Part4-负载均衡管理进阶篇-NAT

AppDirector

培训

第四部分：负载均衡进阶-NAT

1NAT管理开始配置配置ClientNAT是否需要ClientNAT添加FarmYesNO添加Sever是否需要L7对话保持配置L7对话保持Yes是否需要L7策略添加L4策略配置L7策略YesNONO基本配置增强配置2NATRadwareAD有三种NAT方式

ServerNAT：当服务器对外主动发起访问时，AD做源地址转换，只将服务器发送的请求数据包的源地址IP翻译为L4Policy的IP地址，源端口保留；ClientNAT：当用户对VIP发起请求时，AD做源地址转换，AD将用户请求的数据包的源地址转换为指定IP地址，源端口做动态转换；OutboundNAT：当服务器或AD内部的其他IP对外主动发起访问时，AD做源地址转换，将服务器发送的请求数据包的源地址IP翻译为指定的IP地址，源端口做动态转换；

3ServerNATServerNAT：当服务器对外主动发起访问时，AD做源地址转换全局选项，对所有服务器生效可选择某一个VIP，将服务器发送的请求数据包的源地址IP翻译该VIP如果选择0.0.0.0，将服务器发送的请求数据包的源地址IP翻译为服务器所属Farm所对应的VIP源端口保留；

4192.168.1.10192.168.1.11192.168.1.124.3.2.1VIP–1.1.1.100SourceIP:192.168.1.10SourcePort:8888ServerNAT未启动SourceIP:192.168.1.10SourcePort:88885192.168.1.10192.168.1.11192.168.1.124.3.2.1VIP–1.1.1.100ServerNAT已启动SourceIP:192.168.1.10SourcePort:8888SourceIP:1.1.1.100SourcePort:88886ServerNAT配置

AppDirector>NAT>ServerNAT>GlobalParameters0.0.0.0>使用Server隶属的FarmIP或SuperfarmIP列表中选择>所有服务器都使用该IP必须Enable7ClientNATClientNAT：当用户对VIP发起请求时，AD把数据包发给服务器时：不仅转换目的地址；还要源地址转换，AD将用户请求的数据包的源地址转换为指定IP地址源端口做动态转换；8Server1Server2Server3ClientIP：6.5.4.3VIPSourceIP

：6.5.4.3SourcePort：8888DestinationIP=VIPSourceIP

：6.5.4.3SourcePort：8888DestinationIP：Server3Server可以看见Client真实源地址ClientNAT未启动9Server1Server2Server3ClientIP：6.5.4.3VIPSourceIP

：6.5.4.3SourcePort：8888DestinationIP

：VIPSourceIP

：1.2.3.4SourcePort：4321DestinationIP：Server3Server不可以看见Client真实源地址ClientNAT已启动NAT10192.168.1.1192.168.1.2SourceIP

：192.168.1.111SourcePort：8888DestinationIP=192.168.1.100SourceIP

：192.168.1.111SourcePort：8888DestinationIP：192.168.1.2Server可以看见Client真实源地址，通过ARP协议即可查找到Client的MAC地址，直接回复ClientNAT使用场景1Client192.168.1.111SourceIP

：192.168.1.2DestinationIP：192.168.1.111问题：用户和服务器处于相同子网，即一个广播域内VIP：192.168.1.10011192.168.1.1192.168.1.2SourceIP

：192.168.1.111SourcePort：8888DestinationIP=192.168.1.100SourceIP

：192.168.1.222SourcePort：4321DestinationIP：192.168.1.2Server无法看见用户真实IP，回复给ClientNAT后的IPClientNAT使用场景1Client192.168.1.111SourceIP

：192.168.1.2DestinationIP：192.168.1.222Client：隐藏源地址NATVIP：192.168.1.1001210.1.1.110.1.1.2VIP：10.1.1.100SourceIP

：192.168.1.111SourcePort：8888DestinationIP=10.1.1.100SourceIP

：192.168.1.111SourcePort：8888DestinationIP：10.1.1.2Server可以看见Client真实源地址，响应直接发给路由器转发给用户ClientNAT使用场景2Client192.168.1.111SourceIP

：10.1.1.2DestinationIP：192.168.1.111问题：服务器的默认网关不是AD，而是路由器1310.1.1.110.1.1.2VIP：10.1.1.100SourceIP

：192.168.1.111SourcePort：8888DestinationIP=10.1.1.100SourceIP

：10.1.1.222SourcePort：4321DestinationIP：10.1.1.2ClientNAT使用场景2Client192.168.1.111SourceIP

：10.1.1.2DestinationIP：10.1.1.222问题：隐藏源地址NATServer无法看见用户真实IP，回复给ClientNAT后的IP14ClientNAT配置步骤启动ClientNAT配置需要做ClientNAT的用户IP地址范围：Intercept配置用于ClientNAT的IP地址范围：NATAddress在需要的Farm中启动需在使用的NATAddress在Server属性中启动ClientNAT15ClientNAT配置1-Intercept

AppDirector>NAT>ClientNAT>InterceptTableFromClientIP:需要做源地址转换的客户IP网络起始地址ToClientIP:需要做源地址转换的客户IP网络起始地址注意：如果需要对所有用户实现源地址转换，则可以定义为0.0.0.1~255.255.255.25416ClientNAT配置2–NATAddress

AppDirector>NAT>ClientNAT>NATAddressFromIPAddress:源地址转换所使用的IP网络起始地址ToIPAddress:源地址所使用的IP网络起始地址17ClientNAT配置3-Farm扩展参数

AppDirector>Farm>ExtendedParameters.ClientNATAddressRange:源选择使用的ClientNAT地址段18ClientNAT配置4-Server管理

AppDirector>Servers>ApplicationServers>Table>CreateClientNAT:选择Enable19OutBoundNATOutboundNAT：当服务器或AD内部的其他IP对外主动发起访问时：AD做源地址转换，将服务器发送的请求数据包的源地址IP翻译为指定的IP地址可以使用VIP，或其他IP源端口做动态转换只对定义的服务器有效，而非所有服务器20实验四21实验四：拓扑192.168.2.11/24192.168.2.21/24192.168.2.31/24192.168.2.61/24192.168.2.51/24192.168.2.41/2410.1.1.11/2410.1.1.21/2410.1.1.31/2410.1.1.41/2410.1.1.51/2410.1.1.61/241