【RSR】RSR如何通过NAT实现TCP负载均衡

功能介绍：

当我们内部有几台提供相同服务的服务器时，我们可以用NAT来做到负载均衡；该功能也称为TCP负载均衡技术。

一、组网需求

内网服务器的地址通过静态NAT，转换成相同的外网的地址，外网访问该服务器时，可以通过NAT实现负载均衡。 

二、组网拓扑

三、配置要点

1、基本ip地址配置

2、基本的ip路由配置

3、定义nat的内网口和外网口

4、通过ACL匹配外网访问内网服务器的流量

5、配置服务器的地址池

6、配置目的地址转换 

四、配置步骤

1、基本ip地址配置

Ruijie(config)#hostname R1

R1(config)#interface gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip address 192.168.1.1 255.255.255.0

R1(config-GigabitEthernet 0/0)#exit

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/2)#ip address 192.168.2.1 255.255.255.0

R1(config-GigabitEthernet 0/2)#exit

Ruijie(config)#hostname R2

R2(config)#interface fastEthernet 0/0

R2(config-if-FastEthernet 0/0)#ip address 192.168.2.2 255.255.255.0

R2(config-if-FastEthernet 0/0)#exit

2、基本的ip路由配置

R2(config)#ip route 192.168.10.0 255.255.255.0 192.168.2.1      //配置外网到服务器公网地址的路由

3、定义nat的内网口和外网口

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip nat outside      //配置nat的外网口

R1(config-GigabitEthernet 0/1)#exit

R1(config)#int gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip nat inside     //配置nat的内网口

R1(config-GigabitEthernet 0/0)#exit

4、通过ACL匹配外网访问内网服务器的流量

R1(config)#ip access-list extended 100

R1(config-ext-nacl)#10 permit ip any host 192.168.10.168     //外网到服务器公网地址（192.168.10.168）的流量

R1(config-ext-nacl)#exit

注意：

1）我司的TCP负载均衡中只支持扩展ACL配置，不支持标准ACL配置。

2）服务器外网IP地址选择

在TCP负载均衡的配置中，假如服务器映射的外网IP选择与外网口IP同网段的其它IP地址，会由于设备不对该IP地址的ARP请求进行回应而导致映射失效（设备会认为这是一台与本出口在同一网段的其它设备地址，而不是自身的地址，因此不对该IP地址的ARP请求进行回应）；因此TCP负载均衡只支持映射为外网口出口IP地址或其它网段的IP地址，不能映射为与出接口同网段的其它IP地址。如以上例子中，可以将两台服务器映射至192.168.2.1，或其它网段地址（如192.168.10.0/24）；但无法映射为192.168.2.0/24（与出口同网段的其它地址）。

5、配置服务器的地址池

R1(config)#ip nat pool server 192.168.1.100 192.168.1.101 netmask 255.255.255.0 type rotary     //定义名为server的地址池，地址池类型为rotary（循环），在做目的nat转换时，循环转换为内网服务器的地址

6、配置目的地址转换

R1(config)#ip nat inside destination list 100 pool server      //将acl 100的流量，报文的目的地址转换成server地址池的地址

注意：

1）路由器不检测内网服务器的可用性

如果内网服务器群里有一台或多台、甚至是全部服务器都不工作了，由于路由器上没有相关检测服务器是否正常工作的功能，因此路由器是无法判断内网服务器的可用性，依旧会将流量进行负载均衡，而不管服务器能否应答。

2）只对TCP流量进行转换

只对TCP流量进行转换，不会对ICMP等其它协议进行转换。

3）我司设备进行TCP负载均衡时，是基于源ip地址的hash值进行负载均衡，若外网2个ip访问没有实现负载均衡，是由于这2个ip地址的hash值一样，可以尝试变更外网ip地址做测试。 

五、配置验证

分别测试多个外网PC访问服务器的公网地址，若第一PC访问该服务器时转换成192.168.1.100的内网地址，第二PC访问该服务器时转换成192.168.1.101的内网地址，则NAT复杂均衡配置正确。

第一个PC访问服务器时，访问到server-1，查看nat转换表如下

R2#telnet 192.168.10.168

Trying 192.168.10.168, 23...

server-1>

R1#show ip nat translations

Pro Inside global            Inside local            Outside local          Outside global

tcp 192.168.10.168:23  192.168.1.100:23   192.168.2.2:1052   192.168.2.2:1052

第二个PC访问服务器时，访问到server-2，查看nat转换表如下

R4#telnet 192.168.10.168

Trying 192.168.10.168, 23...

server-2>

R1#show ip nat translations

Pro Inside global            Inside local             Outside local          Outside global

tcp 192.168.10.168:23  192.168.1.101:23   192.168.2.3:1053   192.168.2.3:1053