Comment configurer le type de traduction NAT de destination IP dynamique (avec distribution de session ) pour équilibrer la charge du trafic

Pour distribuer le trafic entrant vers les serveurs back-end internes en fonction de plusieurs méthodes telles que Round Robin, Source IP Hash, IP Modulo, IP Hash et Least Sessions.

• Pare-feu PaloAlto
• Système d'exploitation PAN pris en charge
• NAT de destination

Topologie:


Prérequis : le FQDN doit être préconfiguré sur le serveur DNS local, qui doit résoudre toutes les adresses IP privées des serveurs réels internes. Dans cet exemple, il s'agit de 192.168.1.10 et 192.168.1.20.

1. Connectez-vous à l'interface graphique du pare-feu PaloAlto

• Accédez à Objets -> Adresses -> Cliquez sur « Ajouter », créez un objet avec le type FQDN et entrez le nom de domaine qui résout plusieurs IP privées du serveur interne.

• Cliquez à nouveau sur Ajouter et créez un objet pour l'IP publique avec le type Masque de réseau IP et entrez l'IP publique

2. Accédez à Stratégies -> NAT -> Cliquez sur « Ajouter », créez une règle de politique NAT

• Sous « Paquet d'origine », sélectionnez la zone source et la zone de destination comme zone externe, sélectionnez la source comme n'importe quelle et l'adresse de destination comme adresse IP publique des serveurs

• Sous « Paquet traduit » -> Traduction d'adresse de destination -> Sélectionnez le type de traduction comme « IP dynamique (avec distribution de session ) », sélectionnez l'adresse traduite comme « Objet FQDN créé qui résout les IP privées des serveurs internes », sélectionnez le port traduit du serveur interne et sélectionnez la « Méthode de distribution de session » (par par défaut, la méthode « Round Robin » est sélectionnée)

Voici les « méthodes de distribution de session » disponibles pour distribuer le trafic entre les serveurs

• Round Robin ? (par défaut) Affecte les nouvelles sessions aux adresses IP dans un ordre de rotation. À moins que votre environnement ne vous impose de choisir l'une des autres méthodes de distribution, utilisez cette méthode.
• Hachage IP Source ? Attribue de nouvelles sessions en fonction d'un hachage d'adresses IP sources. Si vous recevez du trafic entrant provenant d'une seule adresse IP source, sélectionnez une méthode autre que le hachage IP Source .
• Modulo IP ? Le pare-feu prend en compte l' adresse IP source et de destination du paquet entrant ; le pare-feu effectue une opération XOR et une opération modulo ; le résultat détermine à quelle adresse IP le pare-feu attribue les nouvelles sessions.
• Hachage IP ? Attribue de nouvelles sessions à l'aide d'un hachage des adresses IP source et de destination .
• Moins de sessions ? Affecte les nouvelles sessions à l' adresse IP qui compte le moins de sessions simultanées. Si vous avez de nombreuses sessions de courte durée, la fonction Moins de sessions vous offre une distribution plus équilibrée des sessions.