中财网如何在香港银行开户:理解NetScaler的RNAT配置
来源:百度文库 编辑:中财网 时间:2024/05/06 11:48:11
RNAT功能通常用来帮助没有公网地址的服务器对外访问互联网使用。使用"Reverse Network Address Translation"(RNAT)功能,NetScaler可以用指定的NAT IP地址替换后端RealServer产生的数据包的源地址。
能被用作NAT IP的地址必须是属于NetScaler所有,且被配置成SNIP,MIP,VIP三者中的一种。如果不是这样会产生"ERROR: NAT IP is not valid"的报错信息。
在Outbound传输中,能被用来作源地址IP可以参考下表。
考虑如下图的网络结构,一家公司拥有1.1.1.0/24这段公网地址,这些公网地址用来对外提供服务。另外,该公司在内部使用192.168.2.0/24和172.16.0.0/24这两段私有地址做为内部办公使用。192.168.2.0/24和172.16.0.0/24这两个网段,使用NetScaler的SNIP做为各自的默认网关。
示例一:
配置192.168.2.0/24这个网段的RNAT地址为1.1.1.20
set rnat 192.168.2.0 255.255.255.0 -natip 1.1.1.20
则数据包的地址情况如下所示:
示例二:
分别为内网两个网段配置不同的RNAT地址。
配置192.168.2.0/24这个网段的RNAT地址为1.1.1.20
配置172.16.0.0/24这个网段的RNAT地址为1.1.1.21
set rnat 192.168.2.0 255.255.255.0 -natip 1.1.1.20
set rnat 172.16.0.0 255.255.255.0 -natip 1.1.1.21
则数据包的地址情况如下所示:
示例三,使用ACL配置RNAT:
将从192.168.2.20发往192.168.2.10的数据包,源地址替换成为192.168.2.1
add ns acl RNAT_ACL_1 ALLOW -srcIP = 192.168.2.20 -destip 192.168.2.10
apply ns acls
set rnat RNAT_ACL_1 -natIP 192.168.2.1
则数据包的地址情况如下所示:
示例四,使用ACL配置RNAT:
将从192.168.2.0~192.168.2.254发往0.0.0.0-172.16.0.0的数据包,源地址替换成为1.1.1.20
将从192.168.2.0~192.168.2.254发往172.17.0.0到所有其他地址的数据包,源地址替换成为1.1.1.20
将从172.16.0.30发往0.0.0.0-192.168.2.0的数据包,源地址替换成为1.1.1.21
将从172.16.0.30发往192.168.3.0到其他所有地址的数据包,源地址替换成为1.1.1.21
add ns acl RNAT_ACL_1 ALLOW -srcIP = 192.168.2.0-192.168.2.254 -destip 0.0.0.0-172.16.0.0
add ns acl RNAT_ACL_2 ALLOW -srcIP = 192.168.2.0-192.168.2.254 -destip 172.17.0.0-*
add ns acl RNAT_ACL_3 ALLOW -srcIP = 172.16.0.30 -destip 0.0.0.0-192.168.2.0
add ns acl RNAT_ACL_4 ALLOW -srcIP = 172.16.0.30 -destip 192.168.3.0-*
apply ns acls
set rnat RNAT_ACL _1-natIP 1.1.1.20
set rnat RNAT_ACL _2-natIP 1.1.1.20
set rnat RNAT_ACL _3-natIP 1.1.1.21
set rnat RNAT_ACL _4-natIP 1.1.1.21
一些重要的信息:
- BRIDGE ACL不会导致NetScaler bypass掉RNAT的规则
- 当访问一个virtual server的时候,RNAT规则具有更高的优先级,相对于NetScaler的普通NAT。举例如下:
- 可以使用VIP地址做为RNAT的IP地址