2011年6月1日

Brocade ADX1000 SNAT 筆記

Production 架構


問題症狀

以上圖的架構,RS之間無法透過ADX1000相互溝通(RS1 -> ADX1000 -> RS3),但直接互連是正常的(RS1 -> RS2)

問題原因解析



以步驟說明原因(上圖取自 ServerIron_1230_SLBGuide,假設上圖 client 是 production 的 RS1, real server 是 RS3)

1. RS1 透過 switch 連到 adx1000 上的 VS
2. adx1000 轉到後端的 RS3
3. RS3處理完封包後發現 RS1 與自己同一網段,就直接回傳給 RS1(bypass adx1000)
4. RS1 接收到封包後,發現由 RS3 發送過來的封包,來源 IP 與自己當時發出去的目的封包不同進而丟棄


應變方式

在需要相互溝通的 RS 加上 source-nat 設定(當然你也全域啟用 source-nat 讓所有的 RS 都啟用 source-nat 功能),讓 adx1000 改寫封包的來源 IP,以避免 bypass 問題。
ServerIronADX 1000(config)# server real rs1
ServerIronADX 1000(config-rs-rs1)# source-nat
ServerIronADX 1000(config-rs-rs1)# write memory
ServerIronADX 1000(config-rs-rs1)# end

補充

可定義某些來源IP做source-nat
ServerIronADX 1000(config)# access-list 1 permit 192.168.10.0 0.0.0.255
ServerIronADX 1000(config-rs-rs1)# source-nat access-list 1
ServerIronADX 1000(config-rs-rs1)# write memory
ServerIronADX 1000(config-rs-rs1)# end

參考文獻

ServerIron_1230_SLBGuide.pdf
有需要的人可以到 Brocade 官方網站下載

沒有留言:

張貼留言