최근 PAS-K 장비의 Gateway Load Balancing + Source NAT를 설정할 일이 생겼다.
L4쪽에서도 흔하게 사용하지 않는 정책이여서 어려움이 있었다. 작업한 사항에 대해서 정리해보겠다.
주로 설정에 대한 정의보다, 로직에 대한 정의를 진행해보겠다
대상장비 : PAS-K2424
작업사항 : Gateway Load Balancing + Filter + SourceNAT
PAS-K 장비부터는 기존 Piolink와 다르게 객체 기반으로 정책을 생성한다.
1. 실제서버 생성후 SoureNAT를 설정한다.
real 1000 // Real ID 설정(객체)
rip 10.10.10.10 // 실제서버 IP설정(추후 Gateway 부하분산의 Real Server로 셋팅된다)
name g1 // 네임
nat 1 // NAT ID 설정(객체)
type source-nat // Source Nat 설정
priority 1
protocol all
natip 10.10.10.30 // NAT가 되는 IP 설정
sip 10.10.10.20/32 // NAT가 되는 출발지 IP 설정
status enable
apply
apply
exit
2. Gateway 부하분산 설정 진행(우선순위 숫자가 낮은것이 먼저 적용된다)
3. 필터가 적용된 사항에 대해서만 NAT가 이루어진다. 필터는 순서와 관계없이 exclude가 먼저
진행되고 그 이후에 Include가 진행된다.
** 아래 설정을 해석하면 real 1000, 1001에 설정된 Source NAT를 사용하며 게이트웨이 로드밸런싱
이 된다. Filter1을 통해서 해당 네트웍 대역 통신은 NAT가 되지 않고, Filter2를 통해서 그외에의 패킷들에 대해서는 real 1000, 1001 NAT정책을 타게끔 하는것이다. NAT정책이 없다고 하면 그냥 나가는거다.
gwlb nat1
priority 10
lb-method rr
health-check 1
sticky time 60
sticky source-subnet 255.255.255.255
sticky destination-subnet 255.255.255.255
real 1000
real 1001
apply
filter 1
type exclude
protocol all
sip 0.0.0.0/0
dip 10.10.10.20/24
status enable
apply
filter 2
type include
protocol all
sip 0.0.0.0/0
dip 0.0.0.0/32
status enable
apply
apply
exit
4. 실제 서버에서 정사적으로 NAT가 되는지 확인하려면 L4에 접속하여 CLI상에서
다음과 같이 진행
L4 # show entry ip 10.10.10.1 // 실제적으로 어떤 정책을 타고 변환되서 나가는지 확인됨
L4_C# tcpdump -i wan host 10.10.10.1 // 리눅스 tcp덤프와 같다고 보시면 될것 같다
음 정리하고도 뭔소린지 햇갈린다....
