LSN配置步骤
在Citrix ADC设备上配置LSN包括以下任务:
- 配置全局LSN参数。全局参数包括在高可用性设置中为LSN特性和LSN会话同步保留的Citrix ADC内存量。
- 创建一个LSN客户端实体并将订阅者绑定到它。LSN客户端实体是一组订阅者,您希望Citrix ADC设备对其流量执行LSN。客户端实体包括IPv4地址和用于标识订阅者的扩展ACL规则。一个LSN客户端只能绑定一个LSN组。命令行界面有两条命令,分别用于创建LSN客户端实体和将订阅者绑定到LSN客户端实体。配置实用程序在一个屏幕上组合了这两个操作。
- 创建LSN池,并绑定NAT IP地址。LSN池定义了一个NAT IP地址池,供Citrix ADC设备用于执行LSN。分配端口块分配、NAT类型(Deterministic或Dynamic)等参数。绑定LSN组的LSN池适用于绑定同一组的LSN客户端实体的所有订阅者。只有NAT类型配置相同的LSN池和LSN组才能绑定在一起。一个LSN组可以绑定多个LSN池。对于动态NAT,一个LSN池可以绑定多个LSN组。对于Deterministic NAT,绑定一个LSN组的池不能绑定到其他LSN组。命令行界面提供创建LSN池和绑定NAT IP的命令。配置实用程序在一个屏幕上组合了这两个操作。
- (可选)创建指定协议的LSN传输配置文件。LSN传输配置文件定义了订阅者对于给定协议可以拥有的各种超时和限制,例如最大LSN会话和最大端口使用。将每个协议(TCP、UDP和ICMP)的LSN传输配置文件绑定到LSN组。一个配置文件可以绑定多个LSN组。与LSN组绑定的配置文件适用于与该LSN组绑定的LSN客户端的所有订阅者。缺省情况下,在创建LSN组时,会绑定一个具有TCP、UDP和ICMP协议缺省设置的LSN传输配置文件。此配置文件称为默认传输配置文件。绑定到LSN组的LSN传输配置文件将覆盖该协议的默认LSN传输配置文件。
- (可选)为指定协议创建LSN应用配置文件,并绑定一组目的端口。LSN应用配置文件定义了针对给定协议和一组目的端口的组的LSN映射和LSN过滤控制。对于一组目的端口,您可以将每个协议(TCP、UDP和ICMP)的LSN配置文件绑定到LSN组。一个配置文件可以绑定多个LSN组。与LSN组绑定的LSN应用配置文件适用于与该LSN组绑定的LSN客户端的所有订阅者。缺省情况下,在创建LSN组时,将一个LSN应用配置文件绑定到一个LSN组上,该LSN应用配置文件对所有目的端口的TCP、UDP和ICMP协议都有默认设置。此配置文件称为默认应用程序配置文件。当您将具有指定目标端口集的LSN应用程序配置文件绑定到LSN组时,绑定的配置文件将覆盖该协议在该目标端口集上的默认LSN应用程序配置文件。命令行接口有两个命令,用于创建LSN应用程序配置文件和将一组目的端口绑定到LSN应用程序配置文件。配置实用程序在一个屏幕上组合了这两个操作。
- 创建LSN组,并将LSN池、(可选)LSN传输配置文件和(可选)LSN应用配置文件绑定到LSN组。LSN组是由LSN客户端、LSN池、LSN传输配置文件和LSN应用配置文件组成的实体。组被分配参数,如端口块大小和LSN会话的日志记录。该参数配置适用于与LSN组绑定的LSN客户端的所有订阅者。只有NAT类型配置相同的LSN池和LSN组才能绑定在一起。一个LSN组可以绑定多个LSN池。对于动态NAT,一个LSN池可以绑定多个LSN组。对于Deterministic NAT,绑定一个LSN组的池不能绑定到其他LSN组。一个LSN组只能绑定一个LSN客户端实体,一个LSN组绑定的LSN客户端实体不能绑定其他LSN组。命令行界面有两个命令用于创建LSN组,并将LSN池、LSN传输配置文件、LSN应用配置文件绑定到LSN组。配置实用程序在一个屏幕中组合了这两个操作。
下表列出了可以在Citrix ADC设备上创建的不同LSN实体和绑定的最大数量。这些限制还取决于Citrix ADC设备上可用的内存。
| LSN实体和绑定 | 限制 |
|---|---|
| LSN客户 | 1024 |
| LSN池 | 128 |
| LSN组 | 1024 |
| 可以绑定到LSN客户端的用户网络 | 64 |
| 可以绑定到LSN客户端的扩展acl | 1024 |
| 池中的NAT IP地址 | 4096 |
| 可以绑定到LSN组的LSN池 | 8 |
| 可以使用同一个LSN池的LSN组 | 16 |
| 可以绑定到LSN组的LSN传输配置文件 | 3个(TCP、UDP和ICMP协议各一个) |
| 可以使用相同LSN传输配置文件的LSN组 | 8 |
| 可以绑定到LSN组的LSN应用配置文件 | 64 |
| 可以使用相同LSN应用配置文件的LSN组 | 8 |
| 可以绑定到LSN应用配置文件的端口范围 | 8 |
命令行配置
使用命令行方式创建LSN客户端
在命令提示符下,输入:
添加LSN客户端 show LSN客户端 通过命令行方式为LSN客户端绑定网络地址或ACL规则
在命令提示符下,输入:
Bind LSN client ((-network [-netmask ] [-td]) | -aclname ) show LSN client 使用命令行方式创建LSN池
在命令提示符下,输入:
add lsn pool [-nattype (DYNAMIC | DETERMINISTIC)] [-portblockallocation (ENABLED | DISABLED)] [-portrealloctimeout ] [-maxPortReallocTmq ] show lsn pool 通过命令行接口将IP地址范围与LSN池绑定
在命令提示符下,输入:
Bind LSN pool show LSN pool 请注意:使用unbind LSN pool命令移除LSN池中的LSN IP地址。
使用命令行界面创建LSN传输配置文件
在命令提示符下,输入:
add lsn transportprofile [-sessiontimeout ] [-finrsttimeout ] [-portquota ] [-sessionquota ] [-portpreserveparity (ENABLED | DISABLED)] [-portpreserverange (ENABLED | DISABLED)] [-syncheck (ENABLED | DISABLED)] show lsn transportprofile 使用命令行界面创建LSN应用程序配置文件
在命令提示符下,输入:
add lsn appsprofile [-ippooling (PAIRED | RANDOM)] [-mapping ] [-filtering ][-tcpproxy (ENABLED | DISABLED)] [-td ] show lsn appsprofile 通过命令行接口将应用协议端口范围绑定到LSN应用配置文件
在命令提示符下,输入:
绑定LSN appsprofile show LSN appsprofile 使用命令行方式创建LSN组
在命令提示符下,输入:
add lsn group -clientname [-nattype (DYNAMIC |DETERMINISTIC)][-portblocksize ] [-logging (ENABLED | DISABLED)][-sessionLogging (ENABLED | DISABLED)][-sessionSync (ENABLED | DISABLED)][- snmptrapplimit ] [-ftp (ENABLED | DISABLED)] show lsn group 通过命令行接口将LSN配置文件和LSN池绑定到LSN组
在命令提示符下,输入:
绑定LSN组 (-poolname | -transportprofilename | -appsprofilename )显示LSN组 使用配置实用程序进行配置
通过配置实用程序配置LSN客户端,并绑定IPv4网络地址或ACL规则
导航到系统>大规模NAT>客户,添加客户端,并为客户端绑定IPv4网络地址或ACL规则。
使用配置实用工具配置LSN池并绑定NAT IP地址
导航到System >大规模NAT>池,添加一个NAT IP地址池,并在池中绑定一个或一组NAT IP地址。
通过使用配置实用工具配置LSN传输配置文件
- 导航到System >大规模NAT >配置文件.
- 在详细信息窗格中,单击运输选项卡,然后添加传输配置文件。
通过使用配置实用工具配置LSN应用程序概要文件
- 导航到System >大规模NAT >配置文件.
- 在详细信息窗格中,单击应用程序选项卡,然后添加应用程序配置文件。
通过使用配置实用工具配置LSN组并绑定LSN客户端、池、传输配置文件和应用程序配置文件
导航到System >大规模NAT >组,并添加一个组,然后将LSN客户端、池、传输配置文件和应用程序配置文件绑定到该组。
参数说明(针对CLI过程中列出的命令)
添加LSN客户端
列出
LSN客户端实体的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN客户端后不可修改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn client1”或“lsn client1”)。
这是一个强制参数。最大长度:127
参数说明(针对CLI过程中列出的命令)
绑定LSN客户端
列出
LSN客户端实体的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN客户端后不可修改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn client1”或“lsn client1”)。
这是一个强制参数。最大长度:127
网络
希望Citrix ADC设备对其流量执行大规模NAT的LSN用户或用户网络的IPv4地址。
子网掩码
“Network”参数中指定的IPv4地址的子网掩码。
默认值:255.255.255.255
道明
用户或用户网络所属的流量域ID(由network参数指定)。
如果不指定ID,用户或用户网络将成为默认流量域的一部分。
默认值:0
最小值:0
最大值:4094
aclname
已配置的动作为ALLOW的扩展ACL的名称。扩展ACL规则中指定的条件用于标识来自LSN用户的流量,Citrix ADC设备将对其进行大规模NAT转换。最大长度:127
参数说明(针对CLI过程中列出的命令)
添加LSN池
poolname
LSN池的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN池后不能修改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn pool1”或“lsn pool1”)。
这是一个强制参数。最大长度:127
nattype
为用户(LSN组绑定的LSN客户端实体)分配NAT IP地址和端口类型(从LSN组绑定的LSN池中):
可用选项功能如下:
确定的—为每个用户(LSN组绑定的LSN客户端)分配NAT IP地址和端口块。Citrix ADC设备依次为这些订阅者分配NAT资源。Citrix ADC设备将起始NAT IP地址上的第一个端口块(端口块大小由LSN组的端口块大小参数决定)分配给起始用户IP地址。下一个端口范围被分配给下一个订阅者,依此类推,直到NAT地址没有足够的端口给下一个订阅者。在这种情况下,下一个NAT地址上的第一个端口块用于订阅者,依此类推。由于每个订阅者现在都接收一个确定的NAT IP地址和一个端口块,因此可以在不需要记录日志的情况下识别订阅者。对于连接,只能通过NAT后的IP地址和端口、目的IP地址和端口来识别用户。
动态—从LSN NAT池中随机分配一个NAT IP地址和端口,用于用户连接。如果启用了端口块分配(在LSN池中)并指定了端口块大小(在LSN组中),则Citrix ADC设备在用户第一次发起连接时为用户分配一个随机的NAT IP地址和一个端口块。设备为来自该订阅者的不同连接分配此NAT IP地址和一个端口(来自已分配的端口块)。如果所有端口都是从订阅者分配的端口块分配的(针对不同的订阅者连接),则设备为订阅者分配一个新的随机端口块。只有NAT类型配置相同的LSN池和LSN组才能绑定在一起。一个LSN组可以绑定多个LSN池。
可能的值:DYNAMIC, DETERMINISTIC
默认值:DYNAMIC
portblockallocation
当NAT分配设置为动态NAT时,从NAT IP地址的可用NAT端口池中为每个用户随机分配一个NAT端口块。对于用户发起的任何连接,Citrix ADC设备都会从用户分配的NAT端口块中分配一个NAT端口来创建LSN会话。
绑定的LSN组必须设置端口块大小。对于订阅者,如果所有端口都是从订阅者分配的端口块分配的,则Citrix ADC设备为订阅者分配一个新的随机端口块。
对于确定性NAT,该参数默认开启,不能关闭。
取值范围:ENABLED、DISABLED
默认值:DISABLED
portrealloctimeout
从重新分配LSN NAT端口(移除LSN映射)到为新的LSN会话重新分配端口之间的等待时间,单位为秒。为了防止新旧映射和会话之间的冲突,这个参数是必要的。它确保所有已建立的会话都被中断,而不是重定向到不同的订阅者。这不适用于以下用途的端口:
- 确定性NAT
- 地址依赖过滤和地址端口依赖过滤
- 带端口块分配的动态NAT
在这些情况下,端口会立即重新分配。
默认值:0
最大值:600
maxPortReallocTmq
每个NAT IP地址申请端口重新分配超时的最大端口数。也就是说,每个NAT IP地址申请重分配超时的最大可分配端口队列大小。
当队列大小已满时,将立即为新的LSN会话重新分配下一个已分配的端口。
缺省值:65536
最大值:65536
参数说明(针对CLI过程中列出的命令)
绑定LSN池
poolname
LSN池的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN池后不能修改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn pool1”或“lsn pool1”)。
这是一个强制参数。最大长度:127
lsnip
作为LSN的NAT IP地址的IPv4地址或IPv4地址范围。
池创建后,这些IPv4地址被添加到Citrix ADC设备中,作为Citrix ADC拥有的LSN类型的IP地址。一个LSN池关联的LSN IP地址不能与其他LSN池共享。为该参数指定的IP地址不能已经存在于Citrix ADC设备上,因为Citrix ADC拥有任何IP地址。在命令行界面中,用连字符分隔区域。例如:10.102.29.30-10.102.29.189。后续可以将LSN的部分或全部IP地址从LSN池中删除,然后再添加到LSN池中。
参数说明(针对CLI过程中列出的命令)
添加LSN transportprofile
transportprofilename
LSN传输配置文件的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN传输配置文件后不能更改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn transport profile1”或“lsn transport profile1”)。
这是一个强制参数。最大长度:127
transportprotocol
要为其设置LSN传输配置文件参数的协议。
这是一个强制参数。
取值包括:TCP、UDP、ICMP
sessiontimeout
空闲LSN会话的超时时间,以秒为单位。如果LSN会话空闲的时间超过该值,Citrix ADC设备将删除该会话。
当TCP LSN会话从任何一端收到FIN或RST消息时,此超时都不适用。
默认值:120
最小值:60
finrsttimeout
超时时间,单位为秒。从某个端点收到FIN或RST消息后,TCP LSN会话的超时时间。
如果TCP LSN会话空闲的时间(在Citrix ADC设备接收到FIN或RST消息之后)超过该值,则Citrix ADC设备将删除该会话。
由于Citrix ADC设备的LSN特性不维护任何TCP LSN会话的状态信息,因此该超时适应来自另一个端点的FIN或RST和ACK消息的传输,以便两个端点都可以正确地关闭连接。
默认值:30
portquota
每个用户一次使用指定协议的最大LSN NAT端口数。例如,每个订阅者最多可以使用500个TCP NAT端口。当订阅者的LSN NAT映射达到限制时,Citrix ADC设备不会为该订阅者分配额外的NAT端口。
默认值:0
最小值:0
最大值:65535
sessionquota
指定协议的每个订阅者允许的最大并发LSN会话数。当LSN会话数量达到订阅者的限制时,Citrix ADC设备不允许订阅者打开其他会话。
默认值:0
最小值:0
最大值:65535
portpreserveparity
启用用户端口与其映射的LSN NAT端口之间的端口奇偶校验。例如,如果用户从奇数端口发起连接,Citrix ADC设备将为此连接分配一个奇数LSN NAT端口。为了使源端口为偶数或奇数的协议正常工作,例如使用RTP或RTCP协议的点对点应用,需要配置该参数。
取值范围:ENABLED、DISABLED
默认值:DISABLED
portpreserverange
如果用户从知名端口(0 ~ 1023)发起连接,则为该连接分配一个知名端口范围(0 ~ 1023)内的NAT端口。例如,如果用户从端口80发起连接,Citrix ADC设备可以为该连接分配端口100作为NAT端口。
该参数适用于不分配端口块的动态NAT。如果分配的端口范围包括知名端口,也适用于确定性NAT。
当所有可用NAT IP地址的所有知名端口都用于不同的订阅者连接(LSN会话),并且订阅者从一个知名端口发起连接时,Citrix ADC设备会丢弃这个连接。
取值范围:ENABLED、DISABLED
默认值:DISABLED
syncheck
对于Citrix ADC设备上不存在LSN-NAT会话的连接,静默地丢弃任何非syn数据包。
如果禁用此参数,Citrix ADC设备将接受任何非syn数据包,并为此连接创建一个新的LSN会话项。
以下是Citrix ADC设备接收此类数据包的一些原因:
- 存在一个连接的LSN会话,但是Citrix ADC设备删除了这个会话,因为LSN会话空闲的时间超过了配置的会话超时。
- 这样的数据包可以成为DoS攻击的一部分。
取值范围:ENABLED、DISABLED
默认值:ENABLED
参数说明(针对CLI过程中列出的命令)
添加LSN appsprofile
appsprofilename
LSN应用配置文件的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN应用配置文件后不能修改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn application profile1”或“lsn application profile1”)。
这是一个强制参数。最大长度:127
transportprotocol
该LSN应用配置文件的参数所应用的协议名称。
这是一个强制参数。
取值包括:TCP、UDP、ICMP
ippooling
与同一订阅者关联的会话的NAT IP地址分配选项。
可用选项功能如下:
- 配对- Citrix ADC设备为与同一订阅者关联的所有会话分配相同的NAT IP地址。当NAT IP地址的所有端口都在LSN会话中使用时(针对相同或多个订阅者),Citrix ADC设备会丢弃来自订阅者的任何新连接。
- 随机- Citrix ADC设备从池中为与同一订阅者关联的不同会话分配随机NAT IP地址。
此参数仅适用于动态NAT分配。
可能的值:PAIRED, RANDOM
默认值:RANDOM
映射
来自同一用户IP地址和端口的后续报文应用的LSN映射类型。
考虑一个LSN映射示例,其中包括订户IP:端口(X: X)、NAT IP:端口(N: N)和外部主机IP:端口(Y: Y)的映射。
可用选项功能如下:
- ENDPOINT-INDEPENDENT—从同一用户IP地址和端口(X: X)发送到任何外部IP地址和端口的后续报文都可以重用LSN映射。
- ADDRESS-DEPENDENT—从同一个用户IP地址和端口(X: X)发送到同一个外部IP地址(Y)的后续报文,无论外部端口是什么,都可以重用LSN映射。
- ADDRESS-PORT-DEPENDENT—在LSN映射仍然有效的情况下,从相同内部IP地址和端口(X: X)发送到相同外部IP地址和端口(Y: Y)的后续报文可以重用LSN映射。
可能的值:端点独立,地址依赖,地址端口依赖
缺省值:ADDRESS-PORT-DEPENDENT
过滤
应用于来自外部主机的数据包的过滤器类型。
考虑一个LSN映射示例,其中包括用户IP:端口(X: X)、NAT IP:端口(N: N)和外部主机IP:端口(Y: Y)的映射。
可用选项功能如下:
- 端点独立—不考虑外部主机IP地址和端口源(Z: Z),只过滤非订户IP地址和端口X: X的报文。Citrix ADC设备转发任何发送到X: X的数据包。换句话说,从订阅者向任何外部IP地址发送数据包足以允许从任何外部主机向订阅者发送数据包。
- 地址的依赖—过滤不到达用户IP地址和X: X端口的报文。此外,如果客户端以前没有将数据包发送到Y:anyport(独立于外部端口),则设备将从Y: Y中过滤出发送给订阅者(X: X)的数据包。换句话说,接收来自特定外部主机的数据包要求订阅者首先向该特定外部主机的IP地址发送数据包。
- 地址端口相关(默认值)-过滤掉不发送到用户IP地址和端口(X: X)的数据包。此外,如果订阅者以前没有将数据包发送到Y: Y, Citrix ADC设备将从Y: Y中过滤出发送给订阅者(X: X)的数据包。换句话说,接收来自特定外部主机的数据包要求订阅者首先向该外部IP地址和端口发送数据包。
可能的值:端点独立,地址依赖,地址端口依赖
缺省值:ADDRESS-PORT-DEPENDENT
tcpproxy
启用TCP代理,使Citrix ADC设备能够通过使用第4层特性来优化TCP流量。
取值范围:ENABLED、DISABLED
默认值:DISABLED
道明
执行LSN后,Citrix ADC设备发送出站流量的流量域ID。
如果不指定ID,设备将通过默认流量域发送出站流量,该域的ID为0。
缺省值:65535
最大值:65535
参数说明(针对CLI过程中列出的命令)
绑定LSN appsprofile
appsprofilename
LSN应用配置文件的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN应用配置文件后不能修改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn application profile1”或“lsn application profile1”)。
这是一个强制参数。最大长度:127
lsnport
端口号或端口号范围要与来自订阅者的传入数据包的目的端口相匹配。匹配到目的端口后,对LSN会话应用LSN应用配置文件。用连字符分隔一系列端口。例如,40-90。
参数说明(针对CLI过程中列出的命令)
添加LSN组
groupname
LSN组的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN组后不能修改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn group1”或“lsn group1”)。
这是一个强制参数。最大长度:127
列出
与LSN组关联的LSN客户端实体名称。一个LSN组只能关联一个LSN客户端实体。一旦创建了LSN组,就不能删除此关联或替换为其他LSN客户端实体。
这是一个强制参数。最大长度:127
nattype
用户的NAT IP地址和端口分配类型(从绑定的LSN池中):
可用选项功能如下:
- 确定的—为每个用户(LSN组绑定的LSN客户端)分配NAT IP地址和端口块。Citrix ADC设备依次为这些订阅者分配NAT资源。Citrix ADC设备将起始NAT IP地址上的第一个端口块(端口块大小由LSN组的端口块大小参数决定)分配给起始用户IP地址。下一个端口范围被分配给下一个订阅者,依此类推,直到NAT地址没有足够的端口给下一个订阅者。在这种情况下,下一个NAT地址上的第一个端口块用于订阅者,依此类推。由于每个订阅者现在都接收一个确定的NAT IP地址和一个端口块,因此可以在不需要记录日志的情况下识别订阅者。对于连接,只能通过NAT后的IP地址和端口、目的IP地址和端口来识别用户。
- 动态—从LSN NAT池中随机分配一个NAT IP地址和端口,用于用户连接。如果启用了端口块分配(在LSN池中)并指定了端口块大小(在LSN组中),则Citrix ADC设备在用户第一次发起连接时为用户分配一个随机的NAT IP地址和一个端口块。设备为来自该订阅者的不同连接分配此NAT IP地址和一个端口(来自已分配的端口块)。如果所有端口都是从订阅者分配的端口块分配的(针对不同的订阅者连接),则设备为订阅者分配一个新的随机端口块。
可能的值:DYNAMIC, DETERMINISTIC
默认值:DYNAMIC
portblocksize
为每个用户分配的NAT端口块的大小。
对于“动态NAT”,必须在绑定的LSN池中启用端口块分配参数。对于确定性NAT,端口块分配参数始终处于开启状态,不能关闭。
在动态NAT中,Citrix ADC设备从NAT IP地址的可用NAT端口池中为每个订户分配一个随机的NAT端口块。对于订阅者,如果所有端口都是从订阅者分配的端口块分配的,则设备为订阅者分配一个新的随机端口块。
日志记录
记录为该LSN组创建或删除映射表项和会话的日志。只有当日志记录和会话日志记录参数同时启用时,Citrix ADC设备才会记录此LSN组的LSN会话。
设备使用其现有的syslog和审计日志框架来记录LSN信息。必须在相关NSLOG动作和SYLOG动作实体中启用LSN参数,才能开启全局级别的LSN日志记录。启用Logging参数后,Citrix ADC设备生成与LSN组的LSN映射和LSN会话相关的日志消息。然后,设备将这些日志消息发送到与NSLOG操作和SYSLOG操作实体相关联的服务器。
LSN映射表项的日志信息包括以下信息:
- Citrix ADC设备的NSIP地址
- 时间戳
- 条目类型(MAPPING或SESSION)
- 是否创建或删除LSN映射表项
- 用户的IP地址、端口和流量域ID
- NAT后的IP地址和端口
- 协议名称
- 可能存在目的IP地址、端口和流量域ID,具体取决于以下条件:
- 对于端点独立映射,不记录目的IP地址和端口
- 对于地址相关映射,只记录目的IP地址(而不是端口)
- 如果是地址-端口相关映射,则记录目的IP地址和端口
取值范围:ENABLED、DISABLED
默认值:DISABLED
sessionLogging
创建或删除LSN组的日志会话。只有当日志记录和会话日志记录参数同时启用时,Citrix ADC设备才会记录此LSN组的LSN会话。
LSN会话的日志信息包括以下信息:
- Citrix ADC设备的NSIP地址
- 时间戳
- 条目类型(MAPPING或SESSION)
- LSN会话是否创建或删除
- 用户的IP地址、端口和流量域ID
- NAT后的IP地址和端口
- 协议名称
- 目的IP地址、端口和流量域ID
取值范围:ENABLED、DISABLED
默认值:DISABLED
sessionSync
在高可用性部署中,将与该LSN组相关的所有LSN会话信息同步到备节点。故障转移后,已建立的TCP连接和UDP数据包流保持活动状态,并在辅助节点(新的主节点)上恢复。
要使此设置生效,必须启用全局会话同步参数。
取值范围:ENABLED、DISABLED
默认值:ENABLED
snmptraplimit
LSN组一分钟内可生成SNMP Trap的最大数量。
默认值:100
最小值:0
最大值:10000
ftp
启用FTP协议的ALG功能。对于某些应用层协议,IP地址和协议端口号通常在数据包的有效载荷中进行通信。当作为ALG时,设备更改数据包的有效负载以确保协议继续在LSN上工作。
请注意Citrix ADC设备还包括用于ICMP和TFTP协议的ALG。缺省情况下,ICMP协议的ALG功能处于开启状态,没有相应的配置来关闭该功能。缺省情况下,TFTP协议的ALG功能是关闭的。当为LSN组绑定端点独立映射、端点独立过滤、目的端口为69 (TFTP的知名端口)的UDP LSN应用配置文件时,LSN组将自动启用ALG功能。
取值范围:ENABLED、DISABLED
默认值:ENABLED
参数说明(针对CLI过程中列出的命令)
绑定LSN组
groupname
LSN组的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。创建LSN组后不能修改。以下要求仅适用于CLI:如果名称中包含一个或多个空格,请将名称用双引号或单引号括起来(例如“lsn group1”或“lsn group1”)。
这是一个强制参数。最大长度:127
poolname
指定LSN组绑定的LSN池名称。只有NAT类型配置相同的LSN池和LSN组才能绑定在一起。一个LSN组可以绑定多个LSN池。
对于Deterministic NAT,绑定一个LSN组的池不能绑定到其他LSN组。对于动态NAT,一个LSN组绑定的池可以绑定多个LSN组。最大长度:127
transportprofilename
要绑定到指定LSN组的LSN传输配置文件的名称。为要指定设置的每个协议绑定配置文件。
缺省情况下,在创建LSN组时,会绑定一个具有TCP、UDP和ICMP协议缺省设置的LSN传输配置文件。此配置文件称为默认传输。
绑定到LSN组的LSN传输配置文件将覆盖该协议的默认LSN传输配置文件。最大长度:127
appsprofilename
与指定LSN组绑定的LSN应用配置文件名称。对于每一组目标端口,为要指定设置的每个协议绑定一个配置文件。
缺省情况下,在创建LSN组时,将一个LSN应用配置文件绑定到一个LSN组上,该LSN应用配置文件对所有目的端口的TCP、UDP和ICMP协议都有默认设置。此配置文件称为默认应用程序配置文件。
当您将具有指定目标端口集的LSN应用程序配置文件绑定到LSN组时,绑定的配置文件将覆盖该协议在该目标端口集上的默认LSN应用程序配置文件。最大长度:127