为 DS-Lite 配置确定性 NAT 分配
DS-Lite 部署的确定性 NAT 分配是一种 NAT 资源分配类型,其中 Citrix ADC 设备从 LSN NAT IP 池并根据指定的端口块大小、LSN NAT IP 地址和端口块预先分配给每个订阅者(B4 设备后面的订阅者)。
注意: 11.0 版本版本 64.x 及更高版本支持此功能。
设备按顺序将 NAT 资源分配给这些订阅服务器。它将开始 NAT IP 地址上的第一个端口块分配给初始订阅者 IP 地址。下一个端口范围分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。此时,下一个 NAT 地址上的第一个端口块分配给订阅者,依此类促。
Citrix ADC 设备记录分配的 NAT IP 地址和订阅者的端口块。对于连接,只能通过其映射的 NAT IP 地址和端口块来识别订阅者。因此,Citrix ADC 设备不记录 LSN 会话的创建或删除。
DS-Lite 订阅者只能有一个确定性的端口块。如果正在使用整个端口块,Citrix ADC 设备会删除来自订阅者的任何新连接。
示例:确定性 DS-Lite
在此示例中,一个确定性的 DS-Lite 配置包括四个订阅者,其 IP 地址为 192.0.17.5、192.0.17.6、192.0.17.7 和 192.0.17.8。这些 ipv4 用户位于具有 IPv6 地址 2001:DB8::3:4 的 B4 设备后面。在此配置中,端口块大小设置为 20480,LSN NAT IP 地址池的 IP 地址范围为 203.0.113.41-203.0.113.42。
Citrix ADC 设备按顺序从 LSN NAT IP 池并根据设置的端口块大小预先分配一个 LSN NAT IP 地址和一个端口块给每个订阅者。它将开始的 NAT IP 地址 (203.0.113.41) 上的第一个端口块 (1024-21503) 分配给初始订阅者 IP 地址 (192.0.17.5)。下一个端口范围分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。此时,下一个 NAT IP 地址上的第一个端口块分配给订阅者,依此类促。Citrix ADC 记录为每个订阅者分配的 NAT IP 地址和端口块。
Citrix ADC 设备不记录为这些订阅服务器创建或删除的任何 LSN 会话。
下表列出了在此示例中分配给每个订阅者的 NAT IP 地址和端口块:
| 订阅者 IP 地址 | 已分配的 NAT IP 地址 | 分配的端口块 | B4 的 IPv6 地址 |
| 192.0.17.5 | 203.0.113.41 | 1024 - 21503 | 2001:DB8::3:4 |
| 192.0.17.6 | 203.0.113.41 | 21504 - 41983 | 2001:DB8::3:4 |
| 192.0.17.7 | 203.0.113.41 | 41984 - 62463 | 2001:DB8::3:4 |
| 192.0.17.8 | 203.0.113.42 | 1024 - 21503 | 2001:DB8::3:4 |
配置步骤
您需要配置确定性 NAT 作为 DS-Lite 配置的一部分。有关配置 DS-Lite 的说明,请参阅 配置 DS-Lite。
在配置 DS-Lite 时,请确保您:
- 添加 LSN 池和 LSN 组时,将 NAT 类型参数设置为确定性。
- 在添加 LSN 组时设置所需的端口块大小参数,除非您可以接受默认值。
在配置确定性 DS-lite 之前需要考虑的事项
在配置确定性 DS-lite 之前,请考虑以下几点:
- 必须通过设置网络和 Netmask 参数,在单独的 add lsn 客户端命令中指定每个订阅者的完整 IP 地址。(将网络掩码设置为 255.255.255.255。) 此外,Network6 参数中指定的 B4 设备的 IPv4 地址必须是完整的(/128 前缀)。换句话说,网络和 Network6 参数不接受除 /32 位掩码和 /128 前缀以外的地址。
- Citrix ADC 设备会删除来自未在任何确定性 DS-Lite 配置中指定但位于确定性 DS-Lite 配置中指定的 B4 设备之后的订阅服务器的连接。
- Citrix ADC 设备可识别具有与不同订阅者具有相同 IPv4 地址(如果订阅者位于不同的 B4 设备后面)的订阅者。订阅者 IPv4 地址和 B4 设备的组合定义了 DS-Lite 配置的 LSN 客户端实体中的唯一订阅者。
示例确定性 DS-Lite 配置:
以下配置使用示例部分中列出的设置:确定性 DS-Lite。
add lsn client LSN-DSLITE-CLIENT-10
Done
bind lsn client LSN-DSLITE-CLIENT-10 -network 192.0.17.5 -netmask 255.255.255.255 -network6 2001:DB8::3:4/128
Done
bind lsn client LSN-DSLITE-CLIENT-10 -network 192.0.17.6 -netmask 255.255.255.255 -network6 2001:DB8::3:4/128
Done
bind lsn client LSN-DSLITE-CLIENT-10 -network 192.0.17.7 -netmask 255.255.255.255 -network6 2001:DB8::3:4/128
Done
bind lsn client LSN-DSLITE-CLIENT-10 -network 192.0.17.8 -netmask 255.255.255.255 -network6 2001:DB8::3:4/128
Done
add lsn pool LSN-DSLITE-POOL-10 -nattype DETERMINISTIC
Done
bind lsn pool LSN-DSLITE-POOL-10 203.0.113.41-203.0.113.42
Done
add lsn ip6profile LSN-DSLITE-PROFILE-10 -type DS-Lite -network6 2001:DB8::5:6
Done
add lsn group LSN-DSLITE-GROUP-10 -clientname LSN-DSLITE-CLIENT-10 -nattype DETERMINISTIC -portblocksize 20480 -ip6profile LSN-DSLITE-PROFILE-10
Done
bind lsn group LSN-DSLITE-GROUP-10 -poolname LSN-DSLITE-POOL-10
Done