Citrix ADC

Großes NAT

Hinweis:

Diese Funktion ist mit einer Lizenz für Citrix ADC Advanced oder Premium Edition verfügbar.

Das phänomenale Wachstum des Internets hat zu einem Mangel an öffentlichen IPv4-Adressen geführt. Large Scale NAT (LSN/CGNAT) bietet eine Lösung für dieses Problem und maximiert die Nutzung der verfügbaren öffentlichen IPv4-Adressen, indem einige öffentliche IPv4-Adressen unter einem großen Pool von Internetnutzern geteilt werden.

LSN übersetzt private IPv4-Adressen in öffentliche IPv4-Adressen. Es enthält Netzwerkadressen und Portübersetzungsmethoden, um viele private IP-Adressen in weniger öffentlichen IPv4-Adressen zu aggregieren. LSN wurde entwickelt, um NAT im großen Maßstab zu handhaben. Die Citrix ADC LSN-Funktion ist sehr nützlich für Internet Service Provider (ISPs) und Carrier, die Millionen von Übersetzungen zur Unterstützung einer großen Anzahl von Benutzern (Abonnenten) und bei sehr hohem Durchsatz bereitstellen.

LSN-Architektur

Die LSN-Architektur eines ISP, der Citrix Produkte verwendet, besteht aus Abonnenten (Internetbenutzer) in privaten Adressräumen, die über eine Citrix ADC Appliance auf das Internet zugreifen, die im Kernnetzwerk des ISP bereitgestellt wird. Abonnenten sind über das Zugangsnetzwerk des ISP mit dem ISP verbunden. In der Regel sind Abonnenten für die kommerzielle Nutzung des Internets direkt mit dem Zugangsnetzwerk des ISP verbunden. Die Bereitstellung dieser Abonnenten erfordert nur eine NAT-Ebene (NAT44).

Nicht-kommerzielle Abonnenten befinden sich jedoch in der Regel hinter Kunden-Premises Equipment (CPE), wie Router und Modems, die auch NAT implementiert. Diese beiden NAT-Ebenen erstellen das NAT444-Modell. Die Bereitstellung einer Citrix ADC Appliance im Kernnetzwerk eines ISP für die LSN-Funktionalität ist für die Abonnenten transparent und erfordert keine Konfigurationsänderungen an Abonnenten oder CPEs.

lokalisiertes Bild

Die Citrix ADC Appliance empfängt alle Abonnentenpakete, die für das Internet bestimmt sind. Die Appliance ist mit einem Pool vordefinierter NAT-IP-Adressen für LSN konfiguriert. Die Citrix ADC Appliance verwendet ihre LSN-Funktion, um die Quell-IP-Adresse (privat) und den Port des Pakets in die NAT-IP-Adresse (öffentlich) und den NAT-Port zu übersetzen und das Paket dann an das Ziel im Internet zu senden. Die Appliance verwaltet eine Aufzeichnung aller aktiven Sitzungen, die die LSN-Funktion verwenden. Diese Sitzungen werden LSN-Sitzungen genannt. Die Citrix ADC Appliance verwaltet auch die Zuordnungen zwischen Teilnehmer-IP-Adresse und -Port sowie NAT-IP-Adresse und -Port für jede Sitzung. Diese Zuordnungen werden LSN-Zuordnungen genannt. Aus LSN-Sitzungen und LSN-Zuordnungen erkennt die Citrix ADC Appliance ein Antwortpaket (vom Internet empfangen), das zu einer bestimmten Sitzung gehört. Die Appliance übersetzt die Ziel-IP-Adresse und den Port des Antwortpakets von der NAT-IP-Adresse:Port in die Teilnehmer-IP-Adresse:Port und sendet das übersetzte Paket an den Abonnenten.

Von Citrix ADC Appliance unterstützte LSN-Funktionen

Im Folgenden werden einige der von Citrix ADC Appliance unterstützten LSN-Funktionen beschrieben:

NAT-Ressourcenzuordnung

Die Citrix ADC Appliance weist Abonnenten NAT-IP-Adressen und -Ports aus ihrem vordefinierten NAT-Ressourcenpool zu, um ihre Pakete für die Übertragung an externe Hosts (Internet) zu übersetzen. Die Citrix ADC Appliance unterstützt die folgenden Typen von NAT-IP-Adresse und Port-Zuweisung für Abonnenten:

  • Deterministisch. Die Citrix ADC Appliance weist jedem Abonnenten eine NAT-IP-Adresse und einen Block von Ports zu. Die Appliance weist diesen Abonnenten nacheinander NAT-Ressourcen zu. Der erste Block von Ports auf der beginnenden NAT-IP-Adresse wird der IP-Adresse des beginnenden Teilnehmers zugewiesen. Der nächste Bereich von Ports wird dem nächsten Abonnenten zugewiesen usw., bis die NAT-Adresse nicht über genügend Ports für den nächsten Abonnenten verfügt. Zu diesem Zeitpunkt wird der erste Portblock auf der nächsten NAT-Adresse dem Abonnenten zugewiesen usw.

    Die Citrix ADC Appliance protokolliert die zugewiesene NAT-IP-Adresse und den Portblock für einen Abonnenten. Bei einer Verbindung kann ein Teilnehmer nur anhand seiner zugeordneten NAT-IP-Adresse und des Portblocks identifiziert werden. Aus diesem Grund protokolliert die Citrix ADC Appliance keine erstellten oder gelöschten LSN-Sitzungen. Wenn der gesamte Port Block verwendet wird, löscht die Citrix ADC Appliance jede neue Verbindung vom Abonnenten.

  • Dynamisch. Die Citrix ADC Appliance weist eine zufällige NAT-IP-Adresse und einen Port aus dem LSN-NAT-Pool für die Verbindung eines Teilnehmers zu. Wenn die Portblockzuweisung in der Konfiguration aktiviert ist, weist die Appliance eine zufällige NAT-IP-Adresse und einen Block von Ports für einen Teilnehmer zu, wenn eine Verbindung zum ersten Mal initiiert wird. Die Citrix ADC Appliance weist dann diese NAT-IP-Adresse und einen der Ports aus dem zugewiesenen Block jeder nachfolgenden Verbindung dieses Abonnenten zu. Wenn der gesamte Block von Ports verwendet wird, weist die Appliance dem Abonnenten einen neuen zufälligen Portblock zu, wenn eine neue Verbindung initiiert wird. Einer der Ports im neuen Portblock wird für die neue Verbindung zugewiesen.

IP-Pooling

Die folgenden NAT-Ressourcenzuweisungsoptionen sind für nachfolgende Sitzungen eines Abonnenten verfügbar, dem eine zufällige NAT-IP-Adresse und Port für eine vorhandene Sitzung zugewiesen wurde.

  • Paarweise. Die Citrix ADC Appliance weist dieselbe NAT-IP-Adresse für alle Sitzungen zu, die demselben Abonnenten zugeordnet sind. Wenn keine weiteren Ports für diese Adresse verfügbar sind, löscht die Appliance neue Verbindungen vom Abonnenten. Diese Option ist für das ordnungsgemäße Funktionieren bestimmter Anwendungen erforderlich, bei denen mehrere Sitzungen mit derselben Quell-IP-Adresse erstellt werden müssen (z. B. in Peer-to-Peer-Anwendungen, die RTP- oder RTCP-Protokoll verwenden.
  • Zufällig. Die Citrix ADC Appliance weist zufällige NAT-IP-Adressen aus dem Pool für verschiedene Sitzungen zu, die demselben Teilnehmer zugeordnet sind.

Wiederverwenden von LSN-Zuordnungen

Die Citrix ADC Appliance kann eine vorhandene LSN-Zuordnung für neue Verbindungen wiederverwenden, die von derselben Teilnehmer-IP-Adresse und demselben Port stammen. Das Citrix ADC LSN-Feature unterstützt die folgenden Arten der Wiederverwendung von LSN-Zuordnungen:

  1. Endpunktunabhängig. Die Citrix ADC Appliance verwendet die LSN-Zuordnung für nachfolgende Pakete, die von derselben Teilnehmer-IP-Adresse und demselben Port (x:x) an jede externe IP-Adresse und Port gesendet werden. Diese Art der Wiederverwendung von LSN-Karten ist nützlich für das ordnungsgemäße Funktionieren von VOIP- und Peer-to-Peer-Anwendungen.
  2. Adressenabhängig. Die Citrix ADC Appliance verwendet die LSN-Zuordnung für nachfolgende Pakete, die von derselben Teilnehmer-IP-Adresse und demselben Port (x:x) an dieselbe externe IP-Adresse (Y) gesendet werden, unabhängig vom externen Port.
  3. Adressenport abhängig. Die Citrix ADC Appliance verwendet die LSN-Zuordnung für nachfolgende Pakete, die von derselben internen IP-Adresse und demselben Port (x:x) an dieselbe externe IP-Adresse und denselben Port (Y:Y) gesendet werden, während die Zuordnung noch aktiv ist.

LSN-Filter

Die Citrix ADC Appliance kann Pakete von externen Hosts basierend auf den aktiven LSN-Sitzungen und LSN-Zuordnungen filtern. Betrachten Sie ein Beispiel für eine LSN-Zuordnung, die die Zuordnung von Teilnehmer-IP:Port (X:x), NAT IP:Port (N:n) und externem Host IP:Port (Y:y) umfasst. Das Citrix ADC LSN-Feature unterstützt die folgenden Filtertypen:

  1. Endpunktunabhängig. Die Citrix ADC Appliance filtert nur die Pakete aus, die nicht für NAT IP bestimmt sind: Port (n:n), die die Teilnehmer-IP: Port (x:x) darstellt, unabhängig von der IP-Adresse des externen Hosts und der Portquelle (z:z). Die Citrix ADC Appliance leitet alle Pakete, die für X:x bestimmt sind, weiter. Mit anderen Worten, das Senden von Paketen vom Abonnenten an eine externe IP-Adresse reicht aus, um Pakete von jedem externen Host an den Abonnenten zuzulassen. Diese Art der Filterung ist nützlich für das ordnungsgemäße Funktionieren von VOIP- und Peer-to-Peer-Anwendungen.
  2. Adressenabhängig. Die Citrix ADC Appliance filtert Pakete aus, die nicht für NAT IP bestimmt sind: Port (n:n), die die Teilnehmer-IP: Port (x:x) darstellt. Darüber hinaus filtert die Appliance Pakete aus der externen Host-IP-Adresse und dem Port (Y:y) heraus, die für n:n bestimmt sind, wenn der Abonnent zuvor keine Pakete an y:anyPort (externer Port unabhängig) gesendet hat. Mit anderen Worten, das Empfangen von Paketen von einem bestimmten externen Host erfordert, dass der Abonnent zuerst Pakete an die IP-Adresse dieses bestimmten externen Hosts sendet.
  3. Adressenport abhängig. Die Citrix ADC Appliance filtert Pakete aus, die nicht für NAT IP bestimmt sind: Port (n:n), die die Teilnehmer-IP: Port (x:x) darstellt. Darüber hinaus filtert die Appliance Pakete aus der externen Host-IP-Adresse und dem Port (Y:y) heraus, die für n:n bestimmt sind, wenn der Abonnent zuvor keine Pakete an y:y gesendet hat. Mit anderen Worten, das Empfangen von Paketen von einem bestimmten externen Host erfordert, dass der Abonnent zuerst Pakete an diese spezifische externe IP-Adresse und Port sendet.

Quoten

Die Citrix ADC Appliance kann die Anzahl der NAT-Ports und -Sitzungen für jeden Abonnenten beschränken, um eine faire Verteilung der Ressourcen auf die Abonnenten zu gewährleisten. Die Citrix ADC Appliance kann auch die Anzahl der Sitzungen für eine Teilnehmergruppe einschränken, um eine faire Verteilung der Ressourcen auf verschiedene Teilnehmergruppen zu gewährleisten.

  • Portkontingent. Die Citrix ADC Appliance kann die LSN-NAT-Ports begrenzen, die von jedem Abonnenten für ein bestimmtes Protokoll gleichzeitig verwendet werden sollen. Beispielsweise können Sie jeden Abonnenten auf maximal 500 TCP-NAT-Ports beschränken. Wenn die LSN-NAT-Zuordnungen für einen Abonnenten das Limit erreichen, weist die Citrix ADC Appliance diesem Abonnenten keine zusätzlichen NAT-Ports des angegebenen Protokolls zu.
  • Abonnentensitzung Limit. Die Anzahl der gleichzeitigen Sitzung für einen Abonnenten kann mehr als das Portkontingent sein. Die Citrix ADC Appliance kann die LSN-Sitzungen begrenzen, die für jeden Abonnenten für ein bestimmtes Protokoll zulässig sind. Wenn die Anzahl der LSN-Sitzungen das Limit für einen Abonnenten erreicht, erlaubt die Citrix ADC Appliance dem Abonnenten nicht, zusätzliche Sitzungen des angegebenen Protokolls zu öffnen.
  • Gruppensitzungslimit. Die Citrix ADC Appliance kann die Gesamtanzahl der LSN-Sitzungen einschränken, die für eine Teilnehmergruppe für ein bestimmtes Protokoll zulässig sind. Wenn die Gesamtanzahl der LSN-Sitzungen die Grenze für eine Gruppe für ein bestimmtes Protokoll erreicht, erlaubt die Citrix ADC Appliance keinem Abonnenten der Gruppe, zusätzliche Sitzungen des angegebenen Protokolls zu öffnen. Beispielsweise beschränken Sie eine Gruppe auf maximal 10000 UDP-Sitzungen. Wenn die Gesamtzahl der UDP-Sitzungen für diese Gruppe 10000 erreicht, erlaubt die Citrix ADC Appliance keinem Abonnenten der Gruppe das Öffnen zusätzlicher UDP-Sitzungen.

Anwendungs-Layer-Gateways

Bei einigen Protokollen der Anwendungsschicht werden auch die IP-Adressen und Protokollportnummern in der Nutzlast des Pakets kommuniziert. Application Layer Gateway für ein Protokoll analysiert die Nutzlast des Pakets und führt notwendige Änderungen durch, um sicherzustellen, dass das Protokoll weiterhin über LSN funktioniert.

Die Citrix ADC Appliance unterstützt ALG für die folgenden Protokolle:

  • FTP
  • ICMP
  • TFTP
  • PPTP
  • SIP
  • RTSP

Haarnadel-Unterstützung

Die Citrix ADC Appliance unterstützt die Kommunikation zwischen Abonnenten oder internen Hosts unter Verwendung von NAT-IP-Adressen. Diese Art der Kommunikation zwischen zwei Abonnenten, die NAT IP-Adressen verwenden, wird als Hairpin Flow bezeichnet. Der Haarnadelfluss ist standardmäßig aktiviert und kann nicht deaktiviert werden.

Großes NAT