RADWAREAppDirectorPartNAT.ppt

AppDirector 培训第3部分： NAT NAT Radware AD有三种NAT方式 Server NAT：当服务器对外主动发起访问时，AD做源地址转换，只将服务器发送的请求数据包的源地址IP翻译为L4 Policy的IP地址，源端口保留； Client NAT：当用户对VIP发起请求时， AD做源地址转换，AD将用户请求的数据包的源地址转换为指定IP地址，源端口做动态转换； OutboundNAT：当服务器或AD内部的其他IP对外主动发起访问时，AD做源地址转换，将服务器发送的请求数据包的源地址IP翻译为指定的IP地址，源端口做动态转换； Server NAT Server NAT：当服务器对外主动发起访问时，AD做源地址转换 全局选项，对所有服务器生效 可选择某一个VIP，将服务器发送的请求数据包的源地址IP翻译该VIP 如果选择0.0.0.0，将服务器发送的请求数据包的源地址IP翻译为服务器所属Farm所对应的VIP 源端口保留； Server NAT 未启动 Server NAT 已启动 Server NAT 配置 Client NAT Client NAT：当用户对VIP发起请求时， AD把数据包发给服务器时： 不仅转换目的地址； 还要源地址转换，AD将用户请求的数据包的源地址转换为指定IP地址 源端口做动态转换； Client NAT 未启动 Client NAT 已启动 Client NAT 使用场景1 Client NAT 使用场景1 Client NAT 使用场景2 Client NAT 使用场景2 Client NAT配置步骤 启动ClientNAT 配置需要做Client NAT的用户IP地址范围：Intercept 配置用于ClientNAT的IP地址范围：NAT Address 在需要的Farm中启动需在使用的NAT Address 在Server属性中启动ClientNAT Client NAT 配置 1 - Intercept Client NAT 配置 2 – NAT Address ClientNAT配置 3 - Farm扩展参数 ClientNAT配置 4 - Server管理 OutBound NAT OutboundNAT：当服务器或AD内部的其他IP对外主动发起访问时： AD做源地址转换，将服务器发送的请求数据包的源地址IP翻译为指定的IP地址 可以使用VIP，或其他IP 源端口做动态转换 只对定义的服务器有效，而非所有服务器 NAT管理 开始配置 配置ClientNAT 是否需要ClientNAT 添加Farm Yes NO 添加Sever 是否需要L7对话保持 配置L7对话保持 Yes 是否需要L7策略 添加L4策略 配置L7策略 Yes NO NO 基 本 配 置 增 强 配 置 192.168.1.10 192.168.1.11 192.168.1.12 4.3.2.1 VIP – 1.1.1.100 Source IP : 192.168.1.10 Source Port: 8888 Source IP : 192.168.1.10 Source Port: 8888 192.168.1.10 192.168.1.11 192.168.1.12 4.3.2.1 VIP – 1.1.1.100 Source IP : 192.168.1.10 Source Port: 8888 Source IP : 1.1.1.100 Source Port: 8888 AppDirector NAT Server NAT Global Parameters 0.0.0.0 使用Server隶属的Farm IP或Superfarm IP 列表中选择 所有服务器都使用该IP 必须Enable Server1 Server2 Server3 Client IP ：6.5.4.3 VIP Source IP ：6.5.4.3 Source Port：8888 Destination IP = VIP Source IP ： 6.5.4.3 Source Port：8888 Destination IP：Server 3 Server 可以看见Client 真实源地址 Server1 Server2 Server3 Client IP ：6.5.4.3 VIP Source IP ：6.5.4.3 Source Port：8888 Destination IP ：VIP Source IP ：1.2.3.4 Source Port：4321 Destination IP： Server 3 Server 不可以看见Client 真实源地址