RadwareNAT配置指导V0.docx

RadwareNAT配置指导V0.docx

《RadwareNAT配置指导V0.docx》由会员分享，可在线阅读，更多相关《RadwareNAT配置指导V0.docx（13页珍藏版）》请在冰豆网上搜索。

RadwareNAT配置指导V0

资料编码

产品名称

Radware

使用对象

华为工程师，合作工程师

产品版本

AppDirector

编写部门

可服务性研究部

资料版本

V1.0

RadwareNAT配置指导V1.0

拟制：

李达

日期：

2008-4-8

审核：

都彦军

日期：

2008-4-9

审核：

日期：

批准：

日期：

华为技术有限公司

版权所有XX

修订记录

日期

修订版本

描述

作者

2008-4-8

RadwareNAT配置指导书V1.0

李达

关键词：

摘要：

缩略语清单：

AS

ApplicationSwitch

AD

AppDirector

NAT

Networkaddresstranslation

参考资料清单：

图例说明：

创建，创建一个新的条目

删除，删除选定的项目

选择，在删除之前一定要选择

设置，设置后生效

放弃当前的改动

帮助，在工作站可以连接Internet的情况下，可以去Radware网站获取当前配置的详细帮助

后退

前进

刷新页面

第1章NAT配置

RadwareAD有三种NAT方式。

3种方式各有不同用途，适用不同场景。

使用时需要留意其区别。

NAT配置与LDAPTCPSplitting无关，仅对其他应用负载均衡参考。

使用NAT功能后，所有的地址翻译表均在ClientTable中查看，也就是说，RadwareAD并不存在一张动态保存NAT会话的表，NAT会话与负载均衡会话共同使用同一张会话表：

ClientTable。

1.1NAT功能说明

1.1.1ClientNAT

用户访问VIP做负载均衡时，将用户的源地址翻译成NAT地址。

适用的场景：

1．需要隐藏用户的源IP地址

2．当用户和服务器在同一网段，AD采用单臂组网方式时

3．户需要保留现有网关，不想指向AD

说明：

不访问VIP，是不能实现ClientNAT的。

可以为不同Farm指定不同的NAT地址，也可以多个Farm共用一个NAT地址。

一个NAT地址支持6万个左右的会话。

NAT时，服务器的源端口会发生改变，类似多对一的NAT功能

单向，不能访问NAT地址

TCPSplitting的Farm不能使用ClientNAT功能

1.1.2ServerNAT

服务器主动访问Internat外网时，将服务器的源地址翻译成VIP地址。

通常服务器是私网地址，VIP是公网地址。

适用的场景：

1．服务器主动访问Internat外网，服务器是私网地址

2．用户希望所有服务器都可主动访问外网

3．访问外网时，需要使用VIP地址

说明：

服务器的IP地址一定在Servertable中，未出现的地址AD不做ServerNAT。

全局功能，即全局打开后，所有的Server都可以去Internat。

NAT时，服务器的源端口会发生改变，类似多对一的NAT功能

一个NAT地址支持6万个左右的会话。

翻译后的地址可以是任何配置过的VIP地址或其他指定地址。

使用ServerNAT后，服务器不能直接访问

1.1.3OutboundNAT

服务器或者任意IP主动访问Internat外网时，将源地址翻译成NAT地址。

适用的场景：

1．用户或服务器主动访问Internat外网，其地址是私网地址

2．用户需要控制访问的源地址。

说明：

源地址可以是任意IP地址，可在Servertable中出现，也可以是未在AD上配置过的地址，比如用户IP。

功能比ServerNAT灵活。

单向，不能访问NAT地址

NAT时，会话源端口会发生改变，类似多对一的NAT功能

使用OutboundNAT后，服务器不能直接访问

1.2NAT全局参数

打开Service>Tuning>Device>.打开DeviceTuning配置表

配置完成后，需要重新启动才能生效。

ClientNAT需要配置：

ClientNATAddress:

10//定义最多使用的NAT地址数，这里为10个

OutboundNAT需要配置：

OutboundNATAddress:

10//定义最多使用的NAT地址数，这里为10个

OutboundNATInterceptRange:

10//定义最多使用的源网段条目数，这里为10条

1.3ClientNAT配置

1．全局开启ClientNAT：

打开AppDirector>NAT>ClientNAT>GlobalParameters.打开ClientNATGlobalParameters配置表

将其设置为enable,需要重启才能生效。

2．定义NATAddress：

翻译后的地址

打开AppDirector>NAT>ClientNAT>NATAddress.打开ClientNATAddressTable配置表

FromIPAddress：

定义起始的NAT地址

ToIPAddress：

定义结束的NAT地址

这里使用了一个地址，即翻译成10.194.73.29

3．定义ClientNATInterceptTable：

打开AppDirector>NAT>ClientNAT>InterceptAddresses.打开ClientNATInterceptTable配置表

FromIPAddress：

定义起始的用户源IP地址

ToIPAddress：

定义结束的用户源IP地址

这里配置成对所有用户源地址访问VIP做地址翻译。

4．Farm定义NATTable：

打开AppDirector>Farm>AdditionalParameters.打开ExtendedFarmParameters配置表

ClientNATAddressRange：

选择刚才定义的NAT地址

5．Server开启ClientNAT功能：

打开AppDirector>Servers>ApplicationServerTable.打开ApplicationServerTable

ClientNAT：

设置为Enabled

6．使用ClientNAT后的会话表：

AD-Master#appdirectorclienttable

RSCLIENTSTable

Totalnumberofclients:

1

ClientAddressSrcPDstPFarmNameServerAddressAttachDate

NATAddressNATPSrvPVIPAddressClientTypeAttachTime

10.164.72.3323831812Radius-Farm1.1.1.1002-12-2007

10.164.72.2960234010.164.72.153ClientNAT17:

04:

03

7．未使用ClientNAT的会话表：

AD-Master#appdirectorclienttable

RSCLIENTSTable

Totalnumberofclients:

1

ClientAddressSrcPDstPFarmNameServerAddressAttachDate

NATAddressNATPSrvPVIPAddressClientTypeAttachTime

10.164.72.3323801812Radius-Farm1.1.1.1002-12-2007

0.0.0.00010.164.72.153Dynamic17:

04:

00

说明：

ClientType有下列几种类型：

1.Dynamic，表示是负载均衡的会话

2.ClientNAT，表示是负载均衡时对客户源地址做了ClientNAT。

3.ServerNAT，表示是服务器访问Internat，AD对源地址做了ServerNAT

4.OutboundNAT，表示内网用户访问Internat，AD对源地址做了OutboundNAT

1.4ServerNAT配置

1．全局开启ServerNAT：

打开AppDirector>NAT>ServerNAT>GlobalParameters.打开ServerNATGlobalParameters配置表

ServerNAT：

设置为Enabled

UseSpecificNATAddress:

默认为0.0.0.0，即Server使用第一个出现在VIP表中的地址。

如果指定，所有的Server将使用这个VIP地址做NAT地址。

1.5OutboundNAT配置

1．定义NATAddress：

翻译后的地址

打开AppDirector>NAT>OutboundNAT>NATAddress.打开OutboundNATAddressTable配置表

FromIPAddress：

定义起始的NAT地址

ToIPAddress：

定义结束的NAT地址

这里使用了一个地址，即翻译成20.1.1.20访问Internet

2．定义ClientNATInterceptTable：

打开AppDirector>NAT>ClientNAT>InterceptAddresses.打开ClientNATInterceptTable配置表

InterceptFromIP：

定义起始的用户源IP地址

ToIP：

定义结束的用户源IP地址

AgingTime：

定义在会话表内的老化时间，默认为60秒，60秒内当前会话没有数据流时，AD就会删除这条会话。

OutboundNATAddress：

定义NAT后的地址

这里配置成对服务器1.1.1.10地址访问Internat做地址翻译，翻译为20.1.1.20。

3．全局开启OutboundNAT：

打开AppDirector>NAT>OutboundNAT>GlobalParameters.打开OutboundNATGlobalParameters配置表

OunboundNAT：

设置为Enabled

说明：

这里需要注意的是，全局功能需要最后打开，否则报以下错误信息：

NATaddressrangesmustbedefinedbeforeenablingdynsrvrNAT

1.6使用NAT后直接访问服务器IP

使用ServerNAT或OutBoundNAT后，这时候直接访问服务器存在问题。

因为直接访问服务器IP时，AD并不会创建ClientTable。

但是服务器回应时，AD却会创建一条NAT条目，翻译成NAT地址再返回给用户，告成TCP连接状态不一致，用户RESET当前会话。

解决办法：

统计需要直接访问服务器的应用端口，使用VIP，创建L4Policy，将其做成负载均衡均衡的配置。