Radware Client NAT 配置指导书

Radware NAT 配置指导书

配置 Radware Client NAT 指导书

Radware 广州代表处

2007.12

1

Radware NAT 配置指导书

Revision record 修订记录

Date 日期 2007-11-15 2007-11-30 2007-12-3 Revision Version 修订版本 1.00 1.1 1.2 1.3 1.4 CR ID CR号 Section Number 修改章节 初稿完成 增加图示 修改拓扑结构 增加健康检查 增加NAT, PING VIP，修改文档结构 刘庆明 刘庆明 刘庆明 刘庆明 刘庆明 Change Description 修改描述 Author 作者 2

Radware NAT 配置指导书

Table of Contents 目 录

第1章 NAT配置 .............................................................................................................................. 6 1.1 NAT功能说明. ......................................................................................................................... 6 1.1.1 Client NAT： ..................................................................................................................... 6 1.1.2 Server NAT： .................................................................................................................... 6 1.1.3 Outbound NAT： .............................................................................................................. 7 1.2 NAT全局参数. ......................................................................................................................... 7 1.3 Client NAT配置. ...................................................................................................................... 8 1.4 Server NAT配置. ................................................................................................................... 12 1.5 Outbound NAT配置. .............................................................................................................. 13 1.6 使用NAT后直接访问服务器IP. ............................................................................................. 15

3

Radware NAT 配置指导书

配置 Radware NAT 指导书

关键词： 摘 要： 缩略语清单： AS Application Switch AD AppDirector NAT Network address translation

4

Radware NAT 配置指导书

图例说明：

创建，创建一个新的条目 删除，删除选定的条目 选择，在删除条目前必须先选择 设置，设置后生效 放弃，放弃当前的改动 帮助，在工作站可以连接Internet的情况下，可以去Radware网站获取当前配置的详细帮助 后退 前进 刷新页面

5

Radware NAT 配置指导书

第1章 NAT配置

Radware AD有三种NAT方式。3种方式各有不同用途，适用不同场景。使用时需要留意其区别。NAT配置与LDAP TCP Splitting无关，仅对其他应用负载均衡参考。

使用NAT功能后，所有的地址翻译表均在Client Table中查看，也就是说，Radware AD并不存在一张动态保存NAT会话的表，NAT会话与负载均衡会话共同使用同一张会话表：Client Table。

1.1 NAT功能说明.

1.1.1 Client NAT：

用户访问VIP做负载均衡时，将用户的源地址翻译成NAT地址。 适用的场景：

1． 需要隐藏用户的源IP地址

2． 当用户和服务器在同一网段，AD采用单臂组网方式时 3． 户需要保留现有网关，不想指向AD

 说明：

不访问VIP，是不能实现Client NAT的。

可以为不同Farm指定不同的NAT地址，也可以多个Farm共用一个NAT地址。

一个NAT地址支持6万个左右的会话。

NAT时，服务器的源端口会发生改变，类似多对一的NAT功能 单向，不能访问NAT地址

TCP Splitting的Farm不能使用Client NAT功能

1.1.2 Server NAT：

服务器主动访问Internat时，将服务器的源地址翻译成VIP地址。通常服务器是私网地址，VIP是公网地址。 适用的场景：

1． 服务器主动访问Internat，服务器是私网地址 2． 用户希望所有服务器都可主动访问 3． 访问时，需要使用VIP地址

 说明：

服务器的IP地址一定在Server table中，未出现的地址AD不做ServerNAT。 全局功能，即全局打开后，所有的Server都可以去Internat。

6

Radware NAT 配置指导书

NAT时，服务器的源端口会发生改变，类似多对一的NAT功能 一个NAT地址支持6万个左右的会话。

翻译后的地址可以是任何配置过的VIP地址或其他指定地址。 使用Server NAT后，服务器不能直接访问

1.1.3 Outbound NAT：

服务器或者任意IP主动访问Internat时，将源地址翻译成NAT地址。

适用的场景：

1． 用户或服务器主动访问Internat，其地址是私网地址 2． 用户需要控制访问的源地址。

 说明：

源地址可以是任意IP地址，可在Server table中出现，也可以是未在AD上配置过的地址，比如用户IP。

功能比Server NAT灵活。 单向，不能访问NAT地址

NAT时，会话源端口会发生改变，类似多对一的NAT功能 使用Outbound NAT后，服务器不能直接访问

1.2 NAT全局参数.

打开 Service > Tuning > Device >. 打开 Device Tuning 配置表

配置完成后，需要重新启动才能生效。

7

Radware NAT 配置指导书

Client NAT需要配置：

 Client NAT Address : 10

//定义最多使用的NAT地址数，这里为10个

Outbound NAT需要配置：

 Outbound NAT Address: 10  Outbound NAT Intercept Range: 10

//定义最多使用的NAT地址数，这里为10个 //定义最多使用的源网段条目数，这里为10条

1.3 Client NAT配置.

1． 全局开启Client NAT：

打开 AppDirector > NAT > Client NAT > Global Parameters. 打开 Client NAT Global Parameters 配置表

将其设置为enable, 需要重启才能生效。

2． 定义NAT Address：翻译后的地址

打开 AppDirector > NAT > Client NAT > NAT Address. 打开 Client NAT Address Table 配置表

8

Radware NAT 配置指导书

From IP Address：定义起始的NAT地址 To IP Address：定义结束的NAT地址

这里使用了一个地址，即翻译成10.194.73.29

3． 定义Client NAT Intercept Table：

打开 AppDirector > NAT > Client NAT > Intercept Addresses. 打开 Client NAT Intercept Table配置表

From IP Address：定义起始的用户源IP地址 To IP Address：定义结束的用户源IP地址

这里配置成对所有用户源地址访问VIP做地址翻译。

4． Farm定义NAT Table：

打开 AppDirector > Farm >Additional Parameters. 打开 Extended Farm Parameters配

9

Radware NAT 配置指导书

置表

Client NAT Address Range：选择刚才定义的NAT地址

5． Server 开启Client NAT功能：

打开 AppDirector > Servers > Application Server Table >. 打开Application Server Table

10

Radware NAT 配置指导书

Client NAT：设置为Enabled

6． 使用Client NAT后的会话表：

AD-Master# appdirector client table

RS CLIENTS Table Total number of clients: 1

Client Address Src P Dst P Farm Name Server Address Attach Date NAT Address NAT P Srv P VIP Address Client Type Attach Time

10.1. 72. 33 2383 1812 Radius-Farm 1. 1. 1. 10 02-12-2007 10.1. 72. 29 60234 0 10.1. 72.153 Client NAT 17:04:03

7． 未使用Client NAT的会话表：

AD-Master# appdirector client table

RS CLIENTS Table Total number of clients: 1

Client Address Src P Dst P Farm Name Server Address Attach Date

11

Radware NAT 配置指导书

NAT Address NAT P Srv P VIP Address Client Type Attach Time

10.1. 72. 33 2380 1812 Radius-Farm 1. 1. 1. 10 02-12-2007 0. 0. 0. 0 0 0 10.1. 72.153 Dynamic 17:04:00

 说明：

Client Type有下列几种类型：

1. Dynamic ，表示是负载均衡的会话

2. Client NAT，表示是负载均衡时对客户源地址做了Client NAT。

3. Server NAT，表示是服务器访问Internat，AD对源地址做了ServerNAT 4. Outbound NAT，表示内网用户访问Internat，AD对源地址做了Outbound NAT

1.4 Server NAT配置.

1． 全局开启Server NAT：

打开 AppDirector > NAT > Server NAT > Global Parameters. 打开 Server NAT Global Parameters 配置表

Server NAT：设置为Enabled

Use Specific NAT Address: 默认为0.0.0.0，即Server使用第一个出现在VIP表中的地址。如果指定，所有的Server 将使用这个VIP地址做NAT地址。

12

Radware NAT 配置指导书

1.5 Outbound NAT配置.

１．定义NAT Address：翻译后的地址

打开 AppDirector > NAT > Outbound NAT > NAT Address. 打开 Outbound NAT Address Table 配置表

From IP Address：定义起始的NAT地址 To IP Address：定义结束的NAT地址

这里使用了一个地址，即翻译成20.1.1.20访问Internet

２．定义Client NAT Intercept Table：

打开 AppDirector > NAT > Client NAT > Intercept Addresses. 打开 Client NAT Intercept Table配置表

13

Radware NAT 配置指导书

Intercept From IP：定义起始的用户源IP地址 To IP：定义结束的用户源IP地址

Aging Time：定义在会话表内的老化时间，默认为60秒，60秒内当前会话没有数据流时，AD就会删除这条会话。

Outbound NAT Address：定义NAT后的地址

这里配置成对服务器1.1.1.10地址访问Internat做地址翻译，翻译为20.1.1.20。

３．全局开启Outbound NAT：

打开 AppDirector > NAT > Outbound NAT > Global Parameters. 打开 Outbound NAT Global Parameters 配置表

Ounbound NAT：设置为Enabled

14

Radware NAT 配置指导书

 说明：

这里需要注意的是，全局功能需要最后打开，否则报以下错误信息： NAT address ranges must be defined before enabling dyn srvr NAT

1.6 使用NAT后直接访问服务器IP.

使用Server NAT或OutBound NAT后，这时候直接访问服务器存在问题。因为直接访问服务器IP时，AD并不会创建Client Table。但是服务器回应时，AD却会创建一条NAT条目，翻译成NAT地址再返回给用户，告成TCP连接状态不一致，用户RESET当前会话。

解决办法：

统计需要直接访问服务器的应用端口，使用VIP，创建L4 Policy，将其做成负载均衡均衡的配置。

15