Übersetzung eingehender Netzwerkadressen
Wenn ein Client ein Paket an eine NetScaler-Appliance sendet, die für Inbound Network Address Translation (INAT) konfiguriert ist, übersetzt die Appliance die öffentliche Ziel-IP-Adresse des Pakets in eine private Ziel-IP-Adresse und leitet das Paket an den Server unter dieser Adresse weiter.
Die folgenden Konfigurationen werden unterstützt:
- IPv4-IPv4-Mapping: Eine öffentliche IPv4-Adresse auf der NetScaler-Appliance hört Verbindungsanfragen im Namen eines privaten IPv4-Servers ab. Die NetScaler-Appliance übersetzt die öffentliche Ziel-IP-Adresse des Pakets in die Ziel-IP-Adresse des Servers. Dann leitet die Appliance das Paket an den Server unter dieser Adresse weiter.
- IPv4-IPv6-Mapping: Eine öffentliche IPv4-Adresse auf der NetScaler-Appliance hört Verbindungsanfragen im Namen eines privaten IPv6-Servers ab. Die NetScaler-Appliance erstellt ein IPv6-Anforderungspaket mit der IP-Adresse des IPv6-Servers als Ziel-IP-Adresse.
- IPv6-IPv4-Mapping: Eine öffentliche IPv6-Adresse auf der NetScaler-Appliance hört Verbindungsanfragen im Namen eines privaten IPv4-Servers ab. Die NetScaler-Appliance erstellt ein IPv4-Anforderungspaket mit der IP-Adresse des IPv4-Servers als Ziel-IP-Adresse.
- IPv6-IPv6-Mapping: Eine öffentliche IPv6-Adresse auf der NetScaler-Appliance hört Verbindungsanfragen im Namen eines privaten IPv6-Servers ab. Die NetScaler-Appliance übersetzt die öffentliche Ziel-IP-Adresse des Pakets in die Ziel-IP-Adresse des Servers. Dann leitet die Appliance das Paket an den Server unter dieser Adresse weiter.
Wenn die Appliance ein Paket an einen Server weiterleitet, wird die dem Paket zugewiesene Quell-IP-Adresse wie folgt bestimmt:
- Wenn der Modus „Subnetz-IP verwenden“ (USNIP) aktiviert und der Modus „Quell-IP verwenden“ (USIP) deaktiviert ist, verwendet die Appliance eine Subnetz-IP-Adresse (SNIP) als Quell-IP-Adresse.
- Wenn der USIP-Modus aktiviert und der USNIP-Modus deaktiviert ist, verwendet die Appliance die Client-IP-Adresse (CIP) als Quell-IP-Adresse.
- Wenn sowohl der USIP- als auch der USNIP-Modus aktiviert sind, hat der USIP-Modus Vorrang.
- Sie können den NetScaler auch so konfigurieren, dass er eine eindeutige IP-Adresse als Quell-IP-Adresse verwendet, indem Sie den ProxyIP-Parameter festlegen.
- Wenn keiner der oben genannten Modi aktiviert ist und keine eindeutige IP-Adresse angegeben wurde, versucht der NetScaler, eine MIP als Quell-IP-Adresse zu verwenden.
- Wenn sowohl der USIP- als auch der USNIP-Modus aktiviert sind und eine eindeutige IP-Adresse angegeben wurde, lautet die Rangfolge wie folgt: USIP-Unique IP-USNIP-MIP-Error.
Um den NetScaler vor DoS-Angriffen zu schützen, können Sie den TCP-Proxy aktivieren. Wenn in Ihrem Netzwerk jedoch andere Schutzmechanismen verwendet werden, können Sie diese deaktivieren.
INAT-Regeln konfigurieren
Sie können einen INAT-Eintrag erstellen, ändern oder entfernen.
CLI-Verfahren
Um einen INAT-Eintrag mit der CLI zu erstellen:
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen INAT-Eintrag zu erstellen und dessen Konfiguration zu überprüfen:
- add inat <name> <publicIP> <privateIP> [-**tcpproxy** (**ENABLED** | **DISABLED**)] [-**ftp** (**ENABLED** | **DISABLED**)] [-**usip** (**ON** | **OFF**)] [-**usnip** (**ON** | **OFF**)] [-**proxyIP** \<**ip_addr > ipv6_addr>**]
- show inat [\<name>]
Beispiel:
> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
Done
<!--NeedCopy-->
Um einen INAT-Eintrag mit der CLI zu ändern:
Um einen INAT-Eintrag zu ändern, geben Sie den set inat
Befehl, den Namen des Eintrags und die zu ändernden Parameter mit ihren neuen Werten ein.
Um eine INAT-Konfiguration mit der CLI zu entfernen:
Geben Sie in der Befehlszeile Folgendes ein:
- rm inat <name>
Beispiel:
> rm inat ip4-ip4
Done
<!--NeedCopy-->
GUI-Verfahren
INAT-Eintrag mithilfe der GUI konfigurieren:
Navigieren Sie zu System > Netzwerk > Routen > INATund fügen Sie einen INAT-Eintrag hinzu oder bearbeiten Sie einen vorhandenen INAT-Eintrag.
INAT-Konfiguration mithilfe der GUI entfernen:
Navigieren Sie zu System > Netzwerk > Routen > INATund löschen Sie die INAT-Konfiguration.
Verbindungs-Failover für INAT-Regeln
Verbindungs-Failover oder Verbindungsspiegelung ermöglichen es dem primären Knoten, Verbindungs- und Persistenzinformationen auf den sekundären Knoten zu duplizieren, um eine hohe Verfügbarkeit zu gewährleisten. Die Statusinformationen der Verbindung werden regelmäßig mit dem sekundären Knoten geteilt, wenn die Verbindungsspiegelung aktiviert ist.
Die Aktivierung des Verbindungs-Failovers bietet mehr Zuverlässigkeit, geht jedoch mit dem Preis einher, dass ein Teil der Systemzeit für die gemeinsame Nutzung der Statusinformationen aufgewendet wird. Die Verbindungsdaten werden bei jeder Paket- oder Flow-Status-Aktualisierung mit der Standby-Einheit synchronisiert. Daher darf es nur an Orten verwendet werden, an denen die Zuverlässigkeit der Verbindungsebene von größter Bedeutung ist.
Hochverfügbarkeits-Setups der NetScaler-Appliance unterstützen Verbindungsfailover für INAT-Verbindungen. Der primäre Knoten sendet in regelmäßigen Abständen INAT-Mappings und andere INAT-bezogene Verbindungsinformationen an den sekundären Knoten. Die sekundäre Appliance verwendet die Zuordnungs- und Verbindungsinformationen nur im Falle eines Failovers.
Wenn ein Failover auftritt, enthält der neue primäre Knoten Informationen über die INAT-Verbindungen, die vor dem Failover hergestellt wurden. Daher werden diese Verbindungen auch nach dem Failover weiterhin bereitgestellt.
Aus Sicht des Kunden ist das Failover transparent. Während der Übergangsphase können der Client und der Server eine kurze Unterbrechung und erneute Übertragung erfahren. Der Verbindungsfailover kann gemäß der INAT-Regel aktiviert werden.
Um das Verbindungs-Failover für eine INAT-Regel zu aktivieren, aktivieren Sie den Parameter connFailover
dieser spezifischen RNAT-Regel mithilfe der CLI.
CLI-Verfahren
Verbindungs-Failover für eine INAT-Regel mithilfe der CLI aktivieren:
Um das Verbindungs-Failover beim Hinzufügen einer INAT-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:
-
add inat <name> <publicIP> <privateIP> [-**tcpproxy** (**ENABLED** | **DISABLED**)] [-**ftp** ( **ENABLED** | **DISABLED**)] [-**usip** (**ON** | **OFF**)] [-**usnip** (**ON** | **OFF**)] [-**proxyIP** \<ip_addr|ipv6_addr>] -connfailover (ENABLED | DISABLED)
-
show inat <name>
Um den Verbindungs-Failover zu aktivieren, während eine bestehende INAT-Regel geändert wird, geben Sie in der Befehlszeile Folgendes ein:
- set inat -connfailover (ENABLED | DISABLED)
- show inat <name>