Traduction des adresses réseau entrantes
Lorsqu’un client envoie un paquet à une appliance NetScaler configurée pour la traduction d’adresses réseau entrantes (INAT), l’appliance traduit l’adresse IP de destination publique du paquet en une adresse IP de destination privée et transmet le paquet au serveur à cette adresse.
Les configurations suivantes sont prises en charge :
- MappageIPv4-IPv4 :une adresse IPv4 publique sur l’appliance NetScaler écoute les demandes de connexion pour le compte d’un serveur IPv4 privé. L’appliance NetScaler traduit l’adresse IP de destination publique du paquet en adresse IP de destination du serveur. L’appliance transmet ensuite le paquet au serveur à cette adresse.
- MappageIPv4-IPv6 : une adresse IPv4 publique sur l’appliance NetScaler écoute les demandes de connexion pour le compte d’un serveur IPv6 privé. L’appliance NetScaler crée un paquet de requête IPv6 avec l’adresse IP du serveur IPv6 comme adresse IP de destination.
- MappageIPv6-IPv4 :une adresse IPv6 publique sur l’appliance NetScaler écoute les demandes de connexion pour le compte d’un serveur IPv4 privé. L’appliance NetScaler crée un paquet de requête IPv4 avec l’adresse IP du serveur IPv4 comme adresse IP de destination.
- MappageIPv6-IPv6 : une adresse IPv6 publique sur l’appliance NetScaler écoute les demandes de connexion pour le compte d’un serveur IPv6 privé. L’appliance NetScaler traduit l’adresse IP de destination publique du paquet en adresse IP de destination du serveur. L’appliance transmet ensuite le paquet au serveur à cette adresse.
Lorsque l’appliance transmet un paquet à un serveur, l’adresse IP source attribuée au paquet est déterminée comme suit :
- Si le mode Utiliser l’adresse IP du sous-réseau (USNIP) est activé et que le mode Utiliser l’adresse IP source (USIP) est désactivé, l’appliance utilise une adresse IP de sous-réseau (SNIP) comme adresse IP source.
- Si le mode USIP est activé et que le mode USNIP est désactivé, l’appliance utilise l’adresse IP du client (CIP) comme adresse IP source.
- Si les modes USIP et USNIP sont activés, le mode USIP est prioritaire.
- Vous pouvez également configurer NetScaler pour qu’il utilise une adresse IP unique comme adresse IP source, en définissant le paramètre ProxyIP.
- Si aucun des modes ci-dessus n’est activé et qu’aucune adresse IP unique n’a été spécifiée, NetScaler tente d’utiliser un MIP comme adresse IP source.
- Si les modes USIP et USNIP sont activés et qu’une adresse IP unique a été spécifiée, l’ordre de priorité est le suivant : USIP-Unique IP-USNIP-MIP-Error.
Pour protéger NetScaler des attaques DoS, vous pouvez activer le proxy TCP. Toutefois, si d’autres mécanismes de protection sont utilisés sur votre réseau, vous pouvez les désactiver.
Configurer les règles INAT
Vous pouvez créer, modifier ou supprimer une entrée INAT.
Procédures CLI
Pour créer une entrée INAT à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez les commandes suivantes pour créer une entrée INAT et vérifier sa configuration :
- add inat <name><publicIP><privateIP>[-**tcpproxy** (**ACTIVÉ** | **DÉSACTIVÉ**)] [-ftp (ACTIVÉ | DÉSACTIVÉ)] [-**usip** (0 1 ACTIVÉ 2 | DÉSACTIVÉ 3)] [- 4 usnip 5 6 (7 ACTIVÉ 8 | 9 DÉSACTIVÉ 0)] [- 1 2 ProxyIP \ < 3 4 ip_addr > 5 6 ipv6_addr>] 7 8************
- afficher dans <name>[\]
Exemple :
> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
Done
<!--NeedCopy-->
Pour modifier une entrée INAT à l’aide de l’interface de ligne de commande :
Pour modifier une entrée INAT, tapez la set inat
commande, le nom de l’entrée et les paramètres à modifier, avec leurs nouvelles valeurs.
Pour supprimer une configuration INAT à l’aide de l’interface de ligne de commande :
À l’invite de commande, tapez :
- m. inat <name>
Exemple :
> rm inat ip4-ip4
Done
<!--NeedCopy-->
Procédures GUI
Pour configurer une entrée INAT à l’aide de l’interface graphique :
Accédez à Système > Réseau > Routes > INAT, puis ajoutez une entrée INAT ou modifiez une entrée INAT existante.
Pour supprimer une configuration INAT à l’aide de l’interface graphique :
Accédez à Système > Réseau > Routes > INAT, supprimez la configuration INAT.
Basculement de connexion pour les règles INAT
Le basculement des connexions ou la mise en miroir des connexions permettent au nœud principal de dupliquer les informations de connexion et de persistance avec le nœud secondaire dans le cadre d’une haute disponibilité. Les informations d’état de la connexion sont partagées régulièrement avec le nœud secondaire lorsque la mise en miroir des connexions est activée.
L’activation du basculement de connexion offre une plus grande fiabilité, mais cela se fait au prix d’une perte de temps du système pour partager les informations d’état. Les données de connexion sont synchronisées avec l’unité de secours à chaque mise à jour de l’état du paquet ou du flux. Il ne doit donc être utilisé qu’aux endroits où la fiabilité du niveau de connexion est primordiale.
Les configurations de haute disponibilité de l’appliance NetScaler prennent en charge le basculement des connexions pour les connexions INAT. Le nœud principal envoie des mappages INAT et d’autres informations de connexion liées à l’INAT au nœud secondaire à intervalles réguliers. L’appliance secondaire utilise les informations de mappage et de connexion uniquement en cas de basculement.
Lorsqu’un basculement se produit, le nouveau nœud principal dispose d’informations sur les connexions INAT établies avant le basculement. Par conséquent, il continue à desservir ces connexions même après le basculement.
Du point de vue du client, le basculement est transparent. Pendant la période de transition, le client et le serveur peuvent rencontrer une brève interruption et retransmissions. Le basculement de connexion peut être activé conformément à la règle INAT.
Pour activer le basculement de connexion sur une règle INAT, vous activez le connFailover
paramètre de cette règle RNAT spécifique à l’aide de l’interface de ligne de commande.
Procédure CLI
Pour activer le basculement de connexion pour une règle INAT à l’aide de l’interface de ligne de commande :
Pour activer le basculement de connexion lors de l’ajout d’une règle INAT, tapez à l’invite de commandes :
-
add inat[-**tcpproxy** (**ACTIVÉ** | **DÉSACTIVÉ**)] [-ftp (ACTIVÉ | DÉSACTIVÉ)] [-**usip** (0 ACTIVÉ 1 | 2 DÉSACTIVÉ 3)] [- 4 usnip 5 (6 ACTIVÉ 7 | 8 DÉSACTIVÉ 9)] [- 0 1 ProxyIP \ 2 3 4 5 6 <ip_addr|ipv6_addr>] - connfailover (<name><publicIP><privateIP** ACTIVÉ | DÉSACTIVÉ) ************
-
montrer inat <name>
Pour activer le basculement de connexion lors de la modification d’une règle INAT existante, à l’invite de commandes, tapez :
- set inat -connfailover (ACTIVÉ | DÉSACTIVÉ**)**
- montrer inat <name>