Днат дри: Лампы ДНаТ/ДРИ — купить в интернет-магазине АгроДом в Москве

Содержание

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

 

 

Можно ли в светильник, изготовленный под лампу ДНаТ установить металлогалогенную лампу и наоборот?

 

1. В светильниках наружного освещения (ЖКУ и ГКУ, ЖСУ и ГСУ, ЖТУ и ГТУ), в светильниках для промышленного освещения (ЖСП и ГСП) и прожекторах мощностью 250Вт, 400 Вт  и 1000 Вт применяются одни и те же ПРА, ИЗУ и электрические патроны.
Из выше изложенного следует, что светильники типа ЖКУ, ЖСУ, ЖТУ, ЖСП и  прожекторы ЖО с патроном Е40 мощностью 250Вт, 400 Вт  и 1000 Вт можно эксплуатировать  с лампами ДРИ соответствующей  мощности в прозрачной  колбе. При этом распределение силы света соответственно изменится (см. каталог продукции ООО «Торговый Дом «Светотехника » издательство 2006-1). Типы ламп ДРИ см.
там же. И наоборот, светильники типа ГКУ, ГСУ, ГТУ, ГСП и  прожекторы ГО с патроном Е40мощностью 250Вт, 400 Вт  и 1000 Вт можно эксплуатировать  с лампами ДНаТ соответствующей  мощности.

2. В светильниках и прожекторах мощностью 70 Вт с лампами ДНаТ применяется электрический патрон Е27, выдерживающие высокочастотный импульс 2,5 кВ и в этих светильниках применяются ИЗУ  типа Z 70 К, выдающие этот импульс. В то же время в светильниках и прожекторах мощностью 70 Вт с лампами ДРИ применяется электри-ческий патрон Е27, выдерживающие высокочастотный импульс 5,0 кВ и в этих светиль-никах применяются ИЗУ типа Z 400 МК, выдающие этот импульс. Поэтому светильники и прожекторы мощностью 70 Вт с лампами ДНаТ не могут эксплуатироваться  с лампами ДРИ, а светильники и прожекторы мощностью 70 Вт с лампами ДРИ можно эксплуатировать с лампами ДНаТ этой же мощности.

3. В светильниках и прожекторах мощностью 100 Вт и 150 Вт с лампами ДНаТ применяется электрический патрон Е40 и ИЗУ Z 400 МК. В светильниках и прожекторах тех же мощностей (100 Вт и 150 Вт) с лампами ДРИ применяется электрический патрон Е27, выдерживающие высокочастотный импульс 5,0 кВ и тоже ИЗУ (Z 400 МК).


Поэтому лампы ДНаТ и ДРИ не взаимозаменяемы по причине различия цоколей ламп.  

 

Скажите пожалуйста, взаимозаменяемы ли между собой прожекторы ЖО, РО, ГО07?

Исходя из конструктивных особенностей прожекторов и ламп, сообщаем, что оптическая часть прожекторов позволяет без изменения конструкции менять между собой

 

 

Можно ли использовать ПРА отечественного производства с газорязрядными лампами импортного производства?

В связи с тем, что лампы ДРЛ и ДНаТ как у отечественных, так и у импортных производителей имеют примерно одинаковые характеристики: габаритные размеры, цоколи, рабочие и пусковые токи,  то ПРА производства КЭТЗ можно использовать с лампами импортного производства. С металлогалогенными лампами несколько сложнее, т.к. у разных производителей лампы одинаковой мощности имеют разные рабочие токи, то при подборе пары лампа — ПРА необходимо обращать внимание на рабочие токи ламп и ПРА 

 

Чем отличаются светильники ЖКУ, РКУ и ГКУ? В чём разница между прожекторами ЖО, РО и ГО?

Разница в типе источника света. Первая буква в названии светильника/прожектора обозначает тип используемой в нём лампы:

  • «Ж» — натриевая лампа высокого давления любого производителя: (Лисма ДНаТ, Osram NAV, Philips SON)
  • «Г» — металлогалогенная лампа, необходимо подбирать лампу с соответствующим рабочим током: (Лисма ДРИ, Osram HQI, Philips HРI)
  • «Р» — ртутная лампа любого производителя: (Лисма ДРЛ, Osram HQL, Philips HPL)
  • «Д» — светодиоды
  • «И» — галогенная лампа накаливания (Лисма КГ, Osram Haloline, Philips Plusline)
  • «Л» — люминесцентная или компактная люминесцентная лампа

Для разных типов ламп требуются различные ПРА. В светильниках с разными лампами одинаковой мощности (например, ЖКУ-150 и ГКУ-150) могут различаться патроны.

Натриевая лампа имеет самую большую световую отдачу (до 150 лм/Вт), но цвет её света — жёлтый. Такие лампы используют там, где важно в первую очередь количество света — для уличного освещения, освещения больших открытых пространств, стройплощадок, автостоянок и др.

Металлогалогенная лампа светит белым светом, но световая отдача у неё меньше, чем у натриевой (до 100 лм/Вт). Такие лампы используют, если важно создать высокую освещённость, но чтобы свет был именно белым: в архитектурном освещении, освещении фасадов, площадей, а так же во внутреннем освещении спортивных стадионов, спортзалов, освещении магазинов, торговых центров и пр.

Ртутная лампа обладает самой низкой световой отдачей среди разрядных ламп — до 60 лм/Вт. Цвет её света — белый с ярко-выраженным сине-зелёным оттенком. Такие лампы на сегодняшний момент являются устаревшими, а их использование — неэффективным 

Можно ли в светильнике ЖКУ использовать металлогалогенную лампу и наоборот? Взаимозаменяемы ли лампы в прожекторах ЖО/ГО?

В светильниках GALAD наружного освещения ЖКУ/ГКУ и в прожекторах со встроенным ПРА ЖО/ГО мощностью 250 и 400 Вт с декабря 2010 года применяются универсальные ПРА («КЭТЗ»), одинаковые ИЗУ и электрические патроны, поэтому ЖКУ/ГКУ и ЖО/ГО 250 и 400 Вт являются взаимозаменяемыми.

 

В светильниках и прожекторах со встроенными ПРА мощностью 70, 100, 150 Вт установлены неуниверсальные ПРА, поэтому в них лампы ДНаТ и ДРИ менять друг на друга нельзя. 

Прожектор с независимым ПРА любой мощности может быть как ГО так и ЖО в зависимости от того, какой ПРА к нему подсоединить 

Компания Свет — г. Воронеж : Лампы газоразрядные

Лампа ДНаТ- 70 (Е-27) NAV-T OSRAM (1шт/12) 4008321076106 020134 шт 463,00 р. 420,00 р.
Лампа ДНаТ- 100 (Е-40) NAV-T OSRAM (1шт/12) 4008321087287 020020 шт 463,00 р. 420,00 р.
Лампа ДНаТ- 150 (Е-40) NAV-T OSRAM (1шт/12) 4050300015668 020701 шт 463,00 р. 420,00 р.
Лампа ДНаТ- 250 (Е-40) NAV-T OSRAM (1шт/12) 4050300015675 020756 шт 485,00 р. 440,00 р.
Лампа ДНаТ- 400 (Е-40) NAV-T OSRAM 4050300015682 020180 шт 563,00 р. 510,00 р.
Лампа ДНаТ- 400 (Е-40) Россия (1шт/30) 020501 шт 190,00 р. 170,00 р.
Лампа ДРИ- 250 (Е-40) 4200K BLV 227001 020148 шт 1 100,00 р. 900,00 р.
Лампа ДРИ- 250 (Е-40) верт. HPI Plus 745 BU MASTER PHILIPS 020100
шт
960,00 р. 840,00 р.
Лампа ДРИ- 250 (Е-40) гориз. HPI-T Plus 645 MASTER PHILIPS 020185 шт 1 467,00 р. 1 330,00 р.
Лампа ДРИ- 400 (Е-40) HPI-T Plus 645 PHILIPS гориз. 002505 шт 1 155,00 р.
980,00 р.
Лампа ДРИ- 400 (Е-40) OSRAM POWERSTAR HQI-E 400W/D элипсоидная 021038 шт 1 390,00 р. 1 150,00 р.
Лампа ДРИ- 400-7 (Е-40) Россия 020149 шт 460,00 р. 410,00 р.
Лампа металлогалог. 70w (G12) CDM-T 830 Philips 928082305129 020013 шт 710,00 р. 650,00 р.
Лампа металлогалог. 70w (G12) HCI-T 830 WDL PB OSRAM 020014 шт 710,00 р. 650,00 р.
Лампа металлогалог. 70w RХ7s BLV (Германия) 4200К 114.2мм 021238 шт 465,00 р. 422,50 р.
Лампа металлогалог. 70w RХ7s ELITE UV-stop (пурпурный) 021293 шт 425,00 р. 385,00 р.
Лампа металлогалог. 70w RХ7s ELITE UV-stop (розовый) 021297 шт 425,00 р. 385,00 р.
Лампа металлогалог. 70w RХ7s ELITE UV-stop (синий) 021299 шт 425,00 р. 385,00 р.
Лампа металлогалог. 70w RХ7s HQI-TS OSRAM (Германия) 4008321678324 020462 шт 460,00 р. 410,00 р.
Лампа металлогалог. 150w (G12) ELITE HQI-T (ДРИ-150) 4200К 020461 шт 435,00 р. 394,00 р.
Лампа металлогалог. 150w RХ7s powerstar OSRAM 021016 шт 460,00 р. 410,00 р.
Лампа металлогалог. 150w RХ7s ELITE UV-stop (пурпурный) 021292 шт 425,00 р. 385,00 р.
Лампа металлогалог. 150w RХ7s ELITE UV-stop (розовый) 021296 шт 425,00 р. 385,00 р.
Лампа металлогалог. 150w RХ7s ELITE UV-stop (синий) 021298 шт 425,00 р. 385,00 р.
Лампа металлогалог. 150w RХ7s MHN-TD 730 Philips 871829121534900 020199 шт 744,00 р. 646,00 р.
Лампа металлогалог. 150w RХ7s MHN-TD 842 Philips 871829121536300 020201 шт 744,00 р. 646,00 р.

Светотехника — ДНАТ, ДРИ

Светотехника — ДНАТ, ДРИ Главная Каталог ЛАМПЫ ГАЗОРАЗРЯДНЫЕ ДНАТ, ДРИ

В наличии 46 шт

Указанное количество товара доступно только по предзаказу

В корзину Предзаказ

В наличии 106 шт

Указанное количество товара доступно только по предзаказу

В корзину Предзаказ

В наличии 192 шт

Указанное количество товара доступно только по предзаказу

В корзину Предзаказ

В наличии 2 шт

Указанное количество товара доступно только по предзаказу

В корзину Предзаказ

В наличии 285 шт

Указанное количество товара доступно только по предзаказу

В корзину Предзаказ

В наличии 87 шт

Указанное количество товара доступно только по предзаказу

В корзину Предзаказ

Нет в наличии

Указанное количество товара доступно только по предзаказу

В корзину Предзаказ

Нет в наличии

Указанное количество товара доступно только по предзаказу

В корзину Предзаказ

Не нашли то, что искали?
Закажите консультацию у наших специалистов

Получить бесплатную консультацию

2021 © Светотехника

Балансировка нагрузки

— виртуальный сервер Linux (LVS) и его режимы пересылки

В этой статье показано, как различные режимы Linux Virtual Server (LVS) реализуют балансировку нагрузки, а также описаны преимущества и недостатки каждого принципа пересылки сетевых пакетов.

Автор Ren Xijun (Чжэцзянь).

В этой статье объясняются режимы пересылки виртуального сервера Linux (LVS) и их рабочие процессы.В нем описаны причины, преимущества и недостатки принципа пересылки сетевых пакетов, а также показаны достоинства и недостатки с учетом балансировщика нагрузки (SLB) Alibaba Cloud Server.

Термины, сокращения и акронимы

Давайте кратко рассмотрим различные термины и сокращения, используемые в статье.

  cip : Клиентский IP , 客户 端 地址
vip : Виртуальный IP , LVS 实例 IP
рип : Настоящий IP , 后端 RS 地址
RS: Настоящий сервер 真正 提供 服务 的 机器
LB : Балансировка нагрузки 负载 均衡 器
LVS : Виртуальный сервер Linux
sip : исходный ip
падение : пункт назначения
  

Режимы пересылки LVS

Виртуальный сервер Linux помогает в балансировке нагрузки, устраняя единую точку отказа (SPOF).Есть несколько способов пересылки пакетов;

  • DR — Директор по маршрутизации
  • NAT — преобразование сетевых адресов
  • fullNAT — Полный NAT
  • ENAT — Расширенный NAT, также известный как режим треугольника или DNAT, определяется в Alibaba Cloud
  • IP TUN — IP-туннелирование

Директор маршрутизации (DR)

На предыдущей диаграмме показано, как работает режим DR LVS. Теперь давайте рассмотрим следующий пример, чтобы понять процесс.

Предположим, что CIP — 200.200.200.2, а VIP — 200.200.200.1.

  • Шаг 1 Трафик запроса с IP-адресом источника (SIP) 200.200.200.2 и IP-адресом назначения (DIP) 200.200.200.1 (с псевдонимом (200.200.200.2, 200.200.200.1)) сначала достигает LVS.
  • Шаг 2 Затем LVS выбирает один из RS в соответствии с политикой загрузки и меняет MAC-адрес этого сетевого пакета на MAC-адрес выбранного RS.
  • Шаг 3 Наконец, LVS передает этот сетевой пакет коммутатору, который затем передает сетевой пакет выбранному RS.
  • Шаг 4 Когда выбранный RS обнаруживает, что и MAC-адрес, и DIP принадлежат ему, он напрямую управляет сетевым пакетом и отвечает на него.
  • Шаг 5 Выбранный RS отвечает пакетом (200.200.200.1, 200.200.200.2).
  • Шаг 6 Коммутатор напрямую пересылает ответный пакет клиенту, минуя LVS.

Как показано в предыдущем процессе, после того, как пакет запроса прибывает в LVS, он просто изменяет MAC-адрес назначения пакета и пересылает ответный пакет непосредственно клиенту.

Кроме того, обратите внимание, что несколько RS и LVS используют один и тот же IP-адрес, но используют разные MAC-адреса. Маршруты L2 не требуют IP-адресов, и поэтому RS и LVS находятся в одной VLAN.

RS настраивает VIP на контроллере сетевого интерфейса (NIC) с обратной связью LO и добавляет соответствующее правило к маршруту, чтобы операционная система (ОС) обрабатывала пакеты, полученные на шаге 4.

Преимущества

  • Режим DR обеспечивает наилучшую производительность.Входящий запрос проходит через LVS, а ответный пакет напрямую отправляется клиенту, минуя LVS.

Недостатки

  • LVS и RS должны принадлежать одной и той же VLAN.
  • Этот режим требует настройки между RS и VIP и, в частности, обработки протокола разрешения адресов (ARP).
  • Не поддерживает отображение портов.

Почему LVS и RS должны принадлежать одной VLAN или одной сети L2?

В режиме DR несколько RS и LVS совместно используют один и тот же VIP, и пакеты маршрутизируются между LVS и RS на основе MAC-адреса.Следовательно, LVS и RS должны принадлежать одной и той же сети VLAN или L2.

Причина лучшей производительности в режиме DR

Ответные пакеты не проходят через LVS. В большинстве случаев пакеты запросов небольшие, а пакеты ответов большие, что легко приводит к узкому месту трафика на LVS. Кроме того, в режиме DR LVS изменяет только MAC-адреса входящих пакетов.

Почему пакеты обходят LVS в режиме DR

RS и LVS используют один и тот же VIP. Следовательно, RS правильно устанавливает свой SIP для VIP, отвечая на пакет, без необходимости изменения SIP для LVS.Напротив, LVS изменяет SIP в режимах NAT и full NAT.

Сводка структуры

в режиме DR

На приведенной выше диаграмме показана общая структура в режиме DR. Зеленая стрелка указывает пакет входящего запроса, а красная стрелка указывает пакет запроса с измененным MAC-адресом.

Трансляция сетевых адресов (NAT)

На следующем рисунке показана структура в режиме NAT.

Общий процесс для этого режима следующий.

  • Шаг 1 Клиент отправляет пакет запроса (200.200.200.2, 200.200.200.1).
  • Шаг 2 Когда пакет запроса прибывает в LVS, LVS изменяет пакет запроса на (200.200.200.2, RIP).
  • Шаг 3 Далее, когда пакет запроса прибывает в RS, он отвечает пакетом ответа (RIP, 200.200.200.2).
  • Шаг 4 Важно отметить, что этот ответный пакет нельзя отправить напрямую клиенту, поскольку RIP не является VIP и его необходимо сбросить.
  • Шаг 5 Однако LVS — это шлюз. Следовательно, этот ответный пакет сначала отправляется на шлюз, который затем меняет SIP.
  • Шаг 6 Шлюз меняет SIP на VIP и отправляет клиенту измененный пакет ответа (200. 200.200.1, 200.200.200.2).

Преимущества

  • Конфигурация простая.
  • Как следует из названия, NAT поддерживает отображение портов.
  • RIP — это частный адрес, который в основном обеспечивает связь между LVS и RS.

Недостатки

  • LVS и все RS должны принадлежать одной VLAN.
  • LVS должен пересылать весь входящий и исходящий трафик.
  • LVS часто становится узким местом.
  • Установите VIP на IP-адрес шлюза для RS.

Почему LVS и RS принадлежат одной и той же VLAN в режиме NAT?

Клиент распознает ответный пакет только после того, как LVS изменит SIP на VIP. Если SIP ответного пакета не является DIP (или VIP) пакета запроса, отправленного клиентом, соединение сбрасывается.Во-вторых, если LVS не является шлюзом, ответный пакет пересылается по другим маршрутам, потому что DIP ответного пакета — это CIP. В этом случае LVS не может изменить SIP ответного пакета.

Сводка структуры

в режиме NAT

Поскольку LVS изменяет только SIP или DIP входящих и исходящих пакетов, полный режим NAT появляется как дополнение. Самый большой недостаток режима NAT состоит в том, что LVS и RS должны принадлежать одной и той же VLAN, что ограничивает гибкость развертывания LVS-кластера и RS-кластера.NAT в основном непрактичен в коммерческих общедоступных облачных средах, таких как Alibaba Cloud.

Полный NAT

Этот режим аналогичен режиму NAT. Общий процесс для этого режима следующий.

  • Шаг 1 Клиент отправляет пакет запроса (200.200.200.2, 200.200.200.1).
  • Шаг 2 Когда пакет запроса достигает LVS, LVS изменяет пакет запроса на (200.200.200.1, RIP). Обратите внимание, что здесь меняются как SIP, так и DIP.
  • Шаг 3 Когда пакет запроса прибывает в RS, RS отвечает пакетом (RIP, 200.200.200.1).
  • Шаг 4 В отличие от режима NAT, в котором вы устанавливаете DIP на CIP, здесь DIP этого пакета ответа является VIP. Следовательно, когда LVS и RS не принадлежат к одной и той же VLAN, ответный пакет по-прежнему достигает LVS через IP-маршруты.
  • Шаг 5 LVS изменяет SIP на VIP и DIP на CIP соответственно и отправляет измененный пакет ответа (200.200.200.1, 200.200.200.2) клиенту.

Преимущества

  • Этот режим преодолевает проблему режима NAT и не требует, чтобы LVS и RS принадлежали одной и той же VLAN. Следовательно, это применимо к более сложным сценариям развертывания.

Недостатки

  • В отличие от режима NAT, CIP невидим для RS. Подобно режиму NAT, весь входящий и исходящий трафик по-прежнему проходит через LVS, что является узким местом.

Как полный NAT решает проблему LVS и RS в режиме NAT?

Исходя из названия, Full NAT LVS изменяет и SIP, и DIP входящего пакета.Кроме того, DIP ответного пакета от RS — это VIP (который является CIP в режиме NAT). Следовательно, LVS и RS могут принадлежать разным VLAN, при условии, что сеть L3 между VIP и RS доступна. Другими словами, LVS больше не должен быть шлюзом, и LVS и RS могут быть развернуты в более сложной сетевой среде.

Почему протокол CIP невидим для RS в режиме полного NAT?

Поскольку CIP изменяется в режиме Full NAT, RS может видеть только VIP LVS. В Alibaba поле Option TCP-пакета содержит CIP.При получении пакета RS обычно развертывает самоопределяемый модуль TOA для чтения CIP от Option. В этом случае RS может видеть CIP. Однако это не универсальное решение с открытым исходным кодом.

Сводная информация о структуре в режиме полного NAT

Важно отметить изменения IP-адресов для зеленого входящего пакета и красного исходящего пакета на предыдущем рисунке.

Пока что полный NAT соответствует тем же требованиям к VLAN, что и в режиме NAT, и в основном готов для общедоступного облака. Однако это по-прежнему не решает проблему, заключающуюся в том, что весь входящий и исходящий трафик проходит через LVS, что означает, что LVS необходимо изменить входящие и исходящие пакеты.

Здесь необходимо определить, существует ли решение, которое не ограничивает сетевые отношения между LVS и RS, преобладающими в режиме полного NAT, и позволяет исходящему трафику обходить LVS, как в режиме DR.

Режим расширенного NAT (ENAT) в Alibaba Cloud

Режим Enhanced NAT (ENAT) также известен как режим треугольника или режим DNAT.Общий процесс для этого режима следующий:

  • Шаг 1 Клиент отправляет пакет запроса (CIP, VIP).
  • Шаг 2 При получении пакета запроса LVS изменяет пакет запроса на (VIP, RIP) и добавляет CIP в поле Option пакета TCP.
  • Шаг 3 На основе IP-адреса пакет запроса направляется к RS, и модуль CTK считывает CIP из поля Option пакета TCP.
  • Шаг 4 Модуль CTK перехватывает ответный пакет (RIP, VIP) и изменяет его на (VIP, CIP).
  • Шаг 5 Ответный пакет не проходит через LVS и не отправляется напрямую клиенту, потому что DIP ответного пакета — это CIP.

Преимущества

  • LVS и RS могут принадлежать разным VLAN.
  • Исходящий трафик обходит LVS, что обеспечивает хорошую производительность.

Недостатки

  • Специальное решение Alibaba Group требует, чтобы все RS установили компонент CTK (аналогично модулю TOA в режиме полного NAT).

Почему режим ENAT не требует маршрутизации пакетов обратного ответа на LVS?

В режиме полного NAT LVS должен изменить IP-адрес в пакете ответа, и поэтому пакет ответа должен маршрутизироваться обратно в LVS. Однако в режиме ENAT модуль CTK на RS заранее изменяет IP-адрес в ответном пакете.

Почему LVS и RS могут принадлежать разным VLAN в режиме ENAT?

Причина та же, что обсуждалась ранее для режима полного NAT.

Краткое описание структуры в режиме ENAT

IP-туннелирование (IP TUN)

Наконец, давайте взглянем на менее используемый режим IP TUN. Общий процесс для этого режима следующий:

  • Шаг 1 Когда пакет запроса прибывает в LVS, он инкапсулирует пакет запроса в новый IP-пакет.
  • Шаг 2 LVS устанавливает DIP нового IP-пакета на IP-адрес RS, а затем пересылает IP-пакет на RS.
  • Шаг 3 После того, как RS получает пакет, модуль ядра IPIP декапсулирует его и извлекает сообщение запроса пользователя.
  • Шаг 4 Обнаружив, что DIP является VIP и этот IP-адрес настроен для NIC tun10 RS, RS напрямую обрабатывает запрос и отправляет результаты клиенту.

Преимущества

  • Узлы кластера могут принадлежать к разным VLAN.
  • Подобно режиму DR, клиент напрямую получает ответные пакеты.

Недостатки

  • Этот режим требует RS для установки модуля IPIP.
  • Добавляет еще один заголовок IP.
  • Как и в режиме DR, виртуальные сетевые адаптеры tunl0 LVS и RS должны устанавливать один и тот же VIP.

Примечание: В режиме DR LVS изменяет MAC-адрес назначения.

Почему узлы кластера принадлежат к разным VLAN в режиме IP TUN?

MAC-адрес остается неизменным в режиме IP TUN. Следовательно, узлы кластера могут принадлежать разным VLAN, при условии, что связь между IP-адресами LVS и RS доступна. Трансляции между LVS и RS должны быть доступны в режиме DR.

IP TUN Performance

Ответный пакет обходит LVS. Однако по сравнению с обработкой в ​​режиме DR этот режим позволяет дополнительную инкапсуляцию и декапсуляцию пакета ответа.

Краткое описание структуры в режиме IP TUN

На предыдущем рисунке красная линия указывает повторно инкапсулированный пакет, тогда как модуль IPIP указывает модуль ядра ОС.

Заключение

Эта статья проливает свет на различные режимы виртуального сервера Linux (LVS). Он охватывает довольно популярный режим DR вместе с менее известным режимом IP TUN. Кроме того, он также выделяет другие три режима, которые являются аналогичными и более популярными. Надеюсь, вы сочтете рабочий процесс каждого режима LVS, описанный в этой статье, прагматичным.

2,4. Методы маршрутизации Red Hat Enterprise Linux 7

Red Hat Enterprise Linux использует трансляцию сетевых адресов ( NAT-маршрутизация ) или прямую маршрутизацию для Keepalived. Это дает администратору огромную гибкость при использовании доступного оборудования и интеграции Load Balancer в существующую сеть.

Рисунок 2.3. Балансировщик нагрузки с NAT-маршрутизацией

В этом примере в активном LVS-маршрутизаторе есть два сетевых адаптера.Сетевая карта для Интернета имеет реальный IP-адрес и плавающий IP-адрес на eth0. Сетевая карта для интерфейса частной сети имеет реальный IP-адрес и плавающий IP-адрес на eth2. В случае аварийного переключения виртуальный интерфейс с выходом в Интернет и виртуальный интерфейс с частным подключением одновременно используются резервным маршрутизатором LVS. Все реальные серверы, расположенные в частной сети, используют плавающий IP-адрес для NAT-маршрутизатора в качестве маршрута по умолчанию для связи с активным LVS-маршрутизатором, чтобы их способность отвечать на запросы из Интернета не нарушалась.

В этом примере публичный плавающий IP-адрес LVS-маршрутизатора и частный плавающий IP-адрес NAT назначаются физическим сетевым адаптерам. Хотя можно связать каждый плавающий IP-адрес с его собственным физическим устройством на узлах маршрутизатора LVS, наличие более двух сетевых адаптеров не является обязательным.

Используя эту топологию, активный LVS-маршрутизатор получает запрос и направляет его на соответствующий сервер. Затем реальный сервер обрабатывает запрос и возвращает пакеты маршрутизатору LVS, который использует преобразование сетевых адресов для замены адреса реального сервера в пакетах публичным VIP-адресом маршрутизатора LVS.Этот процесс называется IP, маскирующим , потому что фактические IP-адреса реальных серверов скрыты от запрашивающих клиентов.

При использовании этой NAT-маршрутизации реальными серверами могут быть любые машины с различными операционными системами. Основным недостатком является то, что LVS-маршрутизатор может стать узким местом при развертывании большого кластера, поскольку он должен обрабатывать как исходящие, так и входящие запросы.

Модули ipvs используют свои собственные внутренние процедуры NAT, которые не зависят от iptables и ip6tables NAT.Это упростит NAT как для IPv4, так и для IPv6, когда реальный сервер настроен для NAT, в отличие от DR в файле /etc/keepalived/keepalived.conf .

Построение системы балансировки нагрузки, использующей прямую маршрутизацию, обеспечивает повышенную производительность по сравнению с другими сетевыми топологиями балансировщика нагрузки. Прямая маршрутизация позволяет реальным серверам обрабатывать и направлять пакеты непосредственно запрашивающему пользователю, а не передавать все исходящие пакеты через маршрутизатор LVS. Прямая маршрутизация снижает вероятность проблем с производительностью сети, переводя работу LVS-маршрутизатора только на обработку входящих пакетов.

Рисунок 2.4. Балансировщик нагрузки с прямой маршрутизацией

В типичной настройке балансировщика нагрузки с прямой маршрутизацией LVS-маршрутизатор принимает входящие запросы к серверу через виртуальный IP-адрес (VIP) и использует алгоритм планирования для маршрутизации запроса к реальным серверам. Настоящий сервер обрабатывает запрос и отправляет ответ напрямую клиенту, минуя LVS-маршрутизатор. Этот метод маршрутизации обеспечивает масштабируемость, так как реальные серверы могут быть добавлены без дополнительной нагрузки на LVS-маршрутизатор для маршрутизации исходящих пакетов от реального сервера к клиенту, что может стать узким местом при большой сетевой нагрузке.

2.4.2.1. Прямая маршрутизация и ограничение ARP

Хотя использование прямой маршрутизации в Load Balancer дает много преимуществ, есть и ограничения. Наиболее распространенная проблема с Load Balancer через прямую маршрутизацию — это протокол разрешения адресов (ARP).

В типичных ситуациях клиент в Интернете отправляет запрос на IP-адрес. Сетевые маршрутизаторы обычно отправляют запросы к месту назначения, связывая IP-адреса с MAC-адресом машины с помощью ARP.Запросы ARP передаются на все подключенные машины в сети, и машина с правильной комбинацией IP / MAC-адресов получает пакет. Ассоциации IP / MAC хранятся в кэше ARP, который периодически очищается (обычно каждые 15 минут) и пополняется ассоциациями IP / MAC.

Проблема с запросами ARP в настройке балансировщика нагрузки прямой маршрутизации заключается в том, что, поскольку клиентский запрос на IP-адрес должен быть связан с MAC-адресом для обработки запроса, виртуальный IP-адрес системы балансировщика нагрузки также должен быть связан с MAC также.Однако, поскольку и LVS-маршрутизатор, и реальные серверы имеют один и тот же VIP, запрос ARP будет транслироваться на все машины, связанные с VIP. Это может вызвать несколько проблем, таких как привязка VIP напрямую к одному из реальных серверов и непосредственная обработка запросов, полный обход маршрутизатора LVS и нарушение цели настройки балансировщика нагрузки.

Чтобы решить эту проблему, убедитесь, что входящие запросы всегда отправляются на маршрутизатор LVS, а не на один из реальных серверов.Это можно сделать путем фильтрации запросов ARP или фильтрации IP-пакетов. ARP-фильтрацию можно выполнить с помощью утилиты arptables , а IP-пакеты можно фильтровать с помощью iptables или firewalld . Эти два подхода различаются следующим образом:

  • Метод фильтрации ARP блокирует запросы, доходящие до реальных серверов. Это не позволяет ARP связывать виртуальные IP-адреса с реальными серверами, оставляя активному виртуальному серверу отвечать MAC-адресами.

  • Метод фильтрации IP-пакетов позволяет маршрутизировать пакеты на реальные серверы с другими IP-адресами. Это полностью обходит проблему ARP, поскольку не настраивает VIP-адреса на реальных серверах.

Руководство по развертыванию уровня 4 с балансировкой нагрузки сервера | FortiADC 5.4.1

Обзор балансировки нагрузки сервера

FortiADC похож на усовершенствованный балансировщик нагрузки на сервер.Он может балансировать трафик к доступным конечным серверам на основе проверок работоспособности и алгоритмов балансировки нагрузки.

Физическое расстояние между клиентами и серверами на вашем внутреннем сервере — и другие факторы, такие как количество одновременных подключений, которые серверы могут обрабатывать, или распределение нагрузки между серверами — являются важными факторами, влияющими на производительность сервера. Таким образом, цель FortiADC — предоставить пользователю несколько методов для оптимизации времени отклика сервера и производительности сервера. Трафик направляется на виртуальный сервер FortiADC, а не на реальные серверы назначения.

Для виртуального сервера уровня 4 имеется пять методов пересылки пакетов: прямая маршрутизация, DNAT, полный NAT, туннелирование, NAT46.

Server Load Balance Layer-4 VS

Режим прямой маршрутизации

Режим прямой маршрутизации работает путем изменения MAC-адреса назначения входящего пакета, чтобы он соответствовал выбранному реальному серверу.Режим DR прозрачный. Настоящий сервер увидит исходный IP-адрес клиента.

Топология:

GUI:

  • Когда пакет достигает реального сервера, он ожидает, что настоящий сервер будет владеть VS IP. Это означает, что вам необходимо убедиться, что настоящий сервер (и приложение с балансировкой нагрузки) отвечает как на собственный IP-адрес реальных серверов, так и на IP-адрес VS.
  • FortiADC должен иметь интерфейс в той же подсети, что и реальные серверы, чтобы обеспечить подключение уровня 2, необходимое для работы режима DR.
  • VIP может быть запущен в той же подсети, что и реальные серверы, или в другой подсети при условии, что балансировщик нагрузки имеет интерфейс в этой подсети.
  • Трансляция порта невозможна в режиме DR i.е. порт RIP отличается от порта VIP
Режим DR для Windows server

Добавьте адаптер обратной связи, установите IP-адрес виртуального сервера для адаптера обратной связи.

  1. Щелкните Start , затем введите cmd в поле поиска.
  2. Когда появится cmd.exe, щелкните его правой кнопкой мыши и выберите Запустить от имени администратора.
  3. В командной строке введите hdwwiz.exe и нажмите Введите .
  4. Нажмите Далее .
  5. Выберите Установите оборудование , которое вручную выбрано из списка (Дополнительно), затем нажмите Далее .
  6. Выберите Сетевые адаптеры, затем нажмите Далее .
  7. Выберите Microsoft в качестве производителя, выберите Microsoft KM-TEST Loopback Adapter в качестве адаптера для Windows 10, затем нажмите Next .
  8. Выберите Далее , чтобы подтвердить установку.
  9. Выберите Завершить , чтобы завершить установку.
  10. Найдите новый добавленный адаптер обратной петли, затем установите IP-адрес виртуального сервера для адаптера обратной связи.

Измените имя сетевого адаптера, подключенного к FortiADC, на новое имя, например, «nic_to_adc», переименуйте новый добавленный сетевой адаптер с обратной связью в «loopback», затем выполните следующую команду:

netsh interface ipv4 set interface «nic_to_adc» weakhostreceive = enabled

netsh interface ipv4 set interface «loopback» weakhostreceive = enabled

netsh interface ipv4 set interface «loopback» weakhostsend = enabled

Режим DNAT

Обычно DNAT уровня 4 использует два интерфейса, соединяющихся с клиентским и реальным серверами. IP-адрес назначения пакета будет изменен после прохождения через FortiADC VS.

Топология:

GUI:

  • Используйте DNAT в качестве метода пересылки пакетов и установите шлюз по умолчанию на каждом сервере на IP-адрес FortiADC в той же подсети / VLAN (или используйте статические маршруты для отправки ответов на IP-адрес FortiADC).
Режим FULLNAT

Layer 4 FULLNAT VS изменяет адрес источника и получателя пакета перед отправкой пакета на реальные серверы.Пользователь может самостоятельно определить диапазон IP-адресов пула в исходном пуле NAT и выбрать его в списке пулов. Обычно диапазон адресов пула источника NAT находится в той же сетевой подсети, что и реальный сервер.

Топология:

GUI:

Туннельный режим

Режим туннелирования VS основан на режиме прямой маршрутизации.FortiADC VS инкапсулирует исходный пакет (IP-адрес клиента в IP-адрес виртуального сервера) внутри пакета ipip IP-адреса ADC в IP-адрес реального сервера, который помещается в выходную цепочку и направляется на реальный сервер. Реальный сервер получает пакет на устройстве tunl0 и декапсулирует пакет ipip, показывая исходный пакет (клиентский IP-адрес на виртуальный IP-адрес сервера). Затем он отправляет пакет клиенту.

Топология:

GUI:

Режим NAT46

Режим NAT46 VS преобразует адрес источника пакета из ipv4 в ipv6, которые были установлены в пуле источника NAT.Затем он отправляет их на реальный сервер ipv6.

Топология:

GUI:

Развертывание FortiADC SLB4 с режимом FullNAT, профилем TCP и методом WRR

SLB4 FullNAT Пример топологии

SLB4 FullNAT, профиль TCP, шаги метода WRR

Для развертывания сервера SLB Layer 4:

Шаг 1. Создайте новый реальный сервер

Шаг 2: Создайте новый пул реальных серверов и добавьте в него реальные серверы.

Шаг 3. Создайте исходный пул NAT

Шаг 4. Создайте виртуальный сервер FullNAT и выберите Real Server Pool

.

Шаг 5: Выберите профиль TCP и метод LB_METHOD_ROUND_ROBIN

Установить реальный вес сервера (необязательно)

Если вы хотите установить разные веса для реального сервера, измените вес в Real Server Pool.

Например:

Вес RealServer1 равен 1, вес RealServer2 равен 2. Всего подключений 30, в этом состоянии 10 подключений идут к RealServer1, а еще 20 подключений идут к RealServer2.

Шаг 6. Отправьте трафик от клиента с помощью таких инструментов, как «curl» или «wget»

Проверьте, работает ли метод WRR. Если вы отправите три запроса на виртуальный сервер, вы должны получить два ответа для реального сервера 2 и один ответ для реального сервера 1.

Проверить журнал трафика и информацию таблицы сеансов

• Проверьте журнал трафика:

Нам нужно включить журнал трафика на виртуальном сервере и Log & Report.

Проверить, работает ли метод WRR должным образом, из журнала трафика:

Из журнала трафика мы видим, что трафик идет на реальный сервер в соответствии с их весом (RS1: RS2 = 1: 2).

• Проверьте таблицу сеансов:

Fortiview

CLI

Часто задаваемые вопросы о брандмауэре Azure | Microsoft Docs

Что такое брандмауэр Azure?

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure.Это брандмауэр как услуга с полным отслеживанием состояния, со встроенными функциями высокой доступности и неограниченной облачной масштабируемостью. Вы можете централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях.

Какие возможности поддерживаются в брандмауэре Azure?

Чтобы узнать о функциях брандмауэра Azure, см. Раздел Функции брандмауэра Azure.

Какова типичная модель развертывания брандмауэра Azure?

Вы можете развернуть брандмауэр Azure в любой виртуальной сети, но клиенты обычно развертывают его в центральной виртуальной сети и подключают к нему другие виртуальные сети по модели «звездочка».Затем вы можете установить маршрут по умолчанию из одноранговых виртуальных сетей, чтобы он указывал на эту виртуальную сеть центрального межсетевого экрана. Пиринг глобальных виртуальных сетей поддерживается, но не рекомендуется из-за потенциальных проблем с производительностью и задержкой в ​​разных регионах. Для максимальной производительности разверните по одному брандмауэру на каждый регион.

Преимущество этой модели — возможность централизованного управления несколькими лучевыми виртуальными сетями через разные подписки. Также есть экономия средств, поскольку вам не нужно развертывать брандмауэр в каждой виртуальной сети отдельно. Экономию затрат следует измерять по сравнению с соответствующими затратами на пиринг на основе шаблонов клиентского трафика.

Как я могу установить брандмауэр Azure?

Брандмауэр Azure можно настроить с помощью портала Azure, PowerShell, REST API или шаблонов. См. Руководство: развертывание и настройка брандмауэра Azure с помощью портала Azure для получения пошаговых инструкций.

Каковы некоторые концепции брандмауэра Azure?

Брандмауэр

Azure поддерживает правила и коллекции правил.Коллекция правил — это набор правил, которые имеют одинаковый порядок и приоритет. Коллекции правил выполняются в порядке их приоритета. Коллекции сетевых правил имеют более высокий приоритет, чем коллекции правил приложений, и все правила завершаются.

Существует три типа наборов правил:

  • Правила приложений : Настройте полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Сетевые правила : Настройте правила, которые содержат адреса источника, протоколы, порты назначения и адреса назначения.
  • Правила NAT : Настройте правила DNAT для разрешения входящих подключений к Интернету.

Поддерживает ли брандмауэр Azure фильтрацию входящего трафика?

Брандмауэр

Azure поддерживает фильтрацию входящего и исходящего трафика. Защита входящего трафика обычно используется для протоколов, отличных от HTTP / S. Например, протоколы RDP, SSH и FTP. Для наилучшей защиты входящего HTTP / S используйте брандмауэр веб-приложений, например брандмауэр веб-приложений Azure (WAF).

Какие службы ведения журналов и аналитики поддерживаются брандмауэром Azure?

Брандмауэр

Azure интегрирован с Azure Monitor для просмотра и анализа журналов брандмауэра.Журналы можно отправлять в Log Analytics, хранилище Azure или концентраторы событий. Их можно анализировать в Log Analytics или с помощью различных инструментов, таких как Excel и Power BI. Дополнительные сведения см. В разделе Учебное пособие: мониторинг журналов брандмауэра Azure.

Чем брандмауэр Azure отличается от существующих на рынке служб, таких как NVA?

Брандмауэр Azure — это базовая служба брандмауэра, которая может работать с определенными сценариями клиентов. Ожидается, что у вас будет сочетание сторонних NVA и брандмауэра Azure.Работать лучше вместе — главный приоритет.

В чем разница между WAF шлюза приложений и брандмауэром Azure?

Брандмауэр веб-приложений (WAF) — это функция шлюза приложений, которая обеспечивает централизованную защиту ваших веб-приложений от распространенных эксплойтов и уязвимостей. Брандмауэр Azure обеспечивает защиту входящего трафика для протоколов, отличных от HTTP / S (например, RDP, SSH, FTP), защиту исходящего сетевого уровня для всех портов и протоколов, а также защиту на уровне приложений для исходящего HTTP / S.

В чем разница между группами безопасности сети (NSG) и брандмауэром Azure?

Служба брандмауэра Azure дополняет функциональность группы безопасности сети. Вместе они обеспечивают лучшую безопасность сети с «глубокой защитой». Группы безопасности сети обеспечивают фильтрацию трафика распределенного сетевого уровня для ограничения трафика ресурсами в виртуальных сетях в каждой подписке. Брандмауэр Azure — это централизованный сетевой брандмауэр как услуга с полным отслеживанием состояния, который обеспечивает защиту на уровне сети и приложений для различных подписок и виртуальных сетей.

Поддерживаются ли группы безопасности сети (NSG) в подсети AzureFirewall?

Брандмауэр Azure — это управляемая служба с несколькими уровнями защиты, включая защиту платформы с помощью групп безопасности сети на уровне сетевых адаптеров (не отображается). Группы безопасности сети уровня подсети не требуются в AzureFirewallSubnet и отключены во избежание прерывания обслуживания.

Как настроить брандмауэр Azure для конечных точек службы?

Для безопасного доступа к службам PaaS мы рекомендуем конечные точки служб.Вы можете включить конечные точки службы в подсети брандмауэра Azure и отключить их в подключенных распределенных виртуальных сетях. Таким образом, вы получаете преимущества обеих функций: безопасность конечных точек службы и централизованное ведение журнала для всего трафика.

Каковы цены на брандмауэр Azure?

См. Цены на брандмауэр Azure.

Как я могу остановить и запустить брандмауэр Azure?

Вы можете использовать методы Azure PowerShell deallocate и allocate .

Например:

  # Остановить существующий брандмауэр

$ azfw = Get-AzFirewall -Name «Имя FW» -ResourceGroupName «Имя RG»
$ azfw.Deallocate ()
Set-AzFirewall -AzureFirewall $ azfw
  
  # Запускаем брандмауэр

$ azfw = Get-AzFirewall -Name «Имя FW» -ResourceGroupName «Имя RG»
$ vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$ publicip1 = Get-AzPublicIpAddress -Name «Имя общедоступного IP1» -ResourceGroupName «Имя RG»
$ publicip2 = Get-AzPublicIpAddress -Name «Имя общедоступного IP2» -ResourceGroupName «Имя RG»
$ azfw.Выделить ($ vnet, @ ($ publicip1, $ publicip2))

Set-AzFirewall -AzureFirewall $ azfw
  

Примечание

Вы должны перераспределить брандмауэр и общедоступный IP-адрес исходной группе ресурсов и подписке.

Каковы известные лимиты услуг?

Информацию об ограничениях службы брандмауэра Azure см. В разделе ограничения, квоты и ограничения подписки и служб Azure.

Может ли брандмауэр Azure в виртуальной сети-концентраторе пересылать и фильтровать сетевой трафик между двумя распределенными виртуальными сетями?

Да, вы можете использовать брандмауэр Azure в виртуальной сети-концентраторе для маршрутизации и фильтрации трафика между двумя лучевыми виртуальными сетями.Подсети в каждой из распределенных виртуальных сетей должны иметь UDR, указывающий на брандмауэр Azure в качестве шлюза по умолчанию, чтобы этот сценарий работал правильно.

Может ли брандмауэр Azure пересылать и фильтровать сетевой трафик между подсетями в одной виртуальной сети или одноранговых виртуальных сетях?

Да. Однако настройка UDR для перенаправления трафика между подсетями в одной виртуальной сети требует дополнительного внимания. Хотя использования диапазона адресов виртуальной сети в качестве целевого префикса для UDR достаточно, он также направляет весь трафик с одного компьютера на другой в той же подсети через экземпляр брандмауэра Azure.Чтобы этого избежать, включите маршрут для подсети в UDR с типом следующего перехода VNET . Управление этими маршрутами может быть обременительным и подверженным ошибкам. Рекомендуемый метод внутренней сегментации сети — использовать группы безопасности сети, для которых не требуются UDR.

Имеет ли брандмауэр Azure исходящий протокол SNAT между частными сетями?

Брандмауэр Azure не поддерживает SNAT, если IP-адрес назначения является диапазоном частных IP-адресов согласно IANA RFC 1918. Если ваша организация использует диапазон общедоступных IP-адресов для частных сетей, брандмауэр Azure SNAT направляет трафик на один из частных IP-адресов брандмауэра в подсети AzureFirewallSubnet. .Вы можете настроить брандмауэр Azure на , а не на SNAT для диапазона общедоступных IP-адресов. Дополнительные сведения см. В разделе диапазоны частных IP-адресов SNAT брандмауэра Azure.

Поддерживается ли принудительное туннелирование / сцепление с сетевым виртуальным устройством?

Принудительное туннелирование поддерживается при создании нового межсетевого экрана. Вы не можете настроить существующий брандмауэр для принудительного туннелирования. Дополнительные сведения см. В разделе Принудительное туннелирование брандмауэра Azure.

Брандмауэр

Azure должен иметь прямое подключение к Интернету.Если ваша подсеть AzureFirewallSubnet изучает маршрут по умолчанию к вашей локальной сети через BGP, вы должны переопределить это с помощью UDR-процедуры 0,0.0.0/0 со значением NextHopType , установленным как Internet , чтобы поддерживать прямое подключение к Интернету.

Если ваша конфигурация требует принудительного туннелирования в локальную сеть и вы можете определить целевые IP-префиксы для своих пунктов назначения в Интернете, вы можете настроить эти диапазоны с локальной сетью в качестве следующего перехода через определенный пользователем маршрут в подсети AzureFirewallSubnet.Или вы можете использовать BGP для определения этих маршрутов.

Существуют ли какие-либо ограничения группы ресурсов брандмауэра?

Да. Брандмауэр, виртуальная сеть и общедоступный IP-адрес должны находиться в одной группе ресурсов.

Нужно ли мне при настройке DNAT для входящего сетевого трафика Интернета также настроить соответствующее сетевое правило, чтобы разрешить этот трафик?

Нет. Правила NAT неявно добавляют соответствующее сетевое правило, чтобы разрешить преобразованный трафик. Вы можете переопределить это поведение, явно добавив коллекцию сетевых правил с запрещающими правилами, которые соответствуют преобразованному трафику.Дополнительные сведения о логике обработки правил брандмауэра Azure см. В разделе Логика обработки правил брандмауэра Azure.

Как подстановочные знаки работают в целевом доменном имени правила приложения?

Подстановочные знаки в настоящее время можно использовать только в левой части FQDN. Например, * .contoso.com и * contoso.com .

Если вы настроите * .contoso.com , он разрешит любое значение .contoso.com, но не contoso.com (вершина домена). Если вы хотите разрешить вершину домена, вы должны явно настроить ее как целевое полное доменное имя.

Что означает * Provisioning state: Failed *?

Каждый раз, когда применяется изменение конфигурации, брандмауэр Azure пытается обновить все его базовые серверные экземпляры. В редких случаях один из этих внутренних экземпляров может не обновиться с новой конфигурацией, и процесс обновления останавливается с состоянием сбоя подготовки. Ваш брандмауэр Azure по-прежнему работает, но примененная конфигурация может находиться в несогласованном состоянии, когда некоторые экземпляры имеют предыдущую конфигурацию, а другие — обновленный набор правил.В этом случае попробуйте обновить конфигурацию еще раз, пока операция не завершится успешно и ваш брандмауэр не будет находиться в состоянии инициализации Succeeded .

Как брандмауэр Azure справляется с плановым обслуживанием и незапланированными сбоями?

Брандмауэр Azure состоит из нескольких внутренних узлов в конфигурации «активный-активный». Для любого планового обслуживания у нас есть логика разгрузки соединений для корректного обновления узлов. Обновления планируются в нерабочее время для каждого из регионов Azure, чтобы еще больше снизить риск сбоев.В случае незапланированных проблем мы создаем новый узел для замены отказавшего узла. Подключение к новому узлу обычно восстанавливается в течение 10 секунд с момента сбоя.

Как работает слив соединения?

Для любого планового обслуживания логика разгрузки соединения аккуратно обновляет внутренние узлы. Брандмауэр Azure ожидает закрытия существующих подключений в течение 90 секунд. При необходимости клиенты могут автоматически восстанавливать подключение к другому внутреннему узлу.

Есть ли ограничение на количество символов для имени брандмауэра?

Да.Имя брандмауэра может содержать не более 50 символов.

Почему брандмауэру Azure нужен размер подсети / 26?

Брандмауэр Azure должен подготовить больше экземпляров виртуальных машин по мере его масштабирования. Адресное пространство A / 26 гарантирует, что брандмауэр имеет достаточно IP-адресов, доступных для масштабирования.

Нужно ли изменять размер подсети межсетевого экрана по мере масштабирования службы?

Нет. Брандмауэру Azure не требуется подсеть больше / 26.

Как я могу увеличить пропускную способность моего брандмауэра?

Первоначальная пропускная способность

Azure Firewall равна 2.5 — 3 Гбит / с и масштабируется до 30 Гбит / с. Он автоматически масштабируется в зависимости от использования ЦП и пропускной способности.

Сколько времени нужно для масштабирования брандмауэра Azure?

Брандмауэр Azure постепенно масштабируется, когда средняя пропускная способность или потребление ЦП составляет 60%. Максимальная пропускная способность развертывания по умолчанию составляет примерно 2,5–3 Гбит / с и начинает масштабироваться, когда достигает 60% от этого числа. Масштабирование занимает от пяти до семи минут.

При тестировании производительности убедитесь, что вы проводите тестирование в течение как минимум 10–15 минут и запускаете новые соединения, чтобы воспользоваться преимуществами вновь созданных узлов брандмауэра.

Разрешает ли брандмауэр Azure доступ к Active Directory по умолчанию?

Нет. Брандмауэр Azure по умолчанию блокирует доступ к Active Directory. Чтобы разрешить доступ, настройте тег службы AzureActiveDirectory. Дополнительные сведения см. В разделе Теги службы брандмауэра Azure.

Могу ли я исключить полное доменное имя или IP-адрес из фильтрации на основе анализа угроз брандмауэра Azure?

Да, для этого можно использовать Azure PowerShell:

  # Добавить разрешенный список анализа угроз в существующий брандмауэр Azure

# Создайте список разрешенных с FQDN и IP-адресами
$ fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$ fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @ ("fqdn1", "fqdn2",…) -IpAddress @ ("ip1", "ip2",…)

# Или обновите FQDN и IpAddresses отдельно
$ fw = Get-AzFirewall -Name $ firewallname -ResourceGroupName $ RG
$ fw.ThreatIntelWhitelist.IpAddresses = @ ($ fw.ThreatIntelWhitelist.IpAddresses + $ ipaddresses)
$ fw.ThreatIntelWhitelist.fqdns = @ ($ fw.ThreatIntelWhitelist.fqdns + $ fqdns)


Set-AzFirewall -AzureFirewall $ fw
  

Пинг TCP на самом деле не подключается к целевому полному доменному имени.Это происходит потому, что прозрачный прокси-сервер брандмауэра Azure прослушивает порт 80/443 на предмет исходящего трафика. Пинг TCP устанавливает соединение с межсетевым экраном, который затем отбрасывает пакет. Такое поведение не влияет на безопасность. Однако, чтобы избежать путаницы, мы исследуем возможные изменения в этом поведении.

Существуют ли ограничения на количество IP-адресов, поддерживаемых IP-группами?

Да. Дополнительные сведения см. В разделе ограничения, квоты и ограничения подписки и служб Azure

.

Могу ли я переместить группу IP в другую группу ресурсов?

Нет, перемещение группы IP-адресов в другую группу ресурсов в настоящее время не поддерживается.

Каков тайм-аут простоя TCP для брандмауэра Azure?

Стандартным поведением сетевого брандмауэра является обеспечение активности TCP-соединений и их быстрое закрытие в случае отсутствия активности. Тайм-аут простоя TCP брандмауэра Azure составляет четыре минуты. Этот параметр нельзя изменить. Если период бездействия превышает значение тайм-аута, нет гарантии, что сеанс TCP или HTTP будет поддерживаться. Обычной практикой является использование проверки активности TCP. Такая практика сохраняет соединение активным в течение более длительного периода.Дополнительные сведения см. В примерах .NET.

Могу ли я развернуть брандмауэр Azure без общедоступного IP-адреса?

Нет, в настоящее время необходимо развернуть брандмауэр Azure с общедоступным IP-адресом.

Где брандмауэр Azure хранит данные клиентов?

Брандмауэр Azure не перемещает и не хранит данные клиентов за пределы региона, в котором он развернут.

Избегание петель маршрутизации при использовании динамического NAT

В этом документе описывается сценарий, в котором пакеты между маршрутизатором NAT и соседним маршрутизатором на внешнем интерфейсе образуются петлей при использовании динамической трансляции сетевых адресов (NAT) из-за трафика, предназначенного для неиспользуемого IP-адреса в пуле NAT, и наличия адреса по умолчанию. route на маршрутизаторе NAT, направляя эти пакеты обратно наружу.

Требования

Для этого документа нет особых требований.

Используемые компоненты

Этот документ не ограничивается конкретными версиями программного и аппаратного обеспечения.

Информация, представленная в этом документе, была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если вы работаете в действующей сети, убедитесь, что вы понимаете потенциальное влияние любой команды перед ее использованием.

Схема сети

Для создания примера сценария была использована следующая топология.

Условные обозначения

Дополнительные сведения об условных обозначениях см. В разделе «Условные обозначения технических советов Cisco».

В приведенной выше топологии маршрутизатор A настроен с использованием NAT, чтобы он транслировал пакеты, полученные из сети 171.68.200.0/24, в диапазон адресов, определенный пулом NAT «test-loop». Конфигурация Router-A следующая (все остальные маршрутизаторы настроены со статическими маршрутами для обеспечения возможности подключения):

 имя хоста Router-A
!
!
Цикл тестирования пула IP 172.16.47.161 172.16.47.165 длина префикса 28
ip nat внутри списка источников 7, тестовый цикл пула
!
интерфейс Loopback0
 IP-адрес 1.1.1.1 255.0.0.0
!
интерфейс Ethernet0
 IP-адрес 135.135.1.2 255.255.255.0
 неисправность
!
интерфейс Serial0
 IP-адрес 171.68.200.49 255.255.255.0
 ip nat внутри
 нет ip mroute-cache
 нет ip route-cache
 нет очереди
!
интерфейс Serial1
 IP-адрес 172.16.47.146 255.255.255.240
 ip nat снаружи
 нет ip mroute-cache
 нет ip route-cache
!
ip бесклассовый
ip route 0.0.0.0 0.0.0.0 172.16.47.145
список доступа 7 разрешение 171.68.200.0 0.0.0.255
!
!
линия con 0
 время ожидания выполнения 0 0
линия aux 0
линия vty 0 4
 авторизоваться
!
конец 

Используя команды отладки трансляции NAT и отладки IP-пакетов, мы сгенерировали эхо-запрос от маршрутизатора на внутреннем устройстве. Пинг сработал, и была создана запись в таблице перевода. В выходных данных ниже мы видим, что отладка IP-пакетов и IP-NAT включена, и что в настоящее время в таблице трансляции нет записей.

Примечание: Команды debug генерируют значительный объем вывода.Используйте их только при низком трафике в IP-сети, чтобы не пострадали другие действия в системе.

 Router-A #  показать отладку 
Общий IP:
  Включена отладка IP-пакетов (подробно)
  Отладка IP NAT включена
Router-A #  показать переводы ip nat 
Маршрутизатор-A # 

Внутренний маршрутизатор (внутреннее устройство) отправляет ICMP-пакет с адресом источника 171.68.200.48 и адресом назначения 171.68.191.1 (адрес внешнего устройства).В следующих выходных данных отладки показан IP-пакет с исходным IP-адресом 171.68.200.48, преобразованный в 172.16.47.161. Пакет поступает через интерфейс Serial0 и предназначен для интерфейса Serial1.

 NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [401]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0 

Следующие выходные данные отладки показывают возвращаемый IP-пакет с IP-адресом назначения 172.16.47.161 переводится обратно в 171.68.200.48. Пакет поступает через интерфейс Serial1 и предназначен для интерфейса serial0.

 NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [401]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 0, код = 0 

Вывод debug показывает успешный обмен эхо-запросом между внутренним и внешним устройством:

 NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [402]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [402]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 0, код = 0
NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [403]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [403]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 0, код = 0
NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [404]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [404]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 0, код = 0
NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [405]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [405]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 0, код = 0 

Используя команду show ip nat translations , мы видим запись в таблице трансляции для внутреннего устройства.

 Router-A #  показать переводы ip nat 
Pro Внутри глобально Внутри локально Вне локально За пределами глобального
--- 172.16.47.161 171.68.200.48 --- --- 

Теперь, когда трансляция для внутреннего устройства существует в таблице трансляции, мы можем успешно пропинговать с внешнего устройства на глобальный адрес внутреннего устройства, как показано в отладочных выходных данных, сгенерированных Router-A ниже.

Примечание: Пакет, отправленный внешним устройством, имеет адрес источника 171.68.191.1 и адрес назначения 172.16.47.161 (внутренний глобальный адрес в таблице трансляции).

 Маршрутизатор-A #
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [108]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 8, код = 0
NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [108]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 0, код = 0
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [109]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 8, код = 0
NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [109]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 0, код = 0
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [110]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 8, код = 0
NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [110]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 0, код = 0
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200.48 [111]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 8, код = 0
NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [111]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 0, код = 0
NAT *: s = 171.68.191.1, d = 172.16.47.161-> 171.68.200,48 [112]
IP: s = 171.68.191.1 (Serial1), d = 171.68.200.48 (Serial0), g = 171.68.200.48, len 100, вперед
    Тип ICMP = 8, код = 0
NAT: s = 171.68.200.48-> 172.16.47.161, d = 171.68.191.1 [112]
IP: s = 172.16.47.161 (Serial0), d = 171.68.191.1 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 0, код = 0 

Следующие выходные данные отладки демонстрируют, что может произойти, когда внешнее устройство пытается инициировать связь с адресом назначения, который является неиспользуемым IP-адресом в пуле тестового цикла.Команда clear ip nat translation использовалась для очистки таблицы трансляции, и на неиспользуемый IP-адрес в пуле тестового цикла был отправлен эхо-запрос.

Внешнее устройство отправляет ICMP-пакет, предназначенный для внутреннего глобального адреса 172.16.47.161. Однако интерфейс вывода такой же, как интерфейс ввода для этого пакета.

 IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, лен 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0
IP: s = 171.68.191.1 (Serial1), d = 172.16.47.161 (Serial1), g = 172.16.47.145, len 100, вперед
    Тип ICMP = 8, код = 0 

NAT транслирует пакеты, идущие извне внутрь, перед маршрутизацией пакета. В этом случае в таблице трансляции нет записи, поэтому маршрутизатор A может только маршрутизировать пакет.Маршрутизатор-A полагается на свой маршрут по умолчанию для маршрутизации пакетов, отправляя пакеты обратно через интерфейс Serial1, что вызывает петлю, которая в конечном итоге может вывести из строя последовательную линию.

Чтобы избежать такого рода петель маршрутизации, никогда не отправляйте пакеты с внешних устройств на внутренние глобальные адреса. Однако, поскольку это сложно обеспечить, вы можете добавить статический маршрут для внутренних глобальных адресов со следующим переходом null0 в Router-A. Таким образом, когда внешнее устройство отправляет пакеты, предназначенные для внутреннего глобального адреса, и в таблице трансляции нет записи, Router-A направляет пакет на null0, избегая петли.В приведенном выше примере статический маршрут выглядит следующим образом:

 IP-маршрут 172.16.47.160 255.255.255.252 null0. 

Использование NAT для публичного доступа к серверам с частными IP-адресами в частной сети

Примеры файлов конфигурации, созданных с помощью — WSM v11.10.1

Пересмотрено — 21.07.2015


Пример использования

В этом случае организация имеет два почтовых сервера с частными IP-адресами в дополнительной сети Firebox.Организации необходимо убедиться, что эти два сервера могут обмениваться электронной почтой с серверами за пределами локальной сети, даже если у них есть частные IP-адреса.

Этот вариант использования включает два варианта конфигурации, чтобы продемонстрировать, как вы можете использовать NAT для сопоставления общедоступных IP-адресов с серверами за вашим Firebox.

Этот пример конфигурации предоставляется в качестве руководства. Дополнительные параметры конфигурации могут быть необходимы или более подходящими для вашей сетевой среды.

Топология сети

В этом случае два сервера электронной почты SMTP имеют частные IP-адреса и расположены за Firebox в дополнительной сети.

В примерах файлов конфигурации Firebox и почтовые серверы используют следующие IP-адреса:

Цель этого примера — обеспечить прохождение трафика между почтовыми серверами за Firebox и общедоступным Интернетом.IP-адреса, которые мы хотим перевести для каждого почтового сервера:

Обзор решения

Этот пример конфигурации демонстрирует два различных типа конфигурации NAT, которые можно использовать для преобразования общедоступных IP-адресов почтовых серверов в соответствующие частные IP-адреса для входящего и исходящего трафика.

  • Вариант 1 — использовать статический NAT для входящего трафика и динамический NAT для исходящего трафика
  • Вариант 2 — использовать NAT 1-к-1 как для входящего, так и для исходящего трафика

Примеры файлов конфигурации

Для справки мы включили в этот документ примеры файлов конфигурации.Чтобы изучить детали каждого примера файла конфигурации, вы можете открыть его с помощью диспетчера политик. Этот пример конфигурации сопровождается двумя файлами конфигурации. Эти файлы конфигурации включены в файл nat_mail_example_configs.zip.

  • nat_snat_dnat_mail.xml — Пример файла конфигурации для статического и динамического NAT
  • nat_1-to-1_mail.xml — Пример файла конфигурации для NAT 1: 1

Требования

Топка

Конфигурация статического NAT, показанная в этом примере, предназначена для Firebox, который использует Fireware OS v11.5.x или выше. В версиях Fireware до 11.4.1 статическая конфигурация NAT выглядела бы немного иначе.

Почтовые сервера

Два SMTP-сервера, настроенные как общедоступные почтовые серверы, каждый с частным IP-адресом.

Мы не рекомендуем подключать общедоступные серверы, такие как веб-сервер, FTP-сервер или почтовый сервер, к той же сети, которая подключается к внутренним пользователям или другим непубличным сетевым ресурсам.Поскольку эти серверы общедоступны, они представляют потенциальную уязвимость для вашей внутренней сети. Вместо этого подключите эти общедоступные серверы к отдельной сети от других ваших внутренних сетевых ресурсов и пользователей. В этом примере почтовые серверы являются частью сети, подключенной к Firebox, настроенному как Дополнительно .

Общедоступные IP-адреса для почтовых серверов

У вас должен быть общедоступный маршрутизируемый IP-адрес для сопоставления с каждым сервером.В этом примере мы используем два IP-адреса для двух почтовых серверов. Использование смежных IP-адресов может упростить настройку, если у вас более одного сервера.

Запись DNS MX

Для некоторых типов серверов, таких как почтовые серверы в этом примере, вам необходимо создать записи DNS для разрешения на общедоступные IP-адреса серверов. Для почтовых серверов вам потребуется запись MX для каждого сервера.

Как это работает

NAT относится к нескольким типам трансляции IP-адресов и портов.Все типы NAT позволяют Firebox автоматически менять один IP-адрес на другой IP-адрес в источнике или получателе пакета, обрабатываемого политикой. В этих примерах конфигурации мы используем три различных типа NAT для преобразования общедоступного IP-адреса в частный IP-адрес каждого сервера как для входящего, так и для исходящего трафика.

  • Dynamic NAT — обрабатывает трансляцию адресов для трафика, который покидает интерфейс Firebox
  • Статический NAT — обрабатывает трансляцию адресов для трафика, поступающего на внешний интерфейс
  • NAT 1-к-1 — обрабатывает преобразование адресов для трафика, который входит или покидает интерфейс

В этом примере показано, как можно настроить NAT двумя разными способами для достижения одного и того же результата.

  • В варианте 1 мы используем динамический NAT и статический NAT вместе для обработки входящего и исходящего трафика на почтовые серверы.
  • В варианте 2 мы используем только NAT 1-к-1 для достижения того же результата с меньшим количеством шагов.

Все NAT основаны на политике. Политики в конфигурации устройства определяют, применяется ли каждый тип NAT к трафику, обрабатываемому каждой политикой.

  • Для NAT 1-к-1 и динамического NAT — параметры NAT на вкладке Advanced политики определяют, применяются ли параметры, настроенные в Network> NAT , к трафику, обрабатываемому этой политикой. Для динамического NAT можно настроить политику для использования параметров сетевого NAT или указать исходный IP-адрес для использования для динамического NAT.
  • Для статического NAT — политика использует статический NAT для исходящего трафика, если раздел политики To: содержит действие статического NAT.

Объяснение конфигураций

Вариант 1 — использовать статический NAT и динамический NAT

Эта конфигурация демонстрирует, как использовать статический NAT и динамический NAT для преобразования IP-адресов почтового сервера для входящего и исходящего трафика. Здесь показан пример файла конфигурации nat_snat_dnat_mail.xml.

Конфигурация внешнего интерфейса

Внешний интерфейс настроен с двумя вторичными IP-адресами, по одному для каждого почтового сервера.Вам необходимо сначала добавить эти вторичные внешние IP-адреса, чтобы вы могли выбрать их при настройке действия статического NAT.

Эти IP-адреса являются общедоступными IP-адресами в MX-записях DNS для двух почтовых серверов и используются в статической и динамической конфигурации NAT.

Конфигурация статического NAT

SMTP-трафик по умолчанию не разрешен.Пример конфигурации включает политику SMTP-прокси , чтобы разрешить входящий SMTP-трафик на два почтовых сервера. Политика прокси-сервера SMTP, обрабатывающая входящий трафик SMTP, содержит действие статического NAT (SNAT) для выполнения NAT для входящего трафика на два почтовых сервера с любых внешних интерфейсов.

Чтобы увидеть действие статического NAT в политике:

  1. Откройте пример файла конфигурации с помощью диспетчера политик.
  2. Откройте политику SMTP-прокси .
    Откроется диалоговое окно «Изменить свойства политики».

Правило SNAT в этой политике изменяет IP-адреса назначения для входящего трафика с общедоступного IP-адреса каждого сервера на частный IP-адрес каждого сервера. Эффект этого действия SNAT в политике SMTP-Proxy:

  • Для входящего SMTP-трафика на почтовый сервер 1 измените IP-адрес назначения с 203.От 0.113.25 до 10.0.2.25.
  • Для входящего SMTP-трафика на почтовый сервер 2 измените IP-адрес назначения с 203.0.113.26 на 10.0.2.26.

Действие SNAT обрабатывает NAT для трафика, поступающего на эти серверы. Но поскольку действие SNAT применяется только к входящему трафику, нам необходимо использовать динамический NAT для преобразования исходного IP-адреса для трафика, отправляемого почтовыми серверами, из внешнего интерфейса.Для этого мы используем динамический NAT в политиках, обрабатывающих исходящий SMTP-трафик.

Конфигурация динамического NAT

Конфигурация динамического NAT по умолчанию автоматически применяет динамический NAT ко всему трафику от одного из трех диапазонов частных IP-адресов к любому внешнему интерфейсу. По умолчанию динамический NAT включен для трафика, который начинается в любом диапазоне частных IP-адресов, определенных RFC 1918, и выходит из любого внешнего интерфейса.

Чтобы увидеть динамическую конфигурацию NAT по умолчанию, выберите Сеть> NAT .

Каждое из этих динамических действий NAT преобразует трафик от источника в пункт назначения . Если трафик соответствует источнику и назначению в действии динамического NAT, динамический NAT изменяет исходный IP-адрес на основной IP-адрес интерфейса назначения.

Влияние третьего динамического действия NAT по умолчанию 10.0.0.0/8 — Any-External на трафик с наших почтовых серверов:

  • Для исходящего трафика от почтового сервера 1 измените исходный IP-адрес с 10.0.1.25 на 203.0.113.2
  • Для исходящего трафика от почтового сервера 2 измените исходный IP-адрес с 10.0.1.26 на 203.0.113,2

Но это поведение по умолчанию не то, что нам нужно. Мы хотим изменить исходный IP-адрес для каждого почтового сервера, чтобы он соответствовал общедоступному IP-адресу этого сервера. Мы хотим сделать следующее:

  • Для исходящего трафика от почтового сервера 1 измените исходный IP-адрес с 10.0.1.25 на 203.0.113.25
  • Для исходящего трафика от почтового сервера 2 измените исходный IP-адрес с 10.0.1.26 к 203.0.113.26

Чтобы переопределить исходный IP-адрес, используемый по умолчанию динамическим действием NAT, мы создаем политики для обработки исходящего SMTP-трафика с каждого из этих серверов. В каждой политике мы указываем исходный IP-адрес, который будет использоваться для динамического NAT. В этом примере эти политики: SMTP-out-MS_1 для трафика с почтового сервера 1 и SMTP-out-MS_2 для трафика с почтового сервера 2.

Для просмотра конфигурации политики исходящего трафика от почтового сервера 1:

  1. Откройте политику SMTP-out-MS_1 .
  2. Щелкните вкладку Advanced .

Динамический NAT Весь трафик в этой политике и Установить IP-адрес источника выбраны. В качестве исходного IP-адреса установлен общедоступный IP-адрес почтового сервера 1, 203.0.113.25. Для трафика, обрабатываемого этой политикой, динамический NAT изменяет исходный IP-адрес на исходный IP-адрес, установленный в политике, а не на первичный IP-адрес внешнего интерфейса.

Чтобы динамический NAT правильно использовал исходный IP-адрес в этой политике, политика должна соответствовать двум требованиям:

  • Политика должна разрешать трафик только через один интерфейс.
  • Динамический NAT Установить IP-адрес источника должен находиться в той же подсети, что и IP-адрес интерфейса в разделе «Кому» политики.
  1. Чтобы убедиться, что эта политика соответствует этим требованиям, щелкните вкладку Политика .

Эта политика разрешает трафик:

Из 10.0.2.25, частный IP-адрес почтового сервера 1.

Кому Внешний, имя определенного внешнего интерфейса. Это соответствует первому требованию.

Исходный IP-адрес в этой политике (203.0.113.25), находится в той же подсети, что и IP-адрес внешнего интерфейса (203.0.113.2). Это соответствует второму требованию.

Пример конфигурации также включает политику, настроенную для обработки динамического NAT для исходящего трафика для почтового сервера 2. Для просмотра исходящего трафика конфигурации политики от почтового сервера 2:

  1. Откройте политику SMTP-out-MS_2 .
  2. Щелкните вкладку Advanced , чтобы просмотреть конфигурацию IP-адреса источника динамического NAT.
  3. Щелкните вкладку Policy , чтобы увидеть источник и назначение трафика, обрабатываемого политикой.

Исходный IP-адрес, установленный в этих двух политиках, имеет следующий эффект:

  • Для исходящего трафика от почтового сервера 1 измените IP-адрес источника с 10.0.2.25 на 203.0.113.25
  • Для исходящего трафика от почтового сервера 2 измените исходный IP-адрес с 10.0.2.26 к 203.0.113.26

Сводка

Статические и динамические действия и политики NAT в этой конфигурации работают вместе для обработки преобразования адресов в заголовках IP-пакетов для входящего и исходящего трафика на оба почтовых сервера.

Комбинированные параметры конфигурации статического NAT (SNAT) и динамического NAT (DNAT) имеют следующий эффект:

Вариант 2 — использовать NAT 1: 1

Другой метод настройки NAT для этих почтовых серверов — использование NAT «1 к 1» вместо статического и динамического NAT.Поскольку NAT 1-к-1 обрабатывает как входящий, так и исходящий трафик, для настройки NAT 1-к-1 требуется меньше действий, чем для настройки динамического и статического NAT для одних и тех же серверов. Здесь показан пример файла конфигурации nat_1-to-1_mail.xml.

Конфигурация внешнего интерфейса

Конфигурация внешнего интерфейса не включает два дополнительных IP-адреса. Это отличается от конфигурации внешнего интерфейса для варианта 1.Вам не нужно добавлять IP-адреса вторичного внешнего интерфейса, чтобы настроить их в настройках NAT «1 к 1».

Конфигурация NAT сети 1-к-1

Настройки NAT «1-к-1» для сети применяются к трафику, обрабатываемому всеми политиками в конфигурации, для которых установлен флажок NAT 1-к-1. В примере конфигурации есть одно правило NAT «1 к 1», которое обрабатывает входящий и исходящий NAT для обоих почтовых серверов.

Для просмотра настроек NAT 1: 1:

  1. Откройте пример файла конфигурации в Policy Manager.
  2. Выберите Сеть> NAT .
  3. Щелкните вкладку NAT 1-к-1.

Вот как вы читаете каждый столбец этой конфигурации:

Интерфейс

Это действие NAT «1 к 1» применяется к входящему и исходящему трафику на внешнем интерфейсе .

Количество хостов

Определяет количество IP-адресов, к которым применяется действие NAT «1 к 1». В данном случае это относится к 2 хостам.

База NAT

База NAT — это наименьший IP-адрес в диапазоне адресов для преобразования. Базовый диапазон NAT представляет собой серию последовательных IP-адресов, вплоть до количества узлов, с указанным базовым IP-адресом NAT как наименьшим адресом в диапазоне.В этом примере # хостов равно 2, поэтому диапазон базовых адресов NAT состоит из следующих адресов:

203.0.113.25 — публичный IP-адрес почтового сервера 1

203.0.113.26 — публичный IP-адрес почтового сервера 2

Реальная база

Реальная база — это наименьший IP-адрес — это диапазон адресов источника для преобразования.Реальный базовый диапазон — это серия последовательных IP-адресов, вплоть до количества хостов, при этом указанный IP-адрес является наименьшим адресом в диапазоне. В этом примере количество хостов равно 2, поэтому диапазон реальных базовых адресов состоит из следующих адресов:

10.0.2.25 — частный IP-адрес почтового сервера 1

10.0.2.26 — частный IP-адрес почтового сервера 2

В этом примере мы можем настроить сопоставление NAT 1-к-1 с диапазоном IP-адресов, поскольку общедоступные IP-адреса и частные IP-адреса двух почтовых серверов являются последовательными.Когда мы определяем сопоставление NAT «1 к 1» как диапазон, Real Base и NAT Base для почтового сервера 2 являются вторыми адресами в диапазоне.

Если общедоступные или частные IP-адреса серверов не были последовательными (например, если частный IP-адрес почтового сервера 2 в этом примере был 10.0.2.50), вы можете добавить одно сопоставление NAT 1 к 1 к обрабатывать отображение NAT для каждого сервера.

Даже если ваши серверы имеют последовательные IP-адреса, для ясности вам может потребоваться настроить сопоставление NAT «1 к 1» как два отдельных сопоставления.Для сравнения, вы можете посмотреть на конфигурацию NAT «1 к 1» в файле конфигурации (слева) рядом с эквивалентной конфигурацией с отдельными сопоставлениями NAT для каждого хоста (справа).

Эти две настройки конфигурации NAT «1 к 1» эквивалентны.

Независимо от того, настраиваете ли вы одно правило NAT «1 к 1» для применения к диапазону IP-адресов, или настраиваете отдельные правила NAT «1 к 1 для каждого сервера», NAT работает одинаково.В этом примере эффект от конфигурации NAT «1 к 1» составляет:

NAT 1-к-1 для почтового сервера 1:

  • Для трафика, входящего во внешний интерфейс, если IP-адрес назначения — 203.0.113.25, измените его на 10.0.1.25.
  • Для трафика, исходящего от внешнего интерфейса, если исходный IP-адрес 10.0.1.25, измените его на 203.0.113.25.

NAT 1-к-1 для почтового сервера 2:

  • Для трафика, входящего во внешний интерфейс, если IP-адрес назначения — 203.0.113.26, измените его на 10.0.1.26.
  • Для исходящего трафика от внешнего интерфейса, если исходный IP-адрес 10.0.1.26, измените его на 203.0.113.26.

Конфигурация политики

SMTP-трафик по умолчанию не разрешен.Пример конфигурации включает политику SMTP-прокси , чтобы разрешить входящий SMTP-трафик на два почтовых сервера. Настройки NAT по умолчанию в политике SMTP-прокси включают NAT 1-к-1, поэтому никаких изменений настроек NAT по умолчанию в политике не требуется. По умолчанию во всех политиках включены как NAT «1 к 1», так и динамический NAT. NAT 1-к-1 имеет приоритет над динамическим NAT, если оба они применяются к трафику в политике.

Чтобы увидеть политику SMTP-прокси

  1. Откройте политику SMTP-прокси .

Эта политика направляет трафик напрямую на общедоступные IP-адреса почтовых серверов. Это IP-адреса в базе NAT конфигурации NAT «1 к 1». В отличие от политики в конфигурации первого примера, эта политика не требует действия SNAT, поскольку преобразование адресов выполняется NAT 1-к-1.

Вы также можете указать реальную базу вместо базы NAT.

  1. Щелкните вкладку Advanced , чтобы просмотреть настройки NAT политики по умолчанию.

Вы можете видеть, что NAT 1-к-1 (использовать настройки сетевого NAT) включен. Это значение по умолчанию.

Пример конфигурации также имеет политику SMTP для обработки SMTP-трафика от Any-Optional к External.Эта политика является необязательной, поскольку политика Исходящая по умолчанию также разрешает этот трафик. Как для политики SMTP, так и для исходящей политики по умолчанию включен NAT «1 к 1», поэтому никаких изменений настроек NAT в политике не требуется.

Прочие соображения

Настроенные вами параметры NAT «1 к 1» по умолчанию включены во всех политиках. Если ваш почтовый сервер также используется для других типов исходящего трафика, и вы не хотите, чтобы этот другой трафик подвергался сопоставлению NAT 1-к-1, убедитесь, что вы отключили NAT 1-к-1 на вкладке Advanced политики, обрабатывающей этот трафик.Например, если ваш почтовый сервер также иногда используется для загрузки FTP с внешнего сервера, и вы не хотите, чтобы этот FTP-трафик приходил с вашего почтового сервера, снимите настройки NAT «1 к 1» на вкладке «Дополнительно». политики FTP.

Сводка

Конфигурация NAT 1-к-1 обеспечивает способ настройки двунаправленного NAT в одном месте и не требует изменения настроек NAT по умолчанию в политиках, если вы не хотите отключить NAT 1-к-1 для определенного тип трафика.

  • Для входящего трафика, адресованного IP-адресу назначения в базе NAT , NAT 1-к-1 изменяет IP-адрес назначения на соответствующий IP-адрес в базе Real .
  • Для исходящего трафика от IP-адреса источника в базе Real base NAT 1-к-1 изменяет IP-адрес источника на соответствующий IP-адрес в базе NAT .

Конфигурация NAT 1-к-1 в этом примере имеет следующий эффект:

Заключение

В этом примере конфигурации трафик от внешнего почтового сервера или пользователя адресован общедоступному IP-адресу одного из внутренних почтовых серверов. Действия NAT в конфигурации автоматически изменяют место назначения на внутренний IP-адрес сервера.Для почты, отправляемой с почтовых серверов через внешний интерфейс, действия NAT в конфигурации автоматически изменяют исходный IP-адрес на общедоступный IP-адрес каждого сервера.

В этих примерах конфигурации показаны два метода настройки, и в процессе продемонстрированы эти возможности статического NAT, динамического NAT и NAT 1-к-1:

  • Статический NAT обрабатывает входящий NAT, а динамический NAT обрабатывает исходящий NAT.При совместном использовании они могут обрабатывать NAT в обоих направлениях.
  • NAT 1-к-1 обрабатывает как входящие, так и исходящие сетевые адреса преобразования.

Вы можете использовать любой из этих вариантов для реализации NAT для серверов в вашей собственной сети.

IPVS.md · GitHub

Майнеры

должны иметь общедоступный IP-адрес и правильно настроенный брандмауэр, чтобы все работало должным образом.Но иногда это невозможно из-за ограничений безопасности, конфиденциальности или провайдера. Сюда также входят майнеры за NAT.

Для работы с этими майнерами хаб можно настроить как шлюз.

Примечание: мы предполагаем, что можно построить частную сеть между хабом и майнерами.

NAT

При запуске майнеры могут автоматически определять настройки своего брандмауэра. Это может быть, например, ограниченный NAT, NAT с ограничением портов (PNAT), симметричный брандмауэр UDP и многое другое.Также возможно, что для майнерской сети нет ограничений.

Это делается путем запроса определенного сервера с использованием протокола STUN.

Если включено, майнер пытается обнаружить свой собственный публичный IP-адрес и конфигурацию брандмауэра. Если он отключен, он рассматривается как имеющий общедоступный IP-адрес, который определяется автоматически, и ответственность за обеспечение правильного доступа к майнеру из Интернета лежит на системном администраторе.

Эти настройки передаются в концентратор, который (при правильной настройке) отмечает майнер как частный, позволяя маршрутизировать запросы через себя, т.е.е. быть воротами.

Для каждого нового экземпляра конкретного контейнера мы регистрируем виртуальную службу на концентраторе с использованием IPVS.

Что такое IPVS?

IPVS (IP Virtual Server) или LVS (Linux Virtual Server) — это модуль ядра Linux, которому 16 лет, основанный на netfilter. Он поддерживает TCP, SCTP и UDP и может достигать невероятно высоких скоростей. Другие функции включают NAT, туннелирование и прямую маршрутизацию.

Он работает путем перезаписи заголовков L2, L3 или L4, чтобы иметь возможность пересылать трафик.IPVS перенаправляет трафик от клиентов к серверной части, что означает, что вы можете балансировать нагрузку на что угодно.

Может работать в следующих режимах:

  • DR — перезаписывает DST MAC для пересылки на L2.
  • DNAT — перезаписывает IP-адрес DST, использует тот же L4 и ведет себя как NAT, перезаписывая IP-пакеты и пересылая трафик запросов и ответов.
  • IPIP — инкапсулирует IP и маршрутизируется куда угодно.

Если ничего не настроено, ответ пропускает балансировщик нагрузки, поэтому только запрос проходит через IPVS.

Как мы его используем?

Концентратор, настроенный как шлюз, подключается к общедоступному сетевому интерфейсу для публикации виртуальных служб.

В нашей конфигурации мы используем IPVS в режиме DNAT, потому что режимы DR и IPIP требуют наличия одной и той же виртуальной службы и внутренних портов.

Каждый контейнер, которому требуется сеть, порожденная скрытым майнером, экспортирует один или несколько портов, чтобы иметь возможность принимать запросы. В хабе мы регистрируем новую виртуальную службу на общедоступном интерфейсе с режимом DNAT, который перенаправляет все запросы майнеру.Поскольку клиенты тоже могут находиться за брандмауэром, мы также пересылаем все ответы обратно через концентратор.

Примечание: вся переадресация выполняется внутри ядра, что делает ее невероятно быстрой.

После успешного запуска контейнеров мы предоставляем вам адрес виртуальной службы (обычно общедоступный IP-адрес концентратора) и порт виртуальной службы, через который будут выполняться запросы.

Вот как это работает в двух словах.

Примечание: механизм маршрутизации потребляет трафик вашего концентратора, а это ограниченный ресурс.Мы обеспечиваем точный учет через наш Hub API, однако его также можно увидеть напрямую с помощью команды ipvsadm .

Конфигурация

Майнеры за брандмауэром должны явно отметить его, настроив параметры обнаружения брандмауэра:

Брандмауэр
:
   сервер: "stun.ekiga.net:3478" 

Обратите внимание, что в случае, если у майнера есть публичный IP-адрес, всегда небезопасно открывать все порты для доступа в Интернет. Вероятность того, что автоматическое обнаружение обнаружит брандмауэр вашего маршрутизатора или ОС, составляет 99,9%, поэтому убедитесь, что вы правильно настроили свою сеть.

И это все для майнеров.

Hubs имеет больше ограничений:

  • У него должен быть публичный IP-адрес (лучше несколько).
  • Он должен быть запущен на машине Linux с настроенным модулем IPVS.
  • Для запуска концентратора требуются права администратора.
  • Также требуется начальная настройка ядра.

Шаги настройки (под рутом):

Примечание: не верьте нам. Прочтите руководство по каждой команде и sysctl, чтобы четко понимать, что происходит.

  1. Установите модуль IPVS и пакет ipvsadm для более глубокого изучения.
  1. Запустите ipvsadm один раз, чтобы предварительно настроить модуль. Убедитесь, что таблица IPVS пуста.
 esafronov @ h: ~ $ ipvsadm -Ln
Виртуальный IP-сервер версии 1.2.1 (размер = 65536)
Prot LocalAddress: флаги планировщика портов
  -> RemoteAddress: Вес переадресации порта ActiveConn InActConn 
  1. Сообщает ядру, что вы хотите разрешить пересылку IP.
 эхо 1> / proc / sys / net / ipv4 / ip_forward 
  1. Включить conntrack.
 эхо 1> / proc / sys / net / ipv4 / vs / conntrack 
  1. Наконец, включите SNAT, используя iptables .
 iptables -t nat -A POSTROUTING -j MASQUERADE 

Если ваши сетевые настройки меняются редко, рекомендуется настроить SNAT, напрямую указав частный IP-адрес, это даст вам более производительное решение.

  1. Добавьте следующие строки в файл config.
 # Хаб как шлюз настройки.Может быть опущено, указывая на то, что концентратор не должен быть шлюзом.
шлюз:
  # Диапазон портов, выделенный для виртуальных сервисов, если есть.
  порты: [32768, 33768] 

Пример

На машине-концентраторе запустите концентратор:

 esafronov @ h: ~ / go / src / github.com / sonm-io / core $ sudo ./sonmhub
2017-08-28T19: 23: 42.114 + 0300 INFO gateway / gateway_linux.go: 47 инициализация контекста IPVS
ИНФОРМАЦИЯ [08-28 | 19: 23: 42] Запуск P2P-сети
...
2017-08-28T19: 23: 44.674 + 0300 INFO hub / server.go: 361 прослушивает соединения от майнеров {"address": "[::]: 10002"}
2017-08-28T19: 23: 44.675 + 0300 INFO hub / server.go: 370 прослушивание соединений API gRPC {"address": "[::]: 10001"} 

На машине с майнером проверьте, включен ли Docker.

 root @ m: / home / esafronov # docker ps
КОНТЕЙНЕР ИДЕНТИФИКАЦИЯ ИЗОБРАЖЕНИЕ КОМАНДА СОЗДАЕТ СТАТУС ИМЯ ПОРТОВ 

Запустить майнер:

 esafronov @ m: ~ / go / src / github.com / sonm-io / core $ sudo ./sonmminer
2017-08-28T19: 27: 08.433 + 0300 DEBUG miner / builder.go: 75 создание майнера {"config": {"HubConfig": {"Endpoint": "m: 10002", "Resources": null}, "FirewallConfig": {"Сервер": "stun.ekiga.net:3478"},"GPUConfig":null,"SSHConfig":null,"LoggingConfig":{"Level":-1}}}
2017-08-28T19: 27: 08.433 + 0300 DEBUG miner / builder.go: 92 обнаружение общедоступного IP-адреса с типом NAT, это может занять много времени ...
2017-08-28T19: 27: 18.771 + 0300 INFO miner / builder.go: 109 обнаружен общедоступный IP-адрес {"addr": "93.255.215.130", "nat": "Symetric UDP firewall"}
... 

Убедитесь, что на компьютере концентратора таблица IPVS пуста:

 esafronov @ h: ~ $ ipvsadm -Ln
Виртуальный IP-сервер версии 1.2.1 (размер = 65536)
Prot LocalAddress: флаги планировщика портов
  -> RemoteAddress: Вес переадресации порта ActiveConn InActConn 

На клиентской машине запустить какую-то задачу:

 ⇒./ sonmcli список майнеров --addr = "m: 10001"
Майнер: [4c01: 9b1: 0: 1f12 :: d1: 30]: 33716 Простой

⇒ ./sonmcli запуск задачи "[4c01: 9b1: 0: 1f12 :: d1: 30]: 33716" task.yaml --addr = "m: 10001"
Запускаем "cocaine / cocaine-core: latest" на майнере [4c01: 9b1: 0: 1f12 :: d1: 30]: 33716 ...
ID 755fe2a8-479a-43fb-a842-f4ef7e94cdd0
Конечная точка [10053 / tcp-> 93.255.215.128:32898] 

Обратите внимание, что задача экспортирует один TCP-порт 10053 , и мы создали виртуальную службу на конечной точке 93.255.215.128:32898 .

Убедитесь, что на компьютере концентратора действительно есть запись таблицы IPVS:

 корень @ h: / home / esafronov # ipvsadm -Ln
Виртуальный IP-сервер версии 1.2,1 (размер = 65536)
Prot LocalAddress: флаги планировщика портов
  -> RemoteAddress: Port Forward Weight ActiveConn InActConn
TCP 93.255.215.128:32898 wrr
  -> 93.255.215.130:32801 Masq 100 0 0 

Выполнить некоторый запрос на клиентском компьютере, используя предоставленную конечную точку виртуальной службы:

 ⇒ кокаин-инструмент найти -n локатор --host = 93.255.215.128 --port = 32898
{
    "api": {
        «0»: «разрешить»,
        «1»: «подключиться»,
        «2»: «обновить»,
        «3»: «кластер»,
        «4»: «опубликовать»,
        «5»: «маршрутизация»
    },
    "конечные точки": [
        «172.
	

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *