负载均衡产品的NAT转换技术及IP溯源的实现

IANA在2011年2月宣布IPv4地址分配完毕，以及APNIC表示4月底IPv4地址即将枯竭，同时IPv6技术的越来越成熟，IPv6网络得到运营商、厂家、各ISP等的广泛重视，但是由于IPv4已经得到大量的应用和现阶段缺乏IPv6“杀手级”应用以及现有技术能缓解地址的问题。因此在相当一段时间内，互联网将是IPv4和IPv6共同存在、共同运行的时期。 但是IPv6和IPv4的报文格式并不兼容，如何实现IPv4和IPv6的无缝结合以及无损的平滑过渡已经成为业界最关注的内容。目前主要的探讨重点就是IPv4向IPv6过渡的几种技术：双栈技术、隧道技术、翻译技术。作者后续将结合此话题撰文向大家介绍各种迁移过渡技术在负载均衡设备上的应用和实现。今天先结合一个特别的应用案例向大家介绍最常见的NAT444技术及转换后如何通过负载均衡设备轻松实现IP地址的溯源。

大家知道，使用负载均衡产品需要配置虚拟服务器地址(简称VIP)，由此IP地址为客户提供服务，客户请求都将访问该地址，负载均衡设备通过改变请求的目的地址，将每个用户的真实请求根据相应的负载均衡策略分发到后端提供真实服务的物理服务器，在这个交互过程中，负载均衡设备默认实现了NAT转换，即访问目的地址的NAT转换，通常负载均衡设备是不做源地址转换的，这种实现方式就是大家熟知的网络地址转换技术，为了与IPV6系统有所区别避免称呼混淆，现在也将这种IPV4的NAT技术称为NAT444转换技术即IPV4与IPV4的地址转换。在实际工作场景中，我们的客户还需要在负载均衡设备上实现源地址的转换，原因是提供这组特殊服务的真实服务器并不在客户的局域网内而是在互联网的公网上，但是发出请求的源地址都来自于客户系统的专网内即所谓内网地址，这种情况下需要在负载均衡设备上启用源地址转换将发出请求的专网地址转换为可路由的公网地址。AX设备将这种NAT转换称为SourceNat，即源地址转换，

地址转换的数据包文流程图请参考下图实例：

 

配置方式相对简单：首先在AX设备上创建Nat地址池，如果用户希望使用的地址为不连续地址，那么需要创建多个地址池放置在一个组中，单一地址池内的地址必须是连续地址;其次将计划分配的源地址池与特定的虚拟服务器应用进行绑定，如果希望对源地址及目的地址有所区别也可以通过定义访问控制列表ACL实现不同地址池的匹配，也就是大家俗称的策略NAT，实现方式尽管简单，但是相应的问题随之而来，当大量的专网地址用户通过单一源地址转换后，地址池中的一个地址通过端口复用对应到公网的真实服务器，如何对这些实际上来自不同内网的IP用户进行溯源?如何记录NAT转换的结果及使用端口?在A10的负载均衡设备上可以通过特有的aFleX脚本技术结合syslog实现IP转换的溯源。

具体的aFleX脚本请见下图：　　

 

在AX设备上配置syslog服务器相关信息，以kiwi Syslog为例，记录到的溯源信息如下，包含转换时间，源地址，源端口，转换地址及目的端口等信息。