Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

원격 디바이스 관리를 위한 TCP 포트 포워딩

포트 포워딩은 라우터가 연결된 컴퓨터 또는 기타 네트워크 디바이스를 로컬 네트워크 외부의 다른 컴퓨터 및 네트워크 디바이스가 액세스할 수 있도록 하는 방법입니다. 포트 포워딩은 IP 주소와 포트 번호의 조합을 사용하여 네트워크 요청을 특정 디바이스로 라우팅합니다. 이 기술은 통신 요청에 대한 대상 IP 주소 및 포트 번호를 다시 매핑하여 내부 네트워크에 상주하는 호스트 또는 게이트웨이의 서비스를 외부 네트워크의 호스트에서 액세스할 수 있도록 하는 데 자주 사용됩니다.

Junos OS 릴리스 18.3R1부터 TCP 포트 포워딩(TCP 포워딩이라고도 함)을 통해 BNG는 연결된 액세스 노드와 외부 관리 및 프로비저닝 시스템, TACACS+ 서버와 같은 서비스 프로바이더 백오피스 시스템 간의 통신을 중재할 수 있습니다. BNG와 다운스트림 액세스 노드는 주소 지정이 가능한 단일 네트워크 요소로 백오피스 시스템에 제공됩니다. BNG에서 수신 포트 및 주소의 고유한 조합을 구성합니다. TCP 연결은 허용 가능한 접두사의 트래픽이 수신 대기 포트와 일치하는 수신 주소에 도착할 때 트리거됩니다. 패킷이 MX 시리즈 라우터를 통과할 때 액세스 노드와 주고받는 통신 요청은 한 주소 및 포트 번호 조합에서 다른 주소 및 포트 번호 조합으로 리디렉션됩니다.

백오피스 시스템은 SSH 및 TACACS+를 통한 NETCONF XML 관리 프로토콜을 사용하여 액세스 노드와 요청을 교환합니다. 프로비저닝을 위해 PCRF 및 RADIUS를 사용하여 가입자에 대한 서비스 구성을 제공할 수 있습니다. 그림 1 은 BNG에 연결된 OLT(optical line terminals)가 있는 외부 관리 시스템 사용 사례에 대한 샘플 토폴로지를 보여줍니다. 유사한 토폴로지에는 OLT가 아닌 DSLAM과 같은 다른 액세스 노드가 있을 수 있습니다.

그림 1: 원격 디바이스 관리를 Topology for Remote Device Management 위한 토폴로지

이러한 종류의 토폴로지에서 액세스 노드는 BNG의 논리적 확장(원격 디바이스) 역할을 하므로 BNG는 모든 외부 관리 상호 작용을 프록시할 수 있습니다. BNG는 공용 주소로 구성되며 BNG 자체와 액세스 노드에 대한 단일 관리 지점 역할을 합니다. 원격 디바이스에는 개인 주소가 있으며 공개적으로 액세스할 수 없습니다. 이는 외부 시스템이 액세스 노드와 직접 상호 작용할 수 없음을 의미합니다. BNG는 액세스 노드와 관리 시스템 간의 관리 요청을 중재할 수 있어야 하지만 요청의 전체 내용을 구문 분석하거나 조치할 필요는 없습니다. 이 요구 사항은 이 사용 사례에서 다음과 같이 TCP 포트 포워딩을 통해 충족됩니다.

  • 외부 관리 시스템은 SSH를 통해 NETCONF XML 프로토콜을 사용하여 가입자 협상이 시작되기 전 원격 디바이스의 기본 구성, 새 가입자를 위한 레이어 2 데이터 경로 구성, 원격 디바이스 상태 표시, 원격 디바이스 문제 해결 등의 작업을 수행합니다.

    이 경우, BNG는 관리 시스템에서 원격 디바이스로의 요청을 역다중화합니다.

  • TACACS+는 원격 디바이스에 대한 액세스를 인증 및 검증하고, 시스템 계정을 수행하고, 운영자 액세스를 제어하는 데 사용됩니다.

    이 경우 BNG는 원격 디바이스에서 외부 관리 시스템과 함께 작동하는 TACACS+ 서버로 요청을 멀티플렉싱합니다.

TCP 포트 포워딩은 IPv4 수신 대기 주소와 TCP 포트의 하나 이상의 조합을 대상 주소와 포트에 매핑하여 BNG가 두 사용 사례 모두에 대해 메시지를 적절하게 전달할 수 있도록 합니다. 각 매핑을 TCP 연결 쌍이라고 합니다. TCP 포트 포워딩은 다음과 같이 작동합니다.

  1. 매핑이 구성되면 TCP 포트 전달 프로세스는 구성된 수신 대기 포트를 열고 외부 시스템 또는 액세스 노드가 연결을 트리거할 때까지 기다립니다. 그러면 해당 시스템 또는 노드를 트리거 엔티티라고 할 수 있습니다.

  2. 트리거 엔티티와 BNG 간의 연결이 설정된 후, TCP 포트 포워딩은 매핑에 정의된 포워딩 주소 및 포트 조합인 연결 쌍의 나머지 절반에 대한 TCP 연결을 열려고 시도합니다. TCP 포트 포워딩은 관리 트래픽에서 TCP 헤더 정보만 검사합니다.

  3. 두 TCP 연결이 모두 설정되면 TCP 포트 포워딩은 데이터 트래픽에 대한 연결을 모니터링합니다. 한 연결에서 데이터가 수신되면 페어링된 연결로 전송됩니다.

참고:

  • 어떤 이유로든 연결 쌍의 한쪽이 닫히면 TCP 포트 포워딩이 쌍을 이루는 연결을 닫습니다. 이 연결 쌍은 트리거 엔티티가 TCP 수신 대기 포트에서 다시 연결하지 않는 한 다시 설정되지 않습니다.

  • 연결된 연결 쌍이 활성 상태인 동안 TCP 매핑에 대한 구성이 변경되면 이러한 연결은 닫힙니다. 트리거 엔티티가 TCP 수신 대기 포트에 다시 연결하지 않는 한 연결이 다시 설정되지 않습니다

TCP 포트 포워딩은 단일 TCP 매핑에 대해 여러 개의 동시 TCP 연결을 허용합니다. 허용되는 최대 연결 수에 제한을 둘 수 있습니다.

다음 운영 명령을 사용하여 TCP 포트 전달을 관리하고 모니터링할 수 있습니다.

  • clear tcp-forwarding connections- 현재 TCP 연결 쌍을 관리상 닫을 수 있습니다.

  • clear tcp-forwarding statistics- 구성된 TCP 매핑 및 현재 TCP 연결 쌍에 대한 통계를 지울 수 있습니다(0). 통계 삭제를 특정 수신 포트/수신 주소 조합과 관련된 모든 연결로 제한하거나 특정 소스 주소/소스 포트 조합으로 표시되는 단일 연결 쌍으로만 제한할 수 있습니다. 두 조합 중 하나에 대해 선택적으로 라우팅 인스턴스를 지정할 수 있습니다. 그렇지 않으면 기본 라우팅 인스턴스가 가정됩니다.

  • show tcp-forwarding status- TCP 매핑의 상태와 각 매핑에 대한 현재 연결을 표시합니다. 라우팅 인스턴스당 특정 수신 포트/수신 주소 조합으로 디스플레이를 제한할 수 있습니다. 라우팅 인스턴스를 지정하지 않으면 기본 라우팅 인스턴스가 가정됩니다.

원격 디바이스와 외부 시스템 간의 트래픽은 상대적으로 작은 규모의 관리 요청일 것으로 예상됩니다. 결과적으로, 과도한 트래픽은 버퍼링되지 않고 TCP 포트 포워딩에 의해 삭제됩니다. TCP 포트 포워딩은 GRES(Graceful 라우팅 엔진 전환) 또는 데몬 재시작의 경우 설정된 TCP 연결을 유지하거나 복구하지 않습니다.

계층 수준에서 [edit system processes] 문을 포함하여 disable TCP 포트 전달을 비활성화할 수 있습니다. 또한 문을 포함하여 동일한 계층 수준에서 TCP 포트 전달 이벤트 추적을 구성할 수 있습니다traceoptions. 자세한 내용은 문제 해결을 위한 TCP 포트 전달 이벤트 추적을 참조하십시오.

TCP 포트 포워딩의 이점

  • 외부 관리 및 프로비저닝 시스템을 사용하는 토폴로지에서 BNG 및 원격 디바이스 구성 및 관리를 단순화합니다.

  • TCP 포트 포워딩은 일반적인 기능이며 원격 디바이스 및 BNG와의 통신에 TCP 세션을 사용할 수 있는 모든 애플리케이션에서 작동할 수 있습니다.

  • 특정 IPv4 접두사에 대한 제한, 특정 수신 및 포워딩 주소와 포트 조합, 허용되는 최대 연결 수를 비롯하여 TCP 연결을 필요에 맞게 조정하기 위한 몇 가지 옵션을 제공합니다.

관련 설명서

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시
설명
18.3R1
Junos OS 릴리스 18.3R1부터 TCP 포트 포워딩(TCP 포워딩이라고도 함)을 통해 BNG는 연결된 액세스 노드와 외부 관리 및 프로비저닝 시스템, TACACS+ 서버와 같은 서비스 프로바이더 백오피스 시스템 간의 통신을 중재할 수 있습니다.