Traducción de direcciones de red entrantes
Cuando un cliente envía un paquete a un dispositivo NetScaler que está configurado para la traducción de direcciones de red entrantes (INAT), el dispositivo traduce la dirección IP de destino pública del paquete a una dirección IP de destino privada y reenvía el paquete al servidor en esa dirección.
Se admiten las siguientes configuraciones:
- Mapeo IPv4-IPv4: una dirección IPv4 pública en el dispositivo NetScaler escucha las solicitudes de conexión en nombre de un servidor IPv4 privado. El dispositivo NetScaler traduce la dirección IP de destino pública del paquete a la dirección IP de destino del servidor. A continuación, el dispositivo reenvía el paquete al servidor de esa dirección.
- Mapeo IPv4-IPv6: una dirección IPv4 pública del dispositivo NetScaler escucha las solicitudes de conexión en nombre de un servidor IPv6 privado. El dispositivo NetScaler crea un paquete de solicitud IPv6 con la dirección IP del servidor IPv6 como dirección IP de destino.
- Mapeo IPv6-IPv4: una dirección IPv6 pública del dispositivo NetScaler escucha las solicitudes de conexión en nombre de un servidor IPv4 privado. El dispositivo NetScaler crea un paquete de solicitud IPv4 con la dirección IP del servidor IPv4 como dirección IP de destino.
- Mapeo IPv6-IPv6: una dirección IPv6 pública del dispositivo NetScaler escucha las solicitudes de conexión en nombre de un servidor IPv6 privado. El dispositivo NetScaler traduce la dirección IP de destino pública del paquete a la dirección IP de destino del servidor. A continuación, el dispositivo reenvía el paquete al servidor de esa dirección.
Cuando el dispositivo reenvía un paquete a un servidor, la dirección IP de origen asignada al paquete se determina de la siguiente manera:
- Si el modo usar IP de subred (USNIP) está habilitado y el modo usar IP de origen (USIP) está inhabilitado, el dispositivo usa una dirección IP de subred (SNIP) como dirección IP de origen.
- Si el modo USIP está habilitado y el modo USNIP está inhabilitado, el dispositivo utiliza la dirección IP del cliente (CIP) como dirección IP de origen.
- Si los modos USIP y USNIP están habilitados, el modo USIP tiene prioridad.
- También puede configurar NetScaler para que utilice una dirección IP única como dirección IP de origen, configurando el parámetro proxyIP.
- Si ninguno de los modos anteriores está activado y no se ha especificado una dirección IP única, NetScaler intentará utilizar un MIP como dirección IP de origen.
- Si los modos USIP y USNIP están habilitados y se ha especificado una dirección IP única, el orden de prioridad es el siguiente: USIP-Unique IP-USNIP-MIP-Error.
Para proteger NetScaler de los ataques de DoS, puede habilitar el proxy TCP. Sin embargo, si se utilizan otros mecanismos de protección en la red, puede inhabilitarlos.
Configurar las reglas del INAT
Puede crear, modificar o eliminar una entrada del INAT.
Procedimientos de la CLI
Para crear una entrada INAT mediante la CLI:
En el símbolo del sistema, escriba los siguientes comandos para crear una entrada INAT y verificar su configuración:
- add inat <name><publicIP><privateIP>[-**tcpproxy** (**ACTIVADO** | **DESACTIVADO**)] [-ftp (ACTIVADO | DESACTIVADO)] [-**usip** (0 ACTIVADO 1 | 2 DESACTIVADO 3)] [- 4 usnip 5 6 (7 8 ACTIVADO 9 | DESACTIVADO 0)] [- 1 2 proxyIP\< 3 4 ip_addr 5 > 6 ipv6_addr>] 7 8************
- mostrar en <name>[\]
Ejemplo:
> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
Done
<!--NeedCopy-->
Para modificar una entrada del INAT mediante la CLI:
Para modificar una entrada del INAT, escriba el comando set inat
, el nombre de la entrada y los parámetros que se van a cambiar, con sus nuevos valores.
Para eliminar una configuración de INAT mediante la CLI:
En la línea de comandos, escriba:
- Brazo Linat <name>
Ejemplo:
> rm inat ip4-ip4
Done
<!--NeedCopy-->
Procedimientos de GUI
Para configurar una entrada INAT mediante la interfaz gráfica de usuario:
Vaya a Sistema > Red > Rutas > INATy añada una entrada INAT o edite una entrada INAT existente.
Para eliminar una configuración de INAT mediante la interfaz gráfica de usuario:
Vaya a Sistema > Red > Rutas > INATy elimine la configuración del INAT.
Conmutación por error de conexión para las reglas del INAT
La conmutación por error de conexión o la duplicación de la conexión permiten al nodo principal duplicar la información de conexión y persistencia en el nodo secundario en condiciones de alta disponibilidad. La información de estado de la conexión se comparte con el nodo secundario de forma regular cuando se habilita la duplicación de la conexión.
Habilitar la conmutación por error de conexión proporciona más confiabilidad, pero tiene el costo de que se utilice parte del tiempo del sistema para compartir la información de estado. Los datos de conexión se sincronizan con la unidad en espera con cada actualización del estado del paquete o del flujo. Por lo tanto, debe usarse solo en lugares donde la confiabilidad del nivel de conexión sea de suma importancia.
Las configuraciones de alta disponibilidad del dispositivo NetScaler admiten la conmutación por error de conexión para las conexiones INAT. El nodo principal envía los mapeos del INAT y otra información de conexión relacionada con el INAT al nodo secundario a intervalos regulares. El dispositivo secundario utiliza la información de mapeo y conexión solo en caso de conmutación por error.
Cuando se produce una conmutación por error, el nuevo nodo principal tiene información sobre las conexiones INAT establecidas antes de la conmutación por error. Por lo tanto, sigue prestando servicio a esas conexiones incluso después de la conmutación por error.
Desde la perspectiva del cliente, la conmutación por error es transparente. Durante el período de transición, el cliente y el servidor pueden experimentar una breve interrupción y retransmisiones. La conmutación por error de conexión se puede habilitar según la regla INAT.
Para habilitar la conmutación por error de conexión en una regla de INAT, habilite el parámetro connFailover
de esa regla de RNAT específica mediante la CLI.
Procedimiento CLI
Para habilitar la conmutación por error de conexión para una regla INAT mediante la CLI:
Para habilitar la conmutación por error de conexión al agregar una regla INAT, escriba en el símbolo del sistema:
-
add inat[-**tcpproxy** (**ACTIVADO** | **DESACTIVADO**)] [-ftp (ACTIVADO | DESACTIVADO)] [-**usip** (0 ACTIVADO 1 | 2 DESACTIVADO 3)] [- 4 usnip 5 (6 ACTIVADO 7 | 8 DESACTIVADO 9)] [- 0 1 proxyIP\ 2 3 4 5 <ip_addr|ipv6_addr>] - connfailover 6 (<name><publicIP><privateIPACTIVADO|DESACTIVADO) ************
-
mostrar inat <name>
Para habilitar la conmutación por error de conexión mientras se modifica una regla INAT existente, en la línea de comandos, escriba:
- set inat -connfailover (ACTIVADO | DESACTIVADO**)**
- mostrar inat <name>