Encaminhamento de porta TCP para gerenciamento remoto de dispositivos
O encaminhamento de porta é um método que permite que um roteador torne um computador ou outro dispositivo de rede conectado a ele acessível a outros computadores e dispositivos de rede de fora da rede local. O encaminhamento de porta usa uma combinação de um endereço IP e um número de porta para rotear solicitações de rede para dispositivos específicos. Essa técnica é frequentemente usada para tornar os serviços em um host ou gateway, que residem em uma rede interna, acessíveis a um host em uma rede externa, remapeando o endereço IP de destino e o número da porta para a solicitação de comunicação.
A partir do Junos OS Release 18.3R1, o encaminhamento de porta TCP (também conhecido como encaminhamento TCP) permite que um BNG faça a mediação da comunicação entre seus nós de acesso conectados e os sistemas de back-office do provedor de serviços, como sistemas externos de gerenciamento e provisionamento e servidores TACACS+. O BNG e seus nós de acesso downstream são apresentados aos sistemas de back-office como um único elemento de rede endereçável. Você configura combinações exclusivas de portas de escuta e endereços no BNG. As conexões TCP são acionadas quando o tráfego de prefixos aceitáveis chega à porta de escuta e ao endereço de escuta correspondente. As solicitações de comunicação de e para os nós de acesso são redirecionadas de uma combinação de endereço e número de porta para outra quando os pacotes atravessam o roteador da série MX.
Os sistemas de back-office utilizam o protocolo de gerenciamento NETCONF XML sobre SSH e TACACS+ para trocar solicitações com nós de acesso. Para provisionamento, eles podem usar PCRF e RADIUS para fornecer configurações de serviço para assinantes. A Figura 1 mostra uma topologia de amostra para um caso de uso de sistema de gerenciamento externo com terminais de linha óptica (OLTs) conectados ao BNG. Topologias semelhantes podem ter nós de acesso diferentes, como DSLAMs, em vez de OLTs.
dispositivos
Os nós de acesso nesse tipo de topologia atuam como extensões lógicas (dispositivos remotos) do BNG para que o BNG possa fazer proxy de todas as interações de gerenciamento externo para eles. O BNG é configurado com um endereço público e atua como o único ponto de gerenciamento para si mesmo e para os nós de acesso. Os dispositivos remotos têm endereços privados e não são acessíveis publicamente. Isso significa que os sistemas externos não podem interagir diretamente com os nós de acesso. O BNG deve ser capaz de mediar solicitações de gerenciamento entre os nós de acesso e o sistema de gerenciamento, mas não precisa analisar ou agir sobre o conteúdo completo das solicitações. Essa necessidade é atendida com o encaminhamento de porta TCP da seguinte maneira para este caso de uso:
O sistema de gerenciamento externo usa o protocolo NETCONF XML sobre SSH para tarefas como configuração básica do dispositivo remoto antes do início da negociação com o assinante, configuração de caminhos de dados de Camada 2 para novos assinantes, exibição do status do dispositivo remoto e solução de problemas do dispositivo remoto.
Nesse caso, o BNG desmultiplexa as solicitações do sistema de gerenciamento para os dispositivos remotos.
O TACACS+ é usado para autenticar e validar o acesso ao dispositivo remoto, realizar a contabilidade do sistema e controlar o acesso do operador.
Nesse caso, os multiplexados BNG solicitam dos dispositivos remotos para o servidor TACACS+ que funciona com o sistema de gerenciamento externo.
O encaminhamento de porta TCP mapeia uma ou mais combinações de um endereço de escuta IPv4 e uma porta TCP para endereços e portas de destino para que o BNG possa encaminhar mensagens adequadamente para ambos os casos de uso. Cada mapeamento é chamado de par de conexões TCP. O encaminhamento de porta TCP opera da seguinte maneira:
Quando o mapeamento é configurado, o processo de encaminhamento de porta TCP abre a porta de escuta configurada e aguarda que um sistema externo ou nó de acesso acione uma conexão; Esse sistema ou nó pode então ser referido como a entidade desencadeadora.
Depois que a conexão entre a entidade acionadora e o BNG é estabelecida, o encaminhamento de porta TCP tenta abrir uma conexão TCP com a outra metade do par de conexões, que é a combinação de endereço de encaminhamento e porta definida no mapeamento. O encaminhamento de porta TCP examina apenas as informações do cabeçalho TCP no tráfego de gerenciamento.
Quando ambas as conexões TCP tiverem sido estabelecidas, o encaminhamento de porta TCP monitorará as conexões quanto ao tráfego de dados. Quando os dados são recebidos em uma conexão, eles são transmitidos na conexão emparelhada.
Se um lado do par de conexões fechar por qualquer motivo, o encaminhamento de porta TCP fechará a conexão emparelhada. Esse par de conexões não é restabelecido, a menos que a entidade acionadora faça a conexão na porta de escuta TCP novamente.
Se uma alteração de configuração for feita em um mapeamento TCP enquanto os pares de conexão associados estiverem ativos, essas conexões serão fechadas. As conexões não são restabelecidas, a menos que a entidade desencadeadora faça a conexão na porta de escuta TCP novamente
O encaminhamento de porta TCP permite várias conexões TCP simultâneas para qualquer mapeamento TCP único. Você pode colocar um limite no número máximo de conexões permitidas.
Você pode usar os seguintes comandos operacionais para gerenciar e monitorar o encaminhamento de porta TCP:
clear tcp-forwarding connections— Permite que você feche administrativamente qualquer par de conexões TCP atual.clear tcp-forwarding statistics— Permite que você limpe (zero) as estatísticas para os mapeamentos TCP configurados e quaisquer pares de conexões TCP atuais. Você pode limitar a limpeza de estatísticas a todas as conexões associadas a uma combinação específica de porta de escuta/endereço de escuta ou a apenas um único par de conexões representado por uma combinação específica de endereço de origem/porta de origem. Para qualquer uma das combinações, você pode especificar opcionalmente uma instância de roteamento; caso contrário, a instância de roteamento padrão será assumida.show tcp-forwarding status— Exibe o status do mapeamento TCP e as conexões atuais para cada mapeamento. Você pode limitar a exibição a uma combinação específica de porta de escuta/endereço de escuta, por instância de roteamento. Se você não especificar uma instância de roteamento, a instância de roteamento padrão será assumida.
Espera-se que o tráfego entre os dispositivos remotos e os sistemas externos sejam solicitações de gerenciamento de tamanho relativamente pequeno. Consequentemente, o tráfego excessivo não é armazenado em buffer e é descartado pelo encaminhamento de porta TCP. O encaminhamento de porta TCP não mantém ou recupera conexões TCP estabelecidas no caso de uma comutação graciosa do Mecanismo de Roteamento (GRES) ou uma reinicialização do daemon.
Você pode desabilitar o encaminhamento de porta TCP incluindo a disable instrução no nível da [edit system processes] hierarquia. Você também pode configurar o rastreamento de eventos de encaminhamento de porta TCP no mesmo nível de hierarquia incluindo a traceoptions declaração. Consulte Rastreando Eventos de Encaminhamento de Porta TCP para Solução de Problemas para obter mais informações.
Benefícios do encaminhamento de porta TCP
Simplifica a configuração e o gerenciamento de BNG e dispositivos remotos em topologias que usam sistemas externos de gerenciamento e provisionamento.
O encaminhamento de porta TCP é uma funcionalidade genérica e pode funcionar com qualquer aplicativo que possa usar sessões TCP para comunicação com dispositivos remotos e o BNG.
Fornece várias opções para ajustar as conexões TCP às suas necessidades, incluindo restrição a prefixos IPv4 específicos, combinações específicas de endereço e porta de escuta e encaminhamento e o número máximo de conexões permitidas.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.