Shunze 學園 >資訊設備專區 >Cyberoam > 《分享》loopback規則是什麼? 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380

shunze 離線
《分享》loopback規則是什麼?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在設定虛擬主機的內(LAN)/外(WAN) Mapping時,
不知道各位有沒有發現,Cyberoam會在LAN to LAN的規則中,自動建立對應的loopback規則?



這些系統自動建立的loopback規則有什麼作用?
如果少了它,又會有什麼影響?

順子將以如下的環境範例做個簡單的解說。


↑內部192.168.1.101主機mapping一個外部IP 123.123.123.2做虛擬主機,對外服務。

在缺少loopback規則的情況下,內部LAN電腦連結虛擬主機的外部IP會怎樣?

  1. 當內部LAN區域電腦192.168.1.7連結虛擬主機的外部IP 123.123.123.2時,
    因為Cyberoam中已建有Virtual Host Mapping Table,它知道虛擬主機123.123.123.2其實就是LAN端主機192.168.1.101,
    所以流量不會往WAN送,直接往LAN端送給192.168.1.101。



  2. 但是當服務主機192.168.1.101要回傳訊息時,它會發現來源端IP 192.168.1.7跟自己相同網段,
    所以封包不會經由Cyberoam回傳,而是直接送給同屬LAN的192.168.1.7。



  3. 這樣的流程有什麼問題?
    對發起端192.168.1.7的電腦而言,我明明是要連到123.123.123.2這個外部IP,
    結果卻是由內部IP 192.168.1.101產生回應,要跟我發生曖昧的關係?
    這太詭異了吧?

    所以發起端192.168.1.7拒絕了來自192.168.1.101的回應訊息,
    造成服務連結失敗...

    由Cyberoam的角度來看,這是一種不對稱路由,
    在預設條件下,不對稱路由也會被Cyberoam封鎖,無法完成交談。



在有loopback規則的情況下,內部LAN電腦連結虛擬主機的外部IP又會如何運作?

Cyberoam自動建立的loopback規則,主要是修正上述回應IP不一致的問題,
讓同樣區域的電腦連到虛擬主機的外部IP時,先將發起端IP進行NAT包裝,再連到外部IP,以解決此IP不一致的問題;
同時也沒有不對稱路由的情形發生。



以下我們來看看它的運作流程。
  1. 當內部LAN區域電腦192.168.1.7連結虛擬主機的外部IP 123.123.123.2時,
    由於目的區域為LAN,透過loopback規則進行NAT封裝後,會以Cyberoam的LAN介面IP 192.168.1.254,連向虛擬主機123.123.123.2,
    也就是內部的192.168.1.101。



  2. 服務主機192.168.1.101要回傳訊息時,由於是192.168.1.254向其發起連線,
    所以服務主機會回傳給192.168.1.254,進入Cyberoam。
    此時Cyberoam會把來源IP 192.168.1.101轉為虛擬主機IP 123.123.123.2。



  3. Cyberoam轉換來源端IP後,會進行NAT Table查詢,發現發起端IP為192.168.1.7。



  4. 然後再把回應訊息轉接給真正的發起端IP 192.168.1.7。



    最後在發起端192.168.1.7看到的結果是,
    連到123.123.123.2這個外部虛擬主機IP,訊息也成功的由123.123.123.2回傳,
    兩者一致,服務連結成功∼


由以上的解說,各位應該可以發現,這個Cyberoam自動建立的loopback規則,
就是為了解決虛擬主機建立後,內部IP連到虛擬主機的外部IP,所發生的回應IP不匹配的問題


那如果環境再複雜一點,
Cyberoam中,同時有LAN、WAN及DMZ三個類型的區域,並在DMZ區建立虛擬主機時,
又會發生什麼狀況呢?



首先,Cyberoam會自動建立DMZ to DMZ的loopback規則,所以DMZ to外部虛擬IP不會有回應IP不一致的問題。

但是,LAN端電腦在連向DMZ區虛擬主機的外部IP時,就會出現回應IP不一致的狀況了!
連結外部IP 123.123.123.2,卻是由DMZ區IP 192.168.1.101進行回應?



解決方法
必需在Cyberoam上手動建立LAN to DMZ的loopback規則,
讓LAN端IP能以NAT後的IP,向虛擬主機的外部連結,這樣才能解決回應IP不一致的問題。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2015-07-18, 09:32 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR