Cómo configurar el tipo de traducción NAT de destino IP dinámica (con distribución de sesión ) para equilibrar la carga del tráfico

Para distribuir el tráfico entrante a servidores back-end internos según múltiples métodos como Round Robin, Origen IP Hash, IP Modulo, IP Hash y Least Sessions.

• Cortafuegos de Palo Alto
• Sistema operativo PAN compatible
• Destino NAT

Topología:


Prerrequisito: El FQDN debe estar preconfigurado en el servidor DNS local, que debe resolver todas las IP privadas de los servidores reales internos; en este ejemplo, es 192.168.1.10 y 192.168.1.20

1. Inicie sesión en la interfaz gráfica de usuario del cortafuegos de PaloAlto

• Vaya a Objetos -> Direcciones -> Haga clic en "Agregar", cree un objeto con el tipo FQDN e ingrese el nombre de dominio que se resuelve en múltiples IP privadas del servidor interno.

• Haga clic en Agregar nuevamente y cree un objeto para IP pública con el tipo Máscara de red IP e ingrese la IP pública

2. Vaya a Políticas -> NAT -> Haga clic en "Agregar" y cree una regla de Política NAT.

• En "Paquete original", seleccione la zona de origen y destino como zona externa, seleccione el origen como cualquiera y la dirección de destino como la Dirección IP pública de los servidores.

• En "Paquete traducido" -> Traducción de dirección de destino -> Seleccione el tipo de traducción como "IP dinámica (con distribución de sesión )", seleccione Dirección traducida como "Objeto FQDN creado que se resuelve en IP privadas de servidores internos", seleccione el puerto traducido del servidor interno y seleccione el "Método de distribución de sesión" (de valor predeterminado , se selecciona el método "Round Robin")

Estos son los "Métodos de distribución de sesiones" disponibles para distribuir el tráfico entre los servidores

• Round Robin? (valor predeterminado) Asigna nuevas sesiones a direcciones IP en orden rotatorio. A menos que su entorno le dicte que elija uno de los otros métodos de distribución, utilice este método.
• Hash de IP de Origen : asigna nuevas sesiones en función de un hash de direcciones IP de origen. Si tiene tráfico entrante desde una única Dirección IP de origen, seleccione un método distinto de Hash de IP de Origen .
• Módulo IP: El cortafuegos toma en consideración la Dirección IP de origen y destino del paquete entrante; el cortafuegos realiza una operación XOR y una operación módulo; el resultado determina a qué Dirección IP asigna el cortafuegos nuevas sesiones.
• Hash de IP:Asigna nuevas sesiones utilizando un hash de las direcciones IP de origen y destino .
• ¿Menos sesiones? Asigna nuevas sesiones a la Dirección IP que tenga menos sesiones simultáneas. Si tiene muchas sesiones de corta duración, la opción Menos sesiones le proporciona una distribución más equilibrada de las sesiones.