test

Sun Management Center 4.0 安裝與配置指南

附錄 D 網路位址轉換

本附錄說明在網路位址轉換 (Network Address Translation, NAT) 環境中使用 Sun Management Center 4.0 的相關問題,並概述影響 Sun Management Center NAT 解決方案整體制定的因素。

本附錄討論下列主題。

NAT 概念

網路位址轉換 (Network Address Translation, NAT) 可讓位於不同網路上的伺服器、主機和主控台透過共用內部網路來相互通訊。NAT 解決方案是將私用本機位址範圍對映到公用位址範圍。這些對映可以是靜態的,也可以是動態的。

NAT 在 Sun Management Center 用戶端環境中日益流行。透過 NAT,用戶端可以更有效地使用網路位址,並且在某些情況下,還可從機密的內部環境安全存取外部網路。

備註 –

術語 Sun Management Center NAT 主機係指任何執行 Sun Management Center 元件 (代理程式、伺服器或主控台),且必須透過 NAT 環境與其他 Sun Management Center 元件進行通訊的主機。

使用 IP 位址與 NAT

Sun Management Center 4.0 假設管理節點的 IP 位址和連接埠可以在伺服器環境內部唯一地識別並存取管理節點,而且管理節點的本機 IP 位址和連接埠是可以信賴的。

在假設的條件下,Sun Management Center 在其核心作業與管理功能中廣泛地使用了 IP 位址,尤其是在下列區域中使用了網路位址:

在 Sun Management Center 元件跨一個或多個 NAT 環境作業的環境中,有關本機 IP 位址和管理節點連接埠的唯一性和可存取性的假設不成立,而且,由於管理員可能更熟悉節點的公用 IP 位址,因此,在 NAT 環境中使用本機 IP 位址識別管理節點可能不再有意義。

NAT 的工作方式

下圖說明 NAT 的工作方式。

圖 D–1 簡單 NAT 網路的概念性圖表

簡單 NAT 網路的概念性圖表

私有子網路 10.1.1.0 有一台名為機器 1 的機器,這台機器在 NAT 1 後方執行,它使用 129.146.63.100 (轉換的 IP 位址) 進行從機器 1 至 NAT 1 以外的主機的所有通訊。從 NAT 1 以外的主機至機器 1 (129.146.63.100) 之通訊會由 NAT 1 重新導向至機器 1 (10.1.1.0)。

第二個私有子網路 (100.1.1.1) 有一台名為機器 3 的機器 (100.1.1.1),這台機器在 NAT 2 後方執行,它使用 129.146.63.101 (轉換的 IP) 進行從機器 3 至 NAT 2 以外的主機的通訊。從 NAT 2 以外的主機至機器 3 (129.146.63.101) 之通訊會由 NAT2 重新導向至 100.1.1.1

NAT 解決方案的複雜性

在 Sun Management Center 中廣泛使用 IP 位址會使包含簡單位址或代理轉換之環境中的部署作業複雜化。這些位址出現在驅動程式、程式庫、應用程式以及主控台整合層級上。而 Sun Management Center 中出現的通訊類型會使解決方案進一步複雜化。

此軟體是一個分散式應用程式,它包含以下各層:

軟體的各個層可以駐留在不同主機上,也可以駐留在遵循路由規則或使用 NAT 的不同網路上。

而且,一個 Sun Management Center 系統的主控台、伺服器或代理程式元件可以與其他網路上的另一個 Sun Management Center 系統之元件進行通訊。這些情況會使解決方案更加複雜。

NAT 可讓 Sun Management Center 4.0 在一個主控台、伺服器和代理程式已部署於一個或多個網路定址範圍的網路環境中作業。其結果是,主控台、伺服器和代理程式必須跨一個或多個 NAT 環境進行通訊。

此功能亦支援跨伺服器環境作業,例如,跨 NAT 環境的遠端參照網域。藉由 NAT,Sun Management Center 元件還可以與同一定址範圍內的其他 Sun Management Center 元件進行通訊。如果沒有 NAT,Sun Management Center 主控台、伺服器以及代理程式將無法跨 NAT 環境作業。

NAT 配置

必須為每台 Sun Management Center NAT 主機定義靜態 NAT 對映。

備註 –

Sun Management Center 4.0 的跨 NAT 作業不支援動態 NAT 對映。

因為 Sun Management Center 使用數個未定義的連接埠,所以它無法為 Sun Management Center NAT 支援指定連接埠限制。這些連接埠包括 SNMP、探測、RMI 以及主控台整合。

為了支援 NAT 環境中的作業,NAT 讓 Sun Management Center 4.0 軟體能夠使用名稱而非 IP 位址來識別並與其他 Sun Management Center 主機進行通訊。此名稱必須為主機別名,且必須可透過標準命名服務解譯為有效的 IP 位址。另外,此名稱亦必須能夠在已部署 Sun Management Center 元件的相關定址範圍中解譯為正確的 IP 位址。

因此,在已安裝 Sun Management Center 元件之所有定址範圍的主機對映中,必須為所有 Sun Management Center NAT 主機定義一般主機別名。

主機別名必須在標準系統主機對映中定義,且這些對映必須可以包含檔案 (如 /etc/hosts)、NIS、NIS+ 以及 DNS 等項目。在本章的其餘部分中,一般主機別名亦稱為 NAT 主機名稱。

NAT 解決方案

Sun Management Center NAT 解決方案強調自身的一致性,以避免複雜的或具有錯誤傾向的轉換機制。此解決方案使用有關在軟體中使用 IP 位址的基本假設。

Sun Management Center 4.0 使用邏輯識別碼 (而不是 IP 位址) 來唯一地識別與存取 NAT 環境中由軟體管理的節點。這些識別碼可以是管理節點之完全合格的主機名稱。此方法可讓 Sun Management Center 4.0 在基於 IP 的系統中,充分利用現有主機名稱到 IP 位址的對映基礎架構。

在不適合或不可能使用完全合格之主機名稱的環境中,可以使用任何在代理程式和伺服器層定址範圍中唯一且可解譯的邏輯名稱。在非 NAT 環境中,邏輯識別碼可以預設為 IP 位址,以保持向後相容性。

此解決方案要求邏輯識別碼在伺服器環境中必須是唯一的。邏輯識別碼必須可解譯為有效的 IP 位址,且該 IP 位址必須能夠用於跨 NAT 環境存取管理節點。您應該能夠使用邏輯識別碼來直觀地識別管理節點。

在使用 Sun Management Center 4.0 NAT 解決方案時,請注意以下資訊:

NAT 的限制

存在下列 NAT 限制:

NAT 範例

本節提供單一 NAT 環境和雙重 NAT 環境範例。

單一 NAT 環境

基本 NAT 範例包含單一 NAT 環境,在此環境中,單一伺服器環境部署在 NAT 的兩側。

圖 D–2 簡單的 NAT 網路配置範例

簡單的 NAT 網路配置範例

該圖顯示了部署在 192.168.0.0 網路中的主控台、一個伺服器層和一個代理程式。一個主控台和三個代理程式部署在 NAT 後方的 192.168.1.0 網路上。所有代理程式,包括遠端代理程式,均位於由主機 B 上的伺服器層所管理的伺服器環境中。

Sun Management Center 假設這些元件已配置為在主機名稱邏輯定址模式下作業。因此,所有代理程式均配置為使用主機 B 做為陷阱和事件目標。

為了支援此配置,必須完成列於圖 D–2 的網路主機和 NAT 對映。位於主機 E、F 和 G 上的三個遠端代理程式可以使用靜態 NAT 對映從 192.168.0.0 網路存取。而且,主機 E、F 以及 G 的邏輯識別碼必須可以解譯為 192.168.0.0 網路中的有效 IP 位址。此步驟可透過在 192.168.0.0 網路中對主機 E、F 以及 G 進行主機對映完成。

若要允許遠端代理程式將主機 B 做為它們的陷阱或事件目標, 必須在 192.168.1.0 網路主機對映中指定主機 B 的主機對映項目。

雙重 NAT 環境

下圖顯示了一個較複雜的範例。該圖顯示了一個雙重 NAT 環境,此環境包含三個具有遠端參照網域的 Sun Management Center 伺服器環境。

圖 D–3 複雜的 NAT 網路配置範例

複雜的 NAT 網路配置範例

圖中,192.168.0.0 網路位於 NAT 環境前方,而 192.168.1.0192.168.2.0 網路位於 NAT 環境後方。透過 SunScreen 1,可以從 192.168.0.0 網路存取 192.168.1.0 網路上的主機。透過 SunScreen 2,可以從 192.168.0.0 網路存取 192.168.2.0 網路上的主機。假設使用靜態 NAT 對映。

三個定址範圍中的主機對映為已部署 Sun Management Center 伺服器和代理程式元件的所有主機提供主機名稱解譯。假設所有 Sun Management Center 元件均配置為使用主機名稱邏輯定址模式。