发信人: hahalee()
整理人: zhcharles(2002-01-30 15:35:53), 站内信件
|
【 以下文字转载自 TransNetwork 讨论区 】
【 原文由 sun_zhang 所发表 】
■基于NAT的负载平衡
以上所谈论的均是关于使用NAT和PAT来把内部IP地址转换成外部合法的IP地
址使用。下面介绍NAT的另一个运用:作为用于负载平衡的DNS系列服务器(DNSr
ound-robin)的一个替代品。DNS系列服务器解决了多个IP地址共用一个域名的
问题。它会在响应DNS申请时跳跃式地寻找可用的IP地址。达到的效果就是一个域
名可以对应多个IP地址。这种功能可以应用在一个HTTP服务器群中,利用它可以
平衡多个服务器的负载。但是这里还有一个问题,IP客户端会在本地缓冲DNS/I
P地址解析,从而使它的后续的申请都会到达同一个IP地址,减弱了DNS系列服务
器的作用。
使用基于NAT的负载平衡方案,则可以避免这个问题。路由器或其它NAT设备
把需要负载平衡的多个IP地址翻译成一个公用的IP地址,每个TCP连接被NAT送到
一个IP地址,而后续的TCP连接则被NAT送到下一个IP地址。真正实现了负载平衡
。当然,基于NAT的负载平衡只能在NAT上实现,而不能在PAT上实现。
■安全问题
当NAT改变包的IP地址后,需要认真考虑这样做对安全设施带来的影响。
对于防火墙,它利用IP地址、TCP端口、目标地址以及其它在IP包内的信息来
决定是否干预网络的连接。当使用了NAT之后,可能就不得不改变防火墙的规则,
因为NAT改变了源地址和目的地址。
在许多配置中,NAT被集成在防火墙系统之中,提供访问控制和地址翻译的功
能。不要把NAT设在防火墙之外,因为黑客可以轻易地骗过NAT,让NAT认为它是一
个授权用户,从而进入网络。
若企业网中使用了VPN(虚拟专用网),并用IPSec进行加密安全保证,那么
错误地设置NAT将会破坏VPN的功能。把NAT放在受保护的VPN内部,而不是在中间
。因为NAT改变IP包内的地址域,而IPSec规定一些信息是不能被改变的。若IP地
址被改变了,IPSec就会认为这个包是伪造的,拒绝使用。
虽然NAT带来了许多优越性,例如使现有网络不必重新编址、减少了ISP接入
费用,还可以起平衡负载的作用,但NAT潜在地影响到一些网络管理功能和安全设
施,这就需要谨慎地使用它。
--
※ 修改:.sun_zhang 于 Mar 25 21:27:10 修改本文.[FROM: 202.96.219.177]
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.219.177]
--
※ 转载:.网易 BBS bbs.netease.com.[FROM: 202.100.219.30]
|
|