DS-Liteの構成
NetScalerアプライアンスのDS-Lite構成では、LSNコマンドセットを使用します。DS-Lite 構成では、LSN クライアントエンティティは、B4 デバイスからのトラフィックを識別するための IPv6 アドレス、IPv6 ネットワークアドレス、または ACL6 ルールを指定します。NetScaler LSN機能の詳細については、「 大規模NAT」を参照してください。DS-Lite構成には、Citrix ADCアプライアンス上のDS-Lite AFTRコンポーネントのIPv6アドレス(SNIP6タイプ)を指定するIPv6プロファイルも含まれています。
NetScalerアプライアンスでのDS-Liteの構成は、次のタスクで構成されます。
-
グローバル LSN パラメータを設定します。グローバルパラメータには、LSN機能用に確保されているNetScalerメモリの量と、高可用性セットアップでのLSNセッションの同期が含まれます。
- B4 CPE デバイスからのトラフィックを識別するための LSN クライアントエンティティを作成します。LSN クライアントエンティティは DS-Lite B4 デバイスのセットを指します。クライアントエンティティには、これらの B4 デバイスからのトラフィックを識別するための IPv6 アドレス、IPv6 ネットワークアドレス、または ACL6 ルールが含まれます。LSN クライアントは 1 つの LSN グループにしかバインドできません。コマンドラインインターフェイスには、LSN クライアントエンティティを作成し、サブスクライバーを LSN クライアントエンティティにバインドする 2 つのコマンドがあります。設定ユーティリティは、これら 2 つの操作を 1 つの画面にまとめます。
- LSN プールを作成し、NAT IP アドレスをそれにバインドします。LSNプールは、NetScalerアプライアンスがLSNを実行するために使用するNAT IPアドレスのプールを定義します。 コマンドラインインターフェイスには、LSN プールを作成し、NAT IP アドレスを LSN プールにバインドする 2 つのコマンドがあります。設定ユーティリティは、これら 2 つの操作を 1 つの画面にまとめます。
- LSN IP6 プロファイルを作成します。LSN IP6プロファイルは、NetScalerアプライアンス上のDS-Lite AFTRコンポーネントのIPv6アドレスを定義します。IPv6アドレスは、NetScalerが所有するSNIP6タイプのIPv6アドレスのいずれかである必要があります。
- (オプション)指定したプロトコルの LSN トランスポートプロファイルを作成します。LSN トランスポートプロファイルは、加入者が特定のプロトコルで使用できる LSN セッションの最大数や最大ポート使用量など、さまざまなタイムアウトと制限を定義します。各プロトコル (TCP、UDP、ICMP) の LSN トランスポートプロファイルを LSN グループにバインドします。プロファイルは複数の LSN グループにバインドできます。LSN グループにバインドされたプロファイルは、同じグループにバインドされた LSN クライアントのすべてのサブスクライバに適用されます。デフォルトでは、TCP、UDP、および ICMP プロトコルのデフォルト設定の 1 つの LSN トランスポートプロファイルは、作成時に LSN グループにバインドされます。このプロファイルは、デフォルトトランスポートプロファイルと呼ばれます。LSN グループにバインドした LSN トランスポートプロファイルは、そのプロトコルのデフォルトの LSN トランスポートプロファイルよりも優先されます。
- (オプション)指定したプロトコルの LSN アプリケーションプロファイルを作成し、それに宛先ポートのセットをバインドします。LSN アプリケーションプロファイルは、特定のプロトコルと宛先ポートセットに対するグループの LSN マッピングと LSN フィルタリング制御を定義します。宛先ポートセットの場合、各プロトコル(TCP、UDP、ICMP)の LSN プロファイルを LSN グループにバインドします。プロファイルは複数の LSN グループにバインドできます。LSN グループにバインドされた LSN アプリケーションプロファイルは、同じグループにバインドされた LSN クライアントのすべてのサブスクライバに適用されます。デフォルトでは、すべての宛先ポートの TCP、UDP、および ICMP プロトコルのデフォルト設定を持つ 1 つの LSN アプリケーションプロファイルは、作成時に LSN グループにバインドされます。このプロファイルは、デフォルトアプリケーションプロファイルと呼ばれます。指定された宛先ポートセットの LSN アプリケーションプロファイルを LSN グループにバインドすると、バインドされたプロファイルは、その宛先ポートセットでそのプロトコルのデフォルトの LSN アプリケーションプロファイルをオーバーライドします。コマンドラインインターフェイスには、LSN アプリケーションプロファイルを作成し、宛先ポートのセットを LSN アプリケーションプロファイルにバインドするための 2 つのコマンドがあります。設定ユーティリティは、これら 2 つの操作を 1 つの画面にまとめます。
- LSN グループを作成し、LSN プール、LSN IPv6 プロファイル、(オプション) LSN トランスポートプロファイル、(オプション) LSN アプリケーションプロファイルを LSN グループにバインドします。LSN グループは、LSN クライアント、LSN IPv6 プロファイル、LSN プール、LSN トランスポートプロファイル、および LSN アプリケーションプロファイルで構成されるエンティティです。グループには、ポートブロックサイズや LSN セッションのロギングなどのパラメータが割り当てられます。パラメータ設定は、LSN グループにバインドされた LSN クライアントのすべてのサブスクライバに適用されます。LSN グループにバインドできる LSN IPv6 プロファイルは 1 つだけで、LSN グループにバインドされた LSN IPv6 プロファイルは他の LSN グループにバインドできません。バインドできるのは、同じ NAT タイプ設定の LSN プールと LSN グループだけです。複数の LSN プールを 1 つの LSN グループにバインドできます。LSN グループにバインドできる LSN クライアントエンティティは 1 つだけで、LSN グループにバインドされた LSN クライアントエンティティは他の LSN グループにバインドできません。コマンドラインインターフェイスには、LSN グループを作成し、LSN プール、LSN トランスポートプロファイル、および LSN アプリケーションプロファイルを LSN グループにバインドするための 2 つのコマンドがあります。設定ユーティリティは、これら 2 つの操作を 1 つの画面にまとめます。
コマンドラインを使った設定
コマンドラインインターフェイスを使用して LSN クライアントを作成するには:
コマンドプロンプトで入力します。
add lsn client <clientname>
show lsn client
<!--NeedCopy-->
コマンドラインインターフェイスを使用して IPv6 ネットワークまたは ACL6 ルールを LSN クライアントにバインドするには:
コマンドプロンプトで入力します。
bind lsn client <clientname> (-network6 <ipv6_addr|*>| -acl6name <string>)
show lsn client
<!--NeedCopy-->
コマンドラインインターフェイスを使用して LSN プールを作成するには:
コマンドプロンプトで入力します。
add lsn pool <poolname> [-nattype ( DYNAMIC )] [-portblockallocation ( ENABLED | DISABLED )] [-portrealloctimeout <secs>] [-maxPortReallocTmq <positive_integer>]
show lsn pool
<!--NeedCopy-->
コマンドラインインターフェイスを使用して IP アドレス範囲を LSN プールにバインドするには:
コマンドプロンプトで入力します。
bind lsn pool <poolname> <lsnip>
show lsn pool
<!--NeedCopy-->
注: LSN プールから LSN IP アドレスを削除するには、unbind lsn pool コマンドを使用してください。
コマンドラインインターフェイスを使用して LSN IPv6 プロファイルを設定するには:
コマンドプロンプトで入力します。
add lsn ip6profile <name> –type DS-Lite –network6 < ipv6_addr|*s >
show lsn ip6profile
<!--NeedCopy-->
コマンドラインインターフェイスを使用して LSN トランスポートプロファイルを作成するには:
コマンドプロンプトで入力します。
add lsn transportprofile <transportprofilename> <transportprotocol> [-sessiontimeout <secs>] [-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )]
show lsn transportprofile
<!--NeedCopy-->
コマンドラインインターフェイスを使用して LSN アプリケーションプロファイルを作成するには:
コマンドプロンプトで入力します。
add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling (PAIRED | RANDOM )] [-mapping <mapping>] [-filtering <filtering>][-tcpproxy ( ENABLED | DISABLED )] [-td <positive_integer>]
show lsn appsprofile
<!--NeedCopy-->
コマンドラインインターフェイスを使用してアプリケーションプロトコルのポート範囲を LSN アプリケーションプロファイルにバインドするには:
コマンドプロンプトで入力します。
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
<!--NeedCopy-->
コマンドラインインターフェイスを使用して LSN グループを作成するには:
コマンドプロンプトで入力します。
add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC )] [-portblocksize <positive_integer>] [-logging (ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync ( ENABLED | DISABLED )] [-snmptraplimit<positive_integer>] [-ftp ( ENABLED | DISABLED )] [-pptp ( ENABLED |DISABLED )] [-sipalg ( ENABLED | DISABLED )] [-rtspalg ( ENABLED |DISABLED )] [-ip6profile <string>]
show lsn group
<!--NeedCopy-->
コマンドラインインターフェイスを使用して LSN プロトコルプロファイルと LSN プールを LSN グループにバインドするには:
コマンドプロンプトで入力します。
bind lsn group <groupname> (-poolname <string> | -transportprofilename <string> | -httphdrlogprofilename <string> | -appsprofilename <string> | -sipalgprofilename <string> | rtspalgprofilename <string>)
show lsn group
<!--NeedCopy-->
構成ユーティリティによる構成
設定ユーティリティを使用して LSN クライアントを設定し、IPv6 ネットワークアドレスまたは ACL6 ルールをバインドするには:
[ システム ] > [ 大規模NAT ] > [ クライアント] に移動し、クライアントを追加してから、IPv6 ネットワークアドレスまたは ACL6 ルールをクライアントにバインドします。
設定ユーティリティを使用して LSN プールを設定し、NAT IP アドレスをバインドするには:
[ システム ] > [ 大規模NAT ] > [ プール] に移動し、プールを追加し、NAT IP アドレスまたは NAT IP アドレスの範囲をプールにバインドします。
構成ユーティリティを使用してLSN IPv6プロファイルを構成するには:
[ システム ] > [ 大規模NAT ] > [ プロファイル] に移動し、[ IPv6 ] タブをクリックして、DS-Lite AFTRにIPv6アドレスを割り当てます。
設定ユーティリティを使用して LSN トランスポートプロファイルを設定するには:
- [ システム ] > [ 大規模NAT ] > [ プロファイル] に移動します。
- 詳細ウィンドウで [ トランスポート] をクリックし、トランスポートプロファイルを追加します。
設定ユーティリティを使用して LSN アプリケーションプロファイルを設定するには:
- [ システム ] > [ 大規模NAT ] > [ プロファイル] に移動します。
- 詳細ペインで [ アプリケーション] をクリックし、アプリケーションプロファイルを追加します。
設定ユーティリティを使用して LSN グループを設定し、LSN クライアント、LSN IPv6 プロファイル、プール、トランスポートプロファイル、およびアプリケーションプロファイルをバインドするには:
[システム] > [大規模NAT] > [グループ] に移動し、グループを追加してから、LSN クライアント、LSN IPv6 プロファイル、プール、トランスポートプロファイル、およびアプリケーションプロファイルをグループにバインドします。
> add lsn client LSN-DSLITE-CLIENT-1
Done
> bind lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100
Done
> add lsn pool LSN-DSLITE-POOL-1
Done
> bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70
Done
> add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6
Done
> add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1
Done
> add lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1
Done
DS-Liteのログ記録と監視
DS-Lite の情報を記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。Citrix ADCアプライアンスは、DS-Lite情報をログに記録するためのLSNロギング機能をすべてサポートしています。DS-Lite ロギングを構成するには、「LSN のロギングとモニタリング」で説明した LSN ロギングを設定する手順を使用します。
DS-Lite LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (マッピング)
- DS-Lite LSN マッピングエントリが作成されたか削除されたか
- B4 の IPv6 アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が表示される場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートは記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピング用にログに記録されます。
DS-Lite セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (セッション)
- DS-Lite セッションが作成されるか削除されるか
- B4 の IPv6 アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表は、設定されたログサーバに保存されている各タイプのサンプル DS-Lite ログエントリを示しています。これらのログエントリは、NSIPアドレスが10.102.37.115のNetScalerアプライアンスによって生成されます。DS-Lite情報をログに記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。Citrix ADCアプライアンスは、DS-Lite情報をログに記録するためのLSNロギング機能をすべてサポートしています。DS-Lite ロギングを構成するには、「LSN のロギングとモニタリング」で説明した LSN ロギングを設定する手順を使用します。
DS-Lite LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (マッピング)
- DS-Lite LSN マッピングエントリが作成されたか削除されたか
- B4 の IPv6 アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が表示される場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートは記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピング用にログに記録されます。
DS-Lite セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (セッション)
- DS-Lite セッションが作成されるか削除されるか
- B4 の IPv6 アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表は、設定されたログサーバに保存されている各タイプのサンプル DS-Lite ログエントリを示しています。これらのログエントリは、NSIPアドレスが10.102.37.115のNetScalerアプライアンスによって生成されます。
| LSN ログエントリタイプ | サンプルログエントリ |
| DS-Lite セッション作成 | Local4.Informational 10.102.37.115 08/14/ 2015:13:35:38 GMT 0-PPE-1: デフォルト LSN LSN_SESSION 37647607 0: セッション作成 2001: DB8:3:4 クライアント IP: Port: TD 192.0.2. 51:2552:0、NAT Port 203.0.113. 61:3002、宛先 IP: Portd: TD 1984 .51.100. 250:80:0、プロトコル:TCP |
| DS-Lite セッション削除 | Local4.Informational 10.102.37.115 08/14/ 2015:13:38:22 GMT 0-PPE-1: デフォルト LSN LSN_SESSION 37647617 0: セッション削除 2001: DB8:: 3:4 クライアント IP: ポート:TD 192.0.2. 51:2552:0、NAT ポート 203.0.113. 61:3002、宛先 IP: ポート:TD 198.2 51.100. 250:80:0、プロトコル:TCP |
| DS-Lite LSN マッピングの作成 | Local4.Informational 10.102.37.115 08/14/ 2015:13:35:39 GMT 0-PPE-1: デフォルト LSN LSN_EIM_MAPPING 37647610 0: EIM 作成 2001: DB8:3:4 クライアント IP: Port: TD 192.0.2. 51:2552:0, naTIP: NATPort 198.51.100. 250:80, プロトコル:TCP |
| DS-Lite LSN マッピングの削除 | Local4.Informational 10.102.37.115 08/14/ 2015:13:38:25 GMT 0-PPE-1: デフォルト LSN LSN_EIM_MAPPING 37647618 0: EIM 削除 2001: DB8:3:4 クライアント IP: Port: TD 192.0.2. 51:2552:0, naTIP: NATPort 198.51.100. 250:80, プロトコル:TCP |
現在の DS-Lite セッションの表示
現在のDS-Liteセッションを表示して、NetScalerアプライアンス上の不要なセッションや非効率的なセッションを検出できます。選択パラメータに基づいて、すべてまたは一部の DS-Lite セッションを表示できます。
コマンドラインインターフェイスを使用した設定
コマンドラインインターフェイスを使用してすべての DS-Lite セッションを表示するには:
コマンドプロンプトで入力します。
show lsn session –nattype DS-Lite
<!--NeedCopy-->
コマンドラインインターフェイスを使用して選択した DS-Lite セッションを表示するには:
コマンドプロンプトで入力します。
show lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
例:
次のサンプル出力は、NetScalerアプライアンスに存在するすべてのDS-Liteセッションを示しています。
show lsn session –nattype DS-Lite
B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir
1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT
2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT
3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT
4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT
Done
<!--NeedCopy-->
設定ユーティリティを使った設定
構成ユーティリティを使用してすべての DS-Lite セッションまたは選択した DS-Lite セッションを表示するには
- [システム] > [ **大規模NAT ] > [ セッション ] に移動し、[ **DS-Lite ] タブをクリックします。
- 選択パラメータに基づいて DS-Lite セッションを表示するには、「検索」をクリックします。
DS-Lite セッションのクリア
不要または非効率的なDS-LiteセッションをNetScalerアプライアンスから削除できます。アプライアンスは、これらのセッションに割り当てられたリソース(NAT IPアドレス、ポート、メモリなど)をすぐに解放し、リソースを新しいセッションで使用できるようにします。アプライアンスは、削除されたセッションに関連する後続のパケットもすべてドロップします。NetScalerアプライアンスからすべてまたは選択したDS-Liteセッションを削除できます。
コマンドラインインターフェイスを使用してすべての DS-Lite セッションをクリアするには:
コマンドプロンプトで入力します。
flush lsn session –nattype DS-Lite
show lsn session –nattype DS-Lite
コマンドラインインターフェイスを使用して選択した DS-Lite セッションをクリアするには:
コマンドプロンプトで入力します。
flush lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype DS-Lite
<!--NeedCopy-->
設定ユーティリティを使用してすべての DS-Lite セッションまたは選択した DS-Lite セッションをクリアするには:
- [ システム ] > [ 大規模NAT ] > [ セッション] に移動し、[ DS-Lite ] タブをクリックします。
- 「 フラッシュセッション」をクリックします。