트래픽 부하 로드 위해 대상 NAT 변환 유형 동적 IP( 세션 분배 포함)를 구성하는 방법

라운드 로빈, 소스 IP 해시, IP 모듈로, IP 해시, 최소 세션 등 다양한 방법을 기반으로 내부 백엔드 서버로 인바운드 트래픽 분산합니다.

• PaloAlto 방화벽
• 지원되는 PAN-OS
• 목적지 NAT

토폴로지:


필수 조건: FQDN 로컬 DNS 서버에서 미리 구성되어야 하며 이는 내부 실제 서버의 모든 개인 IP로 확인되어야 합니다. 이 예에서는 192.168.1.10 및 192.168.1.20입니다.

1. PaloAlto 방화벽 GUI에 로그인

• 개체 -> 주소로 이동하여 "추가"를 클릭하고 FQDN 유형의 개체를 만들고 내부 서버의 여러 개인 IP로 확인되는 도메인 이름을 입력합니다.

• 다시 추가를 클릭하고 IP 넷마스크 유형으로 공용 IP에 대한 객체를 생성하고 공용 IP를 입력합니다.

2. 정책 탐색 -> NAT -> "추가"를 클릭하고 NAT 정책 규칙을 만듭니다.

• "원래 패킷"에서 소스 및 데스티네이션 존(zone) 외부 존(zone) 으로 선택하고, 소스를 임의, 데스티네이션 주소를 서버의 공용 IP 주소 로 선택합니다.

• "변환된 패킷" -> 대상 주소 변환 -> 변환 유형을 "동적 IP( 세션 배포 포함)"로 선택하고, 변환된 주소를 "내부 서버의 개인 IP로 확인되는 FQDN 개체 생성"으로 선택하고, 내부 서버의 변환된 포트를 선택하고 "세션 배포 방법"을 선택합니다( 디폴트 으로 "라운드 로빈" 방법이 선택됨).

서버 간 트래픽을 분산하는 데 사용할 수 있는 "세션 분배 방법"은 다음과 같습니다.

• 라운드 로빈?(디폴트) IP 주소에 순환 순서로 새 세션을 할당합니다. 환경이 다른 배포 방법 중 하나를 선택하도록 지시하지 않는 한 이 방법을 사용하세요.
• 소스 IP 해시?소스 IP 주소 해시에 따라 새 세션을 할당합니다. 단일 소스 IP 주소 에서 들어오는 트래픽이 있는 경우 소스 IP 해시가 아닌 다른 방법을 선택합니다.
• IP 모듈로? 방화벽 들어오는 패킷의 소스 및 데스티네이션 IP 주소 고려합니다. 방화벽 XOR 연산과 모듈로 연산을 수행합니다. 결과에 따라 방화벽 새로운 세션을 할당할 IP 주소 결정됩니다.
• IP 해시?소스 및 데스티네이션 IP 주소의 해시를 사용하여 새로운 세션을 할당합니다.
• 최소 세션?동시 세션이 가장 적은 IP 주소 에 새 세션을 할당합니다. 단기 세션이 많은 경우 최소 세션은 세션을 보다 균형 있게 분배합니다.