Étapes de configuration de LSN
La configuration de LSN sur une appliance Citrix ADC comporte les tâches suivantes :
- Définissez les paramètres LSN globaux. Les paramètres globaux incluent la quantité de mémoire Citrix ADC réservée à la fonctionnalité LSN et la synchronisation des sessions LSN dans une configuration haute disponibilité.
- Créez une entité client LSN et liez-y les abonnés. Une entité client LSN est un ensemble d’abonnés sur le trafic desquels vous souhaitez que l’appliance Citrix ADC exécute LSN. L’entité client inclut des adresses IPv4 et des règles ACL étendues pour identifier les abonnés. Un client LSN peut être lié à un seul groupe LSN. L’interface de ligne de commande comporte deux commandes pour créer une entité client LSN et lier un abonné à l’entité client LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un pool LSN et liez des adresses IP NAT à celui-ci. Un pool LSN définit un pool d’adresses IP NAT à utiliser par l’appliance Citrix ADC pour exécuter LSN. Des paramètres sont affectés au pool, tels que l’allocation de bloc de port et le type NAT (déterministe ou dynamique). Un pool de LSN lié à un groupe de LSN s’applique à tous les abonnés d’une entité cliente de LSN liée au même groupe. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés ensemble. Plusieurs pools LSN peuvent être liés à un groupe LSN. Pour NAT dynamique, un pool LSN peut être lié à plusieurs groupes LSN. Pour NAT déterministe, les pools liés à un groupe LSN ne peuvent pas être liés à d’autres groupes LSN. L’interface de ligne de commande comporte deux commandes permettant de créer un pool LSN et de lier les adresses IP NAT au pool LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- (Facultatif) Créez un profil de transport LSN pour un protocole spécifié. Un profil de transport LSN définit divers délais d’expiration et limites, tels que les sessions LSN maximales et l’utilisation maximale des ports, qu’un abonné peut avoir pour un protocole donné. Vous liez un profil de transport LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil de transport LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP est lié à un groupe LSN lors de sa création. Ce profil est appelé profil de transport par défaut. Un profil de transport LSN que vous liez à un groupe LSN remplace le profil de transport LSN par défaut pour ce protocole.
- (Facultatif) Créez un profil d’application LSN pour un protocole spécifié et liez un ensemble de ports de destination à celui-ci. Un profil d’application LSN définit les contrôles de mappage LSN et de filtrage LSN d’un groupe pour un protocole donné et pour un ensemble de ports de destination. Pour un ensemble de ports de destination, vous liez un profil LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil d’application LSN lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil d’application LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP pour tous les ports de destination est lié à un groupe LSN lors de sa création. Ce profil est appelé profil d’application par défaut. Lorsque vous liez un profil d’application LSN, avec un ensemble de ports de destination spécifié, à un groupe LSN, le profil lié remplace le profil d’application LSN par défaut pour ce protocole sur cet ensemble de ports de destination. L’interface de ligne de commande comporte deux commandes pour créer un profil d’application LSN et lier un ensemble de ports de destination au profil d’application LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un groupe LSN et liez des pools LSN, des profils de transport LSN (facultatif) et des profils d’application LSN (facultatif) au groupe LSN. Un groupe LSN est une entité composée d’un client LSN, d’un ou de plusieurs pools LSN, d’un ou de plusieurs profils de transport LSN et d’un ou de plusieurs profils d’application LSN. Des paramètres sont attribués à un groupe, tels que la taille du bloc de port et la journalisation des sessions LSN. Les paramètres s’appliquent à tous les abonnés d’un client LSN lié au groupe LSN. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés ensemble. Plusieurs pools LSN peuvent être liés à un groupe LSN. Pour NAT dynamique, un pool LSN peut être lié à plusieurs groupes LSN. Pour NAT déterministe, les pools liés à un groupe LSN ne peuvent pas être liés à d’autres groupes LSN. Une seule entité client LSN peut être liée à un groupe LSN, et une entité client LSN liée à un groupe LSN ne peut pas être liée à d’autres groupes LSN. L’interface de ligne de commande comporte deux commandes pour créer un groupe LSN et lier des pools LSN, des profils de transport LSN, des profils d’application LSN au groupe LSN. L’utilitaire de configuration combine ces deux opérations dans un seul écran.
Le tableau suivant répertorie le nombre maximal d’entités LSN différentes et de liaisons pouvant être créées sur une appliance Citrix ADC. Ces limites sont également soumises à la mémoire disponible sur l’appliance Citrix ADC.
Entités et liaisons LSN | Limite |
---|---|
Clients LSN | 1024 |
Piscines LSN | 128 |
Groupes LSN | 1024 |
Réseaux d’abonnés pouvant être liés à un client LSN | 64 |
ACL étendues pouvant être liées à un client LSN | 1024 |
Adresses IP NAT dans un pool | 4096 |
Pools LSN pouvant être liés à un groupe LSN | 8 |
Groupes LSN pouvant utiliser le même pool LSN | 16 |
Profils de transport LSN pouvant être liés à un groupe LSN | 3 (un pour chacun pour les protocoles TCP, UDP et ICMP) |
Groupes LSN pouvant utiliser le même profil de transport LSN | 8 |
Profils d’application LSN pouvant être liés à un groupe LSN | 64 |
Groupes LSN pouvant utiliser le même profil d’application LSN | 8 |
Plage de ports pouvant être liée à un profil d’application LSN | 8 |
Configuration à l’aide de l’interface de ligne de commande
Pour créer un client LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add lsn client <clientname>
show lsn client
<!--NeedCopy-->
Pour lier une adresse réseau ou une règle ACL à un client LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
bind lsn client <clientname> ((-network <ip_addr> [-netmask <netmask>] [-td<positive_integer>]) | -aclname <string>)
show lsn client
<!--NeedCopy-->
Pour créer un pool LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add lsn pool <poolname> [-nattype ( DYNAMIC | DETERMINISTIC )] [-portblockallocation ( ENABLED | DISABLED )] [-portrealloctimeout <secs>] [-maxPortReallocTmq <positive_integer>]
show lsn pool
<!--NeedCopy-->
Pour lier une plage d’adresses IP à un pool LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
bind lsn pool <poolname> <lsnip>
show lsn pool
<!--NeedCopy-->
Remarque : Pour supprimer les adresses IP LSN d’un pool LSN, utilisez la commande unbind lsn pool.
Pour créer un profil de transport LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add lsn transportprofile <transportprofilename> <transportprotocol> [-sessiontimeout <secs>] [-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )]
show lsn transportprofile
<!--NeedCopy-->
Pour créer un profil d’application LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling (PAIRED | RANDOM )] [-mapping <mapping>] [-filtering <filtering>][-tcpproxy ( ENABLED | DISABLED )] [-td <positive_integer>]
show lsn appsprofile
<!--NeedCopy-->
Pour lier une plage de ports de protocole d’application à un profil d’application LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
<!--NeedCopy-->
Pour créer un groupe LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC |DETERMINISTIC )] [-portblocksize <positive_integer>] [-logging (ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync (ENABLED | DISABLED )] [-snmptraplimit <positive_integer>] [-ftp ( ENABLED | DISABLED )]
show lsn group
<!--NeedCopy-->
Pour lier des profils LSN et des pools LSN à un groupe LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
bind lsn group <groupname> (-poolname <string> | -transportprofilename <string> | -appsprofilename <string>)
show lsn group
<!--NeedCopy-->
Configuration à l’aide de l’utilitaire de configuration
Pour configurer un client LSN et lier une adresse réseau IPv4 ou une règle ACL à l’aide de l’utilitaire de configuration
Accédez à Système > NAT à grande échelle > Clients, puis ajoutez un client, puis liez une adresse réseau IPv4 ou une règle ACL au client.
Pour configurer un pool LSN et lier des adresses IP NAT à l’aide de l’utilitaire de configuration
Accédez à Système > NAT à grande échelle > Pools, puis ajoutez un pool, puis liez une adresse IP NAT ou une plage d’adresses IP NAT au pool.
Pour configurer un profil de transport LSN à l’aide de l’utilitaire de configuration
- Accédez à Système > NAT à grande échelle > Profils.
- Dans le volet d’informations, cliquez sur l’onglet Transport, puis ajoutez un profil de transport.
Pour configurer un profil d’application LSN à l’aide de l’utilitaire de configuration
- Accédez à Système > NAT à grande échelle > Profils.
- Dans le volet d’informations, cliquez sur onglet Application, puis ajoutez un profil d’application.
Pour configurer un groupe LSN et lier un client LSN, des pools, des profils de transport et des profils d’application à l’aide de l’utilitaire de configuration
Accédez à Système > NAT à grande échelle > Groupes, puis ajoutez un groupe, puis liez un client LSN, des pools, des profils de transport et des profils d’application au groupe.
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
ajouter le client lsn
-
clientname
Nom de l’entité client LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le client LSN créé. La condition suivante s’applique uniquement à l’interface de ligne de commande : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “lsn client1” ou ‘lsn client1’).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
lier le client lsn
-
clientname
Nom de l’entité client LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le client LSN créé. La condition suivante s’applique uniquement à l’interface de ligne de commande : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “lsn client1” ou ‘lsn client1’).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
network
Adresse (s) IPv4 du (des) abonné (s) LSN ou réseau (s) d’abonné (s) sur le trafic duquel vous souhaitez que l’appliance Citrix ADC effectue un NAT à grande échelle.
-
netmask
Masque de sous-réseau pour l’adresse IPv4 spécifiée dans le paramètre Network.
Valeur par défaut : 255.255.255.255
-
td
ID du domaine de trafic sur lequel appartient cet abonné ou le réseau d’abonné (tel que spécifié par le paramètre réseau).
Si vous ne spécifiez pas d’ID, l’abonné ou le réseau d’abonnés fait partie du domaine de trafic par défaut.
Valeur par défaut : 0
Valeur minimale : 0
Valeur maximale : 4094
-
aclname
Nom(s) de toute ACL étendue configurée (s) dont l’action est ALLOW. La condition spécifiée dans la règle ACL étendue identifie le trafic provenant d’un abonné LSN pour lequel l’appliance Citrix ADC doit effectuer un NAT à grande échelle. Longueur maximale : 127
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
add lsn pool
-
poolname
Nom du pool LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le pool LSN créé. La condition suivante s’applique uniquement à l’interface de ligne de commande : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “lsn pool1” ou “lsn pool1”).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
Nattype
Type d’adresse IP NAT et d’allocation de port (à partir des pools LSN liés à un groupe LSN) pour les abonnés (de l’entité client LSN liée au groupe LSN) :
Les options disponibles fonctionnent comme suit :
-
Déterministe : alloue une adresse IP NAT et un bloc de ports à chaque abonné (du client LSN lié au groupe LSN). L’appliance Citrix ADC alloue séquentiellement des ressources NAT à ces abonnés. L’appliance Citrix ADC affecte le premier bloc de ports (taille de bloc déterminée par le paramètre de taille de bloc de port du groupe LSN) sur l’adresse IP NAT de début à l’adresse IP de l’abonné de début. La plage suivante de ports est attribuée à l’abonné suivant, et ainsi de suite, jusqu’à ce que l’adresse NAT ne dispose pas de suffisamment de ports pour l’abonné suivant. Dans ce cas, le premier bloc de port sur l’adresse NAT suivante est utilisé pour l’abonné, et ainsi de suite. Étant donné que chaque abonné reçoit désormais une adresse IP NAT déterministe et un bloc de ports, un abonné peut être identifié sans aucune journalisation. Pour une connexion, un abonné peut être identifié uniquement en fonction de l’adresse IP et du port NAT, ainsi que de l’adresse IP et du port de destination.
-
Dynamique : alloue une adresse IP NAT aléatoire et un port du pool NAT LSN pour une connexion d’abonnés. Si l’allocation de bloc de port est activée (dans le pool LSN) et qu’une taille de bloc de port est spécifiée (dans le groupe LSN), l’appliance Citrix ADC alloue une adresse IP NAT aléatoire et un bloc de ports pour un abonné lorsqu’il initie une connexion pour la première fois. L’appliance alloue cette adresse IP NAT et un port (à partir du bloc de ports alloué) pour différentes connexions de cet abonné. Si tous les ports sont alloués (pour différentes connexions d’abonnés) à partir du bloc de ports alloué aux abonnés, l’appliance alloue un nouveau bloc de ports aléatoire à l’abonné. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés ensemble. Plusieurs pools LSN peuvent être liés à un groupe LSN.
Valeurs possibles : DYNAMIC, DETERMINISTIC
Valeur par défaut : DYNAMIC
-
-
portblockallocation
Allouer un bloc de port NAT aléatoire, à partir du pool de ports NAT disponible d’une adresse IP NAT, pour chaque abonné lorsque l’allocation NAT est définie comme NAT dynamique. Pour toute connexion initiée à partir d’un abonné, l’appliance Citrix ADC alloue un port NAT à partir du bloc de port NAT alloué aux abonnés pour créer la session LSN.
Vous devez définir la taille du bloc de port dans le groupe LSN lié. Pour un abonné, si tous les ports sont alloués à partir du bloc de ports alloué aux abonnés, l’appliance Citrix ADC alloue un nouveau bloc de ports aléatoire à l’abonné.
Pour NAT déterministe, ce paramètre est activé par défaut et vous ne pouvez pas le désactiver.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
portrealloctimeout
Temps d’attente, en secondes, entre la délocalisation des ports NAT LSN (lorsqu’un mappage LSN est supprimé) et leur réaffectation pour une nouvelle session LSN. Ce paramètre est nécessaire pour éviter les collisions entre les anciennes et nouvelles mappages et sessions. Il garantit que toutes les sessions établies sont interrompues au lieu de rediriger vers un autre abonné. Ceci n’est pas applicable aux ports utilisés dans :
- NAT déterministe
- Filtrage dépendant de l’adresse et filtrage dépendant du port d’adresse
- NAT dynamique avec allocation de bloc de port
Dans ces cas, les ports sont immédiatement réaffectés.
Valeur par défaut : 0
Valeur maximale : 600
-
maxPortReallocTmq
Nombre maximal de ports pour lesquels le délai d’expiration de réaffectation des ports s’applique à chaque adresse IP NAT. En d’autres termes, la taille maximale de la file d’attente de port désalloué pour laquelle le délai d’expiration de réaffectation s’applique à chaque adresse IP NAT.
Lorsque la taille de la file d’attente est pleine, le prochain port désalloué est immédiatement réalloué pour une nouvelle session LSN.
Valeur par défaut : 65536
Valeur maximale : 65536
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
bind lsn pool
-
poolname
Nom du pool LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le pool LSN créé. La condition suivante s’applique uniquement à l’interface de ligne de commande : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “lsn pool1” ou “lsn pool1”).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
lsnip
Adresse IPv4 ou plage d’adresses IPv4 à utiliser comme adresse IP NAT pour LSN.
Une fois le pool créé, ces adresses IPv4 sont ajoutées à l’appliance Citrix ADC en tant qu’adresse IP appartenant à Citrix ADC de type LSN. Une adresse IP LSN associée à un pool LSN ne peut pas être partagée avec d’autres pools LSN. Les adresses IP spécifiées pour ce paramètre ne doivent pas exister déjà sur l’appliance Citrix ADC en tant qu’adresse IP appartenant à Citrix ADC. Dans l’interface de ligne de commande, séparez la plage par un trait d’union. Par exemple : 10.102.29.30-10.102.29.189. Vous pouvez ultérieurement supprimer une partie ou toutes les adresses IP LSN du pool et ajouter des adresses IP au pool LSN.
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
ajouter un profil de transport lsn
-
transportprofilename
Nom du profil de transport LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le profil de transport LSN créé. L’exigence suivante s’applique uniquement à l’interface de ligne de commande : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « lsn transport profile1” ou « lsn transport profile1’).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
transportprotocol
Protocole pour lequel définir les paramètres du profil de transport LSN.
Il s’agit d’un argument obligatoire.
Valeurs possibles : TCP, UDP, ICMP
-
sessiontimeout
Délai d’expiration, en secondes, pour une session LSN inactive. Si une session LSN est inactive pendant une durée supérieure à cette valeur, l’appliance Citrix ADC supprime la session.
Ce délai d’expiration ne s’applique pas à une session TCP LSN lorsqu’un message FIN ou RST est reçu de l’un des points de terminaison.
Valeur par défaut : 120
Valeur minimale : 60
-
finrsttimeout
Délai d’expiration, en secondes, pour une session TCP LSN après réception d’un message FIN ou RST de l’un des points de terminaison.
Si une session LSN TCP est inactive (une fois que l’appliance Citrix ADC reçoit un message FIN ou RST) pendant une durée supérieure à cette valeur, l’appliance Citrix ADC supprime la session.
Étant donné que la fonctionnalité LSN de l’appliance Citrix ADC ne conserve pas les informations d’état des sessions LSN TCP, ce délai d’attente permet la transmission des messages FIN ou RST et ACK à partir de l’autre point de terminaison afin que les deux points de terminaison puissent correctement fermer la connexion.
Valeur par défaut : 30
-
portquota
Nombre maximal de ports NAT LSN à utiliser à la fois par chaque abonné pour le protocole spécifié. Par exemple, chaque abonné peut être limité à un maximum de 500 ports NAT TCP. Lorsque les mappages NAT LSN pour un abonné atteignent la limite, l’appliance Citrix ADC n’alloue pas de ports NAT supplémentaires pour cet abonné.
Valeur par défaut : 0
Valeur minimale : 0
Valeur maximale : 65535
-
sessionquota
Nombre maximal de sessions LSN simultanées autorisées pour chaque abonné pour le protocole spécifié. Lorsque le nombre de sessions LSN atteint la limite pour un abonné, l’appliance Citrix ADC ne permet pas à l’abonné d’ouvrir des sessions supplémentaires.
Valeur par défaut : 0
Valeur minimale : 0
Valeur maximale : 65535
-
portpreserveparity
Activer la parité de port entre un port d’abonné et son port NAT LSN mappé. Par exemple, si un abonné initie une connexion à partir d’un port numéroté impair, l’appliance Citrix ADC alloue un port NAT LSN numéroté impair pour cette connexion. Vous devez définir ce paramètre pour le bon fonctionnement des protocoles qui exigent que le port source soit numéroté pair ou impair, par exemple, dans les applications peer-to-peer qui utilisent le protocole RTP ou RTCP.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
portpreserverange
Si un abonné initie une connexion à partir d’un port connu (0-1023), allouez un port NAT à partir de la plage de ports connue (0-1023) pour cette connexion. Par exemple, si un abonné initie une connexion à partir du port 80, l’appliance Citrix ADC peut allouer le port 100 en tant que port NAT pour cette connexion.
Ce paramètre s’applique à NAT dynamique sans allocation de bloc de port. Elle s’applique également au NAT déterministe si la plage de ports allouée inclut des ports connus.
Lorsque tous les ports connus de toutes les adresses IP NAT disponibles sont utilisés dans différentes connexions d’abonnés (sessions LSN) et qu’un abonné initie une connexion à partir d’un port bien connu, l’appliance Citrix ADC supprime cette connexion.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
syncheck
Déposez silencieusement tous les paquets non-SYN pour les connexions pour lesquelles aucune session LSN-NAT n’est présente sur l’appliance Citrix ADC.
Si vous désactivez ce paramètre, l’appliance Citrix ADC accepte tous les paquets non SYN et crée une nouvelle entrée de session LSN pour cette connexion.
Voici quelques raisons pour lesquelles l’appliance Citrix ADC reçoit de tels paquets :
- Une session LSN pour une connexion existait, mais l’appliance Citrix ADC a supprimé cette session car la session LSN était inactive pendant un temps qui dépassait le délai d’expiration de session configuré.
- Ces paquets peuvent faire partie d’une attaque DoS.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : ENABLED
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
add lsn appsprofile
-
appsprofilename
Nom du profil d’application LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le profil d’application LSN créé. L’exigence suivante s’applique uniquement à l’interface de ligne de commande : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “lsn application profile1” ou ‘lsn application profile1’).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
transportprotocol
Nom du protocole pour lequel les paramètres de ce profil d’application LSN s’appliquent.
Il s’agit d’un argument obligatoire.
Valeurs possibles : TCP, UDP, ICMP
-
ippooling
Options d’allocation d’adresses IP NAT pour les sessions associées au même abonné.
Les options disponibles fonctionnent comme suit :
- Paired : l’appliance Citrix ADC alloue la même adresse IP NAT pour toutes les sessions associées au même abonné. Lorsque tous les ports d’une adresse IP NAT sont utilisés dans des sessions LSN (pour le même ou plusieurs abonnés), l’appliance Citrix ADC supprime toute nouvelle connexion de l’abonné.
- Random : l’appliance Citrix ADC alloue des adresses IP NAT aléatoires, à partir du pool, pour différentes sessions associées au même abonné.
Ce paramètre s’applique uniquement à l’allocation NAT dynamique.
Valeurs possibles : PAIRED, RANDOM
Valeur par défaut : RANDOM
-
mapping
Type de mappage LSN à appliquer aux paquets suivants provenant de la même adresse IP et du même port d’abonné.
Prenons un exemple de mappage LSN qui inclut le mappage de l’abonné IP:Port (x:x), NAT IP:Port (n:n) et de l’hôte externe IP:Port (Y:y).
Les options disponibles fonctionnent comme suit :
- ENDPOINT-INDEPENDENT—Réutilisez le mappage LSN pour les paquets suivants envoyés à partir de la même adresse IP d’abonné et du même port (X:x) vers n’importe quelle adresse IP et port externes.
- ADDRESS-DEPENDENT—Réutilisez le mappage LSN pour les paquets suivants envoyés à partir de la même adresse IP d’abonné et du même port (X:x) vers la même adresse IP externe (Y), quel que soit le port externe.
- ADDRESS-PORT-DEPENDENT—Réutilisez le mappage LSN pour les paquets suivants envoyés à partir de la même adresse IP interne et du même port (x:x) vers la même adresse IP externe et le même port (Y:y) lorsque le mappage est toujours actif.
Valeurs possibles : ENDPOINT-INDEPENDENT, ADDRESS-DEPENDENT, ADDRESS-PORT-DEPENDENT
Valeur par défaut : ADDRESS-PORT-DEPENDENT
-
filtrage
Type de filtre à appliquer aux paquets provenant d’hôtes externes.
Prenons un exemple de mappage LSN qui inclut le mappage de l’abonné IP:Port (x:x), NAT IP:Port (n:n) et de l’hôte externe IP:Port (Y:y).
Les options disponibles fonctionnent comme suit :
- ENDPOINT INDEPENDENT—Filtre uniquement les paquets qui ne sont pas destinés à l’adresse IP de l’abonné et au port x:x, indépendamment de l’adresse IP de l’hôte externe et de la source du port (z:z). L’appliance Citrix ADC transfère tous les paquets destinés à X:x. En d’autres termes, l’envoi de paquets de l’abonné à n’importe quelle adresse IP externe est suffisant pour autoriser les paquets de n’importe quel hôte externe à l’abonné.
- ADDRESS DEPENDENT—Filtre les paquets non destinés à l’adresse IP de l’abonné et au port X:x. En outre, l’appliance filtre les paquets de Y:y destinés à l’abonné (X:x) si le client n’a pas déjà envoyé de paquets à Y:AnyPort (indépendant du port externe). En d’autres termes, la réception de paquets à partir d’un hôte externe spécifique nécessite que l’abonné envoie d’abord des paquets à l’adresse IP de cet hôte externe spécifique.
- ADDRESS PORT DEPENDENT (valeur par défaut) : filtre les paquets qui ne sont pas destinés à l’adresse IP de l’abonné et au port (X:x). En outre, l’appliance Citrix ADC filtre les paquets de Y:y destinés à l’abonné (x:x) si l’abonné n’a pas déjà envoyé de paquets à Y:y. En d’autres termes, la réception de paquets à partir d’un hôte externe spécifique nécessite que l’abonné envoie d’abord les paquets à cette adresse IP externe et au port.
Valeurs possibles : ENDPOINT-INDEPENDENT, ADDRESS-DEPENDENT, ADDRESS-PORT-DEPENDENT
Valeur par défaut : ADDRESS-PORT-DEPENDENT
-
tcpproxy
Activez le proxy TCP, qui permet à l’appliance Citrix ADC d’optimiser le trafic TCP à l’aide des fonctionnalités de couche 4.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
td
ID du domaine de trafic via lequel l’appliance Citrix ADC envoie le trafic sortant après l’exécution du LSN.
Si vous ne spécifiez pas d’ID, l’appliance envoie le trafic sortant via le domaine de trafic par défaut, dont l’ID est 0.
Valeur par défaut : 65535
Valeur maximale : 65535
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
profil de bind lsn appsprofile
-
appsprofilename
Nom du profil d’application LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le profil d’application LSN créé. L’exigence suivante s’applique uniquement à l’interface de ligne de commande : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “lsn application profile1” ou ‘lsn application profile1’).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
Isnport
Numéros de port ou plage de numéros de port à comparer avec le port de destination du paquet entrant d’un abonné. Lorsque le port de destination est mis en correspondance, le profil d’application LSN est appliqué pour la session LSN. Séparer une plage de ports par un trait d’union. Par exemple, 40-90.
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
ajouter le groupe lsn
-
groupname
Nom du groupe LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le groupe LSN créé. L’exigence suivante s’applique uniquement à l’interface de ligne de commande : si le nom comporte un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “lsn group1” ou “lsn group1”).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
clientname
Nom de l’entité client LSN à associer au groupe LSN. Vous pouvez associer une seule entité client LSN à un groupe LSN. Vous ne pouvez pas supprimer cette association ou le remplacer par une autre entité client LSN une fois le groupe LSN créé.
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
Nattype
Type d’adresse IP NAT et d’allocation de port (à partir des pools LSN liés) pour les abonnés :
Les options disponibles fonctionnent comme suit :
- Déterministe : alloue une adresse IP NAT et un bloc de ports à chaque abonné (du client LSN lié au groupe LSN). L’appliance Citrix ADC alloue séquentiellement des ressources NAT à ces abonnés. L’appliance Citrix ADC affecte le premier bloc de ports (taille de bloc déterminée par le paramètre de taille de bloc de port du groupe LSN) sur l’adresse IP NAT de début à l’adresse IP de l’abonné de début. La plage suivante de ports est attribuée à l’abonné suivant, et ainsi de suite, jusqu’à ce que l’adresse NAT ne dispose pas de suffisamment de ports pour l’abonné suivant. Dans ce cas, le premier bloc de port sur l’adresse NAT suivante est utilisé pour l’abonné, et ainsi de suite. Étant donné que chaque abonné reçoit désormais une adresse IP NAT déterministe et un bloc de ports, un abonné peut être identifié sans aucune journalisation. Pour une connexion, un abonné peut être identifié uniquement en fonction de l’adresse IP et du port NAT, ainsi que de l’adresse IP et du port de destination.
- Dynamique : alloue une adresse IP NAT aléatoire et un port du pool NAT LSN pour la connexion d’un abonné. Si l’allocation de bloc de port est activée (dans le pool LSN) et qu’une taille de bloc de port est spécifiée (dans le groupe LSN), l’appliance Citrix ADC alloue une adresse IP NAT aléatoire et un bloc de ports pour un abonné lorsqu’il initie une connexion pour la première fois. L’appliance alloue cette adresse IP NAT et un port (à partir du bloc de ports alloué) pour différentes connexions de cet abonné. Si tous les ports sont alloués (pour différentes connexions d’abonnés) à partir du bloc de ports alloué aux abonnés, l’appliance alloue un nouveau bloc de ports aléatoire à l’abonné.
Valeurs possibles : DYNAMIC, DETERMINISTIC
Valeur par défaut : DYNAMIC
-
portblocksize
Taille du bloc de port NAT à allouer pour chaque abonné.
Pour définir ce paramètre pour NAT dynamique, vous devez activer le paramètre d’allocation de bloc de port dans le pool LSN lié. Pour NAT déterministe, le paramètre d’allocation de bloc de port est toujours activé et vous ne pouvez pas le désactiver.
Dans NAT dynamique, l’appliance Citrix ADC alloue un bloc de port NAT aléatoire, à partir du pool de ports NAT disponible d’une adresse IP NAT, pour chaque abonné. Pour un abonné, si tous les ports sont alloués à partir du bloc de ports alloué aux abonnés, l’appliance alloue un nouveau bloc de ports aléatoire à l’abonné.
-
journalisation
Entrées de mappage de journaux et sessions créées ou supprimées pour ce groupe LSN. L’appliance Citrix ADC consigne les sessions LSN pour ce groupe LSN uniquement lorsque les paramètres de journalisation et de journalisation de session sont activés.
L’appliance utilise son infrastructure de journal syslog et d’audit existants pour consigner les informations LSN. Vous devez activer la journalisation LSN de niveau global en activant le paramètre LSN dans l’action NSLOG associée et les entités d’action SYLOG. Lorsque le paramètre Journalisation est activé, l’appliance Citrix ADC génère des messages de journal liés aux mappages LSN et aux sessions LSN de ce groupe LSN. L’appliance envoie ensuite ces messages de journal aux serveurs associés à l’action NSLOG et aux entités d’actions SYSLOG.
Un message de journal pour une entrée de mappage LSN contient les informations suivantes :
- Adresse NSIP de l’appliance Citrix ADC
- Horodatage
- Type d’entrée (MAPPING ou SESSION)
- Indique si l’entrée de mappage LSN est créée ou supprimée
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP NAT et port
- Nom du protocole
- L’adresse IP de destination, le port et l’ID de domaine de trafic peuvent être présents, selon les conditions suivantes :
- L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison
- Seule l’adresse IP de destination (et non le port) est enregistrée pour le mappage dépendant de l’adresse
- L’adresse IP et le port de destination sont enregistrés pour le mappage dépendants du port d’adresse
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
sessionLogging
Journaliser les sessions créées ou supprimées pour le groupe LSN. L’appliance Citrix ADC consigne les sessions LSN pour ce groupe LSN uniquement lorsque les paramètres de journalisation et de journalisation de session sont activés.
Un message de journal pour une session LSN contient les informations suivantes :
- Adresse NSIP de l’appliance Citrix ADC
- Horodatage
- Type d’entrée (MAPPING ou SESSION)
- Indique si la session LSN est créée ou supprimée
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP NAT et port
- Nom du protocole
- Adresse IP de destination, port et ID de domaine de trafic
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
sessionSync
Dans un déploiement haute disponibilité (HA), synchronisez les informations de toutes les sessions LSN associées à ce groupe LSN avec le nœud secondaire. Après un basculement, les connexions TCP établies et les flux de paquets UDP sont maintenus actifs et repris sur le nœud secondaire (nouveau principal).
Pour que ce paramètre fonctionne, vous devez activer le paramètre de synchronisation de session globale.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : ENABLED
-
snmptraplimit
Nombre maximal de messages d’interruption SNMP pouvant être générés pour le groupe LSN en une minute.
Valeur par défaut : 100
Valeur minimale : 0
Valeur maximale : 10000
-
ftp
Activez Application Layer Gateway (ALG) pour le protocole FTP. Pour certains protocoles de couche d’application, les adresses IP et les numéros de port de protocole sont généralement communiqués dans la charge utile des paquets. Lorsqu’elle agit en tant qu’ALG, l’appliance modifie la charge utile des paquets pour s’assurer que le protocole continue de fonctionner sur LSN.
Remarque : l’appliance Citrix ADC inclut également les protocoles ALG pour ICMP et TFTP. ALG pour le protocole ICMP est activé par défaut et aucune disposition ne permet de le désactiver. ALG pour le protocole TFTP est désactivé par défaut. ALG est activé automatiquement pour un groupe LSN lorsque vous liez un profil d’application UDP LSN, avec mappage indépendant du point de terminaison, filtrage indépendant du point de terminaison et port de destination 69 (port connu pour TFTP), au groupe LSN.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : ENABLED
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
groupe de liaison lsn
-
groupname
Nom du groupe LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le groupe LSN créé. L’exigence suivante s’applique uniquement à l’interface de ligne de commande : si le nom comporte un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “lsn group1” ou “lsn group1”).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
poolname
Nom du pool LSN à lier au groupe LSN spécifié. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés ensemble. Plusieurs pools LSN peuvent être liés à un groupe LSN.
Pour NAT déterministe, les pools liés à un groupe LSN ne peuvent pas être liés à d’autres groupes LSN. Pour NAT dynamique, les pools liés à un groupe LSN peuvent être liés à plusieurs groupes LSN. Longueur maximale : 127
-
transportprofilename
Nom du profil de transport LSN à lier au groupe LSN spécifié. Liez un profil pour chaque protocole pour lequel vous souhaitez spécifier des paramètres.
Par défaut, un profil de transport LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP est lié à un groupe LSN lors de sa création. Ce profil est appelé transport par défaut.
Un profil de transport LSN que vous liez à un groupe LSN remplace le profil de transport LSN par défaut pour ce protocole. Longueur maximale : 127
-
appsprofilename
Nom du profil d’application LSN à lier au groupe LSN spécifié. Pour chaque ensemble de ports de destination, liez un profil pour chaque protocole pour lequel vous souhaitez spécifier des paramètres.
Par défaut, un profil d’application LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP pour tous les ports de destination est lié à un groupe LSN lors de sa création. Ce profil est appelé profil d’application par défaut.
Lorsque vous liez un profil d’application LSN, avec un ensemble de ports de destination spécifié, à un groupe LSN, le profil lié remplace le profil d’application LSN par défaut pour ce protocole sur cet ensemble de ports de destination. Longueur maximale : 127
-
Dans cet article
- Configuration à l’aide de l’interface de ligne de commande
- Configuration à l’aide de l’utilitaire de configuration
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)