LSN的配置步骤
在Citrix ADC设备上配置LSN包括以下任务:
- 设置全局LSN参数。全局参数包括在高可用性设置中为LSN功能预留的Citrix ADC内存量以及LSN会话的同步。
- 创建LSN客户端实体并将订阅者绑定到它。LSN客户端实体是希望Citrix ADC设备对其执行LSN的通信的一组订阅服务器。客户端实体包括用于识别订阅者的IPv4地址和扩展ACL规则。LSN客户端只能绑定到一个LSN组。命令行界面具有两个命令,用于创建LSN客户端实体并将订阅者绑定到LSN客户端实体。配置实用程序将这两个操作组合在一个屏幕上。
- 创建LSN池并将NAT IP地址绑定到该池。LSN池定义了Citrix ADC设备用于执行LSN的NAT IP地址池。池被分配参数,如端口块分配和NAT类型(确定性或动态)。绑定到LSN组的LSN池应用于绑定到同一组的LSN客户端实体的所有订阅者。只有具有相同NAT类型设置的LSN池和LSN组可以绑定在一起。多个LSN池可以绑定到一个LSN组。对于动态nat, lsn池可以绑定到多个lsn组。对于确定性nat,绑定到LSN组的池不能绑定到其他LSN组。命令行界面具有两个命令,用于创建LSN池并将NAT IP地址绑定到LSN池。配置实用程序将这两个操作组合在一个屏幕上。
- (可选)为指定协议创建LSN传输配置文件。LSN传输配置文件定义了订阅者对于给定协议可以拥有的各种超时和限制,例如最大LSN会话和最大端口使用率。为每个协议(tcp, udp和icmp)的LSN传输配置文件绑定到LSN组。配置文件可以绑定到多个LSN组。绑定到LSN组的配置文件应用于绑定到同一组的LSN客户端的所有订阅者。默认情况下,具有TCP、UDP和ICMP协议默认设置的LSN传输配置文件在创建过程中绑定到LSN组。此配置文件称为默认传输配置文件。绑定到LSN组的LSN传输配置文件将覆盖该协议的默认LSN传输配置文件。
- (可选)为指定协议创建LSN应用程序配置文件并将一组目标端口绑定到该协议。LSN应用程序配置文件为给定协议和一组目标端口定义组的LSN映射和LSN筛选控件。对于一组目标端口,您将每个协议(TCP、UDP和ICMP)的LSN配置文件绑定到LSN组。配置文件可以绑定到多个LSN组。绑定到LSN组的LSN应用程序配置文件应用于绑定到同一组的LSN客户端的所有订阅者。默认情况下,具有针对所有目标端口的TCP、UDP和ICMP协议的默认设置的LSN应用程序配置文件将在其创建期间绑定到LSN组。此配置文件称为默认应用程序配置文件。将具有指定目标端口集的LSN应用程序配置文件绑定到LSN组时,绑定配置文件将覆盖该目标端口集上该协议的默认LSN应用程序配置文件。命令行界面具有两个命令,用于创建LSN应用程序配置文件并将一组目标端口绑定到LSN应用程序配置文件。配置实用程序将这两个操作组合在一个屏幕上。
- 创建LSN组并将LSN池(可选)LSN传输配置文件和(可选)LSN应用程序配置文件绑定到LSN组。LSN组是由LSN客户端,LSN池,LSN传输配置文件和LSN应用程序配置文件组成的实体。为组分配参数,例如端口块大小和LSN会话的日志记录。参数设置应用于绑定到LSN组的LSN客户端的所有订阅服务器。只有具有相同NAT类型设置的LSN池和LSN组可以绑定在一起。多重LSN池可以绑定到LSN组。对于动态nat, lsn池可以绑定到多个lsn组。对于确定性nat,绑定到LSN组的池不能绑定到其他LSN组。只有一个LSN客户端实体可以绑定到LSN组,并绑定到LSN组的LSN客户端实体不能绑定到其他LSN组。命令行界面具有两个命令,用于创建LSN组和将LSN池,LSN传输配置文件,LSN应用程序配置文件绑定到LSN组。配置实用程序将这两个操作组合在一个屏幕中。
下表列出了可在Citrix ADC设备上创建的不同LSN实体和绑定的最大数量。这些限制还取决于Citrix ADC设备上的可用内存。
| LSN实体和绑定 | 限制 |
|---|---|
| LSN客户端 | 1024 |
| LSN池 | 128 |
| LSN组 | 1024 |
| 可绑定到LSN客户端的订阅者网络 | 64 |
| 可绑定到LSN客户端的扩展acl | 1024 |
| 池中的NAT IP地址 | 4096 |
| 可绑定到LSN组的LSN池 | 8 |
| 可以使用相同的LSN池的LSN组 | 16 |
| 可绑定到LSN组的LSN传输配置文件 | 3(tcp, udp和icmp协议各一个) |
| 可以使用相同的LSN传输配置文件的LSN组 | 8 |
| 可绑定到LSN组的LSN应用程序配置文件 | 64 |
| 可以使用相同的LSN应用程序配置文件的LSN组 | 8 |
| 可绑定到LSN应用程序配置文件的端口范围 | 8 |
使用命令行界面进行配置
使用命令行界面创建LSN客户端
在命令提示符下,键入:
Add LSN client show LSN client 使用命令行界面将网络地址或acl规则绑定到LSN客户端
在命令提示符下,键入:
绑定LSN客户端 ((-network [-netmask ] [-td]) | -aclname ) show LSN客户端 使用命令行界面创建LSN池
在命令提示符下,键入:
add lsn pool [-nattype (DYNAMIC | DETERMINISTIC)] [-portblockallocation (ENABLED | DISABLED)] [-portrealloctimeout ] [-maxPortReallocTmq ] show lsn pool 使用命令行界面将IP地址范围绑定到LSN池
在命令提示符下,键入:
绑定LSN池 show LSN池 注意:要从LSN池中删除LSN IP地址,请使用解绑定LSN池命令。
使用命令行界面创建LSN传输配置文件
在命令提示符下,键入:
add lsn transportprofile [-sessiontimeout ] [-finrsttimeout ] [-portquota ] [-sessionquota ] [- portpreserverparity (ENABLED | DISABLED)] [-portpreserverange (ENABLED | DISABLED)] [-syncheck (ENABLED | DISABLED)] show lsn transportprofile 使用命令行界面创建LSN应用程序配置文件
在命令提示符下,键入:
add lsn appsprofile [-ippooling (PAIRED | RANDOM)] [-mapping ] [-filtering ][-tcpproxy (ENABLED | DISABLED)] [-td ] show lsn appsprofile 使用命令行界面将应用程序协议端口范围绑定到LSN应用程序配置文件
在命令提示符下,键入:
Bind LSN appsprofile show LSN appsprofile 使用命令行界面创建LSN组
在命令提示符下,键入:
add lsn group -clientname [-nattype (DYNAMIC |DETERMINISTIC)][-portblocksize ] [-logging (ENABLED | DISABLED)][-sessionLogging (ENABLED | DISABLED)][-sessionSync (ENABLED | DISABLED)][-snmptraplimit ] [-ftp (ENABLED | DISABLED)] show lsn group 使用命令行界面将LSN配置文件和LSN池绑定到LSN组
在命令提示符下,键入:
绑定LSN组 (-poolname | -transportprofilename | -appsprofilename ) show LSN组 使用配置实用程序进行配置
使用配置实用程序配置LSN客户端并绑定IPv4网络地址或ACL规则
导航到”系统“>”大规模NAT“>”客户端”,然后添加客户端,然后将IPv4网络地址或ACL规则绑定到客户端。
使用配置实用程序配置LSN池并绑定NAT IP地址
导航到”系统" > "大规模NAT“>”池,然后添加池,然后将NAT IP地址或一系列NAT IP地址绑定到池。
使用配置实用程序配置LSN传输配置文件
- 导航到系统>大规模NAT >配置文件。
- 在详细信息窗格上,单击传输选项卡,然后添加传输配置文件。
使用配置实用程序配置LSN应用程序配置文件
- 导航到系统>大规模NAT >配置文件。
- 在详细信息窗格上,单击”应用程序选项卡,然后添加应用程序配置文件。
使用配置实用程序配置LSN组并绑定LSN客户端,池,传输配置文件和应用程序配置文件
导航到”系统" > "大规模nat " > "组",然后添加组,然后将LSN客户端,池,传输配置文件和应用程序配置文件绑定到该组。
参数描述(cli过程中列出的命令)
添加LSN客户端
列出
LSN客户端实体的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN客户端后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn client1”或“lsn client1”)。
这是一个强制性的论点。最大长度:127
参数描述(cli过程中列出的命令)
绑定LSN客户端
列出
LSN客户端实体的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN客户端后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn client1”或“lsn client1”)。
这是一个强制性的论点。最大长度:127
网络
您希望Citrix ADC设备对其流量执行大型NAT的LSN订阅者或订阅者网络的IPv4地址。
子网掩码
网络参数中指定的IPv4地址的子网掩码。
默认值:255.255.255.255
道明
此订阅者或订阅者网络(由网络参数指定)所属的流量域的id。
如果未指定id,订阅者或订阅者网络将成为默认流量域的一部分。
默认值:0
最小值:0
最大值:4094
阿克勒名称
其操作为"允许"的任何已配置扩展acl的名称。扩展ACL规则中指定的条件标识来自Citrix ADC设备要对其执行大型NAT的LSN订阅者的流量。最大长度:127
参数描述(cli过程中列出的命令)
添加LSN池
poolname
LSN池的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN池后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn pool1”或“lsn pool1”)。
这是一个强制性的论点。最大长度:127
nattype
为订阅者(绑定到LSN组的LSN客户端实体)的NAT IP地址和端口分配类型(从绑定到LSN组的LSN池):
可用选项功能如下:
确定性-为每个订阅者(绑定到LSN组的LSN客户端)分配NAT IP地址和端口块。Citrix ADC设备按顺序将NAT资源分配给这些订阅服务器。Citrix ADC设备将初始 NAT IP 地址上的第一个端口块(块大小由 LSN 组的端口块大小参数确定)分配给初始订阅者 IP 地址。下一个端口范围分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。在这种情况下,下一个 NAT 地址上的第一个端口块用于订阅服务器,依此类促。由于每个订阅者现在都会收到一个确定性的 NAT IP 地址和一个端口块,因此可以识别订阅者,而无需任何日志记录。对于连接,只能根据 NAT IP 地址和端口以及目标 IP 地址和端口来识别订阅者。
动态-从LSN NAT池中为订阅者连接分配随机NAT IP地址和端口。如果启用了端口块分配(在LSN池中)并指定了端口块大小(在LSN组中),Citrix ADC设备会在首次启动连接时为订阅者分配随机NAT IP地址和端口块。设备会为此订阅服务器的不同连接分配此NAT IP地址和端口(来自已分配的端口块)。如果从已分配的订阅服务器端口块中分配了所有端口(针对不同的订阅服务器连接),则设备会为订阅服务器分配一个新的随机端口块。只有具有相同NAT类型设置的LSN池和LSN组可以绑定在一起。多重LSN池可以绑定到LSN组。
可能的值:动态的,确定性的
默认值:动态
端口块分配
当NAT分配设置为动态NAT时,从NAT IP地址的可用NAT端口池中为每个订阅者分配随机NAT端口块。对于从订阅者启动的任何连接,Citrix ADC设备将从已分配NAT端口块的订阅者分配NAT端口以创建LSN会话。
必须在绑定LSN组中设置端口块大小。对于订阅服务器,如果所有端口都是从已分配的订阅服务器端口块中分配的,Citrix ADC设备会为订阅服务器分配一个新的随机端口块。
对于确定性nat,默认情况下此参数处于启用状态,您无法禁用此参数。
可能的值:启用,禁用
默认值: 禁用
本地超时
解除LSN NAT端口(当LSN映射被删除时)和重新分配它们为新的LSN会话之间的等待时间(以秒为单位)。为了防止旧映射和新映射和会话之间的冲突,必须使用此参数。它确保所有已建立的会话都被破坏,而不是重定向到不同的订阅者。这不适用于以下中使用的端口:
- 确定性NAT
- 地址相关过滤和地址端口相关过滤
- 具有端口块分配的动态NAT
在这些情况下,将立即重新分配端口。
默认值:0
最大值:600
maxPortReallocTmq
端口重新分配超时适用于每个NAT IP地址的最大端口数。换句话说,重新分配超时适用于每个NAT IP地址的最大解除端口队列大小。
当队列大小已满时,将立即为新的LSN会话重新分配下一个解除分配的端口。
默认值:65536
最大值:65536
参数描述(cli过程中列出的命令)
绑定LSN池
poolname
LSN池的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN池后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn pool1”或“lsn pool1”)。
这是一个强制性的论点。最大长度:127
利斯普
IPv4地址或一系列IPv4地址用作LSN的NAT IP地址。
创建池后,这些IPv4地址将作为Citrix ADC拥有的LSN类型的IP地址添加到Citrix ADC设备中。与LSN池关联的LSN IP地址不能与其他LSN池共享。为此参数指定的IP地址必须与Citrix ADC拥有的任何IP地址一样存在于Citrix ADC设备上。在命令行界面中,用连字符分隔范围。例如:10.102.29.30-10.102.29.189。您可以稍后从池中删除部分或全部LSN IP地址,并将IP地址添加到LSN池。
参数描述(cli过程中列出的命令)
添加LSN transportprofile
transportprofilename
LSN传输配置文件的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN传输配置文件后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn运输profile1”或“lsn运输profile1”)。
这是一个强制性的论点。最大长度:127
transportprotocol
要为其设置LSN传输配置文件参数的协议。
这是一个强制性的论点。
可能的值:tcp、udp、icmp
会话超时
空闲LSN会话的超时(以秒为单位)。如果LSN会话处于空闲状态超过此值的时间,Citrix ADC设备将删除该会话。
从任一端点收到fin或RST消息时,此超时不适用于TCP LSN会话。
默认值:120
最小值:60
发现超时
从其中一个端点收到fin或RST消息后,tcp LSN会话的超时(以秒为单位)。
如果TCP LSN会话处于空闲状态(Citrix ADC设备收到鳍或RST消息后)超过此值,Citrix ADC设备将删除该会话。
由于Citrix ADC设备的LSN功能不会维护任何TCP LSN会话的状态信息,因此此超时可容纳鳍或RST以及来自其他端点的ACK消息的传输,以便两个端点都可以正确关闭连接。
默认值:30
端口配额
每个订阅者为指定协议一次使用的LSN NAT端口的最大数量。例如,每个订阅者最多可以限制为500个TCP NAT端口。当订阅者的LSN NAT映射达到限制时,Citrix ADC设备不会为该订阅者分配其他NAT端口。
默认值:0
最小值:0
最大值:65535
会议配额
指定协议的每个订阅者允许的最大并发LSN会话数。当LSN会话数达到订阅者的限制时,Citrix ADC设备不允许订阅者打开其他会话。
默认值:0
最小值:0
最大值:65535
端口保存平价
启用订阅服务器端口与其映射的LSN NAT端口之间的端口奇偶校验。例如,如果订阅者从奇数端口启动连接,Citrix ADC设备将为此连接分配奇数LSN NAT端口。您必须设置此参数,以便使要求源端口为偶数或奇数编号的协议正常运行,例如,在使用RTP或媒体服务器协议的对等应用程序中。
可能的值:启用,禁用
默认值: 禁用
端口保护区
如果订阅者从已知端口(0 - 1023)启动连接,请为此连接分配已知端口范围(0 - 1023)的NAT端口。例如,如果订阅者从端口80年启动连接,Citrix ADC设备可以将端口100分配为此连接的NAT端口。
此参数适用于不分配端口块的动态nat。如果分配的端口范围包括已知端口,则它也适用于确定性nat。
当所有可用NAT IP地址的所有已知端口在不同的订阅服务器连接(LSN会话)中使用,并且订阅服务器从已知端口启动连接时,Citrix ADC设备将删除此连接。
可能的值:启用,禁用
默认值: 禁用
同步
以静默方式删除Citrix ADC设备上没有LSN-NAT会话的连接的任何非SYN数据包。
如果禁用此参数,Citrix ADC设备将接受任何非SYN数据包,并为此连接创建新的LSN会话条目。
以下是Citrix ADC设备接收此类数据包的一些原因:
- 存在连接的LSN会话,但Citrix ADC设备删除了此会话,因为LSN会话处于空闲状态超过配置的会话超时时间。
- 这些数据包可能是DoS攻击的一部分。
可能的值:启用,禁用
默认值:启用
参数描述(cli过程中列出的命令)
添加LSN appsprofile
appsprofilename
LSN应用程序配置文件的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN应用程序配置文件后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn应用profile1”或“lsn应用profile1”)。
这是一个强制性的论点。最大长度:127
transportprotocol
应用此LSN应用程序配置文件的参数的协议的名称。
这是一个强制性的论点。
可能的值:tcp、udp、icmp
共用
与同一订阅者关联的会话的NAT IP地址分配选项。
可用选项功能如下:
- 配对- Citrix ADC设备为与同一订阅服务器关联的所有会话分配相同的NAT IP地址。在LSN会话中使用NAT IP地址的所有端口时(对于相同或多个订阅者),Citrix ADC设备会删除订阅者的任何新连接。
- R@@andom- Citrix ADC设备从池中为与同一订阅者关联的不同会话分配随机NAT IP地址。
此参数仅适用于动态NAT分配。
可能的值:配对、随机
默认值:随机
映射
LSN映射的类型应用于来自同一订阅者IP地址和端口的后续数据包。
考虑LSN映射的示例,其中包括订阅者IP:端口(X, X), NAT IP:端口(N: N)和外部主机IP:端口(Y, Y)的映射。
可用选项功能如下:
- 端点独立——对从相同的订阅者IP地址和端口(X, X)发送到任何外部IP地址和端口的后续数据包重复使用LSN映射。
- 地址相关,对从相同的订阅者IP地址和端口(X, X)发送到同一外部IP地址(Y)的后续数据包重复使用LSN映射,而不考虑外部端口。
- 地址端口相关-在映射仍处于活动状态时,对从相同的内部IP地址和端口(X, X)发送到相同的外部IP地址和端口(Y, Y)的后续数据包重复使用LSN映射。
可能的值:与端点无关,依赖于地址,依赖于地址端口
默认值:address-port-dependent
过滤
应用于源自外部主机的数据包的筛选器类型。
考虑LSN映射的示例,其中包括订阅者IP:端口(X, X), NAT IP:端口(N: N)和外部主机IP:端口(Y, Y)的映射。
可用选项功能如下:
- 无论外部主机IP地址地址和端口X: X,仅筛选出未发往订阅者IP地址和端口X: X的数据包,而不考虑外部主机IP地址和端口源(z: z)。Citrix ADC设备将任何数据包转发到X: X。换句话说,从订阅者发送数据包到任何外部IP地址就足以允许从任何外部主机发送数据包到订阅者。
- 地址相关-筛选出不发往订阅者IP地址和端口x: x的数据包。此外,如果客户端以前没有将数据包发送到Y: Anyport(与外部端口无关),则设备会筛选出Y: Y发送给订阅者(X, X)的数据包。换句话说,接收来自特定外部主机的数据包需要订阅者首先将数据包发送到该特定外部主机的IP地址。
- 依赖于端口的地址(默认)-筛选出不发往订阅者IP地址和端口(X: X)的数据包。此外,如果订阅者以前未向Y: Y发送数据包,Citrix ADC设备会筛选出发往订阅者(X, X)的Y: Y中的数据包。换句话说,接收来自特定外部主机的数据包需要订阅者首先将数据包发送到该外部IP地址和端口。
可能的值:与端点无关,依赖于地址,依赖于地址端口
默认值:address-port-dependent
特别代理
启用TCP代理,这使Citrix ADC设备能够通过使用第4层功能优化TCP流量。
可能的值:启用,禁用
默认值: 禁用
道明
Citrix ADC设备在执行LSN后发送出站流量所通过的流量域的ID。
如果未指定id,设备将通过id为0的默认流量域发送出站流量。
默认值:65535
最大值:65535
参数描述(cli过程中列出的命令)
绑定LSN appsprofile
appsprofilename
LSN应用程序配置文件的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN应用程序配置文件后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn应用profile1”或“lsn应用profile1”)。
这是一个强制性的论点。最大长度:127
在斯波特
端口号或端口号范围,以匹配来自订阅者的传入数据包的目标端口。当目标端口匹配时,lsn应用程序配置文件将应用于lsn会话。用连字符分隔一系列端口。例如,40-90。
参数描述(cli过程中列出的命令)
添加LSN组
groupname
LSN组的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN组后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn group1”或“lsn group1”)。
这是一个强制性的论点。最大长度:127
列出
要与LSN组关联的LSN客户端实体的名称。您只能将一个LSN客户端实体与LSN组关联。创建LSN组后,您无法删除此关联或替换为其他LSN客户端实体。
这是一个强制性的论点。最大长度:127
nattype
订阅者的NAT IP地址和端口分配类型(来自绑定LSN池):
可用选项功能如下:
- 确定性-为每个订阅者(绑定到LSN组的LSN客户端)分配NAT IP地址和端口块。Citrix ADC设备按顺序将NAT资源分配给这些订阅服务器。Citrix ADC设备将初始 NAT IP 地址上的第一个端口块(块大小由 LSN 组的端口块大小参数确定)分配给初始订阅者 IP 地址。下一个端口范围分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。在这种情况下,下一个 NAT 地址上的第一个端口块用于订阅服务器,依此类促。由于每个订阅者现在都会收到一个确定性的 NAT IP 地址和一个端口块,因此可以识别订阅者,而无需任何日志记录。对于连接,只能根据 NAT IP 地址和端口以及目标 IP 地址和端口来识别订阅者。
- 动态-为订阅者的连接分配随机NAT IP地址和LSN NAT池中的端口。如果启用了端口块分配(在LSN池中)并指定了端口块大小(在LSN组中),Citrix ADC设备会在首次启动连接时为订阅者分配随机NAT IP地址和端口块。设备会为此订阅服务器的不同连接分配此NAT IP地址和端口(来自已分配的端口块)。如果从已分配的订阅服务器端口块中分配了所有端口(针对不同的订阅服务器连接),则设备会为订阅服务器分配一个新的随机端口块。
可能的值:动态的,确定性的
默认值:动态
端口块大小
要为每个订阅者分配的NAT端口块的大小。
若要为动态NAT设置此参数,必须在绑定LSN池中启用端口块分配参数。对于确定性nat,端口块分配参数始终处于启用状态,您无法禁用该参数。
在动态NAT中,Citrix ADC设备从NAT IP地址的可用NAT端口池中为每个订阅者分配随机NAT端口块。对于订阅者,如果所有端口都是从已分配的订阅者端口块中分配的,则设备会为订阅者分配一个新的随机端口块。
日志记录
为此LSN组创建或删除的日志映射条目和会话。Citrix ADC设备仅在同时启用日志记录和会话日志记录参数时记录此 LSN 组的 LSN 会话。
设备使用其现有的系统日志和审核日志框架来记录LSN信息。您必须通过在相关的NSLOG操作和SYLOG操作实体中启用LSN参数来启用全局级LSN日志记录。启用日志记录参数后,Citrix ADC设备会生成与此LSN组的LSN映射和LSN会话相关的日志消息。然后,设备将这些日志消息发送到与nslog操作和syslog操作实体关联的服务器。
LSN映射条目的日志消息包含以下信息:
- Citrix ADC设备的NSIP地址
- 时间戳
- 条目类型(映射或会话)
- 是创建还是删除LSN映射条目
- 订阅者的IP地址,端口和流量域id
- NAT IP地址和端口
- 协议名称
- 可能存在目标IP地址,端口和流量域id,具体取决于以下条件:
- 不记录与端点点无关的映射的目标IP地址地址和端口
- 仅记录与地址相关的映射目标IP地址(而不是端口)
- 将记录目标IP地址地址和端口以进行与地址端口相关的映射
可能的值:启用,禁用
默认值: 禁用
sessionLogging
为LSN组创建或删除的日志会话。Citrix ADC设备仅在同时启用日志记录和会话日志记录参数时记录此 LSN 组的 LSN 会话。
LSN会话的日志消息包含以下信息:
- Citrix ADC设备的NSIP地址
- 时间戳
- 条目类型(映射或会话)
- 是创建还是删除LSN会话
- 订阅者的IP地址,端口和流量域id
- NAT IP地址和端口
- 协议名称
- 目标IP地址,端口和流量域id
可能的值:启用,禁用
默认值: 禁用
会话同步
在高可用性(ha)部署中,将与此LSN组相关的所有LSN会话的信息与辅助节点同步。故障转移后,已建立的TCP连接和udp数据包流保持活动状态并在辅助节点(新主节点)上恢复。
要使此设置工作,必须启用全局会话同步参数。
可能的值:启用,禁用
默认值:启用
自然资源
可以在一分钟内为LSN组生成的SNMP陷阱邮件的最大数量。
默认值:100
最小值:0
最大值:10000
FTP
为FTP协议启用应用程序层网关(alg)。对于某些应用程序层协议,ip地址和协议端口号通常在数据包有效负载中进行通信。充当alg时,设备会更改数据包负载,以确保协议继续通过LSN工作。
注意:Citrix ADC设备还包括适用于ICMP和TFTP协议的ALG。默认情况下,icmp协议的alg处于启用状态,并且没有设置禁用该协议。默认情况下,tftp协议的alg处于禁用状态。当您将UDP LSN应用程序配置文件绑定到LSN组时,系统会自动为LSN组启用ALG(具有端点独立映射,与端点无关的筛选和目标端口为69 (TFTP的已知端口)。
可能的值:启用,禁用
默认值:启用
参数描述(cli过程中列出的命令)
绑定LSN组
groupname
LSN组的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN组后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn group1”或“lsn group1”)。
这是一个强制性的论点。最大长度:127
poolname
要绑定到指定LSN组的LSN池的名称。只有具有相同NAT类型设置的LSN池和LSN组可以绑定在一起。多重LSN池可以绑定到LSN组。
对于确定性nat,绑定到LSN组的池不能绑定到其他LSN组。对于动态nat,绑定到LSN组的池可以绑定到多个LSN组。最大长度:127
transportprofilename
要绑定到指定LSN组的LSN传输配置文件的名称。为要为其指定设置的每个协议绑定配置文件。
默认情况下,具有TCP、UDP和ICMP协议默认设置的LSN传输配置文件在创建过程中绑定到LSN组。此配置文件称为默认传输。
绑定到LSN组的LSN传输配置文件将覆盖该协议的默认LSN传输配置文件。最大长度:127
appsprofilename
要绑定到指定LSN组的LSN应用程序配置文件的名称。对于每组目标端口,请为要指定设置的每个协议绑定一个配置文件。
默认情况下,具有针对所有目标端口的TCP、UDP和ICMP协议的默认设置的LSN应用程序配置文件将在其创建期间绑定到LSN组。此配置文件称为默认应用程序配置文件。
将具有指定目标端口集的LSN应用程序配置文件绑定到LSN组时,绑定配置文件将覆盖该目标端口集上该协议的默认LSN应用程序配置文件。最大长度:127