LSN的配置步骤
在Citrix ADC设备上配置LSN包括以下任务:
- 设置全局LSN参数。全局参数包括在高可用性设置中为LSN功能预留的Citrix ADC内存量以及LSN会话的同步。
- 创建LSN客户端实体并将订阅者绑定到它。LSN客户端实体是希望 Citrix ADC设备对其执行 LSN的通信的一组订阅服务器。客户端实体包括用于识别订阅者的 IPv4地址和扩展 国际计算语言学协会规则。LSN客户端只能绑定到一个 LSN组。命令行界面具有两个命令,用于创建 LSN客户端实体并将订阅者绑定到 LSN客户端实体。配置实用程序将这两个操作组合在一个屏幕上。
- 创建 LSN池并将 NAT IP地址绑定到该池。LSN池定义了 Citrix ADC设备用于执行 LSN的 NAT IP地址池。池被分配参数,如端口块分配和 纳特类型(确定性或动态)。绑定到 LSN组的 LSN池应用于绑定到同一组的 LSN客户端实体的所有订阅者。只有具有相同 纳特类型设置的 LSN池和 LSN组可以绑定在一起。多个 LSN池可以绑定到一个 LSN组。对于动态 纳特池可以绑定到多个 LSN组。对于确定性 纳特绑定到 LSN组的池不能绑定到其他 LSN组。命令行界面具有两个命令,用于创建 LSN池并将 NAT IP地址绑定到 LSN池。配置实用程序将这两个操作组合在一个屏幕上。
- (可选)为指定协议创建LSN传输配置文件。LSN传输配置文件定义了订阅者对于给定协议可以拥有的各种超时和限制,例如最大 LSN会话和最大端口使用率。为每个协议(TCP、UDP)和 (ICMP)的 LSN传输配置文件绑定到 LSN组。配置文件可以绑定到多个 LSN组。绑定到 LSN组的配置文件应用于绑定到同一组的 LSN客户端的所有订阅者。默认情况下,具有 TCP、UDP和 ICMP协议默认设置的 LSN传输配置文件在创建过程中绑定到 LSN组。此配置文件称为默认传输配置文件。绑定到 LSN组的 LSN传输配置文件将覆盖该协议的默认 LSN传输配置文件。
- (可选)为指定协议创建LSN应用程序配置文件并将一组目标端口绑定到该协议。LSN应用程序配置文件为给定协议和一组目标端口定义组的 LSN映射和 LSN筛选控件。对于一组目标端口,您将每个协议(TCP、UDP)和 (ICMP)的 LSN配置文件绑定到 LSN组。配置文件可以绑定到多个 LSN组。绑定到 LSN组的 LSN应用程序配置文件应用于绑定到同一组的 LSN客户端的所有订阅者。默认情况下,具有针对所有目标端口的 TCP、UDP和 ICMP协议的默认设置的 LSN应用程序配置文件将在其创建期间绑定到 LSN组。此配置文件称为默认应用程序配置文件。将具有指定目标端口集的 LSN应用程序配置文件绑定到 LSN组时,绑定配置文件将覆盖该目标端口集上该协议的默认 LSN应用程序配置文件。命令行界面具有两个命令,用于创建 LSN应用程序配置文件并将一组目标端口绑定到 LSN应用程序配置文件。配置实用程序将这两个操作组合在一个屏幕上。
- 创建LSN组并将LSN池(可选)LSN传输配置文件和(可选)LSN应用程序配置文件绑定到LSN组。LSN组是由 LSN客户端、LSN池、LSN传输配置文件和 LSN应用程序配置文件组成的实体。为组分配参数,例如端口块大小和 LSN会话的日志记录。参数设置应用于绑定到 LSN组的 LSN客户端的所有订阅服务器。只有具有相同 纳特类型设置的 LSN池和 LSN组可以绑定在一起。多重 LSN池可以绑定到 LSN组。对于动态 纳特池可以绑定到多个 LSN组。对于确定性 纳特绑定到 LSN组的池不能绑定到其他 LSN组。只有一个 LSN客户端实体可以绑定到 LSN组,并绑定到 LSN组的 LSN客户端实体不能绑定到其他 LSN组。命令行界面具有两个命令,用于创建 LSN组和将 LSN池、LSN传输配置文件、LSN应用程序配置文件绑定到 LSN组。配置实用程序将这两个操作组合在一个屏幕中。
下表列出了可在 Citrix ADC设备上创建的不同 LSN实体和绑定的最大数量。这些限制还取决于 Citrix ADC设备上的可用内存。
| LSN实体和绑定 | 限制 |
|---|---|
| LSN客户端 | 1024 |
| LSN池 | 128 |
| LSN组 | 1024 |
| 可绑定到 LSN客户端的订阅者网络 | 64 |
| 可绑定到LSN客户端的扩展ACL | 1024 |
| 池中的NAT IP地址 | 4096 |
| 可绑定到LSN组的LSN池 | 8. |
| 可以使用相同的LSN池的LSN组 | 16 |
| 可绑定到LSN组的LSN传输配置文件 | 3(TCP、UDP)和 ICMP协议各一个) |
| 可以使用相同的 LSN传输配置文件的 LSN组 | 8. |
| 可绑定到LSN组的LSN应用程序配置文件 | 64 |
| 可以使用相同的LSN应用程序配置文件的LSN组 | 8. |
| 可绑定到LSN应用程序配置文件的端口范围 | 8. |
使用命令行界面进行配置
使用命令行界面创建LSN客户端
在命令提示符下,键入:
添加lsn客户端<客户端名称>显示lsn客户端<!--NeedCopy-->使用命令行界面将网络地址或 国际计算语言学协会规则绑定到 LSN客户端
在命令提示符下,键入:
绑定LSN client ((-network [-netmask ] [-td]) | -aclname ) show LSN client 使用命令行界面创建 LSN池
在命令提示符下,键入:
添加lsn池[-nattype(动态|确定性)][-portblockallocation(已启用|已禁用)][-portrealloctimeout][-maxPortReallocTmq]显示lsn池<!--NeedCopy--> 使用命令行界面将 知识产权地址范围绑定到 LSN池
在命令提示符下,键入:
绑定lsn池显示lsn池<!--NeedCopy--> 注意:要从LSN池中删除LSN IP地址,请使用解开LSN池命令。
使用命令行界面创建LSN传输配置文件
在命令提示符下,键入:
添加lsn transportprofile < transportprofilename > < transportprotocol > [-sessiontimeout <秒>][-finrsttimeout <秒>][-portquota < positive_integer >] [-sessionquota < positive_integer >] [-portpreserveparity(启用|禁用)][-portpreserverange(启用|禁用)][-syncheck(启用|禁用)]显示lsn transportprofile < !——NeedCopy >使用命令行界面创建 LSN应用程序配置文件
在命令提示符下,键入:
add lsn appsprofile [-ippooling (PAIRED | RANDOM))] [-mapping ] [-filtering ][-tcpproxy (ENABLED | DISABLED)] [-td ] show lsn appsprofile 使用命令行界面将应用程序协议端口范围绑定到 LSN应用程序配置文件
在命令提示符下,键入:
绑定lsn appsprofile显示lsn appsprofile<!--NeedCopy--> 使用命令行界面创建LSN组
在命令提示符下,键入:
添加lsn组< groupname >列出<字符串> [-nattype(动态|确定性)][-portblocksize < positive_integer >][日志(启用|禁用)][-sessionLogging(启用|禁用)][-sessionSync(启用|禁用)][-snmptraplimit < positive_integer >] [ftp(启用|禁用)]显示lsn组< !——NeedCopy >使用命令行界面将 LSN配置文件和 LSN池绑定到 LSN组
在命令提示符下,键入:
绑定lsn组(-poolname|-transportprofilename|-appsprofilename)显示lsn组<!--NeedCopy--> 使用配置实用程序进行配置
使用配置实用程序配置LSN客户端并绑定IPv4网络地址或ACL规则
导航到“系统”>“大规模 纳特”>“客户端”,然后添加客户端,然后将IPv4网络地址或ACL规则绑定到客户端。
使用配置实用程序配置LSN池并绑定NAT IP地址
导航到 “系统” > “大规模 纳特“>”池”,然后添加池,然后将NAT IP地址或一系列NAT IP地址绑定到池。
使用配置实用程序配置LSN传输配置文件
- 导航到系统 > 大规模 纳特>配置文件。
- 在详细信息窗格上,单击传输选项卡,然后添加传输配置文件。
使用配置实用程序配置 LSN应用程序配置文件
- 导航到系统 > 大规模 纳特>配置文件。
- 在详细信息窗格上,单击“应用程序“选项卡,然后添加应用程序配置文件。
使用配置实用程序配置 LSN组并绑定 LSN客户端、池、传输配置文件和应用程序配置文件
导航到“系统”>“大规模NAT”>“组”,然后添加组,然后将LSN客户端,池,传输配置文件和应用程序配置文件绑定到该组。
参数描述(CLI)过程中列出的命令)
添加lsn客户端
客户名称
LSN客户端实体的名称。必须以 ASCII码字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII码字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN客户端后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn客户端1”或“lsn客户端1”)
这是一个强制性的论点。最大长度:127
参数描述(CLI)过程中列出的命令)
绑定lsn客户
客户名称
LSN客户端实体的名称。必须以 ASCII码字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII码字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN客户端后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn客户端1”或“lsn客户端1”)
这是一个强制性的论点。最大长度:127
网络
您希望 Citrix ADC设备对其流量执行大型 纳特的 LSN订阅者或订阅者网络的 IPv4地址。
子网掩码
网络参数中指定的 IPv4地址的子网掩码。
默认值:255.255.255.255
道明
此订阅者或订阅者网络(由网络参数指定)所属的流量域的ID。
如果未指定 身份证件订阅者或订阅者网络将成为默认流量域的一部分。
默认值:0
最小值:0
最大值:4094
阿克勒名称
其操作为“允许”的任何已配置扩展ACL的名称。扩展ACL规则中指定的条件标识来自Citrix ADC设备要对其执行大型NAT的LSN订阅者的流量。最大长度:127
参数描述(CLI)过程中列出的命令)
添加lsn池
池名
LSN池的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN池后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn pool1”或“lsn pool1”)。
这是一个强制性的论点。最大长度:127
纳特型
为订阅者(绑定到LSN组的LSN客户端实体)的NAT IP地址和端口分配类型(从绑定到LSN组的LSN池):
可用选项功能如下:
确定性— 为每个订阅者(绑定到 LSN组的 LSN客户端)分配 NAT IP地址和端口块。Citrix ADC设备按顺序将 纳特资源分配给这些订阅服务器。Citrix ADC设备将初始 NAT IP地址上的第一个端口块(块大小由 LSN组的端口块大小参数确定)分配给初始订阅者 知识产权地址。下一个端口范围分配给下一个订阅者,依此类推,直到 纳特地址没有足够的端口供下一个订阅者使用。在这种情况下,下一个 纳特地址上的第一个端口块用于订阅服务器,依此类促。由于每个订阅者现在都会收到一个确定性的 NAT IP地址和一个端口块,因此可以识别订阅者,而无需任何日志记录。对于连接,只能根据 NAT IP地址和端口以及目标 知识产权地址和端口来识别订阅者。
动态— 从 LSN NAT池中为订阅者连接分配随机 NAT IP地址和端口。如果启用了端口块分配(在 LSN池中)并指定了端口块大小(在 LSN组中),Citrix ADC设备会在首次启动连接时为订阅者分配随机 NAT IP地址和端口块。设备会为此订阅服务器的不同连接分配此 NAT IP地址和端口(来自已分配的端口块)。如果从已分配的订阅服务器端口块中分配了所有端口(针对不同的订阅服务器连接),则设备会为订阅服务器分配一个新的随机端口块。只有具有相同 纳特类型设置的 LSN池和 LSN组可以绑定在一起。多重 LSN池可以绑定到 LSN组。
可能的值:动态、确定性
默认值:动态
端口块分配
当 纳特分配设置为动态 纳特时,从 NAT IP地址的可用 纳特端口池中为每个订阅者分配随机 纳特端口块。对于从订阅者启动的任何连接,Citrix ADC设备将从已分配 纳特端口块的订阅者分配 纳特端口以创建 LSN会话。
必须在绑定 LSN组中设置端口块大小。对于订阅服务器,如果所有端口都是从已分配的订阅服务器端口块中分配的,Citrix ADC设备会为订阅服务器分配一个新的随机端口块。
对于确定性NAT,默认情况下此参数处于启用状态,您无法禁用此参数。
可能的值:启用、禁用
默认值: 禁用
本地超时
解除LSN NAT端口(当LSN映射被删除时)和重新分配它们为新的LSN会话之间的等待时间(以秒为单位)。为了防止旧映射和新映射和会话之间的冲突,必须使用此参数。它确保所有已建立的会话都被破坏,而不是重定向到不同的订阅者。这不适用于以下中使用的端口:
- 确定性 纳特
- 地址相关过滤和地址端口相关过滤
- 具有端口块分配的动态NAT
在这些情况下,将立即重新分配端口。
默认值:0
最大值:600
maxPortReallocTmq
端口重新分配超时适用于每个NAT IP地址的最大端口数。换句话说,重新分配超时适用于每个NAT IP地址的最大解除端口队列大小。
当队列大小已满时,将立即为新的LSN会话重新分配下一个解除分配的端口。
默认值:65536
最大值:65536
参数描述(CLI)过程中列出的命令)
绑定lsn池
池名
LSN池的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN池后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn pool1”或“lsn pool1”)。
这是一个强制性的论点。最大长度:127
利斯普
IPv4地址或一系列 IPv4地址用作 LSN的 NAT IP地址。
创建池后,这些IPv4地址将作为Citrix ADC拥有的LSN类型的IP地址添加到Citrix ADC设备中。与LSN池关联的LSN IP地址不能与其他LSN池共享。为此参数指定的IP地址必须与Citrix ADC拥有的任何IP地址一样存在于Citrix ADC设备上。在命令行界面中,用连字符分隔范围。例如:10.102.29.30-10.102.29.189。您可以稍后从池中删除部分或全部LSN IP地址,并将IP地址添加到LSN池。
参数描述(CLI)过程中列出的命令)
添加lsn transportprofile
transportprofilename
LSN传输配置文件的名称。必须以ASCII字母数字或下划线(_)字符开的头,并且必须仅包含ASCII字母数字,下划线,哈希(#),句点(.),空格,冒号(:),位于(@),等于(=)和连字符(-)。创建LSN传输配置文件后无法更改。以下要求仅适用于CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn运输profile1”或“lsn运输profile1”)。
这是一个强制性的论点。最大长度:127
transportprotocol
要为其设置 LSN传输配置文件参数的协议。
这是一个强制性的论点。
可能的值:TCP、UDP、ICMP
会话超时
空闲 LSN会话的超时(以秒为单位)。如果 LSN会话处于空闲状态超过此值的时间,Citrix ADC设备将删除该会话。
从任一端点收到鳍或RST消息时,此超时不适用于TCP LSN会话。
默认值:120
最小值:60
发现超时
从其中一个端点收到鳍或RST消息后,TCP LSN会话的超时(以秒为单位)。
如果TCP LSN会话处于空闲状态(Citrix ADC设备收到鳍或RST消息后)超过此值,Citrix ADC设备将删除该会话。
由于 Citrix ADC设备的 LSN功能不会维护任何 TCP LSN会话的状态信息,因此此超时可容纳 鳍或 RST以及来自其他端点的 阿克消息的传输,以便两个端点都可以正确关闭连接。
默认值:30
端口配额
每个订阅者为指定协议一次使用的LSN NAT端口的最大数量。例如,每个订阅者最多可以限制为500个TCP NAT端口。当订阅者的LSN NAT映射达到限制时,Citrix ADC设备不会为该订阅者分配其他NAT端口。
默认值:0
最小值:0
最大值:65535
会议配额
指定协议的每个订阅者允许的最大并发LSN会话数。当LSN会话数达到订阅者的限制时,Citrix ADC设备不允许订阅者打开其他会话。
默认值:0
最小值:0
最大值:65535
端口保存平价
启用订阅服务器端口与其映射的LSN NAT端口之间的端口奇偶校验。例如,如果订阅者从奇数端口启动连接,Citrix ADC设备将为此连接分配奇数LSN NAT端口。您必须设置此参数,以便使要求源端口为偶数或奇数编号的协议正常运行,例如,在使用RTP或媒体服务器协议的对等应用程序中。
可能的值:启用、禁用
默认值: 禁用
端口保护区
如果订阅者从已知端口 (0-1023) 启动连接,请为此连接分配已知端口范围 (0-1023) 的 纳特端口。例如,如果订阅者从端口 80启动连接,Citrix ADC设备可以将端口 100分配为此连接的 纳特端口。
此参数适用于不分配端口块的动态 纳特如果分配的端口范围包括已知端口,则它也适用于确定性 纳特
当所有可用 NAT IP地址的所有已知端口在不同的订阅服务器连接(LSN)会话)中使用,并且订阅服务器从已知端口启动连接时,Citrix ADC设备将删除此连接。
可能的值:启用、禁用
默认值: 禁用
同步
以静默方式删除 Citrix ADC设备上没有 LSN-NAT会话的连接的任何非 SYN数据包。
如果禁用此参数,Citrix ADC设备将接受任何非SYN数据包,并为此连接创建新的LSN会话条目。
以下是Citrix ADC设备接收此类数据包的一些原因:
- 存在连接的LSN会话,但Citrix ADC设备删除了此会话,因为LSN会话处于空闲状态超过配置的会话超时时间。
- 这些数据包可能是 磁盘操作系统攻击的一部分。
可能的值:启用、禁用
默认值:启用
参数描述(CLI)过程中列出的命令)
添加lsn appsprofile
appsprofilename
LSN应用程序配置文件的名称。必须以 ASCII码字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII码字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN应用程序配置文件后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn应用程序配置文件1”或“lsn应用程序配置文件1”)
这是一个强制性的论点。最大长度:127
transportprotocol
应用此LSN应用程序配置文件的参数的协议的名称。
这是一个强制性的论点。
可能的值:TCP、UDP、ICMP
共用
与同一订阅者关联的会话的 NAT IP地址分配选项。
可用选项功能如下:
- 配对-Citrix ADC设备为与同一订阅服务器关联的所有会话分配相同的 NAT IP地址。在 LSN会话中使用 NAT IP地址的所有端口时(对于相同或多个订阅者),Citrix ADC设备会删除订阅者的任何新连接。
- R@@安多姆——Citrix ADC设备从池中为与同一订阅者关联的不同会话分配随机NAT IP地址。
此参数仅适用于动态NAT分配。
可能的值:配对、随机
默认值:随机的
映射
LSN映射的类型应用于来自同一订阅者IP地址和端口的后续数据包。
考虑 LSN映射的示例,其中包括订阅者 知识产权:端口 (X:X)、NAT IP:端口 (N:N)和外部主机 知识产权:端口 (Y:Y)的映射。
可用选项功能如下:
- 端点独立— 对从相同的订阅者 知识产权地址和端口 (X:X)发送到任何外部 知识产权地址和端口的后续数据包重复使用 LSN映射。
- 地址相关,对从相同的订阅者IP地址和端口(X, X)发送到同一外部IP地址(Y)的后续数据包重复使用LSN映射,而不考虑外部端口。
- 地址端口相关——在映射仍处于活动状态时,对从相同的内部 知识产权地址和端口 (X:X)发送到相同的外部 知识产权地址和端口 (Y:Y)的后续数据包重复使用 LSN映射。
可能的值:ENDPOINT-INDEPENDENT ADDRESS-DEPENDENT ADDRESS-PORT-DEPENDENT
默认值:地址端口相关
过滤
应用于源自外部主机的数据包的筛选器类型。
考虑 LSN映射的示例,其中包括订阅者 知识产权:端口 (X:X)、NAT IP:端口 (N:N)和外部主机 知识产权:端口 (Y:Y)的映射。
可用选项功能如下:
- 无论外部主机IP地址和端口X: X,仅筛选出未发往订阅者IP地址和端口X: X的数据包,而不考虑外部主机IP地址和端口源(z: z)。Citrix ADC设备将任何数据包转发到X: X。换句话说,从订阅者发送数据包到任何外部IP地址就足以允许从任何外部主机发送数据包到订阅者。
- 地址相关——筛选出不发往订阅者IP地址和端口x: x的数据包。此外,如果客户端以前没有将数据包发送到Y: Anyport(与外部端口无关),则设备会筛选出Y: Y发送给订阅者(X, X)的数据包。换句话说,接收来自特定外部主机的数据包需要订阅者首先将数据包发送到该特定外部主机的IP地址。
- 依赖于端口的地址(默认)— 筛选出不发往订阅者 知识产权地址和端口 (X:X)的数据包。此外,如果订阅者以前未向 Y:Y发送数据包,Citrix ADC设备会筛选出发往订阅者 (X:X)的 Y:Y中的数据包。换句话说,接收来自特定外部主机的数据包需要订阅者首先将数据包发送到该外部 知识产权地址和端口。
可能的值:ENDPOINT-INDEPENDENT ADDRESS-DEPENDENT ADDRESS-PORT-DEPENDENT
默认值:地址端口相关
特别代理
启用 传输控制协议代理,这使 Citrix ADC设备能够通过使用第 4.层功能优化 传输控制协议流量。
可能的值:启用、禁用
默认值: 禁用
道明
Citrix ADC设备在执行 LSN后发送出站流量所通过的流量域的 身份证件
如果未指定ID、设备将通过ID为0的默认流量域发送出站流量。
默认值:65535
最大值:65535
参数描述(CLI)过程中列出的命令)
绑定lsn appsprofile
appsprofilename
LSN应用程序配置文件的名称。必须以 ASCII码字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII码字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN应用程序配置文件后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn应用程序配置文件1”或“lsn应用程序配置文件1”)
这是一个强制性的论点。最大长度:127
在斯波特
端口号或端口号范围,以匹配来自订阅者的传入数据包的目标端口。当目标端口匹配时,LSN应用程序配置文件将应用于 LSN会话。用连字符分隔一系列端口。例如,40-90。
参数描述(CLI)过程中列出的命令)
添加lsn组
groupname
LSN组的名称。必须以 ASCII码字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII码字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN组后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn组1”或“lsn组1”)
这是一个强制性的论点。最大长度:127
客户名称
要与LSN组关联的LSN客户端实体的名称。您只能将一个LSN客户端实体与LSN组关联。创建LSN组后,您无法删除此关联或替换为其他LSN客户端实体。
这是一个强制性的论点。最大长度:127
纳特型
订阅者的NAT IP地址和端口分配类型(来自绑定LSN池):
可用选项功能如下:
- 确定性— 为每个订阅者(绑定到 LSN组的 LSN客户端)分配 NAT IP地址和端口块。Citrix ADC设备按顺序将 纳特资源分配给这些订阅服务器。Citrix ADC设备将初始 NAT IP地址上的第一个端口块(块大小由 LSN组的端口块大小参数确定)分配给初始订阅者 知识产权地址。下一个端口范围分配给下一个订阅者,依此类推,直到 纳特地址没有足够的端口供下一个订阅者使用。在这种情况下,下一个 纳特地址上的第一个端口块用于订阅服务器,依此类促。由于每个订阅者现在都会收到一个确定性的 NAT IP地址和一个端口块,因此可以识别订阅者,而无需任何日志记录。对于连接,只能根据 NAT IP地址和端口以及目标 知识产权地址和端口来识别订阅者。
- 动态— 为订阅者的连接分配随机 NAT IP地址和 LSN NAT池中的端口。如果启用了端口块分配(在 LSN池中)并指定了端口块大小(在 LSN组中),Citrix ADC设备会在首次启动连接时为订阅者分配随机 NAT IP地址和端口块。设备会为此订阅服务器的不同连接分配此 NAT IP地址和端口(来自已分配的端口块)。如果从已分配的订阅服务器端口块中分配了所有端口(针对不同的订阅服务器连接),则设备会为订阅服务器分配一个新的随机端口块。
可能的值:动态、确定性
默认值:动态
端口块大小
要为每个订阅者分配的NAT端口块的大小。
若要为动态NAT设置此参数,必须在绑定LSN池中启用端口块分配参数。对于确定性NAT,端口块分配参数始终处于启用状态,您无法禁用该参数。
在动态 纳特中,Citrix ADC设备从 NAT IP地址的可用 纳特端口池中为每个订阅者分配随机 纳特端口块。对于订阅者,如果所有端口都是从已分配的订阅者端口块中分配的,则设备会为订阅者分配一个新的随机端口块。
日志记录
为此 LSN组创建或删除的日志映射条目和会话。Citrix ADC设备仅在同时启用日志记录和会话日志记录参数时记录此 LSN组的 LSN会话。
设备使用其现有的系统日志和审核日志框架来记录 LSN信息。您必须通过在相关的 NSLOG操作和 SYLOG操作实体中启用 LSN参数来启用全局级 LSN日志记录。启用日志记录参数后,Citrix ADC设备会生成与此 LSN组的 LSN映射和 LSN会话相关的日志消息。然后,设备将这些日志消息发送到与 NSLOG操作和 系统日志操作实体关联的服务器。
LSN映射条目的日志消息包含以下信息:
- Citrix ADC设备的NSIP地址
- 时间戳
- 条目类型(映射或会话)
- 是创建还是删除 LSN映射条目
- 订阅者的 知识产权地址、端口和流量域 身份证件
- NAT IP地址和端口
- 协议名称
- 可能存在目标IP地址,端口和流量域ID,具体取决于以下条件:
- 不记录与端点点无关的映射的目标 知识产权地址和端口
- 仅记录与地址相关的映射目标IP地址(而不是端口)
- 将记录目标IP地址和端口以进行与地址端口相关的映射
可能的值:启用、禁用
默认值: 禁用
会话记录
为 LSN组创建或删除的日志会话。Citrix ADC设备仅在同时启用日志记录和会话日志记录参数时记录此 LSN组的 LSN会话。
LSN会话的日志消息包含以下信息:
- Citrix ADC设备的NSIP地址
- 时间戳
- 条目类型(映射或会话)
- 是创建还是删除LSN会话
- 订阅者的 知识产权地址、端口和流量域 身份证件
- NAT IP地址和端口
- 协议名称
- 目标 知识产权地址、端口和流量域 身份证件
可能的值:启用、禁用
默认值: 禁用
会话同步
在高可用性(HA)部署中,将与此LSN组相关的所有LSN会话的信息与辅助节点同步。故障转移后,已建立的TCP连接和UDP数据包流保持活动状态并在辅助节点(新主节点)上恢复。
要使此设置工作,必须启用全局会话同步参数。
可能的值:启用、禁用
默认值:启用
自然资源
可以在一分钟内为 LSN组生成的 SNMP陷阱邮件的最大数量。
默认值:100
最小值:0
最大值:10000
文件传输协议
为 文件传输协议协议启用应用程序层网关 (ALG)对于某些应用程序层协议,知识产权地址和协议端口号通常在数据包有效负载中进行通信。充当 ALG时,设备会更改数据包负载,以确保协议继续通过 LSN工作。
注意:Citrix ADC设备还包括适用于 ICMP和 TFTP协议的 阿尔格默认情况下,ICMP协议的 ALG处于启用状态,并且没有设置禁用该协议。默认情况下,TFTP协议的 ALG处于禁用状态。当您将 UDP LSN应用程序配置文件绑定到 LSN组时,系统会自动为 LSN组启用 ALG(具有端点独立映射、与端点无关的筛选和目标端口为 69(TFTP的已知端口)。
可能的值:启用、禁用
默认值:启用
参数描述(CLI)过程中列出的命令)
绑定lsn组
groupname
LSN组的名称。必须以 ASCII码字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII码字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN组后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn组1”或“lsn组1”)
这是一个强制性的论点。最大长度:127
池名
要绑定到指定LSN组的LSN池的名称。只有具有相同NAT类型设置的LSN池和LSN组可以绑定在一起。多重LSN池可以绑定到LSN组。
对于确定性NAT,绑定到LSN组的池不能绑定到其他LSN组。对于动态NAT,绑定到LSN组的池可以绑定到多个LSN组。最大长度:127
transportprofilename
要绑定到指定 LSN组的 LSN传输配置文件的名称。为要为其指定设置的每个协议绑定配置文件。
默认情况下,具有 TCP、UDP和 ICMP协议默认设置的 LSN传输配置文件在创建过程中绑定到 LSN组。此配置文件称为默认传输。
绑定到 LSN组的 LSN传输配置文件将覆盖该协议的默认 LSN传输配置文件。最大长度:127
appsprofilename
要绑定到指定LSN组的LSN应用程序配置文件的名称。对于每组目标端口,请为要指定设置的每个协议绑定一个配置文件。
默认情况下,具有针对所有目标端口的TCP、UDP和ICMP协议的默认设置的LSN应用程序配置文件将在其创建期间绑定到LSN组。此配置文件称为默认应用程序配置文件。
将具有指定目标端口集的 LSN应用程序配置文件绑定到 LSN组时,绑定配置文件将覆盖该目标端口集上该协议的默认 LSN应用程序配置文件。最大长度:127