Configuration de DS-Lite
Une configuration DS-Lite sur une appliance NetScaler utilise les jeux de commandes LSN. Dans une configuration DS-Lite, l’entité client LSN spécifie l’adresse IPv6 ou l’adresse réseau IPv6 ou les règles ACL6 pour identifier le trafic à partir du périphérique B4. Pour plus d’informations sur la fonctionnalité NetScaler LSN, consultez la section NAT à grandeéchelle. Une configuration DS-Lite inclut également un profil IPv6, qui spécifie l’adresse IPv6 (de type SNIP6) du composant DS-Lite AFTR sur une appliance NetScaler.
La configuration de DS-Lite sur une appliance NetScaler comprend les tâches suivantes :
-
Définissez les paramètres LSN globaux. Les paramètres globaux incluent la quantité de mémoire NetScaler réservée à la fonctionnalité LSN et la synchronisation des sessions LSN dans une configuration haute disponibilité.
- Créez une entité cliente LSN pour identifier le trafic provenant des appareils CPE B4. L’entité cliente LSN fait référence à un ensemble de périphériques DS-Lite B4. L’entité cliente inclut des adresses IPv6 ou une adresse réseau IPv6 ou des règles ACL6 pour identifier le trafic provenant de ces appareils B4. Un client LSN ne peut être lié qu’à un seul groupe LSN. L’interface de ligne de commande comporte deux commandes permettant de créer une entité cliente LSN et de lier un abonné à l’entité cliente LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un pool LSN et associez-lui des adresses IP NAT. Un pool LSN définit un pool d’adresses IP NAT à utiliser par l’appliance NetScaler pour effectuer le LSN. L’interface de ligne de commande comporte deux commandes permettant de créer un pool LSN et de lier des adresses IP NAT au pool LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un profil IP6 LSN. Un profil IP6 LSN définit l’adresse IPv6 du composant DS-Lite AFTR sur l’appliance NetScaler. L’adresse IPv6 doit être l’une des adresses IPv6 de type SNIP6 appartenant à NetScaler.
- (Facultatif) Créez un profil de transport LSN pour un protocole spécifié. Un profil de transport LSN définit différents délais et limites, tels que le nombre maximal de sessions LSN et l’utilisation maximale des ports qu’un abonné peut avoir pour un protocole donné. Vous liez un profil de transport LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil de transport LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP est lié à un groupe LSN lors de sa création. Ce profil est appelé profil de transport par défaut. Un profil de transport LSN que vous liez à un groupe LSN remplace le profil de transport LSN par défaut pour ce protocole.
- (Facultatif) Créez un profil d’application LSN pour un protocole spécifié et liez-y un ensemble de ports de destination. Un profil d’application LSN définit les contrôles de mappage LSN et de filtrage LSN d’un groupe pour un protocole donné et pour un ensemble de ports de destination. Pour un ensemble de ports de destination, vous liez un profil LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil d’application LSN lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil d’application LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP pour tous les ports de destination est lié à un groupe LSN lors de sa création. Ce profil est appelé profil d’application par défaut. Lorsque vous liez un profil d’application LSN, avec un ensemble spécifié de ports de destination, à un groupe LSN, le profil lié remplace le profil d’application LSN par défaut pour ce protocole sur cet ensemble de ports de destination. L’interface de ligne de commande comporte deux commandes permettant de créer un profil d’application LSN et de lier un ensemble de ports de destination au profil d’application LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un groupe LSN et liez les pools LSN, le profil IPv6 LSN, les profils de transport LSN (facultatifs) et les profils d’application LSN (facultatifs) au groupe LSN. Un groupe LSN est une entité composée d’un client LSN, d’un profil IPv6 LSN, d’un ou de plusieurs pools LSN, d’un ou de plusieurs profils de transport LSN et de profils d’application LSN. Des paramètres sont affectés à un groupe, tels que la taille du bloc de ports et la journalisation des sessions LSN. Les paramètres s’appliquent à tous les abonnés d’un client LSN lié au groupe LSN. Un seul profil IPv6 LSN peut être lié à un groupe LSN, et un profil LSN IPv6 lié à un groupe LSN ne peut pas être lié à d’autres groupes LSN. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés entre eux. Plusieurs pools LSN peuvent être liés à un groupe LSN. Une seule entité cliente LSN peut être liée à un groupe LSN, et une entité cliente LSN liée à un groupe LSN ne peut pas être liée à d’autres groupes LSN. L’interface de ligne de commande comporte deux commandes permettant de créer un groupe LSN et de lier des pools LSN, des profils de transport LSN et des profils d’application LSN au groupe LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
Configuration à l’aide de la ligne de commande
Pour créer un client LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn client <clientname>
show lsn client
<!--NeedCopy-->
Pour lier un réseau IPv6 ou une règle ACL6 à un client LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
bind lsn client <clientname> (-network6 <ipv6_addr|*>| -acl6name <string>)
show lsn client
<!--NeedCopy-->
Pour créer un pool LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn pool <poolname> [-nattype ( DYNAMIC )] [-portblockallocation ( ENABLED | DISABLED )] [-portrealloctimeout <secs>] [-maxPortReallocTmq <positive_integer>]
show lsn pool
<!--NeedCopy-->
Pour lier une plage d’adresses IP à un pool LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
bind lsn pool <poolname> <lsnip>
show lsn pool
<!--NeedCopy-->
Remarque : Pour supprimer des adresses IP LSN d’un pool LSN, utilisez la commande unbind lsn pool.
Pour configurer un profil IPv6 LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn ip6profile <name> –type DS-Lite –network6 < ipv6_addr|*s >
show lsn ip6profile
<!--NeedCopy-->
Pour créer un profil de transport LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn transportprofile <transportprofilename> <transportprotocol> [-sessiontimeout <secs>] [-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )]
show lsn transportprofile
<!--NeedCopy-->
Pour créer un profil d’application LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling (PAIRED | RANDOM )] [-mapping <mapping>] [-filtering <filtering>][-tcpproxy ( ENABLED | DISABLED )] [-td <positive_integer>]
show lsn appsprofile
<!--NeedCopy-->
Pour lier une plage de ports de protocole d’application à un profil d’application LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
<!--NeedCopy-->
Pour créer un groupe LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC )] [-portblocksize <positive_integer>] [-logging (ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync ( ENABLED | DISABLED )] [-snmptraplimit<positive_integer>] [-ftp ( ENABLED | DISABLED )] [-pptp ( ENABLED |DISABLED )] [-sipalg ( ENABLED | DISABLED )] [-rtspalg ( ENABLED |DISABLED )] [-ip6profile <string>]
show lsn group
<!--NeedCopy-->
Pour lier des profils de protocole LSN et des pools LSN à un groupe LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
bind lsn group <groupname> (-poolname <string> | -transportprofilename <string> | -httphdrlogprofilename <string> | -appsprofilename <string> | -sipalgprofilename <string> | rtspalgprofilename <string>)
show lsn group
<!--NeedCopy-->
Configuration à l’aide de l’utilitaire de configuration
Pour configurer un client LSN et lier une adresse réseau IPv6 ou une règle ACL6 à l’aide de l’utilitaire de configuration :
Accédez à Système > NAT à grande échelle > Clients, puis ajoutez un client, puis liez une adresse réseau IPv6 ou une règle ACL6 au client.
Pour configurer un pool LSN et lier des adresses IP NAT à l’aide de l’utilitaire de configuration :
Accédez à Système > NAT à grande échelle > Pools, puis ajoutez un pool, puis liez une adresse IP NAT ou une plage d’adresses IP NAT au pool.
Pour configurer un profil IPv6 LSN à l’aide de l’utilitaire de configuration :
Accédez à Système > NAT à grande échelle > Profils, cliquez sur l’onglet IPv6 et attribuez une adresse IPv6 à DS-lite AFTR.
Pour configurer un profil de transport LSN à l’aide de l’utilitaire de configuration :
- Accédez à Système > NAT à grande échelle > Profils.
- Dans le volet de détails, cliquez sur Transport, puis ajoutez un profil de transport.
Pour configurer un profil d’application LSN à l’aide de l’utilitaire de configuration :
- Accédez à Système > NAT à grande échelle > Profils.
- Dans le volet de détails, cliquez sur Application, puis ajoutez un profil d’application.
Pour configurer un groupe LSN et lier un client LSN, un profil IPv6 LSN, des pools, des profils de transport et des profils d’application à l’aide de l’utilitaire de configuration :
Accédez à Système > NAT à grande échelle > Groupes, puis ajoutez un groupe, puis liez un client LSN, un profil IPv6 LSN, des pools, des profils de transport et des profils d’application au groupe.
> add lsn client LSN-DSLITE-CLIENT-1
Done
> bind lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100
Done
> add lsn pool LSN-DSLITE-POOL-1
Done
> bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70
Done
> add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6
Done
> add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1
Done
> add lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1
Done
Journalisation et surveillance de DS-Lite
Vous pouvez enregistrer les informations DS-Lite pour diagnostiquer ou résoudre des problèmes et pour répondre aux exigences légales. L’appliance NetScaler prend en charge toutes les fonctionnalités de journalisation LSN pour la journalisation des informations DS-Lite. Pour configurer la journalisation DS-Lite, utilisez les procédures de configuration de la journalisation LSN, décrites dans Logging and Monitoring LSN.
Un message de journal pour une entrée de mappage DS-Lite LSN contient les informations suivantes :
- Adresse IP appartenant à NetScaler (adresse NSIP ou adresse SNIP) d’où provient le message du journal
- Horodatage
- Type d’entrée (MAPPING)
- Si l’entrée de mappage DSLite LSN a été créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- L’adresse IP de destination, le port et l’ID du domaine de trafic peuvent être présents, selon les conditions suivantes :
- L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
- Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
- L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.
Un message de journal pour une session DS-Lite contient les informations suivantes :
- Adresse IP appartenant à NetScaler (adresse NSIP ou adresse SNIP) d’où provient le message du journal
- Horodatage
- Type d’entrée (SESSION)
- Si la session DS-Lite est créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- Adresse IP de destination, port et ID de domaine de trafic
Le tableau suivant présente des exemples d’entrées de journal DS-Lite de chaque type stockées sur les serveurs de journaux configurés. Ces entrées de journal sont générées par une appliance NetScaler dont l’adresse NSIP est 10.102.37.115. Vous pouvez enregistrer les informations DS-Lite pour diagnostiquer ou résoudre des problèmes et pour répondre aux exigences légales. L’appliance NetScaler prend en charge toutes les fonctionnalités de journalisation LSN pour la journalisation des informations DS-Lite. Pour configurer la journalisation DS-Lite, utilisez les procédures de configuration de la journalisation LSN, décrites dans Logging and Monitoring LSN.
Un message de journal pour une entrée de mappage DS-Lite LSN contient les informations suivantes :
- Adresse IP appartenant à NetScaler (adresse NSIP ou adresse SNIP) d’où provient le message du journal
- Horodatage
- Type d’entrée (MAPPING)
- Si l’entrée de mappage DSLite LSN a été créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- L’adresse IP de destination, le port et l’ID du domaine de trafic peuvent être présents, selon les conditions suivantes :
- L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
- Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
- L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.
Un message de journal pour une session DS-Lite contient les informations suivantes :
- Adresse IP appartenant à NetScaler (adresse NSIP ou adresse SNIP) d’où provient le message du journal
- Horodatage
- Type d’entrée (SESSION)
- Si la session DS-Lite est créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- Adresse IP de destination, port et ID de domaine de trafic
Le tableau suivant présente des exemples d’entrées de journal DS-Lite de chaque type stockées sur les serveurs de journaux configurés. Ces entrées de journal sont générées par une appliance NetScaler dont l’adresse NSIP est 10.102.37.115.
Type d’entrée du journal LSN | Exemple d’entrée dans le journal |
Création d’une session DS-Lite | Local4.Informational 10.102.37.115 08/14/2015:13:35:38 GMT 0-PPE-1 : default LSN LSN_SESSION 37647607 0 : SESSION CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol:TCP |
Suppression de session DS-Lite | Local4.Informational 10.102.37.115 08/14/2015:13:38:22 GMT 0-PPE-1 : default LSN LSN_SESSION 37647617 0 : SESSION DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol: TCP |
Création d’un mappage LSN DS-Lite | Local4.Informational 10.102.37.115 08/14/2015:13:35:39 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647610 0 : EIM CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
Suppression du mappage DSLite LSN | Local4.Informational 10.102.37.115 08/14/2015:13:38:25 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647618 0 : EIM DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
Affichage des sessions DS-Lite en cours
Vous pouvez afficher les sessions DS-Lite en cours pour détecter toute session indésirable ou inefficace sur l’appliance NetScaler. Vous pouvez afficher toutes les sessions DS-Lite ou certaines d’entre elles en fonction des paramètres de sélection.
Configuration à l’aide de l’interface de ligne de commande
Pour afficher toutes les sessions DS-Lite à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
show lsn session –nattype DS-Lite
<!--NeedCopy-->
Pour afficher les sessions DS-Lite sélectionnées à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
show lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
Exemple :
L’exemple de sortie suivant affiche toutes les sessions DS-Lite existantes sur une appliance NetScaler :
show lsn session –nattype DS-Lite
B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir
1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT
2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT
3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT
4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT
Done
<!--NeedCopy-->
Configuration à l’aide de l’utilitaire de configuration
Pour afficher toutes les sessions DS-Lite ou certaines d’entre elles à l’aide de l’utilitaire de configuration
- Accédez à Système > NAT à grande échelle > Sessions, puis cliquez sur l’onglet DS-lite.
- Pour afficher les sessions DS-Lite en fonction des paramètres de sélection, cliquez sur Rechercher.
Effacer des sessions DS-Lite
Vous pouvez supprimer toutes les sessions DS-Lite indésirables ou inefficaces de l’appliance NetScaler. L’appliance libère immédiatement les ressources (telles que l’adresse IP NAT, le port et la mémoire) allouées à ces sessions, les rendant ainsi disponibles pour de nouvelles sessions. L’appliance supprime également tous les paquets suivants liés à ces sessions supprimées. Vous pouvez supprimer toutes les sessions DS-Lite ou certaines d’entre elles de l’appliance NetScaler.
Pour effacer toutes les sessions DS-Lite à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
flush lsn session –nattype DS-Lite
show lsn session –nattype DS-Lite
Pour effacer les sessions DS-Lite sélectionnées à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
flush lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype DS-Lite
<!--NeedCopy-->
Pour effacer toutes les sessions DS-Lite ou certaines d’entre elles à l’aide de l’utilitaire de configuration :
- Accédez à Système > NAT à grande échelle > Sessions, puis cliquez sur l’onglet DS-Lite .
- Cliquez sur Vider les sessions.