|
|
|
最新版本:3.0.2-1
|
概览 |
|
|
编录 |
系统 |
|
类别 |
网关 |
|
用户卷 |
否 |
|
最小 内存 |
96 MB |
|
操作系统 |
Linux |
|
约束 |
否 |
NET 是为应用外部的网络提供传出访问的输出网关。 NET 接受来自其 in 终端上应用的流量,并通过其外部接口将流量转发到外部网络(例如 Internet)。
NET 具有只允许传出流量(连接和数据报)的防火墙;它会丢弃不适用于已建立的连接的传入流量,或者与数据报请求无关的传入流量。 可以对 NET 进行配置,以进一步限制可以通过它访问的 IP 地址集。
对于连接到其 in 终端的组件,NET 可充当默认网关和 DNS 服务器。
重要信息! 只应将网关输出终端连接到的 NET 的 in 终端。
NET 用于访问在运行时确定主机名的应用外部的服务(例如:从 MX DNS 记录或需要遍历 Web 的搜索引擎机器人获得的邮件服务器地址)。
|
资源 |
最小值 |
最大值 |
默认值 |
|
CPU |
0.05 |
4 |
0.05 |
|
内存 |
96 MB |
2 GB |
96 MB |
|
带宽 |
1 Mbps |
2000 Mbps |
200 Mbps |
|
名称 |
目录 |
协议 |
说明 |
|
in |
in |
任何 |
接受所有传入流量 |
|
mon |
out |
CCE |
性能和资源使用统计信息的输出 |
外部接口已启用。 用于传出流量。 通过属性对其网络设置进行配置。
默认接口已启用。 用于维护(传入的 SSH 连接)。
|
属性名 |
类型 |
说明 |
|
ip_addr |
ip_owned |
定义网关外部接口的 IP 地址。 此属性是强制性属性。 |
|
网络掩码 |
IP 地址 |
定义外部接口的网络掩码。 此属性是强制性属性。 |
|
网关 |
IP 地址 |
定义外部接口的默认 IP 网络网关(路由器)。 如果留空,则只能访问与 ip_addr/netmask 在同一子网上的主机。 |
|
dns1 |
IP 地址 |
定义 NET 将 DNS 请求转发到的主要 DNS 服务器。 如果留空,NET 将使用根 DNS 服务器。 |
|
dns2 |
IP 地址 |
定义当主要服务器不可用时,NET 将 DNS 请求转发到的备份 DNS 服务器。 如果留空,NET 将不使用备份 DNS 服务器。 |
|
allowed_hosts |
字符串 |
可通过 NET 访问的主机和/或子网的列表。 使用空格或逗号分隔多个条目。 支持的格式示例:192.168.1.2 192.168.1.0/24 192.168.2.0/255.255.255.0。 默认值:0.0.0.0/0(全部允许) |
|
denied_hosts |
字符串 |
拒绝访问的主机和/或子网的列表。 格式与 allowed_hosts 相同。 默认值:(空)(没有连接被拒绝) |
当组件无法启动时,网格控制器的组件日志文件或系统日志中可能会出现下列消息:
下图显示了使用 NET 为邮件转发访问 Internet 的简单邮件服务器应用的 NET 典型用法:
部件摘要
in 将入站连接传递到 mailman 服务器。 Mailman 为邮件请求提供服务,并通过 net 网关发送出站邮件。 对于每个消息,将分两步发送邮件:首先,为目标邮件服务器发送 DNS 请求,然后将消息发送到该目标服务器。 net 网关将 mailman 服务器发出的 DNS 请求转发到指定的 DNS 服务器,并与目标邮件服务器建立连接。
CA AppLogic 未随附上例中显示的 smtp 组件。
下列章节介绍了几个典型用例中的 net 配置。
在该模式下,通过与配置常规网络网关极其相似的方式配置 NET(例如:使用 ISP 将 LAN 连接到 Internet)。
示例:
|
属性名 |
值 |
说明 |
|
ip_addr |
192.168.1.12 |
外部接口的 IP 地址。 |
|
网络掩码 |
255.255.255.0 |
外部接口的网络掩码。 |
|
网关 |
192.168.1.1 |
外部接口的网关。 |
|
dns1 |
192.168.1.2 |
主要 DNS 服务器。 |
|
dns2 |
192.168.2.1 |
备份 DNS 服务器。 |
注意:许多公司配置了只能通过其专用 DNS 服务器解析的内部域(例如 .local 或 .localdomain)。 要使用这样的域,请将 dns1 和 dns2 属性配置为指向这些专用 DNS 服务器。 另请参阅以下可能的主机限制功能。
在该模式下,NET 不需要特定的 DNS 服务器,而使用一组预配置的 Internet 根服务器。
示例:
|
属性名 |
值 |
说明 |
|
ip_addr |
192.168.1.12 |
外部接口的 IP 地址。 |
|
网络掩码 |
255.255.255.0 |
外部接口的网络掩码。 |
|
网关 |
192.168.1.1 |
外部接口的网关。 |
重要信息! 在该模式下,NET 需要访问根 DNS 服务器(否则,NET 将无法执行所有 DNS 查询)。 必须指定网关属性。
在该模式下,NET 仅限于访问指定网络,允许和拒绝特定主机和子网。
示例:
|
属性名 |
值 |
说明 |
|
ip_addr |
192.168.1.12 |
外部接口的 IP 地址。 |
|
网络掩码 |
255.255.255.0 |
外部接口的网络掩码。 |
|
网关 |
192.168.1.1 |
外部接口的网关。 |
|
dns1 |
192.168.1.2 |
主要 DNS 服务器。 |
|
dns2 |
192.168.2.1 |
备份 DNS 服务器。 |
|
allowed_hosts |
192.168.1.0/24 192.168.2.0/24 |
允许的子网。 |
|
denied_hosts |
192.168.1.4 192.168.2.4 |
这些 IP 地址将不可访问。 |
重要信息! 在该模式下,DNS 服务器必须在允许的主机集内。
一般而言,应连接到 NET 的 in 终端的唯一输出终端类型是网关输出。 这些输出与常规输出的不同之处在于,它们充当其组件的默认网关,允许与多台主机建立连接(与常规输出提供的单主机访问相反)。 在终端图形中,网关输出显示为蓝色方块,常规输出显示为红色箭头。
注意:
NET 除了使用其基类 LUX5 所用的第三方开源软件包之外,还使用下列第三方/开源软件包。
|
软件 |
版本 |
已修改 |
许可 |
注释 |
|
bind |
9.3.6-4.P15_4.1 |
No |
ISC 许可证 |
下载页面 |
|
bind-libs |
9.3.6-4.P15_4.1 |
No |
ISC 许可证 |
下载页面 |
|
iptables |
1.3.5-1.2.1 |
No |
GPLv2 |
主页 |
|
audit-libs |
1.7.13-2.el52 |
No |
GPLv2 |
不适用 |
|
audit-libs-python |
1.7.13-2.el52 |
No |
GPLv2 |
不适用 |
|
dbus |
1.1.2-12.el5_4.1 |
No |
AFLv2.1 |
不适用 |
|
dbus-libs |
1.1.2-12.el5_4.1 |
No |
GPLv2 |
不适用 |
|
libselinux |
1.33.4-5.5.el5 |
No |
公共领域 |
不适用 |
|
libselinux-python |
1.33.4-5.5.el5 |
No |
公共领域 |
不适用 |
|
libselinux-utils |
1.33.4-5.5.el5 |
No |
公共领域 |
不适用 |
|
libsemanage |
1.9.14-4.4.el5 |
No |
GPLv2 |
不适用 |
|
libsepol |
1.15.2-2.el5 |
No |
LGPLv2.1 |
不适用 |
|
policycoreutils |
1.33.12-14.6.el5 |
No |
GPLv2 |
不适用 |
下图显示了一个说明如何为 MySQL 复制提供安全 IPv6 VPN 通道的示例:
这里使用了与上一示例相同的两个应用,不过它们在 IPv6 网络上运行。
vpn1 和 vpn2 在外部接口上配置了可路由的 IP 地址。 vpn1 经配置后建立了指向 vpn2 的通道,vpn2 上也采取了相应配置。
网格 A 的 db1 向 vpn1 发送用于复制用途的流量,在 vpn1 中对流量加密并将其传送至 vpn2,vpn2 对流量解密并将其发送至网格 B 上 db2 的 rin 终端。 同样,从网格 B 上的 db2 到网格 A 的 db1 的复制行为与此相同。
vpn1:
|
属性名 |
值 |
说明 |
|
ipv6_addr |
fc00:1111:1111::10/64 |
分配给外部接口的地址。 |
|
ipv6_gateway |
fc00:1111:1111::99 |
网关地址。 |
|
mode |
both |
充当服务器和客户端,允许双向复制。 |
|
通道 |
ssh 密钥 |
使用 SSH 密钥文件。 |
|
auth_path |
"/keys/vpn21.ssh.key" |
SSH 密钥文件的路径。 |
|
remote_host |
fc00:1111:2222::10 |
分配给 vpn2 的外部接口的地址。 |
|
tcp_ports |
3306,22 |
用于 MySQL 服务器和 SSH 的默认端口。 |
|
ssh_ports |
3306,22 |
用于 MySQL 服务器和 SSH 的默认端口。 |
vpn2:
|
属性名 |
值 |
说明 |
|
ipv6_addr |
fc00:1111:2222::10/64 |
分配给外部接口的地址。 |
|
ipv6_gateway |
fc00:1111:2222::99 |
网关地址。 |
|
mode |
both |
充当服务器和客户端,允许双向复制。 |
|
通道 |
ssh 密钥 |
使用 ssh 密钥文件。 |
|
auth_path |
"/keys/vpn21.ssh.key" |
ssh 密钥文件的路径。 |
|
remote_host |
fc00:1111:1111::10 |
分配给 vpn1 的外部接口的地址。 |
|
tcp_ports |
3306,22 |
用于 MySQL 服务器和 SSH 的默认端口。 |
|
ssh_ports |
3306,22 |
用于 MySQL 服务器和 SSH 的默认端口。 |
| 版权所有 © 2012 CA。 保留所有权利。 |
|