Étapes de configuration pour LSN
La configuration du LSN sur une appliance NetScaler comprend les tâches suivantes :
- Définissez les paramètres LSN globaux. Les paramètres globaux incluent la quantité de mémoire NetScaler réservée à la fonctionnalité LSN et la synchronisation des sessions LSN dans une configuration haute disponibilité.
- Créez une entité cliente LSN et liez-y les abonnés. Une entité cliente LSN est un ensemble d’abonnés sur le trafic desquels vous souhaitez que l’appliance NetScaler exécute le LSN. L’entité cliente inclut des adresses IPv4 et des règles ACL étendues pour identifier les abonnés. Un client LSN ne peut être lié qu’à un seul groupe LSN. L’interface de ligne de commande comporte deux commandes permettant de créer une entité cliente LSN et de lier un abonné à l’entité cliente LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un pool LSN et liez-y des adresses IP NAT. Un pool LSN définit un pool d’adresses IP NAT à utiliser par l’appliance NetScaler pour effectuer le LSN. Des paramètres sont affectés au pool, tels que l’allocation des blocs de ports et le type de NAT (déterministe ou dynamique). Un pool LSN lié à un groupe LSN s’applique à tous les abonnés d’une entité cliente LSN liée au même groupe. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés entre eux. Plusieurs pools LSN peuvent être liés à un groupe LSN. Pour le NAT dynamique, un pool LSN peut être lié à plusieurs groupes LSN. Pour le NAT déterministe, les pools liés à un groupe LSN ne peuvent pas être liés à d’autres groupes LSN. L’interface de ligne de commande comporte deux commandes permettant de créer un pool LSN et de lier des adresses IP NAT au pool LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- (Facultatif) Créez un profil de transport LSN pour un protocole spécifié. Un profil de transport LSN définit différents délais et limites, tels que le nombre maximal de sessions LSN et l’utilisation maximale des ports, qu’un abonné peut avoir pour un protocole donné. Vous liez un profil de transport LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil de transport LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP est lié à un groupe LSN lors de sa création. Ce profil est appelé profil de transport par défaut. Un profil de transport LSN que vous liez à un groupe LSN remplace le profil de transport LSN par défaut pour ce protocole.
- (Facultatif) Créez un profil d’application LSN pour un protocole spécifié et liez un ensemble de ports de destination à celui-ci. Un profil d’application LSN définit les contrôles de mappage LSN et de filtrage LSN d’un groupe pour un protocole donné et pour un ensemble de ports de destination. Pour un ensemble de ports de destination, vous liez un profil LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil d’application LSN lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil d’application LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP pour tous les ports de destination est lié à un groupe LSN lors de sa création. Ce profil est appelé profil d’application par défaut. Lorsque vous liez un profil d’application LSN, avec un ensemble spécifié de ports de destination, à un groupe LSN, le profil lié remplace le profil d’application LSN par défaut pour ce protocole sur cet ensemble de ports de destination. L’interface de ligne de commande comporte deux commandes permettant de créer un profil d’application LSN et de lier un ensemble de ports de destination au profil d’application LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
- Créez un groupe LSN et liez des pools LSN, des profils de transport LSN (facultatifs) et des profils d’application LSN (facultatifs) au groupe LSN. Un groupe LSN est une entité composée d’un client LSN, d’un ou de plusieurs pools LSN, de profils de transport LSN et de profils d’application LSN. Des paramètres sont affectés à un groupe, tels que la taille du bloc de ports et la journalisation des sessions LSN. Les paramètres s’appliquent à tous les abonnés d’un client LSN lié au groupe LSN. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés entre eux. Plusieurs pools LSN peuvent être liés à un groupe LSN. Pour le NAT dynamique, un pool LSN peut être lié à plusieurs groupes LSN. Pour le NAT déterministe, les pools liés à un groupe LSN ne peuvent pas être liés à d’autres groupes LSN. Une seule entité cliente LSN peut être liée à un groupe LSN, et une entité cliente LSN liée à un groupe LSN ne peut pas être liée à d’autres groupes LSN. L’interface de ligne de commande comporte deux commandes permettant de créer un groupe LSN et de lier des pools LSN, des profils de transport LSN et des profils d’application LSN au groupe LSN. L’utilitaire de configuration combine ces deux opérations sur un seul écran.
Le tableau suivant répertorie le nombre maximum d’entités LSN et de liaisons différentes pouvant être créées sur une appliance NetScaler. Ces limites dépendent également de la mémoire disponible sur l’appliance NetScaler.
Entités et liaisons LSN | Limite |
---|---|
Clients du réseau LSN | 1024 |
Piscines LSN | 128 |
Groupes LSN | 1024 |
Réseaux d’abonnés pouvant être liés à un client LSN | 64 |
ACL étendues pouvant être liées à un client LSN | 1024 |
Adresses IP NAT dans un pool | 4096 |
Pools LSN pouvant être liés à un groupe LSN | 8 |
Groupes LSN pouvant utiliser le même pool LSN | 16 |
Profils de transport LSN pouvant être liés à un groupe LSN | 3 (un pour chacun des protocoles TCP, UDP et ICMP) |
Groupes LSN pouvant utiliser le même profil de transport LSN | 8 |
Profils d’applications LSN pouvant être liés à un groupe LSN | 64 |
Groupes LSN pouvant utiliser le même profil d’application LSN | 8 |
Plages de ports pouvant être liées à un profil d’application LSN | 8 |
Configuration à l’aide de l’interface de ligne de commande
Pour créer un client LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
add lsn client <clientname>
show lsn client
<!--NeedCopy-->
Pour lier une adresse réseau ou une règle ACL à un client LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
bind lsn client <clientname> ((-network <ip_addr> [-netmask <netmask>] [-td<positive_integer>]) | -aclname <string>)
show lsn client
<!--NeedCopy-->
Pour créer un pool LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
add lsn pool <poolname> [-nattype ( DYNAMIC | DETERMINISTIC )] [-portblockallocation ( ENABLED | DISABLED )] [-portrealloctimeout <secs>] [-maxPortReallocTmq <positive_integer>]
show lsn pool
<!--NeedCopy-->
Pour lier une plage d’adresses IP à un pool LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
bind lsn pool <poolname> <lsnip>
show lsn pool
<!--NeedCopy-->
Remarque : Pour supprimer les adresses IP LSN d’un pool LSN, utilisez la commande unbind lsn pool.
Pour créer un profil de transport LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
add lsn transportprofile <transportprofilename> <transportprotocol> [-sessiontimeout <secs>] [-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )]
show lsn transportprofile
<!--NeedCopy-->
Pour créer un profil d’application LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling (PAIRED | RANDOM )] [-mapping <mapping>] [-filtering <filtering>][-tcpproxy ( ENABLED | DISABLED )] [-td <positive_integer>]
show lsn appsprofile
<!--NeedCopy-->
Pour lier une plage de ports de protocole d’application à un profil d’application LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
<!--NeedCopy-->
Pour créer un groupe LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC |DETERMINISTIC )] [-portblocksize <positive_integer>] [-logging (ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync (ENABLED | DISABLED )] [-snmptraplimit <positive_integer>] [-ftp ( ENABLED | DISABLED )]
show lsn group
<!--NeedCopy-->
Pour lier des profils LSN et des pools LSN à un groupe LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
bind lsn group <groupname> (-poolname <string> | -transportprofilename <string> | -appsprofilename <string>)
show lsn group
<!--NeedCopy-->
Configuration à l’aide de l’utilitaire de configuration
Pour configurer un client LSN et lier une adresse réseau IPv4 ou une règle ACL à l’aide de l’utilitaire de configuration
Accédez à Système > NAT à grande échelle > Clients, ajoutez un client, puis liez une adresse réseau IPv4 ou une règle ACL au client.
Pour configurer un pool LSN et lier des adresses IP NAT à l’aide de l’utilitaire de configuration
Accédez à Système > NAT à grande échelle > Pools, puis ajoutez un pool, puis liez une adresse IP NAT ou une plage d’adresses IP NAT au pool.
Pour configurer un profil de transport LSN à l’aide de l’utilitaire de configuration
- Accédez à Système > NAT à grande échelle > Profils.
- Dans le volet de détails, cliquez sur l’onglet Transport, puis ajoutez un profil de transport.
Pour configurer un profil d’application LSN à l’aide de l’utilitaire de configuration
- Accédez à Système > NAT à grande échelle > Profils.
- Dans le volet de détails, cliquez sur l’onglet Application, puis ajoutez un profil d’application.
Pour configurer un groupe LSN et lier un client LSN, des pools, des profils de transport et des profils d’application à l’aide de l’utilitaire de configuration
Accédez à Système > NAT à grande échelle > Groupes, ajoutez un groupe, puis liez un client LSN, des pools, des profils de transport et des profils d’application au groupe.
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
ajouter un client lsn
-
clientname
Nom de l’entité cliente LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du client LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn client1 » ou « lsn client1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
client LSN de Bind
-
clientname
Nom de l’entité cliente LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du client LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn client1 » ou « lsn client1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
network
Adresse (s) IPv4 du ou des abonnés LSN ou du ou des réseaux d’abonnés sur le trafic desquels vous souhaitez que l’appliance NetScaler exécute un NAT à grande échelle.
-
masque de réseau
Masque de sous-réseau pour l’adresse IPv4 spécifiée dans le paramètre Réseau.
Valeur par défaut : 255.255.255.255
-
td
ID du domaine de trafic auquel appartient cet abonné ou le réseau d’abonnés (tel que spécifié par le paramètre réseau).
Si vous ne spécifiez pas d’ID, l’abonné ou le réseau d’abonnés fait partie du domaine de trafic par défaut.
Valeur par défaut : 0
Valeur minimale : 0
Valeur maximale : 4094
-
nom de l’acl
Nom (s) de tous les ACL étendus configurés dont l’action est AUTORISER. La condition spécifiée dans la règle ACL étendue identifie le trafic provenant d’un abonné LSN pour lequel l’appliance NetScaler doit effectuer un NAT à grande échelle. Longueur maximale : 127
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
ajouter un pool LSN
-
nom du pool
Nom du pool LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du pool LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn pool1 » ou « lsn pool1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
nattype
Type d’adresse IP NAT et d’allocation de port (à partir des pools LSN liés à un groupe LSN) pour les abonnés (de l’entité cliente LSN liée au groupe LSN) :
Les options disponibles fonctionnent comme suit :
-
Déterministe—Allouez une adresse IP NAT et un bloc de ports à chaque abonné (du client LSN lié au groupe LSN). L’appliance NetScaler alloue des ressources NAT de manière séquentielle à ces abonnés. L’appliance NetScaler attribue le premier bloc de ports (taille de bloc déterminée par le paramètre de taille de bloc de ports du groupe LSN) de l’adresse IP NAT de début à l’adresse IP de l’abonné de début. La plage de ports suivante est attribuée à l’abonné suivant, et ainsi de suite, jusqu’à ce que l’adresse NAT ne dispose pas de suffisamment de ports pour l’abonné suivant. Dans ce cas, le premier bloc de port sur l’adresse NAT suivante est utilisé pour l’abonné, et ainsi de suite. Comme chaque abonné reçoit désormais une adresse IP NAT déterministe et un bloc de ports, un abonné peut être identifié sans qu’il soit nécessaire de se connecter. Pour une connexion, un abonné peut être identifié uniquement sur la base de l’adresse IP et du port NAT, ainsi que de l’adresse IP et du port de destination.
-
Dynamique : allouez une adresse IP NAT aléatoire et un port à partir du pool NAT LSN pour la connexion d’un abonné. Si l’allocation de blocs de ports est activée (dans le pool LSN) et qu’une taille de bloc de ports est spécifiée (dans le groupe LSN), l’appliance NetScaler alloue une adresse IP NAT aléatoire et un bloc de ports à un abonné lorsqu’elle établit une connexion pour la première fois. L’appliance alloue cette adresse IP NAT et un port (à partir du bloc de ports alloué) pour différentes connexions de cet abonné. Si tous les ports sont alloués (pour différentes connexions d’abonnés) à partir du bloc de ports alloué aux abonnés, l’appliance alloue un nouveau bloc de ports aléatoire à l’abonné. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés entre eux. Plusieurs pools LSN peuvent être liés à un groupe LSN.
Valeurs possibles : DYNAMIQUE, DÉTERMINISTE
Valeur par défaut : DYNAMIC
-
-
allocation de blocs de ports
Allouez un bloc de ports NAT aléatoire, à partir du pool de ports NAT disponible d’une adresse IP NAT, à chaque abonné lorsque l’allocation NAT est définie comme NAT dynamique. Pour toute connexion initiée par un abonné, l’appliance NetScaler alloue un port NAT à partir du bloc de ports NAT alloué à l’abonné pour créer la session LSN.
Vous devez définir la taille du bloc de ports dans le groupe LSN lié. Pour un abonné, si tous les ports sont alloués à partir du bloc de ports alloué à l’abonné, l’appliance NetScaler alloue un nouveau bloc de ports aléatoire à l’abonné.
Pour le NAT déterministe, ce paramètre est activé par défaut et vous ne pouvez pas le désactiver.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
délai d’expiration du délai de réallocation du port
Le temps d’attente, en secondes, entre la désallocation des ports NAT LSN (lorsqu’un mappage LSN est supprimé) et leur réallocation pour une nouvelle session LSN. Ce paramètre est nécessaire pour éviter les collisions entre les anciens et les nouveaux mappages et sessions. Cela garantit que toutes les sessions établies sont interrompues au lieu d’être redirigées vers un autre abonné. Cela ne s’applique pas aux ports utilisés dans :
- NAT déterministe
- Filtrage dépendant de l’adresse et filtrage dépendant du port d’adresse
- NAT dynamique avec allocation de blocs de ports
Dans ces cas, les ports sont immédiatement réaffectés.
Valeur par défaut : 0
Valeur maximale : 600
-
MaxPort RealLocTMQ
Nombre maximum de ports pour lesquels le délai de réallocation de port s’applique pour chaque adresse IP NAT. En d’autres termes, la taille maximale de la file d’attente de ports désaffectés pour laquelle le délai de réallocation s’applique pour chaque adresse IP NAT.
Lorsque la taille de la file d’attente est pleine, le port suivant déalloué est immédiatement réalloué pour une nouvelle session LSN.
Valeur par défaut : 65536
Valeur maximale : 65536
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
piscine Bind LN
-
nom du pool
Nom du pool LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du pool LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn pool1 » ou « lsn pool1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
slnip
Adresse IPv4 ou plage d’adresses IPv4 à utiliser comme adresses IP NAT pour le LSN.
Une fois le pool créé, ces adresses IPv4 sont ajoutées à l’appliance NetScaler en tant qu’adresse IP de type LSN appartenant à NetScaler. Une adresse IP LSN associée à un pool LSN ne peut pas être partagée avec d’autres pools LSN. Les adresses IP spécifiées pour ce paramètre ne doivent pas déjà exister sur l’appliance NetScaler comme toutes les adresses IP appartenant à NetScaler. Dans l’interface de ligne de commande, séparez la plage par un trait d’union. Par exemple : 10.102.29.30-10.102.29.189. Vous pouvez ultérieurement supprimer certaines ou toutes les adresses IP LSN du pool et ajouter des adresses IP au pool LSN.
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
ajouter un profil de transport lsn
-
nom du profil de transport
Nom du profil de transport LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du profil de transport LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn transport profile1 » ou « lsn transport profile1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
protocole de transport
Protocole pour lequel définir les paramètres du profil de transport LSN.
Il s’agit d’un argument obligatoire.
Valeurs possibles : TCP, UDP, ICMP
-
délai d’expiration de la session
Délai d’expiration, en secondes, pour une session LSN inactive. Si une session LSN est inactive pendant une durée supérieure à cette valeur, l’appliance NetScaler supprime la session.
Ce délai ne s’applique pas à une session TCP LSN lorsqu’un message FIN ou RST est reçu de l’un des points de terminaison.
Valeur par défaut : 120
Valeur minimale : 60
-
finrsttimeout
Délai d’expiration, en secondes, d’une session TCP LSN après la réception d’un message FIN ou RST de l’un des points de terminaison.
Si une session TCP LSN est inactive (après que l’appliance NetScaler a reçu un message FIN ou RST) pendant une durée supérieure à cette valeur, l’appliance NetScaler supprime la session.
Étant donné que la fonctionnalité LSN de l’appliance NetScaler ne conserve pas les informations d’état des sessions TCP LSN, ce délai permet la transmission des messages FIN, RST et ACK depuis l’autre point de terminaison afin que les deux points de terminaison puissent fermer correctement la connexion.
Valeur par défaut : 30
-
quota de port
Nombre maximum de ports NAT LSN pouvant être utilisés simultanément par chaque abonné pour le protocole spécifié. Par exemple, chaque abonné peut être limité à un maximum de 500 ports NAT TCP. Lorsque les mappages NAT LSN d’un abonné atteignent la limite, l’appliance NetScaler n’alloue pas de ports NAT supplémentaires à cet abonné.
Valeur par défaut : 0
Valeur minimale : 0
Valeur maximale : 65535
-
quota de session
Nombre maximum de sessions LSN simultanées autorisées pour chaque abonné pour le protocole spécifié. Lorsque le nombre de sessions LSN atteint la limite pour un abonné, l’appliance NetScaler n’autorise pas l’abonné à ouvrir des sessions supplémentaires.
Valeur par défaut : 0
Valeur minimale : 0
Valeur maximale : 65535
-
parité entre les ports
Activez la parité de port entre le port d’un abonné et son port NAT LSN mappé. Par exemple, si un abonné initie une connexion à partir d’un port numéroté impair, l’appliance NetScaler alloue un port NAT LSN de numéro impair à cette connexion. Vous devez définir ce paramètre pour garantir le bon fonctionnement des protocoles qui exigent que le port source soit pair ou impair, par exemple dans les applications peer-to-peer qui utilisent le protocole RTP ou RTCP.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
gamme Port Preserve
Si un abonné établit une connexion à partir d’un port connu (0-1023), attribuez un port NAT de la plage de ports connue (0-1023) à cette connexion. Par exemple, si un abonné initie une connexion à partir du port 80, l’appliance NetScaler peut allouer le port 100 comme port NAT pour cette connexion.
Ce paramètre s’applique au NAT dynamique sans allocation de blocs de ports. Cela s’applique également au NAT déterministe si la plage de ports alloués inclut des ports connus.
Lorsque tous les ports connus de toutes les adresses IP NAT disponibles sont utilisés dans différentes connexions d’abonnés (sessions LSN) et qu’un abonné initie une connexion à partir d’un port connu, l’appliance NetScaler abandonne cette connexion.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
syncheck
Supprimez silencieusement tous les paquets non SYN pour les connexions pour lesquelles aucune session LSN-NAT n’est présente sur l’appliance NetScaler.
Si vous désactivez ce paramètre, l’appliance NetScaler accepte tous les paquets non SYN et crée une nouvelle entrée de session LSN pour cette connexion.
Voici quelques raisons pour lesquelles l’appliance NetScaler reçoit de tels paquets :
- Une session LSN pour une connexion existait mais l’appliance NetScaler a supprimé cette session car la session LSN est restée inactive pendant une durée dépassant le délai d’expiration de session configuré.
- Ces paquets peuvent faire partie d’une attaque DoS.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : ENABLED
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
ajouter un profil lsn appsprofile
-
nom du profil des applications
Nom du profil d’application LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du profil d’application LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn application profile 1 » ou « lsn application profile 1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
protocole de transport
Nom du protocole auquel s’appliquent les paramètres de ce profil d’application LSN.
Il s’agit d’un argument obligatoire.
Valeurs possibles : TCP, UDP, ICMP
-
transfert de propriété intellectuelle
Options d’allocation d’adresses IP NAT pour les sessions associées au même abonné.
Les options disponibles fonctionnent comme suit :
- Couplé : l’appliance NetScaler alloue la même adresse IP NAT pour toutes les sessions associées au même abonné. Lorsque tous les ports d’une adresse IP NAT sont utilisés dans des sessions LSN (pour le même ou plusieurs abonnés), l’appliance NetScaler supprime toute nouvelle connexion de l’abonné.
- Aléatoire : l’appliance NetScaler alloue des adresses IP NAT aléatoires, à partir du pool, pour différentes sessions associées au même abonné.
Ce paramètre s’applique uniquement à l’allocation NAT dynamique.
Valeurs possibles : PAIRED, RANDOM
Valeur par défaut : RANDOM
-
cartographie
Type de mappage LSN à appliquer aux paquets suivants provenant de la même adresse IP et du même port d’abonné.
Prenons un exemple de mappage LSN qui inclut le mappage de l’abonné IP:port (x:X), de l’IP:port du NAT (N:n) et de l’adresse IP:port de l’hôte externe (Y:y).
Les options disponibles fonctionnent comme suit :
- ENDPOINT-INDEPENDENT—Réutilisez le mappage LSN pour les paquets suivants envoyés depuis la même adresse IP et le même port d’abonné (x:X) vers n’importe quelle adresse IP et port externes.
- DÉPENDANT DE L’ADRESSE —Réutilisezle mappage LSN pour les paquets suivants envoyés depuis la même adresse IP d’abonné et le même port (x:X) vers la même adresse IP externe (Y), quel que soit le port externe.
- ADDRESS-PORT-DEPENDANT—Réutilisez le mappage LSN pour les paquets suivants envoyés depuis la même adresse IP interne et le même port (x:X) vers la même adresse IP externe et le même port (Y:y) alors que le mappage est toujours actif.
Valeurs possibles : ENDPOINT-INDEPENDENT, ADDRESS-DEPENDENT, ADDRESS-PORT-DEPENDANT
Valeur par défaut : ADDRESS-PORT-DEPENDENT
-
filtrage
Type de filtre à appliquer aux paquets provenant d’hôtes externes.
Prenons un exemple de mappage LSN qui inclut le mappage IP:port (x:X) de l’abonné, IP:port NAT (N:n) et IP:port de l’hôte externe (Y:y).
Les options disponibles fonctionnent comme suit :
- ENDPOINT INDEPENDENT—Filtre uniquement les paquets qui ne sont pas destinés à l’adresse IP de l’abonné et au port x:x, quelles que soient l’adresse IP de l’hôte externe et la source du port (Z:z). L’appliance NetScaler transmet tous les paquets destinés à x:X. En d’autres termes, l’envoi de paquets depuis l’abonné vers n’importe quelle adresse IP externe est suffisant pour autoriser les paquets provenant de n’importe quel hôte externe à l’abonné.
- DÉPENDANT DE L’ADRESSE—Filtre les paquets qui ne sont pas destinés à l’adresse IP de l’abonné et au port x:X. En outre, l’appliance filtre les paquets provenant de Y:y destinés à l’abonné (x:X) si le client n’a jamais envoyé de paquets à Y:AnyPort (indépendant du port externe). En d’autres termes, pour recevoir des paquets d’un hôte externe spécifique, l’abonné doit d’abord envoyer des paquets à l’adresse IP de cet hôte externe spécifique.
- ADDRESS PORT DEPENDANT (valeur par défaut) : filtre les paquets non destinés à l’adresse IP et au port de l’abonné (x:X). En outre, l’appliance NetScaler filtre les paquets de Y:y destinés à l’abonné (x:X) si l’abonné n’a jamais envoyé de paquets à Y:y auparavant. En d’autres termes, pour recevoir des paquets d’un hôte externe spécifique, l’abonné doit d’abord envoyer les paquets à cette adresse IP et à ce port externes.
Valeurs possibles : ENDPOINT-INDEPENDENT, ADDRESS-DEPENDENT, ADDRESS-PORT-DEPENDANT
Valeur par défaut : ADDRESS-PORT-DEPENDENT
-
proxy tcp
Activez le proxy TCP, qui permet à l’appliance NetScaler d’optimiser le trafic TCP à l’aide des fonctionnalités de couche 4.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
td
ID du domaine de trafic via lequel l’appliance NetScaler envoie le trafic sortant après avoir effectué le LSN.
Si vous ne spécifiez pas d’ID, l’appliance envoie le trafic sortant via le domaine de trafic par défaut, dont l’ID est 0.
Valeur par défaut : 65535
Valeur maximale : 65535
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
profil de bind lsn appsprofile
-
nom du profil des applications
Nom du profil d’application LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du profil d’application LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn application profile 1 » ou « lsn application profile 1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
lsnport
Numéros de port ou plage de numéros de port à comparer avec le port de destination du paquet entrant provenant d’un abonné. Lorsque le port de destination correspond, le profil d’application LSN est appliqué pour la session LSN. Séparez une plage de ports par un trait d’union. Par exemple, 40-90.
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
ajouter un groupe lsn
-
nom du groupe
Nom du groupe LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du groupe LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn group1 » ou « lsn group1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
clientname
Nom de l’entité cliente LSN à associer au groupe LSN. Vous ne pouvez associer qu’une seule entité cliente LSN à un groupe LSN. Vous ne pouvez pas supprimer cette association ni la remplacer par une autre entité cliente LSN une fois le groupe LSN créé.
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
nattype
Type d’adresse IP NAT et d’allocation de port (à partir des pools LSN liés) pour les abonnés :
Les options disponibles fonctionnent comme suit :
- Déterministe—Allouez une adresse IP NAT et un bloc de ports à chaque abonné (du client LSN lié au groupe LSN). L’appliance NetScaler alloue des ressources NAT de manière séquentielle à ces abonnés. L’appliance NetScaler attribue le premier bloc de ports (taille de bloc déterminée par le paramètre de taille de bloc de ports du groupe LSN) de l’adresse IP NAT de début à l’adresse IP de l’abonné de début. La plage de ports suivante est attribuée à l’abonné suivant, et ainsi de suite, jusqu’à ce que l’adresse NAT ne dispose pas de suffisamment de ports pour l’abonné suivant. Dans ce cas, le premier bloc de port sur l’adresse NAT suivante est utilisé pour l’abonné, et ainsi de suite. Comme chaque abonné reçoit désormais une adresse IP NAT déterministe et un bloc de ports, un abonné peut être identifié sans qu’il soit nécessaire de se connecter. Pour une connexion, un abonné peut être identifié uniquement sur la base de l’adresse IP et du port NAT, ainsi que de l’adresse IP et du port de destination.
- Dynamique : allouez une adresse IP NAT aléatoire et un port du pool NAT LSN pour la connexion d’un abonné. Si l’allocation de blocs de ports est activée (dans le pool LSN) et qu’une taille de bloc de ports est spécifiée (dans le groupe LSN), l’appliance NetScaler alloue une adresse IP NAT aléatoire et un bloc de ports à un abonné lorsqu’elle établit une connexion pour la première fois. L’appliance alloue cette adresse IP NAT et un port (à partir du bloc de ports alloué) pour différentes connexions de cet abonné. Si tous les ports sont alloués (pour différentes connexions d’abonnés) à partir du bloc de ports alloué aux abonnés, l’appliance alloue un nouveau bloc de ports aléatoire à l’abonné.
Valeurs possibles : DYNAMIQUE, DÉTERMINISTE
Valeur par défaut : DYNAMIC
-
taille du bloc de ports
Taille du bloc de ports NAT à allouer à chaque abonné.
Pour définir ce paramètre pour le NAT dynamique, vous devez activer le paramètre d’allocation de blocs de ports dans le pool LSN lié. Pour le NAT déterministe, le paramètre d’allocation de blocs de ports est toujours activé et vous ne pouvez pas le désactiver.
Dans Dynamic NAT, l’appliance NetScaler alloue un bloc de ports NAT aléatoire, à partir du pool de ports NAT disponible d’une adresse IP NAT, pour chaque abonné. Pour un abonné, si tous les ports sont alloués à partir du bloc de ports attribué à l’abonné, l’appliance alloue un nouveau bloc de ports aléatoire à l’abonné.
-
enregistrement
Enregistrez les entrées de mappage et les sessions créées ou supprimées pour ce groupe LSN. L’appliance NetScaler enregistre les sessions LSN pour ce groupe LSN uniquement lorsque les paramètres de journalisation et de journalisation de session sont activés.
L’appliance utilise son syslog et son framework de journaux d’audit existants pour enregistrer les informations LSN. Vous devez activer la journalisation LSN au niveau global en activant le paramètre LSN dans les entités d’action NSLOG et SYLOG associées. Lorsque le paramètre Logging est activé, l’appliance NetScaler génère des messages de journal relatifs aux mappages LSN et aux sessions LSN de ce groupe LSN. L’appliance envoie ensuite ces messages de journal aux serveurs associés aux entités d’action NSLOG et d’actions SYSLOG.
Un message de journal pour une entrée de mappage LSN contient les informations suivantes :
- Adresse NSIP de l’appliance NetScaler
- Horodatage
- Type d’entrée (MAPPING ou SESSION)
- Si l’entrée de mappage LSN est créée ou supprimée
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- L’adresse IP de destination, le port et l’ID du domaine de trafic peuvent être présents, selon les conditions suivantes :
- L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison
- Seule l’adresse IP de destination (et non le port) est enregistrée pour le mappage dépendant de l’adresse
- L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
Enregistrement des sessions
Consigner les sessions créées ou supprimées pour le groupe LSN. L’appliance NetScaler enregistre les sessions LSN pour ce groupe LSN uniquement lorsque les paramètres de journalisation et de journalisation de session sont activés.
Un message de journal pour une session LSN contient les informations suivantes :
- Adresse NSIP de l’appliance NetScaler
- Horodatage
- Type d’entrée (MAPPING ou SESSION)
- Si la session LSN est créée ou supprimée
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- Adresse IP de destination, port et ID de domaine de trafic
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
-
Synchronisation de session
Dans un déploiement à haute disponibilité (HA), synchronisez les informations de toutes les sessions LSN liées à ce groupe LSN avec le nœud secondaire. Après un basculement, les connexions TCP établies et les flux de paquets UDP restent actifs et reprennent sur le nœud secondaire (nouveau nœud principal).
Pour que ce paramètre fonctionne, vous devez activer le paramètre de synchronisation de session globale.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : ENABLED
-
limite snmptrap
Nombre maximum de messages SNMP Trap pouvant être générés pour le groupe LSN en une minute.
Valeur par défaut : 100
Valeur minimale : 0
Valeur maximale : 10000
-
ftp
Activez Application Layer Gateway (ALG) pour le protocole FTP. Pour certains protocoles de couche application, les adresses IP et les numéros de port du protocole sont généralement communiqués dans la charge utile des paquets. Lorsqu’elle agit en tant qu’ALG, l’appliance modifie la charge utile des paquets pour garantir que le protocole continue de fonctionner sur LSN.
Remarque : L’appliance NetScaler inclut également ALG pour les protocoles ICMP et TFTP. L’ALG pour le protocole ICMP est activé par défaut et aucune disposition ne permet de le désactiver. L’ALG pour le protocole TFTP est désactivé par défaut. ALG est automatiquement activé pour un groupe LSN lorsque vous liez un profil d’application UDP LSN, avec un mappage indépendant du point de terminaison, un filtrage indépendant du point de terminaison et un port de destination 69 (port connu pour TFTP), au groupe LSN.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : ENABLED
-
Description des paramètres (des commandes répertoriées dans la procédure CLI)
-
groupe Bind LSN
-
nom du groupe
Nom du groupe LSN. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du groupe LSN. L’exigence suivante s’applique uniquement à la CLI : si le nom inclut un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « lsn group1 » ou « lsn group1 »).
Il s’agit d’un argument obligatoire. Longueur maximale : 127
-
nom du pool
Nom du pool LSN à lier au groupe LSN spécifié. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés entre eux. Plusieurs pools LSN peuvent être liés à un groupe LSN.
Pour le NAT déterministe, les pools liés à un groupe LSN ne peuvent pas être liés à d’autres groupes LSN. Pour le NAT dynamique, les pools liés à un groupe LSN peuvent être liés à plusieurs groupes LSN. Longueur maximale : 127
-
nom du profil de transport
Nom du profil de transport LSN à lier au groupe LSN spécifié. Liez un profil pour chaque protocole pour lequel vous souhaitez spécifier des paramètres.
Par défaut, un profil de transport LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP est lié à un groupe LSN lors de sa création. Ce profil est appelé transport par défaut.
Un profil de transport LSN que vous liez à un groupe LSN remplace le profil de transport LSN par défaut pour ce protocole. Longueur maximale : 127
-
nom du profil des applications
Nom du profil d’application LSN à lier au groupe LSN spécifié. Pour chaque ensemble de ports de destination, liez un profil pour chaque protocole pour lequel vous souhaitez spécifier des paramètres.
Par défaut, un profil d’application LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP pour tous les ports de destination est lié à un groupe LSN lors de sa création. Ce profil est appelé profil d’application par défaut.
Lorsque vous liez un profil d’application LSN, avec un ensemble spécifié de ports de destination, à un groupe LSN, le profil lié remplace le profil d’application LSN par défaut pour ce protocole sur cet ensemble de ports de destination. Longueur maximale : 127
-
Dans cet article
- Configuration à l’aide de l’interface de ligne de commande
- Configuration à l’aide de l’utilitaire de configuration
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)
- Description des paramètres (des commandes répertoriées dans la procédure CLI)