Configuration de DS-Lite
Une configuration DS-Lite sur une appliance Citrix ADC utilise les jeux de commandes LSN. Dans une configuration DS-Lite, l’entité client LSN spécifie l’adresse IPv6 ou l’adresse réseau IPv6 ou les règles ACL6 pour identifier le trafic à partir du périphérique B4. Pour plus d’informations sur la fonctionnalité Citrix ADC LSN, consultez NAT à grande échelle. Une configuration DS-Lite inclut également un profil IPv6, qui spécifie l’adresse IPv6 (de type SNIP6) du composant DS-Lite AFTR sur une appliance Citrix ADC.
La configuration de DS-Lite sur une appliance Citrix ADC comporte les tâches suivantes :
-
Définissez les paramètres LSN globaux. Les paramètres globaux incluent la quantité de mémoire Citrix ADC réservée à la fonctionnalité LSN et la synchronisation des sessions LSN dans une configuration haute disponibilité.
- Créez une entité client LSN pour identifier le trafic à partir de périphériques B4 CPE. L’entité client LSN fait référence à un ensemble de périphériques DS-Lite B4. L’entité client inclut des adresses IPv6 ou des adresses réseau IPv6 ou des règles ACL6 pour identifier le trafic provenant de ces périphériques B4. Un client LSN peut être lié à un seul groupe LSN. L’interface de ligne de commande comporte deux commandes pour créer une entité client LSN et lier un abonné à l’entité client LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un pool LSN et liez des adresses IP NAT à celui-ci. Un pool LSN définit un pool d’adresses IP NAT à utiliser par l’appliance Citrix ADC pour exécuter LSN. L’interface de ligne de commande comporte deux commandes permettant de créer un pool LSN et de lier les adresses IP NAT au pool LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un profil LSN IP6. Un profil LSN IP6 définit l’adresse IPv6 du composant AFTR DS-Lite sur l’appliance Citrix ADC. L’adresse IPv6 doit être l’une des adresses IPv6 appartenant à Citrix ADC de type SNIP6.
- (Facultatif) Créez un profil de transport LSN pour un protocole spécifié. Un profil de transport LSN définit divers délais d’expiration et limites, tels que les sessions LSN maximales et l’utilisation maximale des ports qu’un abonné peut avoir pour un protocole donné. Vous liez un profil de transport LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil de transport LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP est lié à un groupe LSN lors de sa création. Ce profil est appelé profil de transport par défaut. Un profil de transport LSN que vous liez à un groupe LSN remplace le profil de transport LSN par défaut pour ce protocole.
- ( Facultatif) Créez un profil d’application LSN pour un protocole spécifié et liez un ensemble de ports de destination à celui-ci. Un profil d’application LSN définit les contrôles de mappage LSN et de filtrage LSN d’un groupe pour un protocole donné et pour un ensemble de ports de destination. Pour un ensemble de ports de destination, vous liez un profil LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil d’application LSN lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil d’application LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP pour tous les ports de destination est lié à un groupe LSN lors de sa création. Ce profil est appelé profil d’application par défaut. Lorsque vous liez un profil d’application LSN, avec un ensemble de ports de destination spécifié, à un groupe LSN, le profil lié remplace le profil d’application LSN par défaut pour ce protocole sur cet ensemble de ports de destination. L’interface de ligne de commande comporte deux commandes pour créer un profil d’application LSN et lier un ensemble de ports de destination au profil d’application LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un groupe LSN et liez des pools LSN, un profil IPv6 LSN, des profils de transport LSN (facultatif) et (facultatif) des profils d’application LSN au groupe LSN. Un groupe LSN est une entité composée d’un client LSN, d’un profil IPv6 LSN, de pools LSN, de profils de transport LSN et de profils d’application LSN. Des paramètres sont attribués à un groupe, tels que la taille du bloc de port et la journalisation des sessions LSN. Les paramètres s’appliquent à tous les abonnés d’un client LSN lié au groupe LSN. Un seul profil LSN IPv6 peut être lié à un groupe LSN, et un profil LSN IPv6 lié à un groupe LSN ne peut pas être lié à d’autres groupes LSN. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés ensemble. Plusieurs pools LSN peuvent être liés à un groupe LSN. Une seule entité client LSN peut être liée à un groupe LSN, et une entité client LSN liée à un groupe LSN ne peut pas être liée à d’autres groupes LSN. L’interface de ligne de commande comporte deux commandes pour créer un groupe LSN et lier des pools LSN, des profils de transport LSN et des profils d’application LSN au groupe LSN. L’utilitaire de configuration combine ces deux opérations dans un seul écran.
Configuration à l’aide de la ligne de commande
Pour créer un client LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn client <clientname>
show lsn client
<!--NeedCopy-->
Pour lier un réseau IPv6 ou une règle ACL6 à un client LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
bind lsn client <clientname> (-network6 <ipv6_addr|*>| -acl6name <string>)
show lsn client
<!--NeedCopy-->
Pour créer un pool LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn pool <poolname> [-nattype ( DYNAMIC )] [-portblockallocation ( ENABLED | DISABLED )] [-portrealloctimeout <secs>] [-maxPortReallocTmq <positive_integer>]
show lsn pool
<!--NeedCopy-->
Pour lier une plage d’adresses IP à un pool LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
bind lsn pool <poolname> <lsnip>
show lsn pool
<!--NeedCopy-->
Remarque : Pour supprimer des adresses IP LSN d’un pool LSN, utilisez la commande unbind lsn pool.
Pour configurer un profil LSN IPv6 à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn ip6profile <name> –type DS-Lite –network6 < ipv6_addr|*s >
show lsn ip6profile
<!--NeedCopy-->
Pour créer un profil de transport LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn transportprofile <transportprofilename> <transportprotocol> [-sessiontimeout <secs>] [-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )]
show lsn transportprofile
<!--NeedCopy-->
Pour créer un profil d’application LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling (PAIRED | RANDOM )] [-mapping <mapping>] [-filtering <filtering>][-tcpproxy ( ENABLED | DISABLED )] [-td <positive_integer>]
show lsn appsprofile
<!--NeedCopy-->
Pour lier une plage de ports de protocole d’application à un profil d’application LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
<!--NeedCopy-->
Pour créer un groupe LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC )] [-portblocksize <positive_integer>] [-logging (ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync ( ENABLED | DISABLED )] [-snmptraplimit<positive_integer>] [-ftp ( ENABLED | DISABLED )] [-pptp ( ENABLED |DISABLED )] [-sipalg ( ENABLED | DISABLED )] [-rtspalg ( ENABLED |DISABLED )] [-ip6profile <string>]
show lsn group
<!--NeedCopy-->
Pour lier des profils de protocole LSN et des pools LSN à un groupe LSN à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
bind lsn group <groupname> (-poolname <string> | -transportprofilename <string> | -httphdrlogprofilename <string> | -appsprofilename <string> | -sipalgprofilename <string> | rtspalgprofilename <string>)
show lsn group
<!--NeedCopy-->
Configuration à l’aide de l’utilitaire de configuration
Pour configurer un client LSN et lier une adresse réseau IPv6 ou une règle ACL6 à l’aide de l’utilitaire de configuration :
Accédez à Système > NAT à grande échelle > Clients, puis ajoutez un client, puis liez une adresse réseau IPv6 ou une règle ACL6 au client.
Pour configurer un pool LSN et lier des adresses IP NAT à l’aide de l’utilitaire de configuration :
Accédez à Système > NAT à grande échelle > Pools, puis ajoutez un pool, puis liez une adresse IP NAT ou une plage d’adresses IP NAT au pool.
Pour configurer un profil LSN IPv6 à l’aide de l’utilitaire de configuration :
Accédez à Système > NAT à grande échelle > Profils, cliquez sur l’onglet IPv6 et attribuez une adresse IPv6 à DS-lite AFTR.
Pour configurer un profil de transport LSN à l’aide de l’utilitaire de configuration :
- Accédez à Système > NAT à grande échelle > Profils.
- Dans le volet d’informations, cliquez sur Transport, puis ajoutez un profil de transport.
Pour configurer un profil d’application LSN à l’aide de l’utilitaire de configuration :
- Accédez à Système > NAT à grande échelle > Profils.
- Dans le volet d’informations, cliquez sur Application, puis ajoutez un profil d’application.
Pour configurer un groupe LSN et lier un client LSN, un profil IPv6 LSN, des pools, des profils de transport et des profils d’application à l’aide de l’utilitaire de configuration :
Accédez à Système > NAT à grande échelle > Groupes, puis ajoutez un groupe, puis liez un client LSN, un profil IPv6 LSN, des pools, des profils de transport et des profils d’application au groupe.
> add lsn client LSN-DSLITE-CLIENT-1
Done
> bind lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100
Done
> add lsn pool LSN-DSLITE-POOL-1
Done
> bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70
Done
> add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6
Done
> add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1
Done
> add lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1
Done
Journalisation et surveillance de DS-Lite
Vous pouvez consigner les informations DS-Lite pour diagnostiquer ou résoudre les problèmes et répondre aux exigences légales. L’appliance Citrix ADC prend en charge toutes les fonctionnalités de journalisation LSN pour la journalisation des informations DS-Lite. Pour configurer la journalisation DS-Lite, utilisez les procédures de configuration de la journalisation LSN, décrites dans Logging and Monitoring LSN.
Un message de journal pour une entrée de mappage DS-Lite LSN contient les informations suivantes :
- Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
- Horodatage
- Type d’entrée (MAPPING)
- Indique si l’entrée de mappage DS-Lite LSN a été créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP NAT et port
- Nom du protocole
- L’adresse IP de destination, le port et l’ID de domaine de trafic peuvent être présents, selon les conditions suivantes :
- L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
- Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
- L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.
Un message de journal pour une session DS-Lite contient les informations suivantes :
- Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
- Horodatage
- Type d’entrée (SESSION)
- Indique si la session DS-Lite est créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP NAT et port
- Nom du protocole
- Adresse IP de destination, port et ID de domaine de trafic
Le tableau suivant présente des exemples d’entrées de journal DS-Lite de chaque type stocké sur les serveurs de journaux configurés. Ces entrées de journal sont générées par une appliance Citrix ADC dont l’adresse NSIP est 10.102.37.115.Vous pouvez consigner des informations DS-Lite pour diagnostiquer ou résoudre des problèmes et répondre aux exigences légales. L’appliance Citrix ADC prend en charge toutes les fonctionnalités de journalisation LSN pour la journalisation des informations DS-Lite. Pour configurer la journalisation DS-Lite, utilisez les procédures de configuration de la journalisation LSN, décrites dans Logging and Monitoring LSN.
Un message de journal pour une entrée de mappage DS-Lite LSN contient les informations suivantes :
- Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
- Horodatage
- Type d’entrée (MAPPING)
- Indique si l’entrée de mappage DS-Lite LSN a été créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP NAT et port
- Nom du protocole
- L’adresse IP de destination, le port et l’ID de domaine de trafic peuvent être présents, selon les conditions suivantes :
- L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
- Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
- L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.
Un message de journal pour une session DS-Lite contient les informations suivantes :
- Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
- Horodatage
- Type d’entrée (SESSION)
- Indique si la session DS-Lite est créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP NAT et port
- Nom du protocole
- Adresse IP de destination, port et ID de domaine de trafic
Le tableau suivant présente des exemples d’entrées de journal DS-Lite de chaque type stocké sur les serveurs de journaux configurés. Ces entrées de journal sont générées par une appliance Citrix ADC dont l’adresse NSIP est 10.102.37.115.
Type d’entrée du journal LSN | Exemple d’entrée de journal |
Création de session DS-Lite | Local4.Informational 10.102.37.115 08/14/2015:13:35:38 GMT 0-PPE-1 : default LSN LSN_SESSION 37647607 0 : SESSION CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol:TCP |
Suppression de session DS-Lite | Local4.Informational 10.102.37.115 08/14/2015:13:38:22 GMT 0-PPE-1 : default LSN LSN_SESSION 37647617 0 : SESSION DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol: TCP |
Création de mappage DS-Lite LSN | Local4.Informational 10.102.37.115 08/14/2015:13:35:39 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647610 0 : EIM CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
Suppression du mappage DS-Lite LSN | Local4.Informational 10.102.37.115 08/14/2015:13:38:25 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647618 0 : EIM DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
Affichage des sessions DS-Lite actuelles
Vous pouvez afficher les sessions DS-Lite actuelles pour détecter les sessions indésirables ou inefficaces sur l’appliance Citrix ADC. Vous pouvez afficher toutes les sessions DS-Lite ou certaines, sur la base des paramètres de sélection.
Configuration à l’aide de l’interface de ligne de commande
Pour afficher toutes les sessions DS-Lite à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
show lsn session –nattype DS-Lite
<!--NeedCopy-->
Pour afficher les sessions DS-Lite sélectionnées à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
show lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
Exemple :
L’exemple de sortie suivant affiche toutes les sessions DS-Lite existantes sur une appliance Citrix ADC :
show lsn session –nattype DS-Lite
B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir
1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT
2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT
3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT
4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT
Done
<!--NeedCopy-->
Configuration à l’aide de l’utilitaire de configuration
Pour afficher toutes les sessions DS-Lite ou sélectionnées à l’aide de l’utilitaire de configuration
- Accédez à Système > NAT à grande échelle > Sessions, puis cliquez sur l’onglet DS-lite.
- Pour afficher les sessions DS-Lite sur la base des paramètres de sélection, cliquez sur Rechercher.
Effacement des sessions DS-Lite
Vous pouvez supprimer toutes les sessions DS-Lite indésirables ou inefficaces de l’appliance Citrix ADC. L’appliance libère immédiatement les ressources (telles que l’adresse IP NAT, le port et la mémoire) allouées pour ces sessions, ce qui rend les ressources disponibles pour les nouvelles sessions. L’appliance supprime également tous les paquets suivants liés à ces sessions supprimées. Vous pouvez supprimer toutes les sessions DS-Lite ou sélectionnées de l’appliance Citrix ADC.
Pour effacer toutes les sessions DS-Lite à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
flush lsn session –nattype DS-Lite
show lsn session –nattype DS-Lite
Pour effacer les sessions DS-Lite sélectionnées à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
flush lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype DS-Lite
<!--NeedCopy-->
Pour effacer toutes les sessions DS-Lite ou sélectionnées à l’aide de l’utilitaire de configuration :
- Accédez à Système > NAT à grande échelle > Sessions, puis cliquez sur l’onglet DS-Lite .
- Cliquez sur Vider les sessions.