トラフィックのロードのために宛先NAT変換タイプ ダイナミック IP (セッション分散あり) を設定する方法

ラウンドロビン、送信元IP ハッシュ、IP モジュロ、IP ハッシュ、最小セッションなどの複数の方法に基づいて、インバウンド トラフィックを内部バックエンド サーバーに分散します。

• PaloAlto ファイアウォール
• サポートされているPAN-OS
• 宛先NAT

トポロジー：


前提条件: ローカルDNSサーバーでFQDN を事前に構成する必要があります。このサーバーは、内部実サーバーのすべてのプライベート IP に解決する必要があります。この例では、192.168.1.10 と 192.168.1.20 です。

1. PaloAltoファイアウォールのGUIにログインする

• [オブジェクト] -> [アドレス] に移動し、[追加] をクリックして、 FQDNタイプのオブジェクトを作成し、内部サーバーの複数のプライベート IP に解決されるドメイン名を入力します。

• もう一度「追加」をクリックし、IPネットマスクタイプのパブリックIPのオブジェクトを作成し、パブリックIPを入力します。

2. ポリシー -> NAT -> 「追加」をクリックし、 NATポリシールールを作成します。

• 「元のパケット」の下で、送信元と宛先ゾーンを外部ゾーンとして選択し、送信元として任意を選択し、宛先アドレスをサーバーのパブリックIPアドレスとして選択します。

• 「変換されたパケット」->「宛先アドレス変換」->「変換タイプ」として「動的IP（セッション分散あり）」を選択し、「変換されたアドレス」として「内部サーバーのプライベートIPに解決されるFQDNオブジェクトが作成されました」を選択し、内部サーバーの変換されたポートを選択し、「セッション分散方法」を選択します（デフォルトでは「ラウンドロビン」方式が選択されています）。

これらは、サーバー間のトラフィックを分散するために使用できる「セッション分散方法」です。

• ラウンドロビン?(デフォルト) 新しいセッションを IP アドレスに順番に割り当てます。環境で他の配布方法のいずれかを選択するように指示されていない限り、この方法を使用します。
• 送信元IP ハッシュ?ソース IP アドレスのハッシュに基づいて新しいセッションを割り当てます。単一のソースIPアドレスからの着信トラフィックがある場合は、送信元IP ハッシュ以外の方法を選択します。
• IP モジュロ:ファイアウォールは、着信パケットの送信元および宛先IPアドレスを考慮し、XOR 演算とモジュロ演算を実行します。その結果に基づいて、ファイアウォールが新しいセッションを割り当てるIPアドレスが決まります。
• IP ハッシュ?送信元および宛先IP アドレスのハッシュを使用して新しいセッションを割り当てます。
• 最小セッション数:同時セッション数が最も少ないIPアドレスに新しいセッションを割り当てます。存続期間の短いセッションが多数ある場合、最小セッション数により、よりバランスの取れたセッション分散が実現します。