LSNの設定手順
Citrix ADCアプラaapl . exeアンスでLSNを構成するには,次の作業を行います。
- グロバルlsnパラメタを設定します。グローバルパラメーターには,LSN機能用に予約されているCitrix ADCメモリの量と,高可用性セットアップでのLSNセッションの同期が含まれます。
- LSNクラaapl . exeアントエンティティを作成し,加入者をバaapl . exeンドします。LSNクライアントエンティティは,Citrix ADCアプライアンスでLSNを実行するトラフィックを持つサブスクライバのセットです。クライアントエンティティには,サブスクライバを識別するためのIPv4アドレスと拡張ACLルールが含まれます。LSNクラアントは,1のLSNグルプにしかバンドできません。コマンドラインインターフェイスには,LSNクライアントエンティティを作成し,加入者をLSNクライアントエンティティにバインドするための2つのコマンドがあります。構成ユティリティは,これら2の操作を1の画面にまとめます。
- Lsnプルを作成し,nat ipアドレスをそれにバンドします。NAT IPLSNプールは,LSNを実行するためにCitrix ADCアプライアンスが使用するNAT IPアドレスのプールを定義します。プールには,ポートブロック割り当てやNATタイプ(确定性または动态)などのパラメータが割り当てられます。LSNグループにバインドされたLSNプールは,同じグループにバインドされたLSNクライアントエンティティのすべてのサブスクライバに適用されます。同じNATタプ設定のLSNプルとLSNグルプだけを1にバンドできます。複数のLSNプルを1のLSNグルプにバンドできます。动态NAT では、LSN プールを複数の LSN グループにバインドできます。Deterministic NAT の場合、LSN グループにバインドされたプールは他の LSN グループにバインドできません。コマンドラインインターフェイスには、LSN プールを作成し、NAT IP アドレスを LSN プールにバインドするための 2 つのコマンドがあります。構成ユーティリティーは、これら 2 つの操作を 1 つの画面にまとめます。
- (オプション)指定されたプロトコルのlsnトランスポトプロファルを作成します。LSNトランスポートプロファイルでは,加入者が特定のプロトコルに対して持つことのできる最大LSNセッションや最大ポート使用量など,さまざまなタイムアウトと制限を定義します。各プロトコル(TCP, UDP,およびICMP)のLSNトランスポートプロファイルをLSNグループにバインドします。プロファ@ @ルは,複数の@ @グル@ @プにバ@ @ンドできます。LSNグループにバインドされたプロファイルは,同じグループにバインドされたLSNクライアントのすべてのサブスクライバに適用されます。デフォルトでは,TCP, UDP,およびICMPプロトコルのデフォルト設定を持つ1つのLSNトランスポートプロファイルは,作成時にLSNグループにバインドされます。このプロファ▪▪ルは,デフォルトのトランスポ▪▪トプロファ▪▪ルと呼ばれます。LSNグループにバインドしたLSNトランスポートプロファイルは,そのプロトコルのデフォルトのLSNトランスポートプロファイルを上書きします。
- (オプション)指定されたプロトコルのLSNアプリケーションプロファイルを作成し,宛先ポートのセットをそれにバインドします。LSNアプリケーションプロファイルは,特定のプロトコルおよび一連の宛先ポートのグループのLSNマッピングおよびLSNフィルタリングコントロールを定義します。一連の宛先ポートでは,各プロトコル(TCP, UDP,およびICMP)のLSNプロファイルをLSNグループにバインドします。プロファ@ @ルは,複数の@ @グル@ @プにバ@ @ンドできます。LSNグループにバインドされたLSNアプリケーションプロファイルは,同じグループにバインドされたLSNクライアントのすべてのサブスクライバに適用されます。デフォルトでは,すべての宛先ポートのTCP、UDP,およびICMPプロトコルのデフォルト設定を持つ1つのLSNアプリケーションプロファイルは,作成時にLSNグループにバインドされます。このプロファ▪▪ルは,デフォルトのアプリケ▪▪ションプロファ▪▪ルと呼ばれます。指定された宛先ポートセットを持つLSNアプリケーションプロファイルをLSNグループにバインドすると,バインドされたプロファイルは,その宛先ポートのセットでそのプロトコルのデフォルトのLSNアプリケーションプロファイルを上書きします。コマンドラインインターフェイスには,LSNアプリケーションプロファイルを作成し,一連の宛先ポートをLSNアプリケーションプロファイルにバインドするための2つのコマンドがあります。構成ユティリティは,これら2の操作を1の画面にまとめます。
- LSNグループを作成し,LSNプール,(オプション)LSNトランスポートプロファイル,(オプション)LSNアプリケーションプロファイルをLSNグループにバインドします。LSNグループは,LSNクライアント,LSNプール,LSNトランスポートプロファイル,およびLSNアプリケーションプロファイルで構成されるエンティティです。グループには,ポートブロックサイズやLSNセッションのロギングなどのパラメータが割り当てられます。パラメータ設定は,LSNグループにバインドされたLSNクライアントのすべてのサブスクライバに適用されます。同じNATタプ設定のLSNプルとLSNグルプだけを1にバンドできます。複数LSNプルを1のLSNグルプにバンドできます。动态NAT では、LSN プールを複数の LSN グループにバインドできます。Deterministic NAT の場合、LSN グループにバインドされたプールは他の LSN グループにバインドできません。LSN グループ 1 つの LSN クライアントエンティティのみにバインドでき、LSN グループにバインドされた LSN クライアントエンティティは他の LSN グループにバインドできません。コマンドラインインターフェイスには、LSN グループを作成し、LSN プール、LSN トランスポートプロファイル、LSN アプリケーションプロファイルを LSN グループにバインドするための 2 つのコマンドがあります。構成ユーティリティーは、これら 2 つの操作を 1 つの画面にまとめます。
次の表に,Citrix ADCアプライアンスで作成できるLSNエンティティとバインディングの最大数を示します。これらの制限は,Citrix ADCアプラアンスで使用可能なメモリにも左右されます。
| LSNエンティティとバescンディング | 上限 |
|---|---|
| LSNクラescアント | 1024 |
| lsnプ,ル | 128 |
| lsnグル,プ | 1024 |
| LSNクラアントにバンドできるサブスクラバネットワク | 64 |
| LSNクラaapl . exeアントにバaapl . exeンドできる拡張acl | 1024 |
| プ,ル内のNAT IPアドレス | 4096 |
| LSNグルプにバンドできるLSNプル | 8 |
| 同じLSNプ,ルを使用できるLSNグル,プ | 16 |
| LSNグルプにバンドできるLSNトランスポトプロファル | 3(tcp, udp,およびicmpプロトコルごとにそれぞれ1) |
| 同じLSNトランスポトプロファルを使用できるLSNグルプ | 8 |
| LSNグルプにバンドできるLSNアプリケションプロファル | 64 |
| 同じLSNアプリケションプロファルを使用できるLSNグルプ | 8 |
| LSNアプリケションプロファルにバンドできるポト範囲 | 8 |
コマンドラ▪▪ン▪▪ンタ▪フェ▪▪スを使用した設定
コマンドラ▪▪ン▪▪ンタ▪▪フェ▪▪スを使用してLSNクラ▪▪アントを作成するには
コマンドプロンプトで入力します。
Add LSN client show LSN client コマンドラインインターフェイスを使用して,ネットワークアドレスまたはACLルールをLSNクライアントにバインドするには
コマンドプロンプトで入力します。
绑定LSN客户端 ((-network [-netmask ] [-td]) | -aclname ) show LSN客户端 コマンドランンタフェスを使用してLSNプルを作成するには
コマンドプロンプトで入力します。
add lsn pool [-nattype (DYNAMIC | DETERMINISTIC)] [-portblockallocation (ENABLED | DISABLED)] [-portrealloctimeout ] [-maxPortReallocTmq ] show lsn pool コマンドランンタフェスを使用してIPアドレス範囲をLSNプルにバンドするには
コマンドプロンプトで入力します。
绑定LSN池 show LSN池 注意: LSNプールからLSNIPアドレスを削除するには,解开lsnpoolコマンドを使用します。
コマンドランンタフェスを使用してLSNトランスポトプロファルを作成するには
コマンドプロンプトで入力します。
add lsn transportprofile [-sessiontimeout ] [-finrsttimeout ] [-portquota ] [-sessionquota ] [- portpreserverparity (ENABLED | DISABLED)] [-portpreserverange (ENABLED | DISABLED)] [-syncheck (ENABLED | DISABLED)] show lsn transportprofile コマンドランンタフェスを使用してLSNアプリケションプロファルを作成するには
コマンドプロンプトで入力します。
add lsn appsprofile [-ippooling (PAIRED | RANDOM)] [-mapping ] [-filtering ][-tcpproxy (ENABLED | DISABLED)] [-td ] show lsn appsprofile コマンドラインインターフェイスを使用して,アプリケーションプロトコルポート範囲をLSNアプリケーションプロファイルにバインドするには
コマンドプロンプトで入力します。
Bind LSN appsprofile show LSN appsprofile コマンドランンタフェスを使用してLSNグルプを作成するには
コマンドプロンプトで入力します。
add lsn group -clientname [-nattype (DYNAMIC |DETERMINISTIC)][-portblocksize ] [-logging (ENABLED | DISABLED)][-sessionLogging (ENABLED | DISABLED)][-sessionSync (ENABLED | DISABLED)][-snmptraplimit ] [-ftp (ENABLED | DISABLED)] show lsn group コマンドラインインターフェイスを使用してLSNプロファイルとLSNプールをLSNグループにバインドするには
コマンドプロンプトで入力します。
绑定LSN组 (-poolname | -transportprofilename | -appsprofilename ) show LSN组 設定ユ,ティリティを使用した設定
構成ユーティリティを使用してLSNクライアントを構成し,IPv4ネットワークアドレスまたはACLルールをバインドするには
[システム) >[大規模nat]> (クラ@ @アント]に移動し,クライアントを追加し,IPv4ネットワークアドレスまたはACLルールをクライアントにバインドします。
構成ユティリティを使用してLSNプルを構成し,nat IPアドレスをバンドするには
System >大规模NAT>池に移動してプールを追加し,NAT IPアドレスまたはNAT IPアドレスの範囲をプールにバインドします。
構成ユティリティを使用してLSNトランスポトプロファルを構成するには
- System >大规模NAT >配置文件に移動します。
- 詳細ウィンドウで,[トランスポ,ト]タブをクリックし,トランスポ,トプロファ,etc .ルを追加します。
構成ユティリティを使用してLSNアプリケションプロファルを構成するには
- System >大规模NAT >配置文件に移動します。
- 詳細ウィンドウで,[アプリケ,ション]タブをクリックし,アプリケ,ションプロファ,etc .ルを追加します。
構成ユーティリティを使用してLSNグループを構成し,LSNクライアント,プール,トランスポートプロファイル,およびアプリケーションプロファイルをバインドするには
[システム]>[大規模nat] >[グル.プ. cn]に移動し,グループを追加してから,LSNクライアント,プール,トランスポートプロファイル,およびアプリケーションプロファイルをグループにバインドします。
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
添加LSN客户端
列出
LSNクラescアントエンティティの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNクラescアントが作成された後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、”lsn client1” や”lsn client1”など)。
これは必須の引数です。最大長:127
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
绑定LSN客户端
列出
LSNクラescアントエンティティの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNクラescアントが作成された後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、”lsn client1” や”lsn client1”など)。
これは必須の引数です。最大長:127
网络
Citrix ADCアプライアンスで大規模NATを実行するトラフィックのLSN加入者または加入者ネットワークのIPv4アドレス。
子网掩码
网络パラメタで指定されたIPv4アドレスのサブネットマスク。
デフォルト値:255.255.255.255
道明
この加入者または加入者ネットワーク(网络パラメータで指定されたもの)が属するトラフィックドメインのID。
IDを指定しない場合,加入者または加入者ネットワークはデフォルトのトラフィックドメインの一部になります。
デフォルト値:0
最小値:0
最大値:4094
aclname
アクションがallowである設定済みの拡張aclの名前。拡張ACLルールで指定された条件は,Citrix ADCアプライアンスが大規模なNATを実行する対象となるLSNサブスクライバーからのトラフィックを識別します。最大長:127
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
添加LSN池
poolname
LSNプ,ルの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNプ,ルの作成後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、”lsn pool1” または”lsn pool1”)。
これは必須の引数です。最大長:127
nattype
(LSNグループにバインドされたLSNクライアントエンティティの)加入者のNAT IPアドレスおよびポート割り当てのタイプ(LSNグループにバインドされたLSNプールからの):
使用可能なオプションは次のように機能します。
确定的(LSNグループにバインドされたLSNクライアントの)各加入者にNAT IPアドレスとポートブロックを割り当てます。Citrix ADCアプライアンスは,NATリソースをこれらのサブスクライバーに順番に割り当てます。Citrix ADCアプライアンスは、開始NAT IPアドレス上のポートの最初のブロック(LSNグループのポートブロックサイズパラメータによって決定されるブロックサイズ)を、開始サブスクライバIPアドレスに割り当てます。次の範囲のポートは、次のサブスクライバに割り当てられます。次のサブスクライバに対して十分なポートが NAT アドレスにないまで、次のサブスクライバに割り当てられます。この場合、次の NAT アドレスの最初のポートブロックがサブスクライバに使用されます。各加入者は、Deterministic NAT IP アドレスとポートブロックを受信するようになったため、ロギングを必要とせずに加入者を識別できます。接続の場合、加入者は NAT IP アドレスとポート、および宛先 IP アドレスとポートに基づいてのみ識別できます。
动态:加入者接続に,ランダムなNAT IPアドレスとLSN NATプールからポートを割り当てます。(LSNプールで)ポートブロック割り当てが有効で,(LSNグループで)ポートブロックサイズが指定されている場合,Citrix ADCアプライアンスは,サブスクライバが初めて接続を開始するときに,ランダムなNAT IPアドレスとポートのブロックを割り当てます。アプライアンスは,この加入者からの異なる接続に,このNAT IPアドレスとポート(割り当てられたポートブロックから)を割り当てます。サブスクライバに割り当てられたポートブロックからすべてのポートが(異なるサブスクライバ接続に対して)割り当てられている場合,アプライアンスはサブスクライバに新しいランダムポートブロックを割り当てます。同じNATタプ設定のLSNプルとLSNグルプだけを1にバンドできます。複数LSNプルを1のLSNグルプにバンドできます。
設定可能な値:动态的,确定性的
デフォルト値:动态
portblockallocation
NAT割り当てが动态NATとして設定されている場合,NAT IPアドレスの使用可能なNATポートプールからランダムなNATポートブロックを各サブスクライバに割り当てます。サブスクライバから開始された接続では,Citrix ADCアプライアンスは,サブスクライバに割り当てられたNATポートブロックからNATポートを割り当てて,LSNセッションを作成します。
バンドされたLSNグルプのポトブロックサズを設定する必要があります。サブスクライバの場合,サブスクライバに割り当てられたポートブロックからすべてのポートが割り当てられている場合,Citrix ADCアプライアンスはサブスクライバに新しいランダムなポートブロックを割り当てます。
确定性NATの場合,このパラメータはデフォルトで有効になっており,無効にできません。
設定可能な値:启用,禁用
デフォルト値:無効
portrealloctimeout
LSN NATポートの割り当て解除(LSNマッピングが削除された場合)から新しいLSNセッションに再割り当てするまでの待機時間(秒)。このパラメ,タは,古いマッピングと新しいマッピングとセッション間の衝突を防ぐために必要です。これにより,確立されたすべてのセッションが別のサブスクライバにリダイレクトされるのではなく,確実に中断されます。これは,で使用されるポ,トには適用されません。
- 确定性NAT
- アドレス依存フィルタリングとアドレスポ,ト依存フィルタリング
- ポ,トブロック割り当てによる动态NAT
この場合,ポ,トはただ,に再割り当てされます。
デフォルト値:0
最大値:600
maxPortReallocTmq
NAT IPアドレスごとにポ、ト再割り当てタ、ムアウトが適用されるポ、トの最大数。つまりNAT IPアドレスごとに再割り当てタイムアウトが適用される,割り当て解除されたポートキューサイズの最大値。
キューサイズがいっぱいになると,割り当て解除された次のポートは,新しいLSNセッション用にただちに再割り当てされます。
デフォルト値:65536
最大値:65536
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
绑定LSN池
poolname
LSNプ,ルの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNプ,ルの作成後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、”lsn pool1” または”lsn pool1”)。
これは必須の引数です。最大長:127
lsnip
LSNのNAT IPアドレスとして使用するIPv4アドレスまたはIPv4アドレスの範囲。
プールが作成されると,これらのIPv4アドレスは,タイプLSNのCitrix ADCが所有するIPアドレスとしてCitrix ADCアプライアンスに追加されます。LSNプ,ルに関連付けられたLSN IPアドレスは,他のLSNプ,ルと共有できません。このパラメータに指定するIPアドレスは,Citrix ADCアプライアンスにCitrix ADCが所有するIPアドレスとして存在していない必要があります。コマンドラ▪▪ン▪▪ンタ▪フェ▪▪スで,範囲をハ▪▪フンで区切ります。たとえば,次のようになります。後でプールから一部またはすべてのLSN IPアドレスを削除し,LSNプールにIPアドレスを追加できます。
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
LSNトランスポトプロファルを追加する
transportprofilename
LSNトランスポトプロファルの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNトランスポトプロファルの作成後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、「lsn トランスポートプロファイル 1」または「lsn トランスポートプロファイル 1」)。
これは必須の引数です。最大長:127
transportprotocol
LSNトランスポトプロファルパラメタを設定するプロトコル。
これは必須の引数です。
指定可能な値:tcp、udp、icmp
sessiontimeout
アaapl . exe LSNセッションのタaapl . exeムアウト(秒単位)。LSNセッションがこの値を超える時間アイドル状態になると,Citrix ADCアプライアンスはセッションを削除します。
このタイムアウトは,いずれかのエンドポイントから鳍メッセージまたはRSTメッセージを受信した場合,TCP LSNセッションには適用されません。
デフォルト値:120
最小値:60
finrsttimeout
エンドポイントの1つから鳍またはRSTメッセージを受信した後のTCP LSNセッションのタイムアウト(秒単位)。
この値を超えた時間(Citrix ADCアプライアンスが鳍またはRSTメッセージを受信した後)TCP LSNセッションがアイドル状態になると,Citrix ADCアプライアンスはセッションを削除します。
Citrix ADCアプライアンスのLSN機能は,TCP LSNセッションの状態情報を保持しないため,このタイムアウトは,両方のエンドポイントが適切に接続を閉じることができるように,鳍またはRSTの送信,および他方のエンドポイントからのACKメッセージに対応します。
デフォルト値:30
portquota
指定されたプロトコルの各サブスクラ@ @バが一度に使用するLSN NATポ@ @トの最大数。たとえば,各サブスクラaaplバは最大500個のTCP NATポ,トに制限できます。加入者のLSN NATマッピングが制限に達すると,Citrix ADCアプライアンスはその加入者に追加のNATポートを割り当てません。
デフォルト値:0
最小値:0
最大値:65535
sessionquota
指定されたプロトコルで各加入者に許可される同時LSNセッションの最大数。LSNセッション数が加入者の制限に達すると,Citrix ADCアプライアンスは,加入者が追加のセッションを開くことを許可しません。
デフォルト値:0
最小値:0
最大値:65535
portpreserveparity
サブスクラバポトとマッピングされたLSN NATポト間のポトパリティを有効にします。たとえば,サブスクライバーが奇数番号のポートから接続を開始した場合,Citrix ADCアプライアンスはこの接続に奇数番号のLSN NATポートを割り当てます。RTPまたは服务器プロトコルを使用するピアツーピアアプリケーションなど,送信元ポートが偶数または奇数の番号になる必要があるプロトコルを適切に機能させるには,このパラメータを設定する必要があります。
設定可能な値:启用,禁用
デフォルト値:無効
portpreserverange
サブスクライバが既知のポート(0 ~ 1023)から接続を開始する場合は,この接続に既知のポート範囲(0 ~ 1023)からNATポートを割り当てます。たとえば,加入者がポート80から接続を開始した場合,Citrix ADCアプライアンスはポート100をこの接続のNATポートとして割り当てることができます。
このパラメ,タは,ポ,トブロック割り当てのない动态NATに適用されます。また,割り当てられたポートの範囲に既知のポートが含まれている場合は,确定性NATにも適用されます。
使用可能なすべてのNAT IPアドレスのすべての既知のポートが異なるサブスクライバ接続(LSNセッション)で使用され,サブスクライバが既知のポートから接続を開始すると,Citrix ADCアプライアンスはこの接続を切断します。
設定可能な値:启用,禁用
デフォルト値:無効
syncheck
Citrix ADCアプライアンス上にLSN-NATセッションが存在しない接続の非SYNパケットをサイレントにドロップします。
このパラメーターを無効にすると,Citrix ADCアプライアンスは非SYNパケットを受け入れ,この接続用に新しいLSNセッションエントリを作成します。
Citrix ADCアプラeconpアンスがこのようなパケットを受信する理由は次のとおりです。
- 接続用のLSNセッションは存在していましたが,Citrix ADCアプライアンスはこのセッションを削除しました。これは,lsnセッションが構成されたセッションタaaplムアウトを超えた時間アaaplドル状態だったためです。
- このようなパケットはDoS攻撃の一部である可能性があります。
設定可能な値:启用,禁用
デフォルト値:启用
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
添加LSN appsprofile
appsprofilename
LSNアプリケションプロファルの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNアプリケションプロファルの作成後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、”lsn application profile1”または’lsn application profile1’)。
これは必須の引数です。最大長:127
transportprotocol
このLSNアプリケションプロファルのパラメタが適用されるプロトコルの名前。
これは必須の引数です。
指定可能な値:tcp、udp、icmp
ippooling
同じサブスクラaapl . exeバに関連付けられたセッションのNAT IPアドレス割り当てオプション。
使用可能なオプションは次のように機能します。
- 配对: Citrix ADCアプライアンスは,同じ加入者に関連付けられたすべてのセッションに同じNAT IPアドレスを割り当てます。NAT IPアドレスのすべてのポートがLSNセッションで使用されている場合(同一または複数のサブスクライバの場合),Citrix ADCアプライアンスはサブスクライバからの新しい接続を切断します。
- 随机: Citrix ADCアプライアンスは,同じサブスクライバに関連付けられた異なるセッションに対して,プールからランダムなNAT IPアドレスを割り当てます。
このパラメ,タは,动态NAT割り当てにだけ適用できます。
設定可能な値:配对,随机
デフォルト値:随机
映射
同じ加入者的IPアドレスおよびポートから発信された後続のパケットに適用するLSNマッピングのタイプ。
加入者的IP:ポート(X, X), NAT IP:ポート(N: N),および外部ホストIP:ポート(Y, Y)のマッピングを含むLSNマッピングの例を考えてみましょう。
使用可能なオプションは次のように機能します。
- ENDPOINT-INDEPENDENT:同じ加入者的IPアドレスおよびポート(X, X)から任意の外部IPアドレスおよびポートに送信される後続のパケットに対して,LSNマッピングを再使用します。
- ADDRESS-DEPENDENT:外部ポートに関係なく,同じ加入者的IPアドレスおよびポート(X, X)から同じ外部IPアドレス(Y)に送信される後続のパケットに対してLSNマッピングを再使用します。
- ADDRESS-PORT-DEPENDENT:マッピングがアクティブな状態で,同じ内部IPアドレスおよびポート(X, X)から同じ外部IPアドレスおよびポート(Y, Y)に送信される後続のパケットに対してLSNマッピングを再使用します。
設定可能な値:与端点无关,依赖于地址,依赖于地址端口
デフォルト値:address-port-dependent
过滤
外部ホストから発信されたパケットに適用するフィルタのタ@ @プ。
加入者的IP:ポート(X, X), NAT IP:ポート(N: N),および外部ホストIP:ポート(Y, Y)のマッピングを含むLSNマッピングの例を考えてみましょう。
使用可能なオプションは次のように機能します。
- 端点独立:外部ホストのIPアドレスおよびポート送信元(Z: Z)に関係なく,加入者的IPアドレスおよびポートX: Xを宛先としないパケットだけをフィルタリングします。Citrix ADCアプラaapl . exeアンスは,X: X宛てのパケットをすべて転送します。つまり,任意の外部ホストから加入者へのパケットを許可するには,加入者から任意の外部IPアドレスへのパケットを送信するだけで十分です。
- 地址的依赖:加入者IPアドレスおよびポ,トX: Xを宛先としないパケットをフィルタリングします。さらに,クライアントがY: anyport(外部ポートに依存しない)にパケットを送信していない場合,アプライアンスはY: Yからのサブスクライバ(X, X)宛てのパケットをフィルタリングします。つまり,特定の外部ホストからパケットを受信するには,加入者が最初にその特定の外部ホストのIPアドレスにパケットを送信する必要があります。
- 地址端口相关(デフォルト):加入者のIPアドレスおよびポート(X, X)を宛先としないパケットをフィルタリングします。さらに,サブスクライバがY: Yにパケットを送信していない場合,Citrix ADCアプライアンスは,サブスクライバ宛のY: Y (X, X)からのパケットを除外します。つまり,特定の外部ホストからパケットを受信するには,加入者が最初にその外部IPアドレスおよびポートにパケットを送信する必要があります。
設定可能な値:与端点无关,依赖于地址,依赖于地址端口
デフォルト値:address-port-dependent
tcpproxy
tcpプロキシを有効にします。これにより,Citrix ADCアプライアンスはレイヤー4機能を使用してTCPトラフィックを最適化できます。
設定可能な値:启用,禁用
デフォルト値:無効
道明
LSNの実行後にCitrix ADCアプライアンスが送信トラフィックを送信するトラフィックドメインのID。
IDを指定しない場合,アプライアンスはIDが0のデフォルトのトラフィックドメインを介してアウトバウンドトラフィックを送信します。
デフォルト値:65535
最大値:65535
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
lsnappsprofileをバeprンドします
appsprofilename
LSNアプリケションプロファルの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNアプリケションプロファルの作成後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、”lsn application profile1”または’lsn application profile1’)。
これは必須の引数です。最大長:127
lsnport
加入者からの着信パケットの宛先ポ,トと照合するポ,ト番号またはポ,ト番号範囲。宛先ポトが一致すると,lsnアプリケションプロファルがlsnセッションに適用されます。ポトの範囲はハフンで区切ります。たとえば,40-90と指定します。
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
添加LSN组
groupname
LSNグル,プの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNグル,プの作成後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、”lsn group1” または”lsn group1”)。
これは必須の引数です。最大長:127
列出
LSNグルプに関連付けられるLSNクラアントエンティティの名前。LSNグルプに関連付けることができるLSNクラアントエンティティは1だけです。LSNグループが作成されると,この関連付けを削除したり,別のLSNクライアントエンティティに置き換えたりすることはできません。
これは必須の引数です。最大長:127
nattype
加入者のNAT IPアドレスおよびポート割り当て(バインドされたLSNプールからの)のタイプ。
使用可能なオプションは次のように機能します。
- 确定的(LSNグループにバインドされたLSNクライアントの)各加入者にNAT IPアドレスとポートブロックを割り当てます。Citrix ADCアプライアンスは,NATリソースをこれらのサブスクライバーに順番に割り当てます。Citrix ADCアプライアンスは、開始NAT IPアドレス上のポートの最初のブロック(LSNグループのポートブロックサイズパラメータによって決定されるブロックサイズ)を、開始サブスクライバIPアドレスに割り当てます。次の範囲のポートは、次のサブスクライバに割り当てられます。次のサブスクライバに対して十分なポートが NAT アドレスにないまで、次のサブスクライバに割り当てられます。この場合、次の NAT アドレスの最初のポートブロックがサブスクライバに使用されます。各加入者は、Deterministic NAT IP アドレスとポートブロックを受信するようになったため、ロギングを必要とせずに加入者を識別できます。接続の場合、加入者は NAT IP アドレスとポート、および宛先 IP アドレスとポートに基づいてのみ識別できます。
- 动态:加入者の接続に,ランダムなNAT IPアドレスとLSN NATプールからポートを割り当てます。(LSNプールで)ポートブロック割り当てが有効で,(LSNグループで)ポートブロックサイズが指定されている場合,Citrix ADCアプライアンスは,サブスクライバが初めて接続を開始するときに,ランダムなNAT IPアドレスとポートのブロックを割り当てます。アプライアンスは,この加入者からの異なる接続に,このNAT IPアドレスとポート(割り当てられたポートブロックから)を割り当てます。サブスクライバに割り当てられたポートブロックからすべてのポートが(異なるサブスクライバ接続に対して)割り当てられている場合,アプライアンスはサブスクライバに新しいランダムポートブロックを割り当てます。
設定可能な値:动态的,确定性的
デフォルト値:动态
portblocksize
各サブスクラaapl . net NATポaapl . net NATトブロックのサaapl . net NAT。
动态NATに対してこのパラメーターを設定するには,バインドされたLSNプールでポートブロック割り当てパラメーターを有効にする必要があります。确定性NATの場合,ポートブロック割り当てパラメータは常に有効であり,無効にできません。
动态NATでは,Citrix ADCアプライアンスは,NAT IPアドレスの使用可能なNATポートプールからランダムなNATポートブロックを各サブスクライバに割り当てます。サブスクライバの場合,サブスクライバに割り当てられたポートブロックからすべてのポートが割り当てられている場合,アプライアンスはサブスクライバに新しいランダムポートブロックを割り当てます。
日志记录
このLSNグル,プに対して作成または削除されたマッピングエントリとセッションのログ。Citrix ADCアプライアンスは、ロギングとセッションロギングの両方のパラメータが有効になっている場合にのみ、このLSNグループのLSNセッションをログに記録します。
アプライアンスは,既存のsyslogフレームワークと監査ログフレームワークを使用してLSN情報を記録します。関連するNSLOGアクションおよびSYLOGアクションエンティティでLSNパラメータを有効にして,グローバルレベルのLSNロギングを有効にする必要があります。日志パラメータを有効にすると,Citrix ADCアプライアンスは,このLSNグループのLSNマッピングおよびLSNセッションに関連するログメッセージを生成します。アプライアンスは,NSLOGアクションエンティティおよびSYSLOGアクションエンティティに関連付けられたサーバにこれらのログメッセージを送信します。
LSNマッピングエントリのログメッセ,ジは,次の情報で構成されます。
- Citrix ADCアプラaapl . exeアンスのNSIPアドレス
- タ▪ム
- エントリの種類(映射または会话)
- LSNマッピングエントリが作成または削除されるかどうか
- 加入者のIPアドレス,ポ,ト,およびトラフィックドメ
- NAT IPアドレスとポ,ト
- プロトコル名
- 次の条件によっては,宛先IPアドレス,ポート,およびトラフィックドメインIDが存在する場合があります。
- エンドポ@ @エンドポ@ @ントに依存しないマッピングの宛先IPアドレスとポ@ @トがログに記録されない
- アドレス依存マッピングの宛先IPアドレス(ポ,ト以外)のみがログに記録されます。
- 宛先IPアドレスおよびポトは,アドレス—ポト依存マッピングのログに記録されます。
設定可能な値:启用,禁用
デフォルト値:無効
sessionLogging
LSNグル,プに対して作成または削除されたログセッション。Citrix ADCアプライアンスは、ロギングとセッションロギングの両方のパラメータが有効になっている場合にのみ、このLSNグループのLSNセッションをログに記録します。
LSNセッションのログメッセ,ジは,次の情報で構成されます。
- Citrix ADCアプラaapl . exeアンスのNSIPアドレス
- タ▪ム
- エントリの種類(映射または会话)
- LSNセッションが作成または削除されるかどうか
- 加入者のIPアドレス,ポ,ト,およびトラフィックドメ
- NAT IPアドレスとポ,ト
- プロトコル名
- 宛先IPアドレス,ポ,ト,およびトラフィックドメ
設定可能な値:启用,禁用
デフォルト値:無効
sessionSync
高可用性(HA)展開では,このLSNグループに関連するすべてのLSNセッションの情報をセカンダリノードと同期します。フェールオーバー後,確立されたTCP接続とUDPパケットフローはアクティブに保たれ,セカンダリノード(新しいプライマリ)で再開されます。
この設定を有効にするには,グロ,バルセッション同期パラメ,タを有効にする必要があります。
設定可能な値:启用,禁用
デフォルト値:启用
snmptraplimit
LSNグル,プに対して生成できるSNMPトラップメッセ,ジの最大数。
デフォルト値:100
最小値:0
最大値:10000
ftp
FTPプロトコルのアプリケション層ゲトウェ(alg)を有効にします。アプリケ,ション層プロトコルによっては、IP アドレスとプロトコルポート番号は通常、パケットペイロードで通信されます。ALG として動作する場合、アプライアンスはパケットのペイロードを変更し、プロトコルが LSN 上で動作し続けるようにします。
注: Citrix ADCアプライアンスには,ICMPプロトコルとTFTPプロトコル用のALGも含まれています。ICMPプロトコルのALGはデフォルトで有効になっており,無効にするプロビジョニングはありません。TFTPプロトコルのalgは,デフォルトで無効になっています。ALGは,エンドポイント独立マッピング,エンドポイント独立フィルタリング,および宛先ポートを69 (TFTPの場合は既知のポート)として,UDP LSNアプリケーションプロファイルをLSNグループにバインドすると,LSNグループに対して自動的に有効になります。
設定可能な値:启用,禁用
デフォルト値:启用
パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
绑定LSN组
groupname
LSNグル,プの名前。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。LSNグル,プの作成後は変更できません。次の要件は,cliにのみ適用されます。名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(たとえば、”lsn group1” または”lsn group1”)。
これは必須の引数です。最大長:127
poolname
指定されたLSNグルプにバンドするLSNプルの名前。同じNATタプ設定のLSNプルとLSNグルプだけを1にバンドできます。複数LSNプルを1のLSNグルプにバンドできます。
确定性NATの場合,LSNグループにバインドされたプールは他のLSNグループにバインドできません。动态NATでは,LSNグループにバインドされたプールを複数のLSNグループにバインドできます。最大長:127
transportprofilename
指定されたLSNグルプにバンドするLSNトランスポトプロファルの名前。設定を指定するプロトコルごとにプロファ▪▪ルをバ▪▪ンドします。
デフォルトでは,TCP, UDP,およびICMPプロトコルのデフォルト設定を持つ1つのLSNトランスポートプロファイルは,作成時にLSNグループにバインドされます。このプロファ@ @ルは,デフォルトのトランスポ@ @トと呼ばれます。
LSNグループにバインドしたLSNトランスポートプロファイルは,そのプロトコルのデフォルトのLSNトランスポートプロファイルを上書きします。最大長:127
appsprofilename
指定されたLSNグルプにバンドするLSNアプリケションプロファルの名前。宛先ポトのセットごとに,設定を指定するプロトコルごとにプロファルをバンドします。
デフォルトでは,すべての宛先ポートのTCP、UDP,およびICMPプロトコルのデフォルト設定を持つ1つのLSNアプリケーションプロファイルは,作成時にLSNグループにバインドされます。このプロファ▪▪ルは,デフォルトのアプリケ▪▪ションプロファ▪▪ルと呼ばれます。
指定された宛先ポートセットを持つLSNアプリケーションプロファイルをLSNグループにバインドすると,バインドされたプロファイルは,その宛先ポートのセットでそのプロトコルのデフォルトのLSNアプリケーションプロファイルを上書きします。最大長:127
この記事の概要
- コマンドラ▪▪ン▪▪ンタ▪フェ▪▪スを使用した設定
- 設定ユ,ティリティを使用した設定
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)
- パラメ,タの説明(cliプロシ,ジャにリストされているコマンド)