ADC

インバウンドネットワークアドレス変換

クライアントがインバウンドネットワークアドレス変換(INAT)用に構成されたNetScalerアプライアンスにパケットを送信すると、アプライアンスはパケットのパブリック宛先IPアドレスをプライベート宛先IPアドレスに変換し、そのアドレスのサーバーに転送します。

次の構成がサポートされています。

  • IPv4-IPv4マッピング:NetScalerアプライアンスのパブリックIPv4アドレスは、プライベートIPv4サーバーに代わって接続要求を受信します。NetScalerアプライアンスは、パケットのパブリック宛先IPアドレスをサーバーの宛先IPアドレスに変換します。次に、アプライアンスはパケットをそのアドレスのサーバーに転送します。
  • IPv4-IPv6マッピング:NetScalerアプライアンスのパブリックIPv4アドレスは、プライベートIPv6サーバーに代わって接続要求を受信します。NetScalerアプライアンスは、IPv6サーバーのIPアドレスを宛先IPアドレスとしてIPv6リクエストパケットを作成します。
  • IPv6-IPv4マッピング:NetScalerアプライアンスのパブリックIPv6アドレスは、プライベートIPv4サーバーに代わって接続要求を受信します。NetScalerアプライアンスは、IPv4サーバーのIPアドレスを宛先IPアドレスとしてIPv4リクエストパケットを作成します。
  • IPv6-IPv6マッピング:NetScalerアプライアンスのパブリックIPv6アドレスは、プライベートIPv6サーバーに代わって接続要求を受信します。NetScalerアプライアンスは、パケットのパブリック宛先IPアドレスをサーバーの宛先IPアドレスに変換します。次に、アプライアンスはパケットをそのアドレスのサーバーに転送します。

アプライアンスがパケットをサーバーに転送すると、パケットに割り当てられる送信元IPアドレスは次のように決定されます。

  • サブネットIP(USNIP)の使用モードが有効で、ソースIP(USIP)モードの使用が無効になっている場合、アプライアンスは送信元IPアドレスとしてサブネットIPアドレス(SNIP)を使用します。
  • USIPモードが有効で、USNIPモードが無効の場合、アプライアンスはクライアントIP(CIP)アドレスを送信元IPアドレスとして使用します。
  • USIP モードと USNIP モードの両方が有効な場合は、USIP モードが優先されます。
  • ProxyIPパラメーターを設定して、ソースIPアドレスとして一意のIPアドレスを使用するようにNetScalerを構成することもできます。
  • 上記のモードのいずれも有効になっておらず、固有のIPアドレスが指定されていない場合、NetScalerはMIPをソースIPアドレスとして使用しようとします。
  • USIP モードと USNIP モードの両方が有効で、固有の IP アドレスが指定されている場合、優先順位は次のようになります。つまり、USIP 固有 IP-USnip-MIP-Error です。

NetScalerをDoS攻撃から保護するために、TCPプロキシを有効にすることができます。ただし、ネットワークで他の保護メカニズムが使用されている場合は、それらを無効にできます。

INAT ルールの設定

INAT エントリを作成、変更、または削除できます。

CLI のプロシージャ

CLI を使用して INAT エントリを作成するには:

コマンドプロンプトで、次のコマンドを入力して INAT エントリを作成し、その構成を確認します。

  • add inat <name> <publicIP> <privateIP> [-**tcpproxy** (**ENABLED** | **DISABLED**)] [-**ftp** (**ENABLED** | **DISABLED**)] [-**usip** (**ON** | **OFF**)] [-**usnip** (**ON** | **OFF**)] [-**proxyIP** \<**ip_addr > ipv6_addr>**]
  • show inat [\<name>]

例:

> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
 Done
<!--NeedCopy-->

CLI を使用して INAT エントリを変更するには:

INAT エントリを変更するには、 set inat コマンド、エントリの名前、変更するパラメータを新しい値とともに入力します。

CLI を使用して INAT 設定を削除するには:

コマンドプロンプトで入力します。

  • rm inat <name>

例:

> rm inat ip4-ip4
 Done
<!--NeedCopy-->

GUIのプロシージャ

GUI を使用して INAT エントリを設定するには:

[ システム ] > [ ネットワーク ] > [ ルート ] > [ INAT] に移動し、INAT エントリを追加するか、既存の INAT エントリを編集します。

GUI を使用して INAT 設定を削除するには:

[ システム ] > [ ネットワーク ] > [ ルート ] > [ INAT] に移動し、INAT 設定を削除します。

INAT ルールの接続フェイルオーバー

接続フェイルオーバーまたは接続ミラーリングにより、プライマリノードは接続と永続性の情報を高可用性でセカンダリノードに複製できます。接続ミラーリングが有効になっている場合、接続の状態情報は定期的にセカンダリノードと共有されます。

接続フェイルオーバーを有効にすると、信頼性は高くなりますが、状態情報の共有にシステム時間がいくらか消費されるという代償が伴います。接続データは、パケットまたはフローステートが更新されるたびにスタンバイユニットに同期されます。したがって、接続レベルの信頼性が最も重要な場所でのみ使用する必要があります。

NetScalerアプライアンスの高可用性設定は、INAT接続の接続フェイルオーバーをサポートします。プライマリノードは、INATマッピングとその他のINAT関連接続情報を定期的にセカンダリノードに送信します。 セカンダリアプライアンスは、フェイルオーバーが発生した場合にのみマッピングと接続情報を使用します。

フェイルオーバーが発生すると、新しいプライマリノードには、フェイルオーバー前に確立された INAT 接続に関する情報が格納されます。 そのため、フェイルオーバー後もこれらの接続は引き続き提供されます。

クライアントから見ると、フェイルオーバーは透過的です。移行期間中、クライアントとサーバーで短時間の中断と再送信が発生する可能性があります。接続フェイルオーバーは INAT ルールごとに有効にできます。

INAT ルールで接続フェイルオーバーを有効にするには、CLI を使用してその特定の RNAT connFailover ルールのパラメータを有効にします。

CLI 手順

CLI を使用して INAT ルールの接続フェイルオーバーを有効にするには:

INATルールの追加中に接続フェイルオーバーを有効にするには、コマンドプロンプトで次のように入力します。

  • add inat <name> <publicIP> <privateIP> [-**tcpproxy** (**ENABLED** | **DISABLED**)] [-**ftp** ( **ENABLED** | **DISABLED**)] [-**usip** (**ON** | **OFF**)] [-**usnip** (**ON** | **OFF**)] [-**proxyIP** \<ip_addr|ipv6_addr>] -connfailover (ENABLED | DISABLED)

  • show inat <name>

既存の INAT ルールの変更中に接続フェイルオーバーを有効にするには、コマンドプロンプトで次のように入力します。

  • set inat -connfailover (ENABLED | DISABLED)
  • show inat <name>
インバウンドネットワークアドレス変換