CLI¶
Обзор¶
По умолчанию ADC работает в режиме Destination NAT: пакет от ADC к Worker отправляется с IP-адресом клиента в качестве исходного адреса, а целевой IP-адрес устанавливается как IP-адрес Worker. В этом сценарии Worker должен иметь маршрут до сетей клиентов. Для публичных сервисов это может быть затруднительно и усложняет настройку маршрутизации на Worker.
Для решения этой проблемы используются NAT-пулы на ADC: пакет от ADC к Worker отправляется с исходным IP-адресом из NAT-пула, а адрес назначения остаётся IP-адресом Worker. Для связи с клиентами Worker нужен только маршрут до IP-адресов NAT-пула ADC.
Настройка¶
Создание пула¶
- nat pool NAME¶
Создать NAT-пул и войти в режим конфигурации.
Добавление диапазона IP-адресов¶
- range A.B.C.D A.B.C.D¶
Два параметра
A.B.C.Dопределяют начало и конец диапазона IP-адресов. Чтобы добавить один IP-адрес, укажите его в качестве обоих параметров, например,range 203.0.113.1 203.0.113.1.Один пул может содержать несколько диапазонов, как смежных, так и несмежных. Количество диапазонов и их размер не ограничены, но общее количество IP-адресов в одном пуле не должно превышать 65536.
Для удаления диапазона используйте ту же команду с префиксом
no. Ранее добавленные диапазоны можно удалять частично. Например, если вы создали диапазонrange 203.0.113.1 203.0.113.5, но вам больше не нужны адреса203.0.113.2и203.0.113.3, вы можете удалить их:no range 203.0.113.2 203.0.113.3. Сессии клиентов, использующие эти адреса, будут автоматически удалены без влияния на клиентов, использующих другие адреса из этого пула. Система автоматически разделит диапазон пула на две части:nat pool default-pool range 203.0.113.1 203.0.113.1 range 203.0.113.4 203.0.113.5 enable
Чтобы восстановить удалённые адреса, введите
range 203.0.113.2 203.0.113.3, и система автоматически объединит диапазоны пула.
Настройка типа пула¶
- type napt¶
Задать тип пула NAPT (используется по умолчанию). Пулы этого типа транслируют как IP-адреса, так и порты, что позволяет нескольким клиентам использовать один IP-адрес.
- type nat¶
Задать тип пула NAT (1:1). Каждому исходному IP-адресу назначается отдельный транслированный IP-адрес. Трансляция портов не выполняется.
- type deterministic block-size (64-64512)¶
Задать тип пула Deterministic NAT. Каждому исходному IP-адресу назначается фиксированный блок портов указанного размера на транслированном IP-адресе. Соответствие адресов до и после NAT определяется детерминированно (без хранения состояния для каждой сессии).
- type port-block-allocation block-size (64-64512)¶
Задать тип пула Port Block Allocation (PBA). Каждому исходному IP-адресу динамически выделяется блок портов указанного размера. При исчерпании блока выделяется следующий.
Настройка режима выделения IP-адресов¶
- pooling <arbitrary|paired>¶
Задать режим выделения IP-адресов из пула:
arbitrary— для каждого нового соединения клиента порт назначается на случайном IP-адресе из пула. На случайно выбранном адресе могут как уже быть порты, назначенные этому клиенту, так и не быть.paired— все соединения одного клиента привязываются к одному и тому же транслированному IP-адресу.
Режим без сохранения состояния¶
- stateless [disable-nat-logging]¶
Включить режим stateless для пула. В этом режиме записи NAT-трансляций не хранятся, что снижает потребление ресурсов. Опциональный параметр
disable-nat-loggingотключает NAT-логирование для данного пула.Для отключения используйте команду
no stateless.
Настройка VRF¶
- vrf NAME¶
Указать VRF, в который будут пересылаться пакеты после трансляции с помощью этого пула. Для возврата к VRF по умолчанию используйте команду
no vrf.
Включение пула¶
- enable¶
Включить NAT-пул.
Соединения клиентов, использующие этот пул, будут автоматически удалены при отключении пула.
Примечание
Перед отключением пула убедитесь, что он не используется ни в одной Target-группе или Worker.
Ограничения¶
- ratio (1-65535)¶
Максимальное количество клиентов на одном транслированном IP-адресе. По умолчанию количество клиентов не ограничено. Для сброса ограничения используйте команду
no ratio.
Установка порогов использования ресурсов¶
Для автоматического мониторинга состояния пула установите верхний и нижний пороги использования ресурсов. Для пулов NAPT ресурсом являются доступные порты на IP-адресах пула.
Чтобы получать уведомления о превышении порогов, необходимо настроить SNMP-трапы.
- thresholds low (0-100)¶
Нижний порог в процентах. Если использование ресурсов опустится ниже этого порога, система будет генерировать уведомления
natv2NotificationPoolUsageLowв соответствии с RFC 7659.
- thresholds high (0-100)¶
Верхний порог в процентах. Если использование ресурсов превысит этот порог, система будет генерировать уведомления
natv2NotificationPoolUsageHighв соответствии с RFC 7659.
- thresholds notification-interval (1-3600)¶
Интервал между уведомлениями о превышении пороговых значений использования ресурсов. По умолчанию уведомления отправляются каждые 20 секунд.
Show-команды¶
- show nat pool¶
Вывести информацию по всем созданным пулам с таблицами использования портов для протоколов ICMP, UDP, TCP и GRE.
trafficsoft# show nat pool ------------------------------------------------------------------------- Pool Name Port Blocks Max Utilized IP ICMP UDP TCP GRE ------------------------------------------------------------------------- p0 - 0% 0% 0% 0% 0% -------------------------------------------------------------------------
- show nat pool NAME¶
Показать информацию для конкретного пула.
trafficsoft# show nat pool p0 -------------------------------------- Used Free Load -------------------------------------- ICMP 0 262140 0% TCP 0 262140 0% UDP 0 262140 0% GRE 0 262140 0% --------------------------------------
где
Free = Number_of_ports_in_pool - Number_of_ports_used.
- show nat pool NAME counters¶
Вывести информацию по счётчикам
Port Map Entries/Creations/Failure Drops.Entries— текущее значение,Creations— общее значение за всё время.
- show nat pool NAME ip¶
Показать информацию о проценте использования портов для ICMP, UDP, TCP и GRE по конкретным IP-адресам в указанном пуле.
- show nat pool NAME paired¶
Показать, какой исходный IP-адрес связан с транслированным.