|
|
马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
NTH 在端口映射的应用
通过 NTH 的原理我可以实现一些特定的应用,比如应用于 FTP 服务的端口映射,当我们有大量信息需要向互联 网共享时,可能我们一台 FTP 服务器无法承担所有的数据流量,我们可以通过建立多台服务器来分担流量,在 不必修改 FTP 端口的情况下,通过 NTH 均衡分流数据到 3 台 ftp 服务器上,如下图内网的 3 个 FTP 服务器:
我们通过建立 3 条 nat 规则,区别 3 个不同的服务器连接,在 nat 中没有同时做 Passthrough 的选项,而且 在 nat 规则中采用的是先进先出算法,所以我们只能采用先标记 1/3,在标记 1/2,最后标记剩下的数据的方法 处理 3 条线路的均衡操作。
我们的网络环境如下
y Wan:ip 地址为 10.200.15.158/24 网关为 10.200.15.1
y Lan:ip 地址为 192.168.10.1/24
y 内网的 3 个 FTP 服务器的 IP 地址分别是 192.168.10.2,192.168.10.3,192.168.10.4
在配置完 IP 地址后,我们进入 ip firewall nat 配置 nat 规则, 首先我们需要配置基本的 nat 伪装规则,将内 网的私有 IP 地址转换为公网 IP。
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=wan
接着,设置端口映射,FTP 使用的是 TCP,20-21 端口,我们配置 3 条 nat 的 NTH 端口映射的规则,分别指向
192.168.10.2、192.168.10.3 和 192.168.10.4 三个服务器的 IP 地址:
通过命令行配置如下:标记前 1/3 的端口映射
add action=dst-nat chain=dstnat dst-address=10.200.15.158 dst-port=20-21
in-interface=wan nth=3,1 protocol=tcp to-addresses=192.168.10.2 to-ports=20-21
标记剩下 1/2 的端口映射
add action=dst-nat chain=dstnat dst-address=10.200.15.158 dst-port=20-21
in-interface=wan nth=2,1 protocol=tcp to-addresses=192.168.10.3 to-ports=20-21
标记最后 1/3 的端口映射
add action=dst-nat chain=dstnat dst-address=10.200.15.158 dst-port=20-21 in-interface=wan protocol=tcp to-addresses=192.168.10.4 to-ports=20-21
这样通过 NTH 分流的端口映射配置完成,这样的 NTH 操作仅适合于一次性提交和访问的数据连接。如果是带登 陆验证的访问,不建议使用这种方式,会出现连接后在不同服务器上的重复认证。
|
|
发表于 2013-4-21 03:20:04