上一篇
H3C负载均衡做nat
H3C负载均衡配置NAT需创建虚拟服务器,绑定公网NAT地址与内网真实服务器,启用源地址转换功能,通过轮询/加权算法分发流量,实现公私网映射及多
H3C负载均衡设备NAT功能详解与配置实践
NAT技术基础与负载均衡场景需求
网络地址转换(Network Address Translation,NAT)是网络设备的核心功能之一,主要用于解决以下问题:
- 地址复用:通过端口映射或动态地址转换实现私网地址复用公网IP
- 安全防护:隐藏内网真实IP,避免直接暴露服务器
- 协议转换:适配不同网络环境的地址规范
在负载均衡场景中,NAT的典型应用包括:
| 应用场景 | 技术实现 | 典型拓扑 |
|————————-|———————————–|——————————-|
| 多服务器共享公网IP | SNAT(源地址转换) | 公网IP → 负载均衡器 → 服务器群 |
| 外部访问内网服务 | DNAT(目的地址转换) | 客户端 → 负载均衡器 → 服务器群 |
| 双向地址转换 | 双向NAT(如运营商级应用) | 跨NAT域的双向通信 |
| 端口映射与服务发布 | 静态端口映射+负载均衡算法 | 公网IP:端口 → 多台服务器 |
H3C负载均衡设备NAT类型与特性
H3C负载均衡设备(如LS系列)支持三种核心NAT模式:
| NAT类型 | 转换方向 | 典型用途 | 配置位置 |
|---|---|---|---|
| SNAT | 源IP转换 | 多服务器共享公网IP | 虚拟服务→Real Server映射 |
| DNAT | 目的IP转换 | 外部访问内网服务器 | 监听器配置 |
| 双向NAT | 双向地址转换 | 跨NAT域的主动/被动模式通信 | 高级NAT策略 |
关键特性:
- 智能地址转换:支持基于会话表的动态地址分配
- 负载均衡算法:结合NAT与多种调度算法(轮询/加权/IP哈希等)
- 会话保持机制:通过持久性配置保证会话连续性
- 安全联动:与ACL、防火墙功能协同工作
典型配置实战:SNAT实现多服务器共享公网IP
拓扑环境:
- 公网IP:200.1.1.1(负载均衡器外网口)
- 内网服务器组:192.168.1.10-192.168.1.20
- 服务端口:TCP 80
配置步骤:
创建Real Server组
[LS] realserver-group 1 type ip [LS-rsgroup-1] ip 192.168.1.0/24 [LS-rsgroup-1] port 80
配置虚拟服务
[LS] virtual-service 1 type nat [LS-vs-1] protocol tcp [LS-vs-1] global-ip 200.1.1.1 [LS-vs-1] global-port 80 [LS-vs-1] schedule round-robin
启用SNAT转换
[LS-vs-1] snat enable [LS-vs-1] realserver-group 1
验证配置
[LS] display vs-session table vs-1
配置效果:
- 外部用户访问
1.1.1:80会被均衡分发到内网服务器 - 服务器响应流量自动进行反向NAT转换
- 支持最大连接数受设备规格限制(需根据型号配置
max-connection参数)
高级配置:DNAT与健康检查协同
需求场景:将多个域名指向同一公网IP的不同后端服务
配置要点:
创建多域名DNAT策略
[LS] nat server protocol tcp global 200.1.1.1 80 inside 192.168.1.10 80 [LS] nat server protocol tcp global 200.1.1.1 443 inside 192.168.1.11 443
配置健康检查
[LS] health-check vs-1 get-vip all-status enable [LS] health-check vs-1 interval 5
会话保持设置
[LS-vs-1] persistence type source-ip aging-time 30 minutes
注意事项:
- DNAT策略需与DNS解析配合使用
- 健康检查需使用VIP地址进行状态检测
- 启用源IP持久性可保证会话连续性
常见问题与解决方案
| 问题现象 | 解决方案 |
|---|---|
| NAT转换后健康检查失败 | 修改健康检查源IP为转换后的公网IP,配置health-check vs-1 source-ip 200.1.1.1 |
| 会话表溢出导致新连接失败 | 增加会话表容量:[LS] nat session memory size 5120,或启用老化机制aging-time 10m |
| 双向NAT通信中断 | 配置动态ARP绑定,启用NAT穿越功能:nat traversal enable |
| SSL卸载后证书异常 | 导入CA证书到设备,配置ssl certificate local-trust |
性能优化建议
连接数控制:
[LS-vs-1] max-connection 10000
硬件加速配置:
[LS] npu enable [LS] session distribute mode weight
监控与日志:
[LS] log buffer size 2048 [LS] monitor enable detail
高可用性配置要点
在主备部署场景下需注意:
- 同步NAT会话表:
vrrp session-sync enable - 虚拟IP配置:
virtual-ip 200.1.1.1 - 心跳检测:
heartbeat interval 1 - 状态同步超时:
sync-timeout 5
FAQs
Q1:如何验证NAT地址转换是否生效?
A1:可通过以下方式验证:
- 在客户端使用
curl或telnet访问转换后的地址 - 在负载均衡器上执行
display nat session查看转换记录 - 使用Wireshark抓包观察目的地址变化
- 登录服务器查看实际接收的请求源IP
Q2:NAT转换后如何配置访问控制?
A2:建议采取以下措施:
- 在转换后位置配置ACL:
acl number 2000 rule permit tcp source 200.1.1.0/24 - 开启防DDoS保护:
[LS] ddos-protection profile 1 - 限制最大新建连接速率:
[LS-vs-1] max-new-connection 500 - 配置黑白名单:`[LS] black-list address 1.2.
