NAT配置指导书.docx
- 文档编号:10499307
- 上传时间:2023-02-14
- 格式:DOCX
- 页数:14
- 大小:394.51KB
NAT配置指导书.docx
《NAT配置指导书.docx》由会员分享,可在线阅读,更多相关《NAT配置指导书.docx(14页珍藏版)》请在冰豆网上搜索。
NAT配置指导书
配置RadwareNAT指导书
Radware广州代表处
2007.12
Revisionrecord修订记录
Date
日期
RevisionVersion
修订版本
CRIDCR号
SectionNumber
修改章节
ChangeDescription
修改描述
Author
作者
2007-11-15
1.00
初稿完成
刘庆明
1.1
增加图示
刘庆明
1.2
修改拓扑结构
刘庆明
2007-11-30
1.3
增加健康检查
刘庆明
2007-12-3
1.4
增加NAT,PINGVIP,修改文档结构
刘庆明
TableofContents目录
第1章NAT配置6
1.1NAT功能说明.6
1.1.1ClientNAT:
6
1.1.2ServerNAT:
6
1.1.3OutboundNAT:
7
1.2NAT全局参数.7
1.3ClientNAT配置.8
1.4ServerNAT配置.12
1.5OutboundNAT配置.13
1.6使用NAT后直接访问服务器IP.15
配置RadwareNAT指导书
关键词:
摘要:
缩略语清单:
AS
ApplicationSwitch
AD
AppDirector
NAT
Networkaddresstranslation
图例说明:
创建,创建一个新的条目
删除,删除选定的条目
选择,在删除条目前必须先选择
设置,设置后生效
放弃,放弃当前的改动
帮助,在工作站可以连接Internet的情况下,可以去Radware网站获取当前配置的详细帮助
后退
前进
刷新页面
第1章NAT配置
RadwareAD有三种NAT方式。
3种方式各有不同用途,适用不同场景。
使用时需要留意其区别。
NAT配置与LDAPTCPSplitting无关,仅对其他应用负载均衡参考。
使用NAT功能后,所有的地址翻译表均在ClientTable中查看,也就是说,RadwareAD并不存在一张动态保存NAT会话的表,NAT会话与负载均衡会话共同使用同一张会话表:
ClientTable。
NAT功能说明.
1.1.1ClientNAT:
用户访问VIP做负载均衡时,将用户的源地址翻译成NAT地址。
适用的场景:
1.需要隐藏用户的源IP地址
2.当用户和服务器在同一网段,AD采用单臂组网方式时
3.户需要保留现有网关,不想指向AD
说明:
不访问VIP,是不能实现ClientNAT的。
可以为不同Farm指定不同的NAT地址,也可以多个Farm共用一个NAT地址。
一个NAT地址支持6万个左右的会话。
NAT时,服务器的源端口会发生改变,类似多对一的NAT功能
单向,不能访问NAT地址
TCPSplitting的Farm不能使用ClientNAT功能
1.1.2ServerNAT:
服务器主动访问Internat外网时,将服务器的源地址翻译成VIP地址。
通常服务器是私网地址,VIP是公网地址。
适用的场景:
1.服务器主动访问Internet外网,服务器是私网地址
2.用户希望所有服务器都可主动访问外网
3.访问外网时,需要使用VIP地址
说明:
服务器的IP地址一定在Servertable中,未出现的地址AD不做ServerNAT。
全局功能,即全局打开后,所有的Server都可以去Internat。
NAT时,服务器的源端口会发生改变,类似多对一的NAT功能
一个NAT地址支持6万个左右的会话。
翻译后的地址可以是任何配置过的VIP地址或其他指定地址。
使用ServerNAT后,服务器不能直接访问
1.1.3OutboundNAT:
服务器或者任意IP主动访问Internat外网时,将源地址翻译成NAT地址。
适用的场景:
1.用户或服务器主动访问Internat外网,其地址是私网地址
2.用户需要控制访问的源地址。
说明:
源地址可以是任意IP地址,可在Servertable中出现,也可以是未在AD上配置过的地址,比如用户IP。
功能比ServerNAT灵活。
单向,不能访问NAT地址
NAT时,会话源端口会发生改变,类似多对一的NAT功能
使用OutboundNAT后,服务器不能直接访问
NAT全局参数.
打开Service>Tuning>Device>.打开DeviceTuning配置表
配置完成后,需要重新启动才能生效。
ClientNAT需要配置:
●ClientNATAddress:
10//定义最多使用的NAT地址数,这里为10个
OutboundNAT需要配置:
●OutboundNATAddress:
10//定义最多使用的NAT地址数,这里为10个
●OutboundNATInterceptRange:
10//定义最多使用的源网段条目数,这里为10条
ClientNAT配置.
1.全局开启ClientNAT:
打开AppDirector>NAT>ClientNAT>GlobalParameters.打开ClientNATGlobalParameters配置表
将其设置为enable,需要重启才能生效。
2.定义NATAddress:
翻译后的地址
打开AppDirector>NAT>ClientNAT>NATAddress.打开ClientNATAddressTable配置表
FromIPAddress:
定义起始的NAT地址
ToIPAddress:
定义结束的NAT地址
这里使用了一个地址,即翻译成10.194.73.29
3.定义ClientNATInterceptTable:
打开AppDirector>NAT>ClientNAT>InterceptAddresses.打开ClientNATInterceptTable配置表
FromIPAddress:
定义起始的用户源IP地址
ToIPAddress:
定义结束的用户源IP地址
这里配置成对所有用户源地址访问VIP做地址翻译。
4.Farm定义NATTable:
打开AppDirector>Farm>AdditionalParameters.打开ExtendedFarmParameters配置表
ClientNATAddressRange:
选择刚才定义的NAT地址
5.Server开启ClientNAT功能:
打开AppDirector>Servers>ApplicationServerTable>.打开ApplicationServerTable
ClientNAT:
设置为Enabled
6.使用ClientNAT后的会话表:
AD-Master#appdirectorclienttable
RSCLIENTSTable
Totalnumberofclients:
1
ClientAddressSrcPDstPFarmNameServerAddressAttachDate
NATAddressNATPSrvPVIPAddressClientTypeAttachTime
10.164.72.3323831812Radius-Farm1.1.1.1002-12-2007
10.164.72.2960234010.164.72.153ClientNAT17:
04:
03
7.未使用ClientNAT的会话表:
AD-Master#appdirectorclienttable
RSCLIENTSTable
Totalnumberofclients:
1
ClientAddressSrcPDstPFarmNameServerAddressAttachDate
NATAddressNATPSrvPVIPAddressClientTypeAttachTime
10.164.72.3323801812Radius-Farm1.1.1.1002-12-2007
0.0.0.00010.164.72.153Dynamic17:
04:
00
说明:
ClientType有下列几种类型:
1.Dynamic,表示是负载均衡的会话
2.ClientNAT,表示是负载均衡时对客户源地址做了ClientNAT。
3.ServerNAT,表示是服务器访问Internat,AD对源地址做了ServerNAT
4.OutboundNAT,表示内网用户访问Internat,AD对源地址做了OutboundNAT
ServerNAT配置.
1.全局开启ServerNAT:
打开AppDirector>NAT>ServerNAT>GlobalParameters.打开ServerNATGlobalParameters配置表
ServerNAT:
设置为Enabled
UseSpecificNATAddress:
默认为0.0.0.0,即Server使用第一个出现在VIP表中的地址。
如果指定,所有的Server将使用这个VIP地址做NAT地址。
OutboundNAT配置.
1.定义NATAddress:
翻译后的地址
打开AppDirector>NAT>OutboundNAT>NATAddress.打开OutboundNATAddressTable配置表
FromIPAddress:
定义起始的NAT地址
ToIPAddress:
定义结束的NAT地址
这里使用了一个地址,即翻译成20.1.1.20访问Internet
2.定义ClientNATInterceptTable:
打开AppDirector>NAT>ClientNAT>InterceptAddresses.打开ClientNATInterceptTable配置表
InterceptFromIP:
定义起始的用户源IP地址
ToIP:
定义结束的用户源IP地址
AgingTime:
定义在会话表内的老化时间,默认为60秒,60秒内当前会话没有数据流时,AD就会删除这条会话。
OutboundNATAddress:
定义NAT后的地址
这里配置成对服务器1.1.1.10地址访问Internat做地址翻译,翻译为20.1.1.20。
3.全局开启OutboundNAT:
打开AppDirector>NAT>OutboundNAT>GlobalParameters.打开OutboundNATGlobalParameters配置表
OunboundNAT:
设置为Enabled
说明:
这里需要注意的是,全局功能需要最后打开,否则报以下错误信息:
NATaddressrangesmustbedefinedbeforeenablingdynsrvrNAT
使用NAT后直接访问服务器IP.
使用ServerNAT或OutBoundNAT后,这时候直接访问服务器存在问题。
因为直接访问服务器IP时,AD并不会创建ClientTable。
但是服务器回应时,AD却会创建一条NAT条目,翻译成NAT地址再返回给用户,告成TCP连接状态不一致,用户RESET当前会话。
解决办法:
统计需要直接访问服务器的应用端口,使用VIP,创建L4Policy,将其做成负载均衡均衡的配置。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NAT 配置 指导书