リモートデバイス管理のためのTCPポートフォワーディング

ポートフォワーディングは、ルーターが接続されているコンピューターやその他のネットワークデバイスを、ローカルネットワークの外部から他のコンピューターやネットワークデバイスにアクセスできるようにする方法です。ポートフォワーディングは、IPアドレスとポート番号の組み合わせを使用して、ネットワーク要求を特定のデバイスにルーティングします。この手法は、通信要求の宛先IPアドレスとポート番号を再マッピングすることにより、内部ネットワーク上にあるホストまたはゲートウェイ上のサービスを外部ネットワーク上のホストがアクセスできるようにするために使用されます。

Junos OSリリース18.3R1以降、TCPポートフォワーディング(TCPフォワーディングとも呼ばれる)では、BNGが接続されたアクセスノードと、外部の管理およびプロビジョニングシステムやTACACS+サーバーなどのサービスプロバイダのバックオフィスシステムとの間の通信を仲介できるようになりました。BNGとそのダウンストリームアクセスノードは、アドレス指定可能な単一のネットワーク要素としてバックオフィスシステムに表示されます。BNGでは、リスニングポートとアドレスの一意の組み合わせを設定します。TCP 接続は、許容可能なプレフィックスからのトラフィックがリスニング ポートと一致するリスニング アドレスに到着するとトリガーされます。パケットがMXシリーズルーターを通過すると、アクセスノードとの間の通信要求は、1つのアドレスとポート番号の組み合わせから別のアドレスとポート番号の組み合わせにリダイレクトされます。

バックオフィスシステムは、SSHおよびTACACS+上でNETCONF XML管理プロトコルを使用して、アクセスノードとリクエストを交換します。プロビジョニングでは、PCRFとRADIUSを使用して、加入者にサービス設定を提供できます。 図1 は、BNGに接続された光回線端末(OLT)を使用した外部管理システムのユースケースのトポロジー例を示しています。同様のトポロジーには、OLTではなくDSLAMなどの異なるアクセスノードがある場合があります。

この種のトポロジーにおけるアクセスノードは、BNGの論理拡張(リモートデバイス)として機能するため、BNGはすべての外部管理インタラクションをプロキシすることができます。BNGはパブリックアドレスで設定され、BNG自体とアクセスノードの単一管理ポイントとして機能します。リモートデバイスにはプライベートアドレスがあり、パブリックにアクセスできません。これは、外部システムがアクセスノードと直接対話できないことを意味します。BNGは、アクセスノードと管理システムの間の管理要求を仲介できる必要がありますが、要求の全コンテンツを解析したり、それに対してアクションを行ったりする必要はありません。このユースケースでは、以下のようにTCPポートフォワーディングでこのニーズが満たされます。

• 外部管理システムは、SSH経由のNETCONF XMLプロトコルを使用して、加入者ネゴシエーション開始前のリモートデバイスの基本設定、新規加入者向けのレイヤー2データパスの設定、リモートデバイスのステータス表示、リモートデバイスのトラブルシューティングなどのタスクを行います。

  この場合、BNGは管理システムからリモートデバイスへのリクエストを逆多重化します。

• TACACS+は、リモートデバイスへのアクセスの認証と検証、システムアカウンティングの実行、運用担当者のアクセス制御に使用されます。

  この場合、BNGはリモートデバイスから外部管理システムと連携するTACACS+サーバーにリクエストを多重化します。

TCPポートフォワーディングは、IPv4リスニングアドレスとTCPポートの1つまたは複数の組み合わせを宛先アドレスとポートにマッピングし、BNGが両方のユースケースにメッセージを適切に転送できるようにします。各マッピングは 、TCP接続ペアと呼ばれます。TCPポートフォワーディングの動作は、次のとおりです。

1. マッピングが設定されると、TCPポート転送プロセスは設定されたリスニングポートを開き、外部システムまたはアクセスノードが接続をトリガーするのを待ちます。そのシステムまたはノードは、 トリガーエンティティと呼ぶことができます。

2. トリガーエンティティとBNG間の接続が確立された後、TCPポート転送は、マッピングで定義された転送アドレスとポートの組み合わせである接続ペアの残りの半分へのTCP接続を開こうとします。TCPポートフォワーディングは、管理トラフィック内のTCPヘッダー情報のみを調べます。

3. 両方のTCP接続が確立されている場合、TCPポートフォワーディングは接続を監視してデータトラフィックを確認します。1つの接続でデータを受信すると、ペアリングされた接続で送信されます。

注:

• 何らかの理由で接続ペアの片側が閉じた場合、TCPポートフォワーディングによってペアリングされた接続が閉じられます。この接続ペアは、トリガーエンティティがTCPリスニングポートで接続を再度確立しない限り、再確立されません。

• 関連する接続ペアがアクティブなときにTCPマッピングの設定が変更された場合、これらの接続は閉じられます。トリガーエンティティがTCPリスニングポートで接続を再度確立しない限り、接続は再確立されません

TCPポートフォワーディングにより、単一のTCPマッピングに対して複数の同時TCP接続が可能になります。許可される接続の最大数に制限を設定できます。

以下の操作コマンドを使用して、TCPポート転送を管理および監視できます。

• clear tcp-forwarding connections—現在のTCP接続ペアを管理上閉じることができます。

• clear tcp-forwarding statistics—設定されたTCPマッピングと現在のTCP接続ペアの統計をクリア(ゼロ)できます。統計情報のクリアを、特定のリスニングポート/リスニングアドレスの組み合わせに関連付けられたすべての接続に制限することも、特定の送信元アドレス/送信元ポートの組み合わせで表される単一の接続ペアのみに制限することもできます。どちらの組み合わせでも、オプションでルーティングインスタンスを指定することができます。それ以外の場合は、デフォルトのルーティングインスタンスが想定されます。

• show tcp-forwarding status—TCPマッピングのステータスと各マッピングの現在の接続を表示します。ルーティングインスタンスごとに、表示を特定のリスニングポート/リスニングアドレスの組み合わせに制限できます。ルーティングインスタンスを指定しない場合、デフォルトのルーティングインスタンスが想定されます。

リモートデバイスと外部システム間のトラフィックは、比較的小規模な管理リクエストであることが想定されます。その結果、過剰なトラフィックはバッファリングされず、TCPポートフォワーディングによって破棄されます。TCPポートフォワーディングは、グレースフルルーティングエンジンスイッチオーバー(GRES)やデーモン再起動が発生した場合に、確立されたTCP接続を維持または回復しません。

[edit system processes]階層レベルでdisableステートメントを含めることで、TCPポート転送を無効にできます。また、traceoptionsステートメントを含めることで、同じ階層レベルでTCPポート転送イベントトレースを設定することもできます。詳細については、「トラブルシューティングのためのTCPポートフォワーディングイベントのトレース」を参照してください。