RNAT
En la traducción inversa de direcciones de red (RNAT), el dispositivo NetScaler reemplaza las direcciones IP de origen de los paquetes generados por los servidores por direcciones IP de NAT públicas. De forma predeterminada, el dispositivo usa una dirección SNIP como dirección IP de NAT. También puede configurar el dispositivo para que utilice una dirección IP NAT única para cada subred. También puede configurar RNAT mediante Listas de control de acceso (ACL). Los modos Use Source IP (USIP), Use Subnet IP (USNIP) y Link Load Balancing (LLB) afectan al funcionamiento del RNAT. Puede mostrar estadísticas para monitorear el RNAT.
Nota: El rango de puertos efímeros para RNAT en el dispositivo NetScaler es 1024-65535.
Puede usar una dirección de red o una ACL extendida como condición para una entrada de RNAT:
-
Uso de una dirección de red. Cuando utiliza una dirección de red, el procesamiento de RNAT se realiza en todos los paquetes procedentes de la red especificada.
-
Uso de ACL extendidas. Cuando utiliza las ACL, el procesamiento de RNAT se realiza en todos los paquetes que coinciden con las ACL. Para configurar el dispositivo NetScaler para que utilice una dirección IP única para el tráfico que coincida con una ACL, debe realizar las tres tareas siguientes:
- Configure la ACL.
- Configure RNAT para cambiar la dirección IP de origen y el puerto de destino.
- Aplique la ACL.
El siguiente diagrama ilustra el RNAT configurado con una ACL.
Figura 1. RNAT con una ACL
Dispone de las siguientes opciones básicas para el tipo de dirección IP NAT:
-
Uso de un SNIP como dirección IP de NAT. Cuando se utiliza un SNIP como dirección IP de NAT, el dispositivo NetScaler reemplaza las direcciones IP de origen de los paquetes generados por el servidor por un SNIP. Por lo tanto, la dirección SNIP debe ser una dirección IP pública. Si el modo Usar IP de subred (USNIP) está activado, NetScaler puede usar una dirección IP de subred (SNIP) como dirección IP de NAT.
-
Uso de una dirección IP única como dirección IP de NAT. Cuando se utiliza una dirección IP única como dirección IP de NAT, el dispositivo NetScaler reemplaza las direcciones IP de origen de los paquetes generados por el servidor por la dirección IP única especificada. La dirección IP única debe ser una dirección IP pública propiedad de NetScaler. Si se configuran varias direcciones IP de NAT para una subred, la selección de IP de NAT utiliza el algoritmo de operación por turnos.
Esta configuración se ilustra en el siguiente diagrama.
Figura 2. Uso de una dirección IP única como dirección IP de NAT
Antes de comenzar
Antes de configurar una regla de RNAT, tenga en cuenta los siguientes puntos:
-
Cuando RNAT y Use Source IP (USIP) están configurados en el dispositivo NetScaler, RNAT tiene prioridad. En otras palabras, la dirección IP de origen de los paquetes, que coincide con una regla de RNAT, se reemplaza de acuerdo con la configuración de la regla de RNAT.
-
En una topología en la que el dispositivo NetScaler realiza tanto el equilibrio de carga de enlaces (LLB) como el RNAT para el tráfico que se origina en el servidor, el dispositivo selecciona la dirección IP de origen en función del enrutador. La configuración LLB determina la selección del router. Para obtener más información sobre LLB, consulte Equilibrio de carga de vínculos.
Configurar RNAT
Las siguientes instrucciones proporcionan procedimientos de línea de comandos independientes para crear entradas de RNAT que utilicen diferentes condiciones y diferentes tipos de direcciones IP de NAT. En la GUI, todas las variaciones se pueden configurar en el mismo cuadro de diálogo, por lo que solo hay un procedimiento para los usuarios de la GUI.
Procedimientos de la CLI
Para crear una regla de RNAT mediante la CLI:
En el símbolo del sistema, para crear la regla y verificar la configuración, escriba:
add rnat <name> (<network> | (<aclname> [-redirectPort <port>]))
bind rnat <name> <natIP>@ …
show rnat
Para modificar o eliminar una regla de RNAT mediante la CLI:
-
Para modificar una regla de RNAT:
set rnat <name> (<aclname> [-redirectPort <port>])
-
Para eliminar una regla de RNAT, escriba el comando.
rm rnat <name>
Utilice el siguiente comando para comprobar la configuración:
show rnat
Ejemplos:
A network address as the condition and a SNIP address as the NAT IP address:
> add rnat RNAT-1 192.168.1.0 255.255.255.0
Done
A network address as the condition and a unique IP address as the NAT IP address:
> add rnat RNAT-2 192.168.1.0 255.255.255.0
Done
> bind rnat RNAT-2 -natip 10.102.29.50
Done
If instead of a single NAT IP address you specify a range, RNAT entries are created with all the NetScaler-owned IP addresses, except the NSIP, that fall within the range specified:
> add rnat RNAT-3 192.168.1.0 255.255.255.0
Done
> bind rnat RNAT-3 -natip 10.102.29.[50-110]
Done
An ACL as the condition and a SNIP address as the NAT IP address:
> add rnat RNAT-4 acl1
Done
An ACL as a condition and a unique IP address as the NAT IP address:
> add rnat RNAT-4 acl1
Done
> bind rnat RNAT-4 -natip 10.102.29.50
Done
If instead of a single NAT IP address you specify a range, RNAT entries are created with all the NetScaler-owned IP addresses, except the NSIP, that fall within the range specified:
> add rnat RNAT-5 acl1
Done
> bind rnat RNAT-5 -natip 10.102.29.[50-70]
Done
<!--NeedCopy-->
Procedimientos de GUI
Para crear una entrada de RNAT mediante la interfaz gráfica de usuario:
Vaya a Sistema > Red > NAT, haga clic en la ficha RNAT y añada una nueva regla de RNAT o edite una regla existente.
Monitorear RNAT
Puede mostrar las estadísticas del RNAT para solucionar problemas relacionados con la traducción de direcciones IP.
La siguiente tabla describe las estadísticas asociadas al RNAT y al RNAT IP.
Estadística | Descripción |
---|---|
Bytes recibidos | Bytes recibidos durante las sesiones de RNAT |
Bytes enviados | Bytes enviados durante las sesiones de RNAT |
Paquetes recibidos | Paquetes recibidos durante las sesiones de RNAT |
Paquetes enviados | Paquetes enviados durante las sesiones de RNAT |
Syn enviado | Solicitudes de conexiones enviadas durante las sesiones de RNAT |
Períodos de sesiones en curso | Sesiones de RNAT actualmente activas |
Para ver las estadísticas del RNAT mediante la CLI:
En el símbolo del sistema, escriba:
- alquiler estatal
Ejemplo:
> stat rnat
RNAT summary
Rate (/s) Total
Bytes Received 0 0
Bytes Sent 0 0
Packets Received 0 0
Packets Sent 0 0
Syn Sent 0 0
Current RNAT sessions -- 0
Done
>
<!--NeedCopy-->
Para supervisar el RNAT mediante la interfaz gráfica de usuario:
Vaya aSistema>Red>NAT, haga clic en la fichaRNATy, a continuación, en Estadísticas.
Configurar RNAT6
Las reglas de traducción inversa de direcciones de red (RNAT) para paquetes IPv6 se denominan RNAT6s. Cuando un paquete IPv6 generado por un servidor cumple las condiciones especificadas en la regla RNAT6, el dispositivo reemplaza la dirección IPv6 de origen del paquete IPv6 por una dirección IPv6 NAT configurada antes de reenviarlo al destino. La dirección IPv6 de NAT es una de las direcciones SNIP6 o VIP6 propiedad de NetScaler.
Al configurar una regla de RNAT6, puede especificar un prefijo IPv6 o una ACL6 como condición:
- Uso de una dirección de red IPv6. Cuando utiliza un prefijo IPv6, el dispositivo realiza el procesamiento de RNAT en los paquetes IPv6 cuya dirección IPv6 coincide con el prefijo.
- Uso de ACL6s. Cuando utiliza una ACL6, el dispositivo realiza el procesamiento de RNAT en los paquetes IPv6 que coinciden con las condiciones especificadas en la ACL6.
Dispone de una de las siguientes opciones para configurar la dirección IP de NAT:
-
Especifique un conjunto de direcciones SNIP6 y VIP6 propiedad de NetScaler para una regla RNAT6. El dispositivo NetScaler utiliza cualquiera de las direcciones IPv6 de este conjunto como dirección IP NAT para cada sesión. La selección se basa en el algoritmo de todos contra todos y se realiza para cada sesión.
-
No especifique ninguna dirección SNIP6 o VIP6 propiedad de NetScaler para una regla de RNAT6. El dispositivo NetScaler utiliza cualquiera de las direcciones SNIP6 o VIP6 propiedad de NetScaler como dirección IP de NAT. La selección se basa en la red de siguiente salto a la que está destinado un paquete IPv6 que coincida con la regla RNAT.
Procedimientos de la CLI
Para crear una regla de RNAT6 mediante la CLI:
En el símbolo del sistema, para crear la regla y verificar la configuración, escriba:
- **agregar rnat6** <name>(<network> | (<acl6name>[-**Puerto de redireccionamiento** \
])) - bind rnat6 <name> <natIP6>@ …
- mostrar rnat6
Para modificar o eliminar una regla de RNAT6 mediante la CLI:
- Para modificar una regla de RNAT6 cuya condición sea una ACL6, escriba el comandoset rnat6, seguido de un nuevo valor para el parámetro RedirectPort. <name>
- <name>Para eliminar una regla de RNAT6, escriba el comando clear rnat6 .
Procedimientos de GUI
Para configurar una regla de RNAT6 mediante la interfaz gráfica de usuario:
Vaya a Sistema > Red > NAT, haga clic en la ficha RNAT6 y añada una nueva regla de RNAT6 o edite una regla existente.
Monitor RNAT6
Puede mostrar las estadísticas relacionadas con la función RNAT6 para supervisar el rendimiento o solucionar problemas relacionados con la función RNAT6. Puede mostrar un resumen de las estadísticas de las reglas RNAT6 o de una regla de RNAT6 en particular. Los contadores estadísticos reflejan los eventos ocurridos desde la última vez que se reinició el dispositivo NetScaler. Todos estos contadores se restablecen a 0 cuando se reinicia el dispositivo NetScaler.
A continuación se enumeran algunos de los contadores de estadísticas asociados a la función RNAT6:
- Bytes recibidos : total de bytes recibidos durante las sesiones de RNAT6.
- Bytes enviados : número total de bytes enviados durante las sesiones de RNAT6.
- Paquetes recibidos : número total de paquetes recibidos durante las sesiones de RNAT6.
- Paquetes enviados : número total de paquetes enviados durante las sesiones de RNAT6.
- Sincronización enviada : número total de solicitudes de conexiones enviadas durante las sesiones de RNAT6
- Sesiones actuales: sesiones de RNAT6 actualmente activas
Para mostrar un resumen de las estadísticas de todas las reglas de RNAT6 mediante la CLI:
En el símbolo del sistema, escriba:
- inicio rnat6
Para mostrar las estadísticas de una regla de RNAT6 especificada mediante la CLI:
En el símbolo del sistema, escriba:
- iniciar rnat6 [\<rnat6 rule name>]
Para mostrar las estadísticas de RNAT6 mediante la GUI:
Vaya aSistema>Red>NATs, haga clic en la fichaRNAT6y, a continuación, en Estadísticas.
> stat rnat6
RNAT6 summary
Rate (/s) Total
Bytes Received 178 20644
Bytes Sent 178 20644
Packets Received 5 401
Packets Sent 5 401
Syn Sent 0 2
Current RNAT6 sessions -- 1
Done
<!--NeedCopy-->
Hora de inicio del registro y motivos de cierre de conexión en las entradas de registro de RNAT
Para diagnosticar o solucionar problemas relacionados con el RNAT, el dispositivo NetScaler registra las sesiones de RNAT cada vez que se cierran.
Un mensaje de registro de una sesión de RNAT consta de la siguiente información:
- Dirección IP propiedad de NetScaler (dirección NSIP o dirección SNIP) de la que proviene el mensaje de registro
- Marca de fecha y hora de creación del registro
- Protocolo de la sesión de la RNAT
- Dirección IP de origen
- Dirección IP RNAT
- Dirección IP de destino
- Hora de inicio de la sesión de RNAT
- Hora de cierre de la sesión de la RNAT
- Total de bytes enviados por el dispositivo NetScaler para esta sesión de RNAT
- Total de bytes recibidos por el dispositivo NetScaler para esta sesión de RNAT
- Motivo del cierre de la sesión de la RNAT. El dispositivo NetScaler registra el motivo del cierre de las sesiones TCP RNAT que no utilizan el proxy TCP (el proxy TCP desactivado) del dispositivo. Los siguientes son los tipos de motivos de cierre que se registran en las sesiones TCP RNAT:
- FIN TCP. La sesión de RNAT se cerró debido a un FIN de TCP enviado por el dispositivo de origen o de destino.
- TCP RST. La sesión de RNAT se cerró debido a un restablecimiento de TCP enviado por el dispositivo de origen o de destino.
- TIEMPO DE ESPERA. Se agotó el tiempo de espera de la sesión de RNAT.
La siguiente tabla muestra algunos ejemplos de entradas de registro para las sesiones de RNAT.
Tipo de entrada | Ejemplo de entrada de registro |
---|---|
Ejemplo de entrada de registro para una sesión UDP RNAT | 1 de diciembre 15:28:12 |
Ejemplo de entrada de registro para la sesión TCP RNAT. La entrada de registro muestra que la sesión se cerró debido al restablecimiento de TCP. | 1 de diciembre 15:29:59 |
Ejemplo de entrada de registro para la sesión TCP RNAT. La entrada de registro muestra que se agotó el tiempo de espera de la sesión | 1 de diciembre 15:30:12 |
Conmutación por error de conexión con estado para RNAT
La conmutación por error de conexión ayuda a evitar la interrupción del acceso a las aplicaciones implementadas en un entorno distribuido. El dispositivo NetScaler ahora admite la conmutación por error de conexión con estado para las conexiones relacionadas con las reglas de RNAT en una configuración de alta disponibilidad (HA) de NetScaler. En una configuración de HA, la conmutación por error de conexión (o duplicación de conexión) se refiere al proceso de mantener activa una conexión TCP o UDP establecida cuando se produce una conmutación por error.
El dispositivo principal envía mensajes al dispositivo secundario para sincronizar la información actual sobre las conexiones RNAT. El dispositivo secundario usa esta información de conexión solo en caso de conmutación por error. Cuando se produce una conmutación por error, el nuevo dispositivo NetScaler principal tiene información sobre las conexiones establecidas antes de la conmutación por error y, por lo tanto, continúa sirviendo esas conexiones incluso después de la conmutación por error. Desde la perspectiva del cliente, esta conmutación por error es transparente. Durante el período de transición, el cliente y el servidor pueden experimentar una breve interrupción y retransmisiones.
La conmutación por error de conexión se puede habilitar según la regla de RNAT. Para habilitar la conmutación por error de conexión en una regla de RNAT, habilite el parámetro ConnFailover (conmutación por error de conexión) de esa regla de RNAT específica mediante la CLI o la GUI.
Para habilitar la conmutación por error de conexión para una regla de RNAT mediante la CLI:
En el símbolo del sistema, escriba:
set rnat <name> -connfailover (ENABLED | DISABLED)
show rnat
Para habilitar la conmutación por error de conexión para una regla de RNAT mediante la GUI:
- Vaya a Sistema > Red > NATsy, a continuación, haga clic en la ficha RNAT.
- Seleccione Failover de conexión mientras agrega una nueva regla RNAT o mientras modifica una regla existente.
Reserva del puerto de origen para conexiones RNAT a servidores
Para una solicitud que llega a una configuración de RNAT que tiene una o más direcciones IP RNAT y el parámetro Usar puerto proxy inhabilitado, el dispositivo NetScaler utiliza una de las direcciones IP RNAT y el puerto de origen de la solicitud RNAT para conectarse a los servidores. Antes de la compilación 13.0 47.x, la conexión RNAT (mediante el puerto de origen del cliente RNAT) al servidor falla si el mismo puerto de origen ya se ha utilizado en otras conexiones.
-
Puerto de origen inferior a 1024. De forma predeterminada, el dispositivo NetScaler reserva los primeros 1024 puertos de cualquier dirección IP propiedad de NetScaler (incluidas las direcciones IP RNAT). Antes de la compilación 13.0 47.x, la conexión RNAT (mediante el puerto de origen del cliente RNAT) al servidor falla si el puerto de origen de la solicitud RNAT es inferior o igual a 1024. Con la compilación 13.0 47.x, la conexión RNAT (mediante el puerto de origen del cliente RNAT) al servidor se realiza correctamente incluso si el puerto de origen de la solicitud RNAT es inferior o igual a 1024.
-
Puerto de origen superior a 1024. Antes de la compilación 13.0 47.x, la conexión RNAT (mediante el puerto de origen del cliente RNAT) al servidor falla si el mismo puerto de origen ya se ha utilizado en otras conexiones. Con la compilación 13.0 47.x, puede especificar un rango de puertos de origen cliente RNAT en el parámetro
Retain Source Port range
(retainsourceportrange
) como parte de una configuración de RNAT. El dispositivo NetScaler reserva estos puertos de origen de cliente RNAT en la dirección IP RNAT para que se utilicen únicamente para la conexión RNAT a los servidores.
Eliminación de sesiones de RNAT
Puede eliminar cualquier sesión de RNAT no deseada o ineficiente del dispositivo NetScaler. El dispositivo libera inmediatamente los recursos (como el puerto de la dirección IP de NAT y la memoria) asignados a estas sesiones, lo que hace que los recursos estén disponibles para nuevas sesiones. El dispositivo también elimina todos los paquetes posteriores relacionados con estas sesiones eliminadas. Puede eliminar todas las sesiones de RNAT o las sesiones de RNAT seleccionadas del dispositivo NetScaler.
Para borrar todas las sesiones de RNAT mediante la CLI:
En el símbolo del sistema, escriba:
- rantsession al ras
Para borrar sesiones de RNAT selectivas mediante la CLI:
En el símbolo del sistema, escriba:
- **flush rnatsession** <ip_addr**(-**red - máscara de red** )** <netmask> | -**AntiIP** <ip_addr> | <string>-**apodo** )
Para borrar todas las sesiones de RNAT o algunas sesiones selectivas mediante la interfaz gráfica de usuario:
- Navegue hasta Sistema > Red > NATs y, a continuación, haga clic en la ficha RNAT.
- En el menú Acciones, haga clic en Vaciar las sesiones de RNAT para eliminar todas las sesiones de RNAT o algunas de ellas (por ejemplo, eliminar las sesiones de RNAT con una IP de RNAT específica o que pertenezcan a una regla de RNAT específica basada en una red o una ACL).
Configuraciones de ejemplo:
Clear all RNAT sessions existing on a NetScaler appliance
> flush rnatsession
Done
Clear all RNAT sessions belonging to network based RNAT rules that has 203.0.113.0/24 network as the matching condition.
> flush rnatsession -network 203.0.113.0 -netmask 255.255.255.0
Done
Clear all RNAT sessions with RNAT IP 192.0.2.90.
> flush rnatsession -natIP 192.0.2.90
Done
Clear all RNAT sessions belonging to ACL based RNAT rules that has ACL-RNAT-1 as the matching condition.
> flush rnatsession -aclname ACL-RNAT-1
Done
<!--NeedCopy-->
En este artículo
- Antes de comenzar
- Configurar RNAT
- Monitorear RNAT
- Configurar RNAT6
- Monitor RNAT6
- Hora de inicio del registro y motivos de cierre de conexión en las entradas de registro de RNAT
- Conmutación por error de conexión con estado para RNAT
- Reserva del puerto de origen para conexiones RNAT a servidores
- Eliminación de sesiones de RNAT