De acuerdo

NAT de origen trabajando con el escenario Hot Standby con balanceo de carga .

57 0 1 0 0

NAT de origen trabajando con el escenario Hot Standby con 

balanceo de carga


La función de hot standby dual del firewall puede mejorar en gran medida la fiabilidad del dispositivo. Sin embargo, cuando un firewall configurado con la función dual hot standby se utiliza como dispositivo de salida, también es necesario configurar la función NAT para que los usuarios de la intranet accedan a la extranet o los usuarios de la extranet accedan a los servidores de la intranet. En este momento, hay muchas limitaciones debidas al firewall y a las limitaciones de la propia función de hot standby dual. En este artículo, presentaremos estas limitaciones una por una.


ejemplo source NAT

 

Figura 1. Equilibrio de carga de Source NAT y Hot standby

 

NAT No-PAT trabajando con el escenario de Hot Stanby con balanceo de carga 

Sabemos que NAT No-PAT sólo traduce direcciones IP. Supongamos que estamos en la topología anterior, FW A y FW B forman la función de balanceo de carga  como dispositivos de salida. Si configuramos NAT No-PAT tanto en el FW A como en el FW B para convertir la dirección de la intranet, si el PC A y el PC B acceden a la red externa al mismo tiempo, la dirección IP del PC B se convertirá a la IP pública utilizando el grupo de direcciones del FW B y la dirección IP del PC A se convertirá a la IP pública utilizando el grupo de direcciones del FW A. Si el FW A y el FW B eligen la misma dirección IP pública, el firewall fallará al sincronizar la tabla de sesiones, el firewall cometerá un error al sincronizar el contenido de la tabla de sesiones. Además, el tráfico de retorno puede ser reenviado a un dispositivo de salida diferente, por ejemplo, el tráfico reenviado desde el FW A hacia el FW B.

 

Para resolver esta situación, necesitamos un firewall que unifique la gestión del pool de direcciones de traducción y unifique la asignación de direcciones públicas, para evitar la duplicación de direcciones públicas. En el firewall USG, podemos transferir la asignación de direcciones y puertos al mismo dispositivo para su ejecución ejecutando el comando nat resource load-balance enable para garantizar que las direcciones y los puertos asignados a los dos dispositivos no entren en conflicto.

 

Hay que tener en cuenta que cuando se habilita el comando, el tráfico en el puerto heartbeat aumentará y debemos aumentar el ancho de banda de la línea heartbeat si es necesario.

 

NAPT trabajando con escenarios de equilibrio de carga en espera caliente.

Al igual que NAT No-PAT, aunque NAPT no sólo traduce las direcciones IP sino también los números de puerto, NAPT se enfrenta a un problema similar al de NAT No-PAT, es decir, puede haber conflicto de puertos durante la traducción de direcciones en un escenario de Hot Standby con balanceo de carga.


Para evitar este posible conflicto, es necesario configurar los respectivos recursos NAT disponibles en los dos dispositivos. En este caso, puede configurar el comando hrp nat resource primary-group en el dispositivo primario, y el comando hrp nat resource secondary-group se generará automáticamente en el dispositivo de reserva (si el comando hrp nat resource secondary-group está configurado en el dispositivo primario, el comando hrp nat resource primary-group se generará automáticamente en el dispositivo de reserva correspondientemente).


Una vez configurada esta función, los recursos de los dispositivos primario y de reserva se dividen en dos segmentos iguales, donde el grupo primario indica el grupo de recursos del segmento frontal y el grupo secundario indica el grupo de recursos del segmento posterior. Cuando se utiliza el método NAPT, los puertos con direcciones IP públicas se dividen por igual.


Easy IP trabaja con escenarios de equilibrio de carga en espera en caliente.

A diferencia de los modos NAT No-PAT y NAPT, la traducción de direcciones Easy IP no tiene un pool de direcciones y la dirección pública para la traducción de direcciones privadas es la dirección de interfaz saliente del dispositivo. Esto significa que la dirección IP del PC B se convierte en la dirección de la interfaz saliente del FW B y la dirección IP del PC A se convierte en la dirección de la interfaz saliente del FW A. En este momento, si el FW A falla y el tráfico de servicio es heredado por el FW B, debido a la inconsistencia de las direcciones de la interfaz saliente del FW B y del FW A, incluso si el FW B respalda con éxito la tabla de sesiones del FW A, el servicio será anormal debido a las direcciones IP inconsistentes.

 

Por lo tanto, los escenarios de equilibrio de carga Easy IP y hot standby no pueden coexistir.

 

Conclusión.

Además de las limitaciones anteriores, también hay que tener en cuenta que la dirección IP de la interfaz de heartbeat NO DEBE incluirse en la dirección de origen ni en la de destino en la política de NAT, ya que de lo contrario, la función de NAT podría provocar que la conexión de heartbeat deje de funcionar.

 

Hemos introducido brevemente el uso de NAT de origen y los escenarios de Hot Stanby con balanceo de carga  que se resume brevemente en la siguiente tabla:


Función

Problemas Potenciales

Soluciones

NAT No-PAT

Conflicto de   direcciones

Realización   de asignaciones de direcciones por el mismo dispositivo.
 
 
Comando: nat   resource load-balance enable

NAPT

Conflicto   de direcciones y puertos

Reparto   equitativo de recursos en los dispositivos primarios y secundarios.
 
 
Comando en el FW   activo: hrp nat resource primary-group

Easy IP

El   respaldo de las tablas de sesión no funcionan correctamente.

Inconciliables,   incompatibles

 

Tabla 1. Uso combinado de NAT de origen y escenarios de equilibrio de carga en espera en caliente


Saludos.


FIN.


También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

Foro de Internet de las Cosas

                                                         

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.