DS-Lite の設定
Citrix ADCアプライアンスのDS-lite構成では、LSNコマンドセットが使用されます。DS-Lite 構成では、LSN クライアントエンティティは、B4 デバイスからのトラフィックを識別するための IPv6 アドレス、IPv6 ネットワークアドレス、または ACL6 ルールを指定します。Citrix ADC LSN機能の詳細については、「大規模NAT」を参照してください。DS-Lite構成には、Citrix ADCアプライアンス上のDS-Lite AFTRコンポーネントのIPv6アドレス(SNIP6タイプ)を指定するIPv6プロファイルも含まれています。
Citrix ADCアプライアンスでDS-Liteを構成するには、次の作業を行います。
グローバル LSN パラメータを設定します。グローバルパラメーターには、LSN機能用に予約されているCitrix ADCメモリの量と、高可用性セットアップでのLSNセッションの同期が含まれます。
- B4 CPE デバイスからのトラフィックを識別するための LSN クライアントエンティティを作成します。LSN クライアントエンティティは、DS-Lite B4 デバイスのセットを参照します。クライアントエンティティには、これらの B4 デバイスからのトラフィックを識別するための IPv6 アドレス、IPv6 ネットワークアドレス、または ACL6 ルールが含まれます。LSN クライアントは、1 つの LSN グループにしかバインドできません。コマンドラインインターフェイスには、LSN クライアントエンティティを作成し、加入者を LSN クライアントエンティティにバインドするための 2 つのコマンドがあります。構成ユーティリティーは、これら 2 つの操作を 1 つの画面にまとめます。
- LSN プールを作成し、NAT IP アドレスをバインドします。NAT IPLSNプールは、LSNを実行するためにCitrix ADCアプライアンスが使用するNAT IPアドレスのプールを定義します。 コマンドラインインターフェイスには、LSN プールを作成し、NAT IP アドレスを LSN プールにバインドするための 2 つのコマンドがあります。構成ユーティリティーは、これら 2 つの操作を 1 つの画面にまとめます。
- LSN IP6 プロファイルを作成します。LSN IP6プロファイルは、Citrix ADCアプライアンス上のDS-Lite AFTRコンポーネントのIPv6アドレスを定義します。IPv6アドレスは、種類SNIP6のCitrix ADCが所有するIPv6アドレスのいずれかである必要があります。
- (オプション)指定したプロトコルの LSN トランスポートプロファイルを作成します。LSN トランスポートプロファイルでは、加入者が特定のプロトコルに対して持つことのできる LSN セッションの最大数やポートの最大使用量など、さまざまなタイムアウトと制限を定義します。各プロトコル (TCP、UDP、および ICMP) の LSN トランスポートプロファイルを LSN グループにバインドします。プロファイルは、複数の LSN グループにバインドできます。LSN グループにバインドされたプロファイルは、同じグループにバインドされた LSN クライアントのすべてのサブスクライバに適用されます。デフォルトでは、TCP、UDP、および ICMP プロトコルのデフォルト設定を持つ 1 つの LSN トランスポートプロファイルは、作成時に LSN グループにバインドされます。このプロファイルは、デフォルトのトランスポートプロファイルと呼ばれます。LSN グループにバインドした LSN トランスポートプロファイルは、そのプロトコルのデフォルトの LSN トランスポートプロファイルを上書きします。
- (オプション)指定したプロトコルの LSN アプリケーションプロファイルを作成し、宛先ポートのセットをそれにバインドします。LSN アプリケーションプロファイルは、特定のプロトコルおよび一連の宛先ポートのグループの LSN マッピングおよび LSN フィルタリングコントロールを定義します。一連の宛先ポートでは、各プロトコル(TCP、UDP、および ICMP)の LSN プロファイルを LSN グループにバインドします。プロファイルは、複数の LSN グループにバインドできます。LSN グループにバインドされた LSN アプリケーションプロファイルは、同じグループにバインドされた LSN クライアントのすべてのサブスクライバに適用されます。デフォルトでは、すべての宛先ポートの TCP、UDP、および ICMP プロトコルのデフォルト設定を持つ 1 つの LSN アプリケーションプロファイルは、作成時に LSN グループにバインドされます。このプロファイルは、デフォルトのアプリケーションプロファイルと呼ばれます。指定された宛先ポートセットを持つ LSN アプリケーションプロファイルを LSN グループにバインドすると、バインドされたプロファイルは、その宛先ポートのセットでそのプロトコルのデフォルトの LSN アプリケーションプロファイルを上書きします。コマンドラインインターフェイスには、LSN アプリケーションプロファイルを作成し、一連の宛先ポートを LSN アプリケーションプロファイルにバインドするための 2 つのコマンドがあります。構成ユーティリティーは、これら 2 つの操作を 1 つの画面にまとめます。
- LSN グループを作成し、LSN プール、LSN IPv6 プロファイル、(オプション)LSN トランスポートプロファイル、および(オプション)LSN アプリケーションプロファイルを LSN グループにバインドします。LSN グループは、LSN クライアント、LSN IPv6 プロファイル、LSN プール、LSN トランスポートプロファイル、および LSN アプリケーションプロファイルで構成されるエンティティです。グループには、ポートブロックサイズや LSN セッションのロギングなどのパラメータが割り当てられます。パラメータ設定は、LSN グループにバインドされた LSN クライアントのすべてのサブスクライバに適用されます。LSN グループにバインドできるのは 1 つの LSN IPv6 プロファイルだけです。LSN グループにバインドされた LSN IPv6 プロファイルは他の LSN グループにバインドできません。同じ NAT タイプ設定の LSN プールと LSN グループだけを 1 つにバインドできます。複数 LSN プールを 1 つの LSN グループにバインドできます。LSN グループ 1 つの LSN クライアントエンティティのみにバインドでき、LSN グループにバインドされた LSN クライアントエンティティは他の LSN グループにバインドできません。コマンドラインインターフェイスには、LSN グループを作成し、LSN プール、LSN トランスポートプロファイル、および LSN アプリケーションプロファイルを LSN グループにバインドするための 2 つのコマンドがあります。構成ユーティリティーは、これら 2 つの操作を 1 つの画面にまとめます。
コマンドラインを使用した設定
コマンドラインインターフェイスを使用して LSN クライアントを作成するには、次の手順を実行します。
コマンドプロンプトで入力します。
add lsn client show lsn client コマンドラインインターフェイスを使用して IPv6 ネットワークまたは ACL6 ルールを LSN クライアントにバインドするには、次の手順を実行します。
コマンドプロンプトで入力します。
bind lsn client (-network6 | -acl6name ) show lsn client コマンドラインインターフェイスを使用して LSN プールを作成するには、次の手順を実行します。
コマンドプロンプトで入力します。
add lsn pool [-nattype ( DYNAMIC )] [-portblockallocation ( ENABLED | DISABLED )] [-portrealloctimeout ] [-maxPortReallocTmq ] show lsn pool コマンドラインインターフェイスを使用して IP アドレス範囲を LSN プールにバインドするには、次の手順を実行します。
コマンドプロンプトで入力します。
bind lsn pool show lsn pool 注:LSN プールから LSN IP アドレスを削除するには、unbind lsn pool コマンドを使用します。
コマンドラインインターフェイスを使用して LSN IPv6 プロファイルを構成するには、次の手順を実行します。
コマンドプロンプトで入力します。
add lsn ip6profile –type DS-Lite –network6 < ipv6_addr|*s > show lsn ip6profile コマンドラインインターフェイスを使用して LSN トランスポートプロファイルを作成するには、次の手順を実行します。
コマンドプロンプトで入力します。
add lsn transportprofile [-sessiontimeout ] [-finrsttimeout ] [-portquota ] [-sessionquota ] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )] show lsn transportprofile コマンドラインインターフェイスを使用して LSN アプリケーションプロファイルを作成するには、次の手順を実行します。
コマンドプロンプトで入力します。
add lsn appsprofile [-ippooling (PAIRED | RANDOM )] [-mapping ] [-filtering ][-tcpproxy ( ENABLED | DISABLED )] [-td ] show lsn appsprofile コマンドラインインターフェイスを使用して、アプリケーションプロトコルポート範囲を LSN アプリケーションプロファイルにバインドするには、次の手順を実行します。
コマンドプロンプトで入力します。
bind lsn appsprofile show lsn appsprofile コマンドラインインターフェイスを使用して LSN グループを作成するには、次の手順を実行します。
コマンドプロンプトで入力します。
add lsn group -clientname [-nattype ( DYNAMIC )] [-portblocksize ] [-logging (ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync ( ENABLED | DISABLED )] [-snmptraplimit] [-ftp ( ENABLED | DISABLED )] [-pptp ( ENABLED |DISABLED )] [-sipalg ( ENABLED | DISABLED )] [-rtspalg ( ENABLED |DISABLED )] [-ip6profile ] show lsn group コマンドラインインターフェイスを使用して LSN プロトコルプロファイルと LSN プールを LSN グループにバインドするには、次の手順を実行します。
コマンドプロンプトで入力します。
bind lsn group (-poolname | -transportprofilename | -httphdrlogprofilename | -appsprofilename | -sipalgprofilename | rtspalgprofilename ) show lsn group 構成ユーティリティを使用した構成
構成ユーティリティを使用して LSN クライアントを構成し、IPv6 ネットワークアドレスまたは ACL6 ルールをバインドするには、次の手順を実行します。
[システム] >[大規模NAT]> [クライアント] に移動し、クライアントを追加し、IPv6 ネットワークアドレスまたは ACL6 ルールをクライアントにバインドします。
設定ユーティリティを使用して LSN プールを設定し、NAT IP アドレスをバインドするには、次の手順を実行します。
[システム] > [大規模NAT] > [プール] に移動し、プールを追加し、NAT IP アドレスまたは NAT IP アドレスの範囲をプールにバインドします。
構成ユーティリティを使用して LSN IPv6 プロファイルを構成するには、次の手順を実行します。
[システム] > [大規模NAT] > [プロファイル] に移動し、[IPv6] タブをクリックして、DS-Lite AFTR に IPv6 アドレスを割り当てます。
構成ユーティリティを使用して LSN トランスポートプロファイルを構成するには、次の手順を実行します。
- [システム] > [大規模NAT] > [プロファイル] に移動します。
- 詳細ウィンドウで、[トランスポート] をクリックし、トランスポートプロファイルを追加します。
構成ユーティリティを使用して LSN アプリケーションプロファイルを構成するには、次の手順を実行します。
- [システム] > [大規模NAT] > [プロファイル] に移動します。
- 詳細ウィンドウで、[アプリケーション] をクリックし、アプリケーションプロファイルを追加します。
構成ユーティリティを使用して LSN グループを構成し、LSN クライアント、LSN IPv6 プロファイル、プール、トランスポートプロファイル、およびアプリケーションプロファイルをバインドするには、次の手順を実行します。
[システム] >[大規模NAT]> [グループ] に移動し、グループを追加してから、LSN クライアント、LSN IPv6 プロファイル、プール、トランスポートプロファイル、およびアプリケーションプロファイルをグループにバインドします。
>添加lsn客户LSN-DSLITE-CLIENT-1做>绑定lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100 Done > add lsn pool LSN-DSLITE-POOL-1 Done > bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70 Done > add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6 Done > add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1 Done > add lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1 Doneds liteのロギングとモニタリング
DS-Lite 情報をログに記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。Citrix ADCアプライアンスは、DS-Lite情報をログに記録するためのLSNロギング機能をすべてサポートしています。DS-Lite ロギングを構成するには、「LSNのロギングとモニタリング」で説明した LSN ロギングを設定する手順を使用します。
DS-Lite LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (MAPPING)
- DS-Lite LSN マッピングエントリが作成または削除されたかどうか
- B4のIPv6アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が存在する場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートはログに記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピングのログに記録されます。
DS-Lite セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (SESSION)
- DS-Lite セッションが作成されるか、削除されるか
- B4のIPv6アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表に、構成済みのログサーバに保存されている各タイプの DS-Lite ログエントリの例を示します。これらのログエントリは、NSIPアドレスが10.102.37.115.Citrix ADCアプライアンスによって生成されます。DS-Lite情報をログに記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。Citrix ADCアプライアンスは、DS-Lite情報をログに記録するためのLSNロギング機能をすべてサポートしています。DS-Lite ロギングを構成するには、「LSNのロギングとモニタリング」で説明した LSN ロギングを設定する手順を使用します。
DS-Lite LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (MAPPING)
- DS-Lite LSN マッピングエントリが作成または削除されたかどうか
- B4のIPv6アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が存在する場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートはログに記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピングのログに記録されます。
DS-Lite セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (SESSION)
- DS-Lite セッションが作成されるか、削除されるか
- B4のIPv6アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表に、構成済みのログサーバに保存されている各タイプの DS-Lite ログエントリの例を示します。これらのログエントリは、NSIP アドレスが 10.102.37.115 であるCitrix ADC アプライアンスによって生成されます。
| LSN ログエントリタイプ | サンプルログエントリ |
| DS-Lite セッションの作成 | Local4。信息10.102.37.115 08/14/2015:13:35:38 GMT 0-PPE-1 : default LSN LSN_SESSION 37647607 0 : SESSION CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol:TCP |
| DS-Lite セッションの削除 | Local4。信息10.102.37.115 08/14/2015:13:38:22 GMT 0-PPE-1 : default LSN LSN_SESSION 37647617 0 : SESSION DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol: TCP |
| DS-Lite LSNマッピングの作成 | Local4。信息10.102.37.115 08/14/2015:13:35:39 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647610 0 : EIM CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
| DS-Lite LSN マッピングの削除 | Local4。信息10.102.37.115 08/14/2015:13:38:25 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647618 0 : EIM DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
現在の DS-Lite セッションの表示
Citrix ADCアプライアンス上の不要なセッションや非効率的なセッションを検出するために、現在のDS-Liteセッションを表示できます。選択パラメータに基づいて、すべてまたは一部の DS-Lite セッションを表示できます。
コマンドラインインターフェイスを使用した設定
コマンド・ライン・インタフェースを使用してすべてのDS-Liteセッションを表示するには:
コマンドプロンプトで入力します。
show lsn session –nattype DS-Lite コマンド・ライン・インタフェースを使用して、選択したDS-Liteセッションを表示するには:
コマンドプロンプトで入力します。
show lsn session –nattype DS-Lite [-clientname ] [-network [-netmask ] [-td ]] [-natIP [-natPort ]] 例:
次の出力例は、Citrix ADCアプライアンス上に存在するすべてのDS-Liteセッションを表示します。
show lsn session –nattype DS-Lite B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir 1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT 2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT 3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT 4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT Done 設定ユーティリティを使用した設定
構成ユーティリティを使用してすべての DS-Lite セッションまたは選択した DS-Lite セッションを表示するには
- [システム] > [ **大規模NAT] > [セッション] に移動し, (* * ds lite]タブをクリックします。
- 選択パラメータに基づいてDS-Liteセッションを表示するには、「検索」をクリックします。
DS-Lite セッションのクリア
不要なDS-Liteセッションや非効率的なセッションをCitrix ADCアプライアンスから削除できます。アプライアンスは、これらのセッションに割り当てられたリソース(NAT IPアドレス、ポート、メモリなど)をただちに解放し、リソースを新しいセッションで使用できるようにします。アプライアンスは、これらの削除されたセッションに関連する後続のパケットもすべてドロップします。Citrix ADCアプライアンスから、すべてまたは選択したDS-Liteセッションを削除できます。
コマンドラインインターフェイスを使用してすべてのDS-Liteセッションをクリアするには:
コマンドプロンプトで入力します。
flush lsn session –nattype DS-Liteshow lsn session –nattype DS-Lite
コマンド・ライン・インタフェースを使用して、選択した DS-Lite セッションをクリアするには:
コマンドプロンプトで入力します。
flush lsn session –nattype DS-Lite [-clientname ] [-network [-netmask ] [-td ]] [-natIP [-natPort ]] show lsn session –nattype DS-Lite 構成ユーティリティを使用してすべての DS-Lite セッションまたは選択した DS-Lite セッションをクリアするには、次の手順を実行します。
- システムに移動>大規模NAT>セッションをクリックし、[DS-Lite]タブをクリックします。
- [セッションのフラッシュ] をクリックします。