ADC

入站网络地址转换

当客户端向配置为入站网络地址转换 (INAT) 的 NetScaler 设备发送数据包时,该设备会将数据包的公共目标 IP 地址转换为私有目标 IP 地址,并将数据包转发到该地址的服务器。

支持以下配置:

  • IPv4-IPv4 映射:NetScaler 设备上的公有 IPv4 地址代表私有 IPv4 服务器监听连接请求。NetScaler 设备将数据包的公共目标 IP 地址转换为服务器的目标 IP 地址。然后,设备将数据包转发到该地址的服务器。
  • IPv4-IPv6 映射:NetScaler 设备上的公有 IPv4 地址代表专用 IPv6 服务器监听连接请求。NetScaler 设备使用 IPv6 服务器的 IP 地址作为目标 IP 地址创建一个 IPv6 请求数据包。
  • IPv6-IPv4 映射:NetScaler 设备上的公有 IPv6 地址代表私有 IPv4 服务器监听连接请求。NetScaler 设备使用 IPv4 服务器的 IP 地址作为目标 IP 地址创建一个 IPv4 请求数据包。
  • IPv6-IPv6 映射:NetScaler 设备上的公有 IPv6 地址代表专用 IPv6 服务器监听连接请求。NetScaler 设备将数据包的公共目标 IP 地址转换为服务器的目标 IP 地址。然后,设备将数据包转发到该地址的服务器。

当设备将数据包转发到服务器时,分配给该数据包的源 IP 地址按如下方式确定:

  • 如果启用了使用子网 IP (USNIP) 模式并禁用了使用源 IP (USIP) 模式,则设备将使用子网 IP 地址 (SNIP) 作为源 IP 地址。
  • 如果启用 USIP 模式并禁用 USIP 模式,则设备将使用客户端 IP (CIP) 地址作为源 IP 地址。
  • 如果同时启用 USIP 和 USNIP 模式,则 USIP 模式优先。
  • 您还可以通过设置 ProxYip 参数将 NetScaler 配置为使用唯一的 IP 地址作为源 IP 地址。
  • 如果未启用上述模式且未指定唯一的 IP 地址,则 NetScaler 会尝试使用 MIP 作为源 IP 地址。
  • 如果同时启用了 USIP 和 USNIP 模式并且指定了唯一的 IP 地址,则优先顺序如下:usip-unique IP-usnip-mip-Error。

为了保护 NetScaler 免受 DoS 攻击,您可以启用 TCP 代理。但是,如果您的网络中使用了其他保护机制,则可以将其禁用。

配置 INAT 规则

您可以创建、修改或删除 INAT 条目。

CLI 过程

要使用 CLI 创建 INAT 条目,请执行以下操作:

在命令提示符下,键入以下命令以创建 INAT 条目并验证其配置:

  • add inat <name> <publicIP> <privateIP> [-**tcpproxy** (**ENABLED** | **DISABLED**)] [-**ftp** (**ENABLED** | **DISABLED**)] [-**usip** (**ON** | **OFF**)] [-**usnip** (**ON** | **OFF**)] [-**proxyIP** \<**ip_addr > ipv6_addr>**]
  • show inat [\<name>]

示例:

> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
 Done
<!--NeedCopy-->

要使用 CLI 修改 INAT 条目,请执行以下操作:

要修改 INAT 条目,请键入 set inat 命令、条目名称和要更改的参数及其新值。

要使用 CLI 删除 INAT 配置,请执行以下操作:

在命令提示符下,键入:

  • rm inat <name>

示例:

> rm inat ip4-ip4
 Done
<!--NeedCopy-->

GUI 程序

要使用 GUI 配置 INAT 条目,请执行以下操作:

导航到 系统 > 网络 > 路由 > INAT,然后添加 INAT 条目或编辑现有的 INAT 条目。

要使用 GUI 删除 INAT 配置,请执行以下操作:

导航到 系统 > 网络 > 路由 > INAT,删除 INAT 配置。

INAT 规则的连接故障转移

连接故障转移或连接镜像使主节点能够在高可用性下将连接和持久性信息复制到辅助节点。启用连接镜像后,会定期与辅助节点共享连接的状态信息。

启用连接故障转移可提供更高的可靠性,但代价是会占用一些系统时间来共享状态信息。每次更新数据包或流量状态时,连接数据都会同步到备用单元。因此,它必须仅在连接级别可靠性至关重要的地方使用。

NetScaler 设备高可用性设置支持 INAT 连接的连接故障转移。主节点定期向辅助节点发送 INAT 映射和其他 INAT 相关连接信息。 辅助设备仅在故障转移时使用映射和连接信息。

发生故障转移时,新的主节点会包含有关在故障切换之前建立的 INAT 连接的信息。 因此,即使在故障转移之后,它仍会继续为这些连接提供服务。

从客户的角度来看,故障转移是透明的。在过渡期间,客户端和服务器可能会遇到短暂的中断和重新传输。可以根据 INAT 规则启用连接故障转移。

要在 INAT 规则上启用连接故障转移,您可以使用 CLI 启用该特定 RNAT 规则的 connFailover 参数。

CLI 程序

要使用 CLI 为 INAT 规则启用连接故障转移,请执行以下操作:

要在添加 INAT 规则的同时启用连接故障切换,请在命令提示符下键入:

  • add inat <name> <publicIP> <privateIP> [-**tcpproxy** (**ENABLED** | **DISABLED**)] [-**ftp** ( **ENABLED** | **DISABLED**)] [-**usip** (**ON** | **OFF**)] [-**usnip** (**ON** | **OFF**)] [-**proxyIP** \<ip_addr|ipv6_addr>] -connfailover (ENABLED | DISABLED)

  • 显示 inat <name>

要在修改现有 INAT 规则时启用连接故障转移,请在命令提示符下键入:

  • set inat -connfailover (ENABLED | DISABLED)
  • 显示 inat <name>
入站网络地址转换