ADC

LSN 的配置步骤

在 NetScaler 设备上配置 LSN 包括以下任务:

  1. 设置全局 LSN 参数。全局参数包括为 LSN 功能预留的 NetScaler 内存量以及高可用性设置中 LSN 会话的同步。
  2. 创建 LSN 客户端实体并将订阅者绑定到该实体。LSN 客户端实体是一组订阅者,您希望 NetScaler 设备对其流量执行 LSN。客户端实体包括 IPv4 地址和用于识别订阅者的扩展 ACL 规则。一个 LSN 客户端只能绑定到一个 LSN 组。命令行界面有两个用于创建 LSN 客户端实体和将订阅者绑定到 LSN 客户端实体的命令。配置实用程序将这两个操作合并到一个屏幕上。
  3. 创建 LSN 池并将 NAT IP 地址绑定到该池。LSN 池定义了一个 NAT IP 地址池,用于 NetScaler 设备执行 LSN。为池分配了参数,例如端口块分配和 NAT 类型(确定性或动态)。绑定到 LSN 组的 LSN 池适用于绑定到同一组的 LSN 客户端实体的所有订阅者。只有具有相同 NAT 类型设置的 LSN 池和 LSN 组可以绑定在一起。可以将多个 LSN 池绑定到一个 LSN 组。对于动态 NAT,一个 LSN 池可以绑定到多个 LSN 组。对于确定性 NAT,绑定到 LSN 组的池不能绑定到其他 LSN 组。命令行界面有两个用于创建 LSN 池和将 NAT IP 地址绑定到 LSN 池的命令。配置实用程序将这两个操作合并到一个屏幕上。
  4. (可选)为指定协议创建 LSN 传输配置文件。LSN 传输配置文件定义了订阅者在给定协议下可以拥有的各种超时和限制,例如最大 LSN 会话和最大端口使用率。您可以将每个协议(TCP、UDP 和 ICMP)的 LSN 传输配置文件绑定到 LSN 组。一个配置文件可以绑定到多个 LSN 组。绑定到 LSN 组的配置文件适用于绑定到同一组的 LSN 客户端的所有订阅者。默认情况下,一个具有 TCP、UDP 和 ICMP 协议默认设置的 LSN 传输配置文件在创建 LSN 组时绑定到该组。此配置文件称为默认传输配置文件。绑定到 LSN 组的 LSN 传输配置文件会覆盖该协议的默认 LSN 传输配置文件。
  5. (可选)为指定协议创建 LSN 应用程序配置文件并将一组目标端口绑定到该协议。LSN 应用程序配置文件为给定协议和一组目标端口定义组的 LSN 映射和 LSN 过滤控制。对于一组目标端口,您可以将每个协议(TCP、UDP 和 ICMP)的 LSN 配置文件绑定到 LSN 组。一个配置文件可以绑定到多个 LSN 组。绑定到 LSN 组的 LSN 应用程序配置文件适用于绑定到同一组的 LSN 客户端的所有订阅者。默认情况下,一个具有所有目标端口的 TCP、UDP 和 ICMP 协议默认设置的 LSN 应用程序配置文件在创建 LSN 组时会绑定到 LSN 组。此配置文件称为默认应用程序配置文件。当您将具有一组指定目标端口的 LSN 应用程序配置文件绑定到 LSN 组时,绑定配置文件将覆盖该协议在该组目标端口上的默认 LSN 应用程序配置文件。命令行界面有两个命令,用于创建 LSN 应用程序配置文件和将一组目标端口绑定到 LSN 应用程序配置文件。配置实用程序将这两个操作合并到一个屏幕上。
  6. 创建 LSN 组并将 LSN 池、(可选)LSN 传输配置文件和(可选)LSN 应用程序配置文件绑定到 LSN 组。LSN 组是一个由 LSN 客户端、LSN 池、LSN 传输配置文件和 LSN 应用程序配置文件组成的实体。为一个组分配了参数,例如端口块大小和 LSN 会话日志。参数设置适用于绑定到 LSN 组的 LSN 客户端的所有订阅者。只有具有相同 NAT 类型设置的 LSN 池和 LSN 组可以绑定在一起。可以将多个 LSN 池绑定到一个 LSN 组。对于动态 NAT,一个 LSN 池可以绑定到多个 LSN 组。对于确定性 NAT,绑定到 LSN 组的池不能绑定到其他 LSN 组。只有一个 LSN 客户端实体可以绑定到 LSN 组,绑定到 LSN 组的 LSN 客户端实体不能绑定到其他 LSN 组。命令行界面有两个用于创建 LSN 组以及将 LSN 池、LSN 传输配置文件、LSN 应用程序配置文件绑定到 LSN 组的命令。配置实用程序将这两个操作合并到一个屏幕中。

下表列出了可以在 NetScaler 设备上创建的不同 LSN 实体和绑定的最大数量。这些限制还受 NetScaler 设备上可用内存的限制。

LSN 实体和绑定 限制
LSN 客户端 1024
局域网池 128
LSN 组 1024
可以绑定到 LSN 客户端的订阅者网络 64
可以绑定到 LSN 客户端的扩展 ACL 1024
池中的 NAT IP 地址 4096
可以绑定到 LSN 组的 LSN 池 8
可以使用同一 LSN 池的 LSN 组 16
可以绑定到 LSN 组的 LSN 传输配置文件 3(TCP、UDP 和 ICMP 协议各一个)
可以使用相同 LSN 传输配置文件的 LSN 组 8
可以绑定到 LSN 组的 LSN 应用程序配置文件 64
可以使用相同 LSN 应用程序配置文件的 LSN 组 8
可以绑定到 LSN 应用程序配置文件的端口范围 8

使用命令行界面进行配置

使用命令行界面创建 LSN 客户端

在命令提示符下,键入:

add lsn client <clientname>

show lsn client
<!--NeedCopy-->

使用命令行界面将网络地址或 ACL 规则绑定到 LSN 客户端

在命令提示符下,键入:

bind lsn client <clientname> ((-network <ip_addr> [-netmask <netmask>] [-td<positive_integer>]) | -aclname <string>)

show lsn client
<!--NeedCopy-->

使用命令行界面创建 LSN 池

在命令提示符下,键入:

add lsn pool <poolname> [-nattype ( DYNAMIC | DETERMINISTIC )] [-portblockallocation ( ENABLED | DISABLED )] [-portrealloctimeout <secs>] [-maxPortReallocTmq <positive_integer>]

show lsn pool
<!--NeedCopy-->

使用命令行界面将 IP 地址范围绑定到 LSN 池

在命令提示符下,键入:

bind lsn pool <poolname> <lsnip>

show lsn pool
<!--NeedCopy-->

注意:要从 LSN 池中删除 LSN IP 地址,请使用取消绑定 lsn pool 命令。

使用命令行界面创建 LSN 传输配置文件

在命令提示符下,键入:

add lsn transportprofile <transportprofilename> <transportprotocol> [-sessiontimeout <secs>] [-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )]

show lsn transportprofile
<!--NeedCopy-->

使用命令行界面创建 LSN 应用程序配置文件

在命令提示符下,键入:

add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling (PAIRED | RANDOM )] [-mapping <mapping>] [-filtering <filtering>][-tcpproxy ( ENABLED | DISABLED )] [-td <positive_integer>]

show lsn appsprofile
<!--NeedCopy-->

使用命令行界面将应用程序协议端口范围绑定到 LSN 应用程序配置文件

在命令提示符下,键入:

bind lsn appsprofile <appsprofilename> <lsnport>

show lsn appsprofile
<!--NeedCopy-->

使用命令行界面创建 LSN 组

在命令提示符下,键入:

add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC |DETERMINISTIC )] [-portblocksize <positive_integer>] [-logging (ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync (ENABLED | DISABLED )] [-snmptraplimit <positive_integer>] [-ftp ( ENABLED | DISABLED )]

show lsn group
<!--NeedCopy-->

使用命令行界面将 LSN 配置文件和 LSN 池绑定到 LSN 组

在命令提示符下,键入:

bind lsn group <groupname> (-poolname <string> | -transportprofilename <string> | -appsprofilename <string>)

show lsn group
<!--NeedCopy-->

使用配置实用程序进行配置

使用配置实用程序配置 LSN 客户端并绑定 IPv4 网络地址或 ACL 规则

导航到 系统 > 大规模 NAT > 客户端,添加客户端,然后将 IPv4 网络地址或 ACL 规则绑定到客户端。

使用配置实用程序配置 LSN 池并绑定 NAT IP 地址

导航到 系统 > 大规模 NAT > ,添加一个池,然后将 NAT IP 地址或一系列 NAT IP 地址绑定到该池。

使用配置实用程序配置 LSN 传输配置文件

  1. 导航到 系统 > 大规模 NAT > 配置文件
  2. 在详细信息窗格上,单击“传输”选项卡,然后添加传输配置文件。

使用配置实用程序配置 LSN 应用程序配置文件

  1. 导航到 系统 > 大规模 NAT > 配置文件
  2. 在详细信息窗格上,单击“应用程序”选项卡,然后添加应用程序配置文件。

使用配置实用程序配置 LSN 组并绑定 LSN 客户端、池、传输配置文件和应用程序配置文件

导航到 系统 > 大规模 NAT > 组,添加一个组,然后将 LSN 客户端、池、传输配置文件和应用程序配置文件绑定到该组。

参数描述(CLI 过程中列出的命令)

  • add lsn client

    • clientname

      LSN 客户端实体的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 客户端后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn client1”或“lsn client1”)。

      这是一个强制性的参数。最大长度:127

参数描述(CLI 过程中列出的命令)

  • bind lsn client

    • clientname

      LSN 客户端实体的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 客户端后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn client1”或“lsn client1”)。

      这是一个强制性的参数。最大长度:127

    • network

      您希望 NetScaler 设备在其流量上执行大规模 NAT 的 LSN 订阅者或订阅者网络的 IPv4 地址。

    • netmask

      网络参数中指定的 IPv4 地址的子网掩码。

      默认值:255.255.255.255

    • td

      此订阅者或订阅者网络(由网络参数指定)所属的流量域的 ID。

      如果您未指定 ID,则订阅者或订阅者网络将成为默认流量域的一部分。

      默认值:0

      最小值:0

      最大值:4094

    • aclname

      操作为 ALLOW 的任何已配置扩展 ACL 的名称。扩展 ACL 规则中指定的条件可识别来自 LSN 订阅者的流量,NetScaler 设备将对其执行大规模 NAT。最大长度:127

参数描述(CLI 过程中列出的命令)

  • add lsn pool

    • poolname

      LSN 池的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 池后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn pool1”或“lsn pool1”)。

      这是一个强制性的参数。最大长度:127

    • nattype

      订阅者(绑定到 LSN 组的 LSN 客户端实体)的 NAT IP 地址和端口分配类型(来自绑定到 LSN 组的 LSN 池):

      可用选项的功能如下:

      • 确定性—为每个订阅者(绑定到 LSN 组的 LSN 客户端)分配一个 NAT IP 地址和一组端口。NetScaler 设备按顺序向这些订阅者分配 NAT 资源。NetScaler 设备将起始 NAT IP 地址上的第一个端口块(块大小由 LSN 组的端口块大小参数决定)分配给起始用户 IP 地址。下一个端口范围将分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。在这种情况下,下一个 NAT 地址上的第一个端口块用于订阅者,依此类推。由于现在每个订阅者都会收到一个确定性的 NAT IP 地址和一组端口,因此无需登录即可识别订阅者。对于连接,只能根据 NAT IP 地址和端口以及目标 IP 地址和端口来识别订阅者。

      • 动态—为订阅者连接分配一个随机 NAT IP 地址和来自 LSN NAT 池的端口。如果启用了端口块分配(在 LSN 池中)并指定了端口块大小(在 LSN 组中),NetScaler 设备将在首次启动连接时为订阅者分配随机 NAT IP 地址和一块端口。设备为来自此订阅者的不同连接分配此 NAT IP 地址和端口(来自分配的端口块)。如果所有端口都是从订阅者分配的端口块中分配的(用于不同的订阅者连接),则设备会为订阅者分配一个新的随机端口块。只有具有相同 NAT 类型设置的 LSN 池和 LSN 组可以绑定在一起。可以将多个 LSN 池绑定到一个 LSN 组。

        可能的值:动态、确定性

        默认值:DYNAMIC

    • 端口块分配

      当 NAT 分配设置为动态 NAT 时,从 NAT IP 地址的可用的 NAT 端口池中为每个订阅者分配一个随机 NAT 端口块。对于从订阅者发起的任何连接,NetScaler 设备会从订阅者分配的 NAT 端口块中分配一个 NAT 端口来创建 LSN 会话。

      您必须在绑定的 LSN 组中设置端口块大小。对于订阅者,如果所有端口都是从订阅者分配的端口块中分配的,则 NetScaler 设备会为订阅者分配一个新的随机端口块。

      对于确定性 NAT,此参数在默认情况下处于启用状态,您无法将其禁用。

      可能的值:ENABLED、DISABLED

      默认值: 已禁用

    • portrealloctimeout

      取消分配 LSN NAT 端口(删除 LSN 映射时)与为新 LSN 会话重新分配这些端口之间的等待时间(以秒为单位)。为了防止新旧映射和会话之间发生冲突,此参数是必要的。它可以确保所有已建立的会话都被中断,而不是重定向到不同的订阅者。这不适用于以下用途的端口:

      • 确定性 NAT
      • 地址相关筛选和地址端口相关过滤
      • 带端口块分配的动态 NAT

      在这些情况下,会立即重新分配端口。

      默认值:0

      最大值:600

    • maxPortReallocTmq

      每个 NAT IP 地址适用端口重新分配超时的最大端口数。换句话说,重新分配超时适用于每个 NAT IP 地址的最大解除分配端口队列大小。

      当队列大小已满时,将立即为新的 LSN 会话重新分配下一个解除分配的端口。

      默认值:65536

      最大值:65536

参数描述(CLI 过程中列出的命令)

  • bind lsn pool

    • poolname

      LSN 池的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 池后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn pool1”或“lsn pool1”)。

      这是一个强制性的参数。最大长度:127

    • lsnip

      用作 LSN 的 NAT IP 地址的 IPv4 地址或一系列 IPv4 地址。

      创建池后,这些 IPv4 地址将作为 NetScaler 拥有的 LSN 类型的 IP 地址添加到 NetScaler 设备中。与 LSN 池关联的 LSN IP 地址不能与其他 LSN 池共享。为此参数指定的 IP 地址不能像 NetScaler 拥有的任何 IP 地址那样存在于 NetScaler 设备上。在命令行界面中,用连字符分隔范围。例如:10.102.29.30-10.102.29.189。稍后您可以从池中删除部分或全部 LSN IP 地址,并将 IP 地址添加到 LSN 池中。

参数描述(CLI 过程中列出的命令)

  • add lsn transportprofile

    • transportprofilename

      LSN 传输配置文件的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 传输配置文件后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn transport profile1”或“lsn transport profile1”)。

      这是一个强制性的参数。最大长度:127

    • transportprotocol

      用于设置 LSN 传输配置文件参数的协议。

      这是一个强制性的参数。

      可能的值:TCP、UDP、ICMP

    • 会话超时

      空闲 LSN 会话的超时时间,以秒为单位。如果 LSN 会话的空闲时间超过此值,则 NetScaler 设备会删除该会话。

      当从任一端点接收 FIN 或 RST 消息时,此超时不适用于 TCP LSN 会话。

      默认值:120

      最小值:60

    • finrsttimeout

      从其中一个端点接收 FIN 或 RST 消息后,TCP LSN 会话的超时时间,以秒为单位。

      如果 TCP LSN 会话处于空闲状态(在 NetScaler 设备收到 FIN 或 RST 消息之后)的时间超过此值,则 NetScaler 设备会删除该会话。

      由于 NetScaler 设备的 LSN 功能不维护任何 TCP LSN 会话的状态信息,因此此超时适合 FIN 或 RST 以及来自其他端点的 ACK 消息的传输,以便两个端点都能正确关闭连接。

      默认值:30

    • 端口配额

      每个订阅者一次可为指定协议使用的最大 LSN NAT 端口数。例如,每个订阅者最多可以限制为 500 个 TCP NAT 端口。当订阅者的 LSN NAT 映射达到限制时,NetScaler 设备不会为该订阅者分配额外的 NAT 端口。

      默认值:0

      最小值:0

      最大值:65535

    • 会话配额

      指定协议的每个订阅者允许的最大并发 LSN 会话数。当 LSN 会话数量达到订阅者的限制时,NetScaler 设备不允许订阅者打开其他会话。

      默认值:0

      最小值:0

      最大值:65535

    • portpreserveparity

      启用订户端口与其映射的 LSN NAT 端口之间的端口奇偶校验。例如,如果订阅者从奇数端口启动连接,则 NetScaler 设备会为此连接分配一个奇数编号的 LSN NAT 端口。必须设置此参数才能使要求源端口为偶数或奇数的协议正常运行,例如,在使用 RTP 或 RTCP 协议的点对点应用程序中。

      可能的值:ENABLED、DISABLED

      默认值: 已禁用

    • portpreserverange

      如果订阅者从已知端口 (0-1023) 启动连接,则为该连接分配一个来自已知端口范围 (0-1023) 的 NAT 端口。例如,如果订阅者从端口 80 启动连接,则 NetScaler 设备可以将端口 100 分配为此连接的 NAT 端口。

      此参数适用于没有端口块分配的动态 NAT。如果分配的端口范围包括已知端口,则它也适用于确定性 NAT。

      当所有可用 NAT IP 地址的所有已知端口都用于不同的订阅者连接(LSN 会话),并且订阅者从已知端口启动连接时,NetScaler 设备会断开此连接。

      可能的值:ENABLED、DISABLED

      默认值: 已禁用

    • syncheck

      对于在 NetScaler 设备上没有 LSN-NAT 会话的连接,静默丢弃任何非 SYN 数据包。

      如果您禁用此参数,NetScaler 设备将接受任何非 SYN 数据包并为该连接创建新的 LSN 会话条目。

      以下是 NetScaler 设备接收此类数据包的一些原因:

      • 连接的 LSN 会话已存在,但 NetScaler 设备删除了此会话,因为 LSN 会话处于空闲状态的时间超过了配置的会话超时。
      • 此类数据包可能是 DoS 攻击的一部分。

      可能的值:ENABLED、DISABLED

      默认值:ENABLED

参数描述(CLI 过程中列出的命令)

  • add lsn appsprofile

    • appsprofilename

      LSN 应用程序配置文件的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 应用程序配置文件后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn 应用程序配置文件 1”或“lsn 应用程序配置文件 1”)。

      这是一个强制性的参数。最大长度:127

    • transportprotocol

      此 LSN 应用程序配置文件参数所适用的协议的名称。

      这是一个强制性的参数。

      可能的值:TCP、UDP、ICMP

    • ippooling

      与同一订阅者关联的会话的 NAT IP 地址分配选项。

      可用选项的功能如下:

      • 已配对—NetScaler 设备为与同一订阅者关联的所有会话分配相同的 NAT IP 地址。在 LSN 会话(针对相同或多个订阅者)中使用 NAT IP 地址的所有端口时,NetScaler 设备会断开来自订阅者的任何新连接。
      • 随机— NetScaler 设备从池中为与同一订阅者关联的不同会话分配随机 NAT IP 地址。

      此参数仅适用于动态 NAT 分配。

      可能的值:PAIRED、RANDOM

      默认值:RANDOM

    • 制图

      适用于源自相同用户 IP 地址和端口的后续数据包的 LSN 映射类型。

      以一个 LSN 映射为例,该映射包括订阅者 IP: 端口 (x: x)、NAT IP: 端口 (n: n) 和外部主机 IP: 端口 (y: y) 的映射。

      可用选项的功能如下:

      • ENDPOINT-INDEPENDENT — 重复使用 LSN 映射,用于从相同订阅者 IP 地址和端口 (x: x) 发送到任何外部 IP 地址和端口的后续数据包。
      • 依赖地址— 无论外部端口如何,都重复使用 LSN 映射,用于从相同的订阅者 IP 地址和端口 (x: x) 发送到相同的外部 IP 地址 (Y) 的后续数据包。
      • 依赖于地址端口 —在映射仍处于活动状态时,将从相同的内部 IP 地址和端口 (x: x) 发送到相同的外部 IP 地址和端口 (y: y) 的后续数据包重复使用 LSN 映射。

      可能的值:与端点无关、地址相关、地址端口相关

      默认值:ADDRESS-PORT-DEPENDENT

    • filtering

      适用于来自外部主机的数据包的过滤器类型。

      以一个 LSN 映射为例,该映射包括订阅者 IP: 端口 (x: X)、NAT IP: 端口 (n: n) 和外部主机 IP: 端口 (y: y) 的映射。

      可用选项的功能如下:

      • 终端独立——无论外部主机 IP 地址和端口来源 (z: z) 如何,都只筛选出未发往订阅者 IP 地址和端口 x: x 的数据包。NetScaler 设备会转发任何发往 x: x 的数据包。换句话说,从订阅者向任何外部 IP 地址发送数据包足以允许数据包从任何外部主机发送到订阅者。
      • 依赖地址—过滤掉未发往订阅者 IP 地址和端口 x: x 的数据包。此外,如果客户端之前没有向 y.anyPort(外部端口无关)发送过数据包,则设备会过滤掉来自 y: y 的发往订阅者 (x: x) 的数据包。换句话说,接收来自特定外部主机的数据包要求订阅者首先将数据包发送到该特定外部主机的 IP 地址。
      • 地址端口相关性 (默认)-筛选出未发往订阅者 IP 地址和端口 (x: x) 的数据包。此外,如果订阅者之前没有向 y.y 发送数据包,则 NetScaler 设备会过滤掉来自 y: y 的发往订阅者 (x: x) 的数据包。换句话说,接收来自特定外部主机的数据包要求订阅者首先将数据包发送到该外部 IP 地址和端口。

      可能的值:与端点无关、地址相关、地址端口相关

      默认值:ADDRESS-PORT-DEPENDENT

    • tcpproxy

      启用 TCP 代理,这使 NetScaler 设备能够使用第 4 层功能优化 TCP 流量。

      可能的值:ENABLED、DISABLED

      默认值: 已禁用

    • td

      执行 LSN 后,NetScaler 设备通过该流量域发送出站流量。

      如果您未指定 ID,则设备将通过默认流量域(ID 为 0)发送出站流量。

      默认值:65535

      最大值:65535

参数描述(CLI 过程中列出的命令)

  • bind lsn appsprofile

    • appsprofilename

      LSN 应用程序配置文件的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 应用程序配置文件后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn 应用程序配置文件 1”或“lsn 应用程序配置文件 1”)。

      这是一个强制性的参数。最大长度:127

    • lsnport

      与来自订阅者的传入数据包的目标端口相匹配的端口号或端口号范围。当目标端口匹配时,LSN 应用程序配置文件将应用于 LSN 会话。用连字符分隔一系列端口。例如,40-90。

参数描述(CLI 过程中列出的命令)

  • add lsn group

    • 组名

      LSN 组的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 组后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn group1”或“lsn group1”)。

      这是一个强制性的参数。最大长度:127

    • clientname

      要与 LSN 组关联的 LSN 客户端实体的名称。您只能将一个 LSN 客户端实体与 LSN 组相关联。一旦创建 LSN 组,就无法移除此关联或替换为其他 LSN 客户端实体。

      这是一个强制性的参数。最大长度:127

    • nattype

      订阅者的 NAT IP 地址和端口分配类型(来自绑定的 LSN 池):

      可用选项的功能如下:

      • 确定性—为每个订阅者(绑定到 LSN 组的 LSN 客户端)分配一个 NAT IP 地址和一组端口。NetScaler 设备按顺序向这些订阅者分配 NAT 资源。NetScaler 设备将起始 NAT IP 地址上的第一个端口块(块大小由 LSN 组的端口块大小参数决定)分配给起始用户 IP 地址。下一个端口范围将分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。在这种情况下,下一个 NAT 地址上的第一个端口块用于订阅者,依此类推。由于现在每个订阅者都会收到一个确定性的 NAT IP 地址和一组端口,因此无需登录即可识别订阅者。对于连接,只能根据 NAT IP 地址和端口以及目标 IP 地址和端口来识别订阅者。
      • 动态—从 LSN NAT 池中分配一个随机 NAT IP 地址和一个端口,用于订阅者的连接。如果启用了端口块分配(在 LSN 池中)并指定了端口块大小(在 LSN 组中),NetScaler 设备将在首次启动连接时为订阅者分配随机 NAT IP 地址和一块端口。设备为来自此订阅者的不同连接分配此 NAT IP 地址和端口(来自分配的端口块)。如果所有端口都是从订阅者分配的端口块中分配的(用于不同的订阅者连接),则设备会为订阅者分配一个新的随机端口块。

      可能的值:动态、确定性

      默认值:DYNAMIC

    • portblocksize

      要为每个订阅者分配的 NAT 端口块的大小。

      要为动态 NAT 设置此参数,必须启用绑定的 LSN 池中的端口块分配参数。对于确定性 NAT,端口块分配参数始终处于启用状态,您无法将其禁用。

      在动态 NAT 中,NetScaler 设备从 NAT IP 地址的可用的 NAT 端口池中为每个订阅者分配一个随机 NAT 端口块。对于订阅者,如果所有端口都是从订阅者分配的端口块中分配的,则设备会为订阅者分配一个新的随机端口块。

    • logging

      为此 LSN 组创建或删除的日志映射条目和会话。只有在同时启用日志和会话记录参数时,NetScaler 设备才会记录此 LSN 组的 LSN 会话。

      该设备使用其现有的 syslog 和审核日志框架来记录 LSN 信息。必须通过在相关的 NSLOG 操作和 SYLOG 操作实体中启用 LSN 参数来启用全局级 LSN 日志记录。启用日志参数后,NetScaler 设备会生成与此 LSN 组的 LSN 映射和 LSN 会话相关的日志消息。然后,设备将这些日志消息发送到与 NSLOG 操作和 SYSLOG 操作实体相关的服务器。

      LSN 映射条目的日志消息包含以下信息:

      • NetScaler 设备的 NSIP 地址
      • 时间戳
      • 条目类型(映射或会话)
      • LSN 映射条目是创建还是删除
      • 订阅者的 IP 地址、端口和流量域 ID
      • NAT IP 地址和端口
      • 协议名称
      • 目标 IP 地址、端口和流量域 ID 可能存在,具体取决于以下条件:
        • 未记录与端点无关的映射的目标 IP 地址和端口
        • 只记录地址相关映射的目标 IP 地址(不记录端口)
        • 记录与地址端口相关的映射的目标 IP 地址和端口

      可能的值:ENABLED、DISABLED

      默认值: 已禁用

    • sessionLogging

      为 LSN 组创建或删除的日志会话。只有在同时启用日志和会话记录参数时,NetScaler 设备才会记录此 LSN 组的 LSN 会话。

      LSN 会话的日志消息包含以下信息:

      • NetScaler 设备的 NSIP 地址
      • 时间戳
      • 条目类型(映射或会话)
      • LSN 会话是已创建还是已删除
      • 订阅者的 IP 地址、端口和流量域 ID
      • NAT IP 地址和端口
      • 协议名称
      • 目标 IP 地址、端口和流量域 ID

      可能的值:ENABLED、DISABLED

      默认值: 已禁用

    • sessionSync

      在高可用性 (HA) 部署中,将与此 LSN 组相关的所有 LSN 会话的信息与辅助节点同步。故障转移后,已建立的 TCP 连接和 UDP 数据包流将保持活动状态,并在辅助节点(新的主节点)上恢复。

      要使此设置生效,必须启用全局会话同步参数。

      可能的值:ENABLED、DISABLED

      默认值:ENABLED

    • snmptraplimit

      一分钟内可以为 LSN 组生成的 SNMP 陷阱消息的最大数量。

      默认值:100

      最小值:0

      最大值:10000

    • ftp

      为 FTP 协议启用应用层网关 (ALG)。对于某些应用层协议,IP 地址和协议端口号通常在数据包有效负载中通信。充当 ALG 时,设备会更改数据包的有效负载,以确保协议在 LSN 上继续运行。

      注意:NetScaler 设备还包括适用于 ICMP 和 TFTP 协议的 ALG。ICMP 协议的 ALG 在默认情况下处于启用状态,并且没有禁用它的规定。默认情况下,TFTP 协议的 ALG 处于禁用状态。将 UDP LSN 应用程序配置文件绑定到 LSN 组时,会自动为 LSN 组启用 ALG,该配置文件具有与端点无关的映射、与端点无关的过滤以及目标端口为 69(TFTP 的众所周知端口)。

      可能的值:ENABLED、DISABLED

      默认值:ENABLED

参数描述(CLI 过程中列出的命令)

  • 绑定 lsn 组

    • 组名

      LSN 组的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 LSN 组后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn group1”或“lsn group1”)。

      这是一个强制性的参数。最大长度:127

    • poolname

      要绑定到指定 LSN 组的 LSN 池的名称。只有具有相同 NAT 类型设置的 LSN 池和 LSN 组可以绑定在一起。可以将多个 LSN 池绑定到一个 LSN 组。

      对于确定性 NAT,绑定到 LSN 组的池不能绑定到其他 LSN 组。对于动态 NAT,绑定到 LSN 组的池可以绑定到多个 LSN 组。最大长度:127

    • transportprofilename

      要绑定到指定 LSN 组的 LSN 传输配置文件的名称。为要为其指定设置的每个协议绑定配置文件。

      默认情况下,一个具有 TCP、UDP 和 ICMP 协议默认设置的 LSN 传输配置文件在创建 LSN 组时绑定到该组。此配置文件称为默认传输。

      绑定到 LSN 组的 LSN 传输配置文件会覆盖该协议的默认 LSN 传输配置文件。最大长度:127

    • appsprofilename

      要绑定到指定 LSN 组的 LSN 应用程序配置文件的名称。对于每组目标端口,为要为其指定设置的每个协议绑定配置文件。

      默认情况下,一个具有所有目标端口的 TCP、UDP 和 ICMP 协议默认设置的 LSN 应用程序配置文件在创建 LSN 组时会绑定到 LSN 组。此配置文件称为默认应用程序配置文件。

      当您将具有一组指定目标端口的 LSN 应用程序配置文件绑定到 LSN 组时,绑定配置文件将覆盖该协议在该组目标端口上的默认 LSN 应用程序配置文件。最大长度:127