一、前言
ADC的主要作用是作为服务器的反向代理来进行应用发布的,介于客户端和服务器端之间,那么NAT就是它必然要面临的工作。归根结底,NAT就是ADC的数据转发立身之本。能否支持更多、更灵活、控制力更强的NAT转换就是衡量一个ADC是否合格的关键因素之一。这也对工程师提出了最基本的要求,如果连如何控制NAT都不清楚,那么遇到各种不同的场景就无法做出对应的方案。
二、什么是NAT
1.NAT简介
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。
2.NAT实现方式
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
3.Netscaler的NAT
下面我们主要讨论netscaler的NAT是如何做的,哪些参数影响到netscaler的NAT动作。
影响netscaler做NAT的参数主要分为以下8类:
ü RNAT
ü INAT
ü IP mode
ü Netprofile
ü USIP
ü MAC mode
ü Service port=*
ü Service use proxy port
我们分别针对每个参数做测试和理解,以下是环境概述
实验环境:
Client ip:192.168.20.1
SNIP: 192.168.20.11
192.168.0.21
192.168.10.11
VIP: 172.16.10.10
172.16.10.11
10.10.1.2
Server ip: 192.168.0.50
10.10.1.1
三、影响NAT的参数测试
1.RNAT
客户端的网关是netscaler,但服务器没有客户端的回程路由
客户端直接访问服务器,网络不通
抓包情况:
因为服务器没有客户端192.168.20.1的回程路由,所以ICMP无响应
Netscaler上配置RNAT
客户端的地址由192.168.20.1被netscaler替换为192.168.10.11,遂可以访问服务器资源
抓包情况:
2.INAT
在netscaler上配置INAT策略,将10.10.1.2转换为192.168.0.50
Netscaler中没有建立10.10.1.2的vserver
抓包情况:
用户端192.168.20.1访问10.10.1.2被netscaler转换为192.168.0.21访问192.168.0.50.
用户成功打开页面,在INAT中也可以灵活控制源端口、源地址、目的端口等是否转换。
3.IP mode
IP mode的工作机制是默认同时做源地址和目的地址的替换,即相当于静态NAT
抓包情况:
用户端192.168.20.1访问172.16.10.10,被Netscaler替换为192.168.0.21访问192.168.0.50
4.Netprofile
建立两个Netprofile
将Netprofile_vs绑定到Vserver
抓包情况:
客户端192.168.20.1访问172.16.10.10被Netscaler替换为192.168.10.11访问192.168.0.50,源地址不是snip:192.168.0.21而是Netprofile_vs的地址192.168.10.11
将Netprofile_vs绑定到Vserver同时将Netprofile_service绑定到service
Vserver
Service
抓包情况:
客户端192.168.20.1访问172.16.10.10被Netscaler替换为192.168.10.22访问192.168.0.50,源地址而非Netprofile_vs中的192.168.10.11
通过Netprofile测试说明了Netprofile绑在service的优先级高于vserver
5.USIP
保留Netprofile在service上开启USIP,并将服务器的网关指向netscaler
抓包情况:
用户端192.168.20.1访问172.16.10.10,只有目的地址被Netscaler替换为192.168.0.50,源地址不变。
此项说明一旦启用USIP,netscaler所有基于源地址替换的操作全部禁用,不管是默认用SNIP轮训还是指定Netprofile都不生效。
6.MAC mode
MAC mode不做目的地址替换,必须是any的协议才能启用,主要用在LLB。
配置mac mode的VS、servicegroup、member
10.10.1.1是服务器的第二IP
抓包情况:
客户端192.168.20.1访问10.10.1.1,被netscaler替换源地址192.168.10.11后直接访问10.10.1.1,目的地址不做替换。
当然如果需要也可以控制是否做源地址、源端口、目的端口的替换。
7.Service port=*
服务器同时开启8000口的服务
建立两个service
http协议的8000口和TCP协议的any口
建立两个vserver
抓包情况:
用户端192.168.20.1带端口访问172.16.10.10:3000
被NS同时替换源IP+端口和目的IP+端口,源地址变为192.168.0.21:30748目的地址变为192.168.0.50:8000.
但如果用户访问的是any的Vserver话目的端口不会改变
抓包情况:
用户端192.168.20.1访问172.16.10.11:8000
被netscaler替换为192.168.0.21:40948访问192.168.0.50:8000
访问过程目的端口不会改变。
8.Proxy port
如果想源端口也不变需要去掉use proxy port选项,同时开启USIP
抓包情况:
用户端192.168.20.1:4503访问172.16.10.10:3000
被netscaler替换为192.168.20.1:4503访问192.168.0.50:8000,源地址和源端口不做替换
一、总结:
以上展示了可以控制netscaler NAT行为的所有参数,可知netscaler有非常丰富的参数来根据需要灵活控制NAT行为(对于INAT部分有另一篇文章做详细讨论)根据数通设备习惯的NAT术语,总结了netscaler各个参数对应的NAT类型。
|
项目 |
Netscaler默认情况 |
Netscaler可调整情况 |
|
RNAT |
动、静态SNAT |
动、静态PNAT |
|
INAT |
静态DNAT |
静态PNAT |
|
IP mode |
动、静态SNAT+DNAT |
动、静态PNAT |
|
Netprofile |
动、静态SNAT |
动、静态PNAT |
|
USIP |
静态SNAT |
静态PNAT |
|
MAC mode |
动态SNAT(固定目的IP) |
|
|
Service port=* |
目的端口不变PNAT |
|
|
Service use proxy port |
源端口不变PNAT |
动、静PNAT |