test

Sun Management Center 3.6.1 安装和配置指南

附录 D 网络地址转换

本附录介绍了在 NAT 环境中使用 Sun Management Center 3.6.1 的相关问题,并简要描述了影响 Sun Management Center NAT 解决方案的总体制定的一些因素。

本章讨论以下内容:

NAT 概念

网络地址转换 (NAT) 使位于不同网络中的服务器、主机和控制台能够通过公用的内部网络相互通信。NAT 方案将私用的本地地址区域映射到公用地址区域。这种映射可以是静态的,也可以是动态的。

在 Sun Management Center 客户机环境中,NAT 得到越来越广泛的应用。通过使用 NAT,客户机能够更有效地使用网络地址,在某些情况下还能从敏感的内部环境对外部网络进行安全访问。

注 –

Sun Management Center NAT 主机指运行 Sun Management Center 组件(代理、服务器或控制台)、通过 NAT 环境与其它 Sun Management Center 组件进行通信的主机。

对 NAT 使用 IP 地址

Sun Management Center 3.6.1 假设被管理节点的 IP 地址和端口可用于在服务器环境中唯一标识和访问该节点。此外,该软件还假设被管理节点的本地 IP 地址和端口是经过授权的。

基于这些假设,Sun Management Center 在核心操作和管理功能方面都广泛使用了 IP 地址。具体来说,网络地址可应用在以下方面:

在 Sun Management Center 组件跨一个或多个 NAT 环境运行的环境中,有关被管理节点的本地 IP 地址和端口的唯一性及可访问性的假设不成立。此外,由于管理员可能更熟悉节点的公用 IP 地址,所以,在 NAT 环境中使用本地 IP 地址来标识被管理节点可能不再是直观的。

NAT 的工作原理

下图说明了 NAT 的工作原理。

图 D–1 简单的 NAT 网络概念示意图

简单的 NAT 网络概念示意图

在专有子网 10.1.1.0 中,有一台在 NAT 1 后运行、名称为 Machine 1 的计算机。该计算机使用转换后的 IP 地址 129.146.63.10 进行从 Machine 1 到 NAT 1 以外的主机的所有通信。从 NAT 1 以外的主机到 Machine 1 (129.146.63.100) 的通信被 NAT 1 重定向到 Machine 1 (10.1.1.1)。

在第二个专有子网 100.1.1.1 中,有一台在 NAT 2 后运行、名称为 Machine 3 (100.1.1.1) 的计算机。该计算机使用转换后的 IP 地址 129.146.63.101 进行从 Machine 3 到 NAT 2 以外的主机的所有通信。从 NAT 2 以外的主机到 Machine 3 (129.146.63.101) 的通信被 NAT 2 重定向到 100.1.1.1

NAT 解决方案的复杂性

IP 地址在 Sun Management Center 中的广泛应用使得在包含简单地址或代理转换的环境中进行的部署工作变得复杂起来。这些地址会在驱动程序、库、应用程序和控制台集成等各个级别出现。此外,Sun Management Center 中存在的通信类型使此解决方案更加复杂。

此软件是一种分布式应用程序,具有以下层:

软件的各个层可位于由路由规则或 NAT 控制的不同主机或不同网络上。

此外,一个 Sun Management Center 系统上的控制台、服务器或代理组件可能和另一个网络上的其他 Sun Management Center 系统的组件通信。这些因素也增加了解决方案的复杂性。

应用 NAT 后,在运行 Sun Management Center 3.6.1 的网络环境中,控制台、服务器和代理可以部署在一个或多个网络寻址区域中。结果,控制台、服务器和代理必须跨一个或多个 NAT 环境进行通信。

该功能还支持跨服务器环境操作,例如跨 NAT 环境远程引用域。通过 NAT,Sun Management Center 组件还能与位于同一寻址区域中的其他 Sun Management Center 组件进行通信。如果不使用 NAT,则 Sun Management Center 控制台、服务器和代理将无法跨 NAT 环境运行。

NAT 配置

必须为每台 Sun Management Center NAT 主机定义静态的 NAT 映射。

注 –

跨 NAT 的 Sun Management Center 3.6.1 操作不支持动态 NAT 映射。

由于 Sun Management Center 使用了多个未定义的端口,因此 Sun Management Center 无法针对 Sun Management Center NAT 支持指定端口限制。这些端口包括 SNMP、探测、RMI 和控制台集成。

为了能在 NAT 环境下进行操作,NAT 允许 Sun Management Center 3.6.1 软件使用名称而不是 IP 地址来标识其他 Sun Management Center 主机并与之通信。该名称必须是一个可以通过标准命名服务解析为有效 IP 地址的主机别名,并且该名称必须的能够解析为部署了 Sun Management Center 组件的相关寻址区域内的相应 IP 地址。

因此,必须在安装了 Sun Management Center 组件的所有寻址区域的主机映射中为所有 Sun Management Center NAT 主机定义公共主机别名。

主机别名必须在标准系统主机映射中定义,这些映射可以包含诸如文件(如 /etc/hosts)、NIS、NIS+ 和 DNS 之类信息。在本章的其余部分,公用主机别名被称为 NAT 主机名。

NAT 解决方案

Sun Management Center NAT 方案专注于自身的一致性,以避免复杂或可能导致错误的转换机制。此方案采用了与在软件中使用 IP 地址相关的基本假设。

在 NAT 环境中,Sun Management Center 3.6.1 使用逻辑标识符(而不是 IP 地址)来唯一标识和访问由该软件管理的节点。标识符可以是被管理节点的全限定主机名。使用这种方法,Sun Management Center 3.6.1 能够将现有的主机名到 IP 地址的映射结构应用到以 IP 地址为基础的系统中。

如果环境中不适合使用全限定主机名,可以使用代理和服务器层寻址区域中互不相同、并且可以解析的逻辑名称。在非 NAT 环境中,逻辑标识符缺省使用 IP 地址,以便向后兼容。

此方案要求逻辑标识符在服务器环境中必须唯一。逻辑标识符必须可以解析为有效的 IP 地址,并且可用于跨 NAT 环境访问被管理节点。用户应该可以使用逻辑标识符直观地标识被管理节点。

使用 Sun Management Center 3.6.1 NAT 解决方案时,请注意以下信息:

NAT 限制

存在以下 NAT 限制:

NAT 示例

本节提供了单 NAT 环境和双 NAT 环境示例。

单 NAT 环境

基本的 NAT 示例包含一个 NAT 环境,其中的单个服务器环境部署在 NAT 的两边。

图 D–2 简单的 NAT 网络配置示例

简单的 NAT 网络配置示例

该图显示了在 192.168.0.0 网络中部署的控制台、服务器层和代理。NAT 后的 192.168.1.0 网络中部署了一个控制台和三个代理。所有的代理(包括远程代理)均是由主机 B 的服务器层管理的服务器环境的一部分。

Sun Management Center 假设这些组件已配置为按照主机名逻辑寻址模式运行。因此,所有代理均将主机 B 配置为自己的陷阱和事件目标。

为了支持该配置,图 D–2 中列出的网络主机和 NAT 映射必须完整。使用静态 NAT 映射,可以从 192.168.0.0 网络访问主机 E、F 和 G 上的三个远程代理。此外,主机 E、F 和 G 的逻辑标识符还必须能解析为 192.168.0.0 网络中的有效 IP 地址。这一步是通过主机 E、F 和 G 在 192.168.0.0 网络中的主机映射完成的。

为了使远程代理能够将 Host B 命名为陷阱和事件目标,在 192.168.1.0 网络主机映射中为 Host B 指定了一个主机映射条目。

双 NAT 环境

下图显示了一个比较复杂的示例。图中显示的是一个具有三个 Sun Management Center 服务器环境的双 NAT 环境,每个服务器环境都使用远程引用域 。

图 D–3 复杂的 NAT 网络配置示例

复杂的 NAT 网络配置示例

图中的 192.168.0.0 网络位于 NAT 环境的前端;192.168.1.0192.168.2.0 网络位于 NAT 环境后端。通过 SunScreen 1,192.168.0.0 网络可以访问位于 192.168.1.0 网络中的主机。通过 SunScreen 2,192.168.0.0 网络可以访问位于 192.168.2.0 网络中的主机。假设其中的映射为静态 NAT 映射。

这三个寻址区域内的主机映射为部署了 Sun Management Center 服务器和代理组件的所有主机提供了主机名解析。所有 Sun Management Center 组件均假设配置为使用主机名逻辑寻址模式。