So konfigurieren Sie den Ziel NAT Übersetzungstyp „Dynamische IP“ (mit Sitzung ), um den Datenverkehr Last

Um eingehender Datenverkehr auf interne Backend-Server basierend auf mehreren Methoden wie Round Robin, Quelle IP Hash, IP Modulo, IP Hash und Least Sessions zu verteilen.

• PaloAlto-Firewalls
• Unterstützte PAN-OS
• Ziel NAT

Topologie:


Voraussetzung: Auf dem lokalen DNS -Server muss ein FQDN vorkonfiguriert sein, der alle privaten IPs interner realer Server auflösen soll, in diesem Beispiel sind das 192.168.1.10 und 192.168.1.20

1. Melden Sie sich bei der GUI der PaloAlto- Firewall an

• Navigieren Sie zu Objekte -> Adressen -> Klicken Sie auf „Hinzufügen“, erstellen Sie ein Objekt mit dem Typ FQDN und geben Sie den Domänennamen ein, der in mehrere private IPs des internen Servers aufgelöst wird.

• Klicken Sie erneut auf „Hinzufügen“ und erstellen Sie ein Objekt für die öffentliche IP mit dem Typ „IP-Netzmaske“.

2. Navigieren Sie zu Richtlinien -> NAT -> Klicken Sie auf "Hinzufügen" und erstellen Sie eine NAT-Richtlinie Richtlinienregel

• Wählen Sie unter „Originalpaket“ die Quell- und Destination als externe Zone , wählen Sie die Quelle als beliebig und die Destination als öffentliche IP-Adresse der Server

• Unter „Übersetztes Paket“ -> Zieladressübersetzung -> Wählen Sie als Übersetzungstyp „Dynamische IP (mit Sitzung )“, wählen Sie als übersetzte Adresse „Erstelltes FQDN Objekt, das in private IPs interner Server aufgelöst wird“, wählen Sie den übersetzten Port des internen Servers und wählen Sie die „Sitzungsverteilungsmethode“ ( Standard(-) ist die Methode „Round Robin“ ausgewählt).

Dies sind die verfügbaren „Sitzungsverteilungsmethoden“, um den Datenverkehr zwischen den Servern zu verteilen

• Round Robin? (Standard(-)) Weist neue Sitzungen in rotierender Reihenfolge den IP-Adressen zu. Verwenden Sie diese Methode, es sei denn, Ihre Umgebung erfordert, dass Sie eine der anderen Verteilungsmethoden wählen.
• Quelle -IP-Hash? Weist neue Sitzungen basierend auf einem Hash von Quell-IP-Adressen zu. Wenn Sie eingehenden Datenverkehr von einer einzelnen Quell- IP-Adresse haben, wählen Sie eine andere Methode als Quelle IP-Hash.
• IP Modulo? Die Firewall berücksichtigt die Quell- und Destination IP-Adresse des eingehenden Pakets; die Firewall führt eine XOR-Operation und eine Modulo-Operation durch; das Ergebnis bestimmt, welcher IP-Adresse die Firewall neue Sitzungen zuweist.
• IP-Hash? Weist neue Sitzungen mithilfe eines Hashs der Quell- und Destination IP-Adressen zu.
• Wenigste Sitzungen? Weist neue Sitzungen der IP-Adresse zu, die die wenigsten gleichzeitigen Sitzungen aufweist. Wenn Sie viele kurzlebige Sitzungen haben, bietet Ihnen Wenigste Sitzungen eine ausgewogenere Verteilung der Sitzungen.