuando se han establecido ambas conexiones TCP, el reenvío de puertos TCP supervisa las conexiones en busca de tráfico de datos. Cuando se reciben datos en una conexión, se transmiten en la conexión emparejada.

Nota:

  • Si un lado del par de conexiones se cierra por cualquier motivo, el reenvío de puerto TCP cierra la conexión emparejada. Este par de conexiones no se restablece a menos que la entidad desencadenante vuelva a establecer la conexión en el puerto de escucha TCP.

  • Si se realiza un cambio de configuración en una asignación TCP mientras los pares de conexión asociados están activos, estas conexiones se cierran. Las conexiones no se restablecen a menos que la entidad desencadenante vuelva a realizar la conexión en el puerto de escucha TCP

El reenvío de puerto TCP permite múltiples conexiones TCP simultáneas para cualquier asignación TCP única. Puede establecer un límite en el número máximo de conexiones permitidas.

Puede utilizar los siguientes comandos operativos para administrar y supervisar el reenvío de puertos TCP:

  • clear tcp-forwarding connections: le permite cerrar administrativamente cualquier par de conexión TCP actual.

  • clear tcp-forwarding statistics: permite borrar estadísticas (cero) para las asignaciones TCP configuradas y cualquier par de conexión TCP actual. Puede limitar el borrado de estadísticas a todas las conexiones asociadas con una combinación específica de puerto de escucha y dirección de escucha o a un solo par de conexión representado por una combinación específica de dirección de origen y puerto de origen. Para cualquiera de las combinaciones, puede especificar opcionalmente una instancia de enrutamiento; de lo contrario, se asume la instancia de enrutamiento predeterminada.

  • show tcp-forwarding status: muestra el estado de la asignación TCP y las conexiones actuales de cada asignación. Puede limitar la visualización a una combinación específica de puerto de escucha y dirección de escucha, por instancia de enrutamiento. Si no especifica una instancia de enrutamiento, se asume la instancia de enrutamiento predeterminada.

Se espera que el tráfico entre los dispositivos remotos y los sistemas externos sean solicitudes de administración de tamaño relativamente pequeño. Por lo tanto, el tráfico excesivo no se almacena en búfer y se elimina mediante el reenvío de puertos TCP. El reenvío de puertos TCP no mantiene ni recupera las conexiones TCP establecidas en caso de una conmutación correcta del motor de enrutamiento (GRES) o un reinicio del demonio.

Puede deshabilitar el reenvío de puertos TCP incluyendo la disable instrucción en el nivel de [edit system processes] jerarquía. También puede configurar el seguimiento de eventos de reenvío de puerto TCP en el mismo nivel de jerarquía si incluye la traceoptions instrucción. Consulte Seguimiento de eventos de reenvío de puerto TCP para la resolución de problemas para obtener más información.

Beneficios del reenvío de puertos TCP

  • Simplifica la configuración y administración de BNG y dispositivos remotos en topologías que usan sistemas de aprovisionamiento y administración externos.

  • El reenvío de puertos TCP es una funcionalidad genérica y puede funcionar con cualquier aplicación que pueda usar sesiones TCP para comunicarse con dispositivos remotos y el BNG.

  • Proporciona varias opciones para ajustar las conexiones TCP a sus necesidades, incluida la restricción a prefijos IPv4 específicos, combinaciones específicas de direcciones y puertos de escucha y reenvío, y el número máximo de conexiones permitidas.

Documentación relacionada

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.3R1
A partir de la versión 18.3R1 de Junos OS, el reenvío de puerto TCP (también conocido como reenvío TCP) permite a un BNG mediar en la comunicación entre sus nodos de acceso conectados y los sistemas administrativos de los proveedores de servicios, como los sistemas de administración y aprovisionamiento externos y los servidores TACACS+.