Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Протокол управления портами

Обзор протокола управления портами

Протокол управления портами (PCP) предоставляет способ управления переад частью входящих пакетов от входящих устройств, таких как NAT44 и межсетевые экраны, а также способ снижения трафика keepalive приложений. PCP поддерживается на компьютерах MS-DPC, MS-100, MS-400 и MS-500 MultiServices. Начиная Junos OS выпуске 17.4R1, PCP для NAPT44 также поддерживается на MS-MPC и MS-MIC. Начиная с Junos 20.2R1, PCP для служб CGNAT DS-Lite поддерживаются для next Gen Services.Starting в Junos OS release 18.2R1, PCP на MS-MPC и MS-MIC поддерживает DS-Lite. В Junos OS 18.1 и более ранних выпусках PCP на MS-MPC и MS-MIC не поддерживает DS-Lite.

PCP разработан для реализации в контексте обеих naTs операторского класса (CGNs) и малых NATs (например, жилые NATS). PCP позволяет хостам управлять серверами на протяжении длительного времени (как в случае с корыстным звонкой) или на короткое время (например, во время игры или звонка) в случае, когда они находятся за NAT устройством, в том числе, когда за CGN работает их Интернет-президент. PCP позволяет приложениям создавать сопоставления между внешним IP-адресом и портом и внутренним IP-адресом и портом. Эти сопоставления необходимы для успешного использования входящие коммуникации, предназначенные для компьютеров, NAT или межсетевых экранов. После создания сопоставления для входящих соединений удаленные компьютеры должны быть проинформированы об IP-адресе и порте входящих соединений. Обычно это делается в определенном приложении порядке.

Junos OS pcP версии 2 и версии 1.

PCP состоит из следующих компонентов:

  • PCP-клиент — хост или шлюз, который запрашивает PCP-сервер для получения и управления ресурсами.

  • PCP-сервер — обычно шлюз CGN или совместно расположенный сервер, который принимает и обрабатывает pcP-запросы.

Junos OS позволяет настраивать серверы PCP для потоков сопоставления с использованием таких возможностей NAPT44, как переадранение портов и выделение блока портов. Потоки могут обрабатываться из этих источников:

  • Трафик, содержащий PCP-запросы, полученные непосредственно от оборудования пользователя, как показано на рис. 1.

    Рис. 1. Основная топология NAPT44 для PCP Basic PCP NAPT44 Topology
  • Сопоставление трафика, содержащего PCP-запросы, добавленные маршрутизатором, функционирующим как инициатор мягкого провода DS-Lite (B4). Этот режим, известный как обычный режим DS-Lite, показан на рис. 2.

    Рис. 2. PCP с простым режимом DS-Lite PCP with DS-Lite Plain Mode
Примечание:

Junos OS не поддерживает детерминическое выделение блока портов для трафика, исходя из PCP.

Преимущества протокола управления портами

Многие NAT часто посылают сообщения на уровне приложений, чтобы убедиться, что их сеансы не будут NAT до времени. PCP используется для:

  • Уменьшите частоту этих NAT сообщений keepalive

  • Уменьшение пропускной способности сети доступа абонента

  • Уменьшение трафика на сервере

  • Уменьшить потребление аккумуляторов на мобильных устройствах

Протокол управления портами версии 2

Начиная с Junos OS 15.1 поддерживается протокол управления портами (PCP) версии 2, который соответствует RFC 6887. PCP предоставляет способ управления переад частью входящих пакетов с помощью вышестоющих устройств, таких как NAT44, и межсетевых экранов, а также способ снижения трафика приложений. PCP версии 2 поддерживает нестандартную аутентификацию. PCP позволяет приложениям создавать сопоставления между внешним IP-адресом и портом и внутренним IP-адресом и портом. Нецелесовая полезной нагрузка предотвращает повторную атаку и отправляется по умолчанию, если она не отключена явным образом.

Проверка клиента без проверки для запросов сопоставления версии 2 (для обновления или удаления) требует, чтобы неначальный код, полученный в исходном запросе карты, который вызывает сохранение сопоставления PCP. Версия начального запроса, которая позволяет создать сопоставление, также сохраняется. Сохранение параметров нестандартной и версии означает, что на сопоставление PCP используется 13 bytes. Это небольшое увеличение пространства памяти не имеет существенного отношения к текущему использованию памяти системы для единого запрашиваемого сопоставления (с учетом сопоставления, независимого от оконечного устройства (EIM) и созданной вместе с ней фильтрации без оконечной точки (EIF). При развертывании клиентского ПКP сопоставления EIM и EIF составляют часть всех сопоставлений.

До Junos версии 15.1 службы CS поддерживают серверы PCP на Juniper Networks маршрутизаторах в соответствии с проектом PCP версии 22 с кодивкой сообщения версии 1. В соответствии с уточнением PCP проектной версии, определенной в протоколе управления портами (PCP) проект-ietf-pcp-base-22 ( истечение срока действия июля 2012 г.) в усовершенствованная стандартная версия, определенная в RFC 6887 -- Протокол управления портами (PCP), кодирование сообщения изменено на версию 2 с добавлением случайной неподтверждённой полезной нагрузки для аутентификации равноправных узла и запросов карты при необходимости. Версия 1 не декодирует сообщения, совместимые с форматом версии 2, и не аутентификация не поддерживается. В реальных условиях сети при постоянном оборудовании (CPE) на территории клиента устройства все более поддерживают только версию 2, необходимо проааппировать и отправить сообщения версии 2. Обратная совместимость с поддерживаемыми CPE устройствами версии 1 (согласование версий является частью стандарта) и аутентификация запрашивает невыгруженные пакеты при использовании сообщений v2.

Выходные данные команды show services pcp statistics содержат поле неподподтвержденной версии PCP, которое приращено для того, чтобы указать, когда версия не является 1 или 2. Новое поле, запрос PCP не соответствует существующему сопоставлению, вводится для отображения количества запросов PCP версии 2, которые были проигнорированы, так как невыгруженная нагрузка не совпадает с данными, записанными в сопоставлении (аутентификация не удалось). Если используется версия 2, клиент не используется для аутентификации.

Настройка протокола управления портами

В этом разделе описывается настройка протокола управления портами (PCP). PCP поддерживается на компьютерах MS-DPC, MS-100, MS-400 и MS-500 MultiServices. Начиная Junos OS выпуске 17.4R1, PCP для NAPT44 также поддерживается на MS-MPC и MS-MIC. Начиная Junos OS выпуске 18.2R1 PCP на MS-MPC и MS-MIC поддерживает DS-Lite. В Junos OS 18.1 и более ранних выпусках PCP на MS-MPC и MS-MIC не поддерживает DS-Lite. Начиная с Junos OS 20.2R1 PCP поддерживается на карте служб безопасности MX-SPC3 для служб CGNAT.

Выполните следующие задачи настройки:

Настройка параметров сервера PCP

  1. Укажите имя сервера PCP.
  2. Установите адреса сервера IPv4 или IPv6. Для PCP DS-Lite адрес ipv6-address AFTR ( маршрутизатор перехода семейства адресов или концентратор softwire) должен совпадать.
    Примечание:

    Начиная Junos OS выпуске 18.2R1 PCP на MS-MPC и MS-MIC поддерживает DS-Lite. В Junos OS 18.1 и более ранних выпусках PCP на MS-MPC и MS-MIC не поддерживает DS-Lite.

    Или

  3. Для PCP DS-Lite укажи имя конфигурации концентратора softwire DS-Lite.
  4. Укажите минимальный и максимальный сроки сопоставления для сервера.
  5. Укажите ограничения времени для создания ошибок на короткий или длительный периоды.
  6. (Необязательно) — в включить параметры PCP на указанном сервере PCP. Доступны следующие параметры.third-party prefer-failure Сторонний параметр необходим для того, чтобы включить сторонние запросы от PCP-клиента. Параметр требуется для DS-Litethird-party. Параметр prefer-failure запрашивает генерацию сообщения об ошибке, когда клиент PCP запрашивает определенный недоступный IP-адрес/порт вместо назначения другого доступного адреса из NAT пула. Если prefer-failure не указано, NAPT44 назначает из пула NAT доступный адрес/порт на основе настроенных параметров NAT портов.
  7. (Необязательно) — укажите NAT пула, который будет использовать для отображения.
    Примечание:

    Если пул для сопоставления не был NAT явно, Junos OS выполняет частичное совпадение правил на основе IP-адреса источника, порта источника и протокола, а Junos OS использует пул NAT, настроенный для первого правила сопоставления для выделения сопоставлений для PCP.

    Необходимо использовать явную конфигурацию, чтобы использовать несколько NAT пулов.

    Для карты служб безопасности MX-SPC3 и Next Gen Services nat-options утверждение поддерживает только одно имя пула для присоединения к серверу PCP.

  8. (Необязательно) — настраивает максимальное число сопоставлений для каждого клиента. Значение по умолчанию — 32, максимальное — 128.

Настройка правила PCP

Правило PCP имеет те же основные параметры, что и все правила набора служб:

  • Вариант term , позволяющий одному правилу иметь несколько приложений.

    Термин не требуется при запуске карты безопасности MX-SPC3 для next Gen Services.

  • Параметр from , который идентифицирует трафик, подавлимый по правилу.

  • Параметр then , определяя, какое действие необходимо принять. В случае правила PCP эта опция определяет PCP-сервер, который обрабатывает выбранный трафик.

  1. Перейдите на уровень [edit services pcp rule rule-name] иерархии и укажите вход match-direction .
  2. Перейдите на уровень [edit services pcp rule rule-name term term-name] иерархии и в качестве имени в качестве терминов.

    Этот шаг не требуется при запуске карты безопасности MX-SPC3 для Next Gen Services.

  3. (Необязательно) — предоставляет возможность from фильтровать трафик, выбранный для обработки по правилу. Если этот параметр не назначен from , то весь трафик, обрабатываемый интерфейсом службы набора служб, подчиняется правилу. На уровне иерархии доступны [edit services pcp rule rule-name term term-name from] следующие параметры:
    application-sets set-name

    Трафик для набора приложений обрабатывается правилом PCP.

    Этот шаг не требуется при запуске карты безопасности MX-SPC3 для Next Gen Services.

    applications [ application-name ]

    Трафик приложения обрабатывается правилом PCP.

    Этот параметр не требуется при запуске карты безопасности MX-SPC3 для Next Gen Services.

    destination-address address <except>

    Трафик для адреса назначения или префикса обрабатывается правилом PCP. При включенной опции except трафик для адреса назначения или префикса не обрабатывается правилом PCP.

    destination-address-range high maximum-value low minimum-value <except>

    Трафик для диапазона адресов назначения обрабатывается правилом PCP. При включенной опции except трафик для диапазона адресов назначения не обрабатывается правилом PCP.

    destination-port high maximum-value low minimum-value

    Трафик для диапазона портов назначения обрабатывается правилом PCP.

    destination-prefix-list list-name <except>

    Трафик для адреса назначения в префиксе списка обрабатывается правилом PCP. При включенной опцией except трафик для адреса назначения в списке префиксов не обрабатывается правилом PCP.

    source-address address <except>

    Трафик с адреса источника или префикса обрабатывается правилом PCP. При включенной опции except трафик с адреса источника или префикса не обрабатывается правилом PCP.

    source-address-range high maximum-value low minimum-value <except>

    Трафик из диапазона адресов источника обрабатывается правилом PCP. При включенной опции except трафик из диапазона адресов источника не обрабатывается правилом PCP.

    source-prefix-list list-name <except>

    Трафик с адреса источника в списке префиксов обрабатывается правилом PCP. При включенной опцией except трафик с адреса источника в списке префиксов не обрабатывается правилом PCP.

  4. Установите параметр then для определения целевого сервера PCP.

Настройка правила NAT конфигурации

Для настройки правила NAT:

  1. Настройте имя NAT правила и направление совпадения.
  2. Укажите пул NAT, который будет использовать:
  3. Настройте тип трансляции.
  4. Если используется PCP с IPv4-to-IPv4 NAT или с DS-Lite, настройте сопоставление, независимое от оконечного процессора (EIM) и фильтрацию, не зависяную от оконечной точки (EIF).
    Примечание:

    Сопоставления PCP не создаются, если EIM и EIF не настроены с PCP для IPv4-to-IPv4 NAT или для DS-Lite.

Настройка набора служб для применения PCP

Чтобы использовать PCP, необходимо в качестве имени правила (или списка имен правил) в параметре pcp-rule rule-name .

  1. Перейдите на [edit services service-set service-set-name уровень иерархии.
  2. Если это новый набор служб, предонесите основные сведения о наборе служб, включая информацию об интерфейсе и любые другие применимые правила.
  3. Укажите имя правила PCP или списка правил, используемых для отправки трафика на указанный сервер PCP.
Примечание:

Набор служб также должен определять все необходимые и nat-rule softwire-rule.

Конфигурация сообщений SYSLOG

Новый класс syslog, параметр конфигурации, pcp-logsбыл предоставлен для управления генерацией журналов PCP. Протокол обеспечивает следующие уровни ведения журнала:

  • protocol— Все журналы, связанные с созданием сопоставления, удаление включены на этом уровне регистрации.

  • protocol-error— Журналы ошибок всех протоколов (например, не удалось обновить сопоставление, PCP отыщет сбой, не удалось создать сопоставление). включены в этот уровень протоколов.

  • system-error– Ошибки памяти и инфраструктуры включены в этот уровень протоколирования.

Управление протоколом управления портами

Можно отслеживать операции протокола управления портами (PCP) с помощью следующих рабочих команд:

  • Для MS-MPCs используйте эту show services nat mappings pcp команду.

    Примечание:

    PCP не поддерживается для служб следующего поколения в Junos OS версии 19.3R2

  • Для MS-MPCs используйте эту show services nat mappings endpoint-independent команду.

    Для служб следующего поколения используйте эту show services nat source mappings endpoint-independent команду.

  • show services pcp statistics protocol

Ниже приводится пример выходных данных этих команд.

Пример: Настройка протокола управления портами с NAPT44

Примечание:

PCP поддерживается на MS-DPC, MS-100, MS-400 и MS-500 MultiServices PICS. Начиная Junos OS выпуске 17.4R1, PCP для NATP44 также поддерживается на MS-MPC и MS-MIC.

Требования

Требования к оборудованию

  • UEs с pcP-клиентами.

  • Маршрутизатор MX 3D с PIC службы MS-DPC.

  • Требования к программному обеспечению

  • Junos OS 13.2

  • Пакет услуг уровня 3

Обзор

Интернет-isP хочет, чтобы UEs с клиентами PCP могли поддерживать соединения с серверами без тайм-тайма. Клиенты PCP генерируют PCP-запросы на тип и продолжительность необходимого соединения. Подключения могут иметь длительный период, например, при использовании приложений в режиме краткой трансляции или на более коротком времени, например, в онлайн-играх. Маршрутизатор MX 3D предоставляет сервер PCP для интерпретации клиентских запросов PCP и NAPT44. На рис. 3 показана основная топология для этого примера.

Рис. 3. PCP с NAPT44 PCP with NAPT44

Конфигурация PCP

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на уровне иерархии [edit].

Конфигурация шасси

Пошаговая процедура

Настройка PIC службы (FPC 2 Слот 0) с пакетом обслуживания уровня 3:

  1. Перейдите на уровень иерархии [edit chassis].

  2. Настройте пакет служб уровня 3.

Результаты

Настройка интерфейса

Пошаговая процедура

  1. Настройте службы MS-DPC.

  2. Настройте интерфейс, используемый для обслуживания NAT PCP.

  3. Настройка интерфейса, передаемого через Интернет.

Результаты

NAT конфигурации

Пошаговая процедура

  1. Войдите в [edit services nat] иерархию.

  2. Настройте пул NAT с и названием pcp-pool.

  3. Настройте правило NAT called pcp-rule.

Результаты

Конфигурация PCP

Пошаговая процедура

Настройка параметров правил pcP-сервера и PCP.

  1. Перейдите на уровень edit services pcp иерархии для сервера pcp-s1

  2. Настройте параметры сервера PCP.

  3. Создайте правило PCP.

  4. Настройте параметры правила PCP.

Результаты

Конфигурация набора служб

Пошаговая процедура

  1. Создайте набор служб на sset_0уровне edit services service-set иерархии.

  2. Определите NAT, связанное с набором служб.

  3. Определите правило PCP, связанное с набором служб.

  4. Определите интерфейс службы, связанный с набором служб.

Результаты
Таблица истории релизов
Выпуска
Описание
20.2R1
Начиная Junos 20.2R1, PCP для служб CGNAT DS-Lite поддерживаются для next Gen Services.
20.2R1
Начиная с Junos OS 20.2R1 PCP поддерживается на карте служб безопасности MX-SPC3 для служб CGNAT.
18.2R1
Начиная Junos OS выпуске 18.2R1 PCP на MS-MPC и MS-MIC поддерживает DS-Lite.
18.2R1
17.4R1
Начиная Junos OS выпуске 17.4R1, PCP для NAPT44 также поддерживается на MS-MPC и MS-MIC.
17.4R1
Начиная Junos OS выпуске 17.4R1, PCP для NAPT44 также поддерживается на MS-MPC и MS-MIC.
17.4R1
Начиная Junos OS выпуске 17.4R1, PCP для NATP44 также поддерживается на MS-MPC и MS-MIC.
15.1
Начиная с Junos OS 15.1 поддерживается протокол управления портами (PCP) версии 2, который соответствует RFC 6887.