ns nat rule

NAT实现方式:

NAT的实现方式有三种,即静态转换(Static Nat)动态转换(Dynamic Nat)端口多路复用(OverLoad)

  • 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
  • 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
  • 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。

影响netscaler做NAT的参数主要分为以下8类:

  • RNAT
  • INAT
  • IP-Mode: (lb_vsrv)
  • netProfile
  • USIP
  • MAC-Mode: (lb_vsrv)
  • Service port=* : (lb_vsrv_VIP:* + ServerIP:*)
  • Service use proxy port

使用调试工具进行抓包,并保存为兼容tcpdump格式。

> start nstrace -tcpdump ENABLED -link ENABLED -size 0

 Done

>

> stop nstrace

 Done

> 
RNAT:

	Support: Static-SNAT / Dynamic-SNAT(default)

	Flow: 192.168.11.201(inside_ClientIP) <---> 192.168.30.191(outside_DestIP)

	192.168.11.201(inside_ClientIP) ---> 192.168.30.191(outside_DestIP)

	192.168.10.41(NATIP_SNIP) ---> 192.168.30.191(outside_DestIP) # Dynamic-SNAT

	192.168.30.191(outside_DestIP) ---> 192.168.10.41(NATIP_SNIP)

	192.168.30.191(outside_DestIP) ---> 192.168.11.201(inside_ClientIP)

INAT:

	Support: Static-DNAT(default)

	Flow: 192.168.30.201(outside_ClientIP) <---> 192.168.10.141(NAT_PublicIP)

	192.168.30.201(outside_ClientIP) ---> 192.168.10.141(NAT_PublicIP)

	192.168.11.1(inside_SNIP) ---> 192.168.11.61(NAT_PrivateIP) # Static-DNAT

	192.168.11.61(NAT_PrivateIP) ---> 192.168.11.1(inside_SNIP)

	192.168.10.141(NAT_PublicIP) ---> 192.168.30.201(outside_ClientIP)

IP-Mode: (lb_vsrv)

	Support: Static-SNAT-DNAT / Dynamic-SNAT-DNAT(default)

	Flow: 192.168.30.201(outside_ClientIP) <---> 192.168.10.106(inside_VIP)

	192.168.30.201(outside_ClientIP) ---> 192.168.10.106(inside_VIP)

	192.168.11.1(inside_SNIP) ---> 192.168.11.61(inside_ServerIP) # Dynamic-SNAT-DNAT

	192.168.11.61(inside_ServerIP) ---> 192.168.11.1(inside_SNIP)

	192.168.10.106(inside_VIP) ---> 192.168.30.201(outside_ClientIP)

netProfile:

	priority: lb_vsrv < service

	Support: Static-SNAT / Dynamic-SNAT(default)

	Flow: 192.168.30.201(outside_ClientIP) <---> 192.168.10.106(inside_VIP)

	192.168.30.201(outside_ClientIP) ---> 192.168.10.106(inside_VIP)

	192.168.11.3(netProfile_SNIP) ---> 192.168.11.61(inside_ServerIP) # Dynamic-SNAT

	192.168.11.61(inside_ServerIP) ---> 192.168.11.3(netProfile_SNIP)

	192.168.10.106(inside_VIP) ---> 192.168.30.201(outside_ClientIP)

USIP:

	Support: Static-SNAT(default)
        # CLI: set service svc_xxx -usip YES -useproxyport YES

	Flow: 192.168.30.201(outside_ClientIP) <---> 192.168.10.106(inside_VIP)

	192.168.30.201(outside_ClientIP) ---> 192.168.10.106(inside_VIP)

	192.168.30.201(outside_ClientIP) ---> 192.168.11.61(inside_ServerIP) # Static-SNAT(default)

	192.168.11.61(inside_ServerIP) ---> 192.168.30.201(outside_ClientIP)

	192.168.10.106(inside_VIP) ---> 192.168.30.201(outside_ClientIP)

	# 一旦启用USIP,所有基于源地址替换的操作全部禁用,不管是默认用SNIP轮训还是指定NetProfile都不生效。

MAC-Mode: (lb_vsrv)

	Support: Dynamic-SNAT(固定目的IP)

	Flow: 192.168.30.201(outside_ClientIP) <---> 192.168.10.149(inside_VIP)

	192.168.30.201(outside_ClientIP) ---> 192.168.10.149(inside_VIP)

	192.168.30.201(outside_ClientIP) ---> 192.168.10.149(inside_VIP) # Dynamic-SNAT(固定目的IP)

	192.168.10.51(outside_ServerIP) ---> 192.168.30.201(outside_ClientIP)

	# 典型使用方式:在三角传输(DSR)传输模式中 , 虚拟服务器需要设置为MAC-Mode,对应的服务设置USIP,并在服务器上设置non-arping interface。

Service port=* : (lb_vsrv_VIP:* + ServerIP:*)

	Support: Dynamic-PNAT(目的端口不变)

	Flow: 192.168.30.201:xxxx(outside_ClientIP) <---> 192.168.10.106:zzzz(inside_VIP)

	192.168.30.201:xxxx(outside_ClientIP) ---> 192.168.10.106:zzzz(inside_VIP)

	192.168.11.1:yyyy(inside_SNIP) ---> 192.168.11.61:zzzz(inside_ServerIP) # Dynamic-PNAT(目的端口不变)

	192.168.11.61:zzzz(inside_ServerIP) ---> 192.168.11.1:yyyy(inside_SNIP)

	192.168.10.106:zzzz(inside_VIP) ---> 192.168.30.201:xxxx(outside_ClientIP)

Service use proxy port :

	# CLI: set service svc_xxx -usip YES -useproxyport NO

	Support: Dynamic-PNAT(源端口不变)

	Flow: 192.168.30.201:xxxx(outside_ClientIP) <---> 192.168.10.106:zzzz(inside_VIP)

	192.168.30.201:xxxx(outside_ClientIP) ---> 192.168.10.106:zzzz(inside_VIP)

	192.168.30.201:xxxx(outside_ClientIP) ---> 192.168.11.61:yyyy(inside_ServerIP) # Dynamic-PNAT(源端口不变)

	192.168.11.61:yyyy(inside_ServerIP) ---> 192.168.30.201:xxxx(outside_ClientIP)

	192.168.10.106:zzzz(inside_VIP) ---> 192.168.30.201:xxxx(outside_ClientIP)

Notice:

	SNIP priority: (uint32)IPv4_SNIP_1 > (uint32)IPv4_SNIP_2
方式 默认方式 可调整方式
RNAT Static-SNAT / Dynamic-SNAT(default) Static-PNAT / Dynamic-PNAT
INAT Static-DNAT(default) Static-PNAT
IP-Mode: (lb_vsrv) Static-SNAT-DNAT / Dynamic-SNAT-DNAT(default) Static-PNAT / Dynamic-PNAT
netProfile Static-SNAT / Dynamic-SNAT(default) Static-PNAT / Dynamic-PNAT
USIP Static-SNAT(default) Static-PNAT
MAC-Mode: (lb_vsrv) Dynamic-SNAT(固定目的IP)  
Service port=* : (lb_vsrv_VIP:* + ServerIP:*) Dynamic-PNAT(目的端口不变)  
Service use proxy port Dynamic-PNAT(源端口不变) Static-PNAT / Dynamic-PNAT

============ End

ns nat rule的更多相关文章

  1. Network Object NAT配置介绍

    1.Dynamic NAT(动态NAT,动态一对一) 实例一: 传统配置方法: nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202 ...

  2. RouterOS 设定NAT loopback (Hairpin NAT)回流

    In the below network topology a web server behind a router is on private IP address space, and the r ...

  3. 什么叫NAT,设置NAT的两个方法

    NAT是网络地址翻译就是把公网IP翻译成私有地址, 又叫端口映射或端口转发. 采用路由方式是指ADSL拥有一个动态或固定的公网IP,ADSL直接接在HUB或交换机上,所有的电脑共享上网.这时ADSL的 ...

  4. juniper常用命令(二)

    Juniper防火墙基本命令 常用查看命令 Get int查看接口配置信息 Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表 Get po ...

  5. juniper常用命令

    Juniper防火墙基本命令 get interface ethernet0/0  查看 端口 常用查看命令 Get int 查看接口配置信息 Get int ethx/x 查看指定接口配置信息  G ...

  6. Azure ARM (11) ARM模式下,创建虚拟机并配置负载均衡器

    <Windows Azure Platform 系列文章目录> 本文内容比较多,请大家仔细阅读,谢谢! 在前几章中,我们做了准备工作: 1.创建ARM Resouce Group,叫Lei ...

  7. linux服务之iptables与firewalld

    开发语言: 服务器端:在内核中实现,无守护程序 客户端:一般是cli界面下的iptables命令 相关包:iptables-1.4.7-11.el6.x86_64 netfilter/iptables ...

  8. 基于互联网的VOIP电话系统组建

    原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://wangchunhai.blog.51cto.com/225186/42379   ...

  9. 我和ip_conntrack不得不说的一些事

    面对让人无语的ip_conntrack,我有一种说不出的感觉!自从接触它到现在,已经两年多了,其间我受到过它的恩惠,也被它蹂躏过,被它玩过,但是又不忍心舍弃它,因为我找不到更好的替代.工作中,学习中, ...

随机推荐

  1. ios wkwebview allowFileAccessFromFileURLs

    最近在做 cordova 打包 ios 的项目(webpack 打包 vue项目后,再用 cordova 打包).在加载 file:/// 协议时因为 webview安全机制有一些报错.SK各种找解决 ...

  2. python 通过 实例方法 名字的字符串调用方法

    方式1 - 反射 hasattr 方法 判断当前实例中是否有着字符串能映射到的属性或者方法, 一般会在  getattr 之前作为判断防止报错 getattr 方法 获取到当前实例中传入字符串映射到的 ...

  3. 001-软件架构概览、maven补充【分包工程、合并包、web容器插件】、git补充

    一.整体概述 1.1.共性问题 技术瓶颈.不成体系.不能实际使用.不能落地.无法入门 1.2.目标-软件架构 专注于构建:高可扩展.高性能.大数据量.高并发.分布式的系统架构. 各项技术.组合构建分布 ...

  4. 关于 /proc/sys/net/ipv4/下 文件的详细解释

    关于 /proc/sys/net/ipv4/下 文件的详细解释: 1) /proc/sys/net/ipv4/ip_forward  该文件表示是否打开IP转发.      0,禁止      1,转 ...

  5. Linux批量处理常用方式

    批量处理思路在工作中使用的频率比较高,比如批量清理进程.批量删除文件.批量机器执行脚本等. 一.批量清理带java字样的进程 方式1:使用shell while语法. ${line}; done sh ...

  6. mysql8修改密码问题

    查看初始密码: grep "temporary password" /var/log/mysqld.log 查看validate_password变量 SHOW VARIABLES ...

  7. Django-DRF(1)

    一. WEB应用模式 在开发Web应用中,有两种应用模式: 1. 前后端不分离 2. 前后端分离 二. API接口 为了在团队内部形成共识.防止个人习惯差异引起的混乱,我们需要找到一种大家都觉得很好的 ...

  8. pramfs安装

    1. 拷贝 linux-3.11 pramfs-1.5.0-3.11 pramfs-Tools 到电脑中(我是新建目录linux中) 2.解压 3.cd pramfs-1.5.0-3.11/ 4.将p ...

  9. 添加SSH keys到github帐号

    使用git clone命令从github上同步github上的代码库时,如果使用SSH链接(如我自己的esesgrid项目:git@github.com:hmilycc/esesgrid.git),而 ...

  10. 非阻塞IO可以等同异步IO嘛?

    脑壳短路的一瞬间,黑人问号? 在这个问题之前,我们先了解下IO的过程,下图是异步IO,做个参照(图片随便找的,侵权联系小弟删除) 简单叙述下windows同步IO的流程(图片描述的是异步IO) 1.调 ...