Citrix ADC

NAT a gran escala

Nota

Esta función está disponible con una licencia Citrix ADC Advanced o Premium Edition.

El crecimiento fenomenal de Internet ha dado lugar a una escasez de direcciones IPv4 públicas. La NAT a gran escala (LSN/CGNAT) proporciona una solución a este problema, maximizando el uso de direcciones IPv4 públicas disponibles al compartir algunas direcciones IPv4 públicas entre un gran grupo de usuarios de Internet.

LSN traduce direcciones IPv4 privadas en direcciones IPv4 públicas. Incluye métodos de traducción de direcciones de red y puertos para agregar muchas direcciones IP privadas en menos direcciones IPv4 públicas. LSN está diseñado para manejar NAT a gran escala. La función Citrix ADC LSN es muy útil para proveedores de servicios de Internet (ISP) y operadores que proporcionan millones de traducciones para admitir un gran número de usuarios (suscriptores) y con un rendimiento muy alto.

Arquitectura LSN

La arquitectura LSN de un ISP que utiliza productos Citrix consiste en suscriptores (usuarios de Internet) en espacios de direcciones privados que acceden a Internet a través de un dispositivo Citrix ADC implementado en la red principal del ISP. Los suscriptores están conectados al ISP a través de la red de acceso del ISP. Por lo general, los suscriptores para uso comercial de Internet están conectados directamente a la red de acceso del ISP. Para atender a esos suscriptores solo se requiere un nivel de NAT (NAT44).

Sin embargo, los suscriptores no comerciales suelen estar detrás de equipos locales del cliente (CPE), como enrutadores y módems, que también implementa NAT. Estos dos niveles de NAT crean el modelo NAT444. La implementación de un dispositivo Citrix ADC en la red principal de un ISP para la funcionalidad LSN es transparente para los suscriptores y no requiere cambios en la configuración de los suscriptores o los CPE.

Imagen localizada

El dispositivo Citrix ADC recibe todos los paquetes de suscriptor destinados a Internet. El dispositivo se configura con un grupo de direcciones IP NAT predefinidas que se utilizarán para LSN. El dispositivo Citrix ADC utiliza su función LSN para traducir la dirección IP de origen (privada) y el puerto del paquete a la dirección IP NAT (pública) y al puerto NAT y, a continuación, envía el paquete a su destino en Internet. El dispositivo mantiene un registro de todas las sesiones activas que utilizan la función LSN. Estas sesiones se denominan sesiones LSN. El dispositivo Citrix ADC también mantiene las asignaciones entre la dirección IP y el puerto del suscriptor, y la dirección IP y el puerto NAT, para cada sesión. Estas asignaciones se denominan asignaciones LSN. Desde sesiones LSN y asignaciones LSN, el dispositivo Citrix ADC reconoce un paquete de respuesta (recibido de Internet) que pertenece a una sesión determinada. El dispositivo traduce la dirección IP de destino y el puerto del paquete de respuesta desde NAT IP address:port a la dirección IP del suscriptor:port y envía el paquete traducido al suscriptor.

Funciones LSN admitidas en el dispositivo Citrix ADC

A continuación se describen algunas de las funciones de LSN admitidas en el dispositivo Citrix ADC:

Asignación de recursos NAT

El dispositivo Citrix ADC asigna direcciones y puertos IP NAT, desde su grupo de recursos NAT predefinido, a los suscriptores para traducir sus paquetes para su transmisión a hosts externos (Internet). El dispositivo Citrix ADC admite los siguientes tipos de dirección IP NAT y asignación de puertos para los suscriptores:

  • Determinista. El dispositivo Citrix ADC asigna una dirección IP NAT y un bloque de puertos a cada suscriptor. El dispositivo asigna secuencialmente recursos NAT a estos suscriptores. Asigna el primer bloque de puertos en la dirección IP NAT inicial a la dirección IP del suscriptor inicial. El siguiente rango de puertos se asigna al siguiente suscriptor, y así sucesivamente, hasta que la dirección NAT no tenga suficientes puertos para el siguiente suscriptor. En ese punto, el primer bloque de puerto de la siguiente dirección NAT se asigna al suscriptor, y así sucesivamente.

    El dispositivo Citrix ADC registra la dirección IP NAT asignada y el bloque de puertos para un suscriptor. Para una conexión, un suscriptor se puede identificar solo por su dirección IP NAT asignada y bloque de puerto. Por este motivo, el dispositivo Citrix ADC no registra ninguna sesión LSN creada o eliminada. Si se está utilizando todo el bloque de puertos, el dispositivo Citrix ADC elimina cualquier conexión nueva del suscriptor.

  • Dinámica. El dispositivo Citrix ADC asigna una dirección IP NAT aleatoria y un puerto del grupo NAT LSN para la conexión de un suscriptor. Cuando la asignación de bloques de puertos está habilitada en la configuración, el dispositivo asigna una dirección IP NAT aleatoria y un bloque de puertos para un suscriptor cuando inicia una conexión por primera vez. A continuación, el dispositivo Citrix ADC asigna esta dirección IP NAT y uno de los puertos del bloque asignado a cada conexión posterior de este suscriptor. Si se está utilizando todo el bloque de puertos, el dispositivo asigna un nuevo bloque de puerto aleatorio al suscriptor cuando inicia una nueva conexión. Uno de los puertos del nuevo bloque de puertos se asigna para la nueva conexión.

Agrupación de IP

Las siguientes opciones de asignación de recursos NAT están disponibles para sesiones posteriores de un suscriptor al que se le asignó una dirección IP NAT aleatoria y un puerto para una sesión existente.

  • Emparejado. El dispositivo Citrix ADC asigna la misma dirección IP NAT para todas las sesiones asociadas con el mismo suscriptor. Cuando no hay más puertos disponibles para esa dirección, el dispositivo elimina cualquier conexión nueva del suscriptor. Esta opción es necesaria para el correcto funcionamiento de ciertas aplicaciones que requieren la creación de varias sesiones en la misma dirección IP de origen (por ejemplo, en aplicaciones peer-to-peer que utilizan el protocolo RTP o RTCP.
  • Al azar. El dispositivo Citrix ADC asigna direcciones IP NAT aleatorias, desde el grupo, para diferentes sesiones asociadas al mismo suscriptor.

Reutilización de Asignaciones LSN

El dispositivo Citrix ADC puede reutilizar una asignación LSN existente para nuevas conexiones que se originen desde el mismo puerto y dirección IP del suscriptor. La función Citrix ADC LSN admite los siguientes tipos de reutilización de asignación de LSN:

  1. Independiente del punto final. El dispositivo Citrix ADC reutiliza la asignación LSN para los paquetes posteriores enviados desde la misma dirección IP del suscriptor y puerto (x:x) a cualquier dirección IP y puerto externos. Este tipo de reutilización de mapas LSN es útil para el correcto funcionamiento de las aplicaciones VOIP y peer-to-peer.
  2. Depende de la dirección. El dispositivo Citrix ADC reutiliza la asignación LSN para los paquetes posteriores enviados desde la misma dirección IP del suscriptor y puerto (x:x) a la misma dirección IP externa (Y), independientemente del puerto externo.
  3. Depende del puerto de dirección. El dispositivo Citrix ADC reutiliza la asignación LSN para los paquetes posteriores enviados desde la misma dirección IP interna y puerto (x:x) a la misma dirección IP externa y puerto (y:y) mientras la asignación sigue activa.

Filtrado LSN

El dispositivo Citrix ADC puede filtrar paquetes de hosts externos en función de las sesiones de LSN activas y las asignaciones de LSN. Considere un ejemplo de asignación LSN que incluye la asignación de IP del suscriptor (x:x), IP NAT: Puerto (n:n) y IP del host externo (y:y). La función Citrix ADC LSN admite los siguientes tipos de filtrado:

  1. Independiente del punto final. El dispositivo Citrix ADC filtra solo aquellos paquetes que no están destinados a NAT IP:Port (N:n), que representa IP del suscriptor (X:x), independientemente de la dirección IP del host externo y el origen del puerto (Z:z). El dispositivo Citrix ADC reenvía los paquetes destinados a X:x. En otras palabras, enviar paquetes desde el suscriptor a cualquier dirección IP externa es suficiente para permitir paquetes desde cualquier host externo al suscriptor. Este tipo de filtrado es útil para el correcto funcionamiento de las aplicaciones VOIP y peer-to-peer.
  2. Depende de la dirección. El dispositivo Citrix ADC filtra los paquetes no destinados a NAT IP:Port (N:n), que representa IP:Port del suscriptor (X:x). Además, el dispositivo filtra los paquetes de la dirección IP del host externo y del puerto (y:Y) destinados a n:n si el suscriptor no ha enviado previamente paquetes a y:AnyPort (independiente del puerto externo). En otras palabras, la recepción de paquetes de un host externo específico requiere que el suscriptor primero envíe paquetes a la dirección IP de ese host externo específico.
  3. Depende del puerto de dirección. El dispositivo Citrix ADC filtra los paquetes no destinados a NAT IP:Port (N:n), que representa IP:Port del suscriptor (X:x). Además, el dispositivo filtra los paquetes de la dirección IP del host externo y del puerto (y:y) destinados a n:n si el suscriptor no ha enviado previamente paquetes a y:y. En otras palabras, la recepción de paquetes de un host externo específico requiere que el suscriptor primero envíe paquetes a esa dirección IP externa y puerto específicos.

Cuotas

El dispositivo Citrix ADC puede limitar el número de puertos NAT y sesiones de cada suscriptor para garantizar una distribución justa de los recursos entre los suscriptores. El dispositivo Citrix ADC también puede limitar el número de sesiones de un grupo de suscriptores para garantizar una distribución justa de los recursos entre los diferentes grupos de suscriptores.

  • Cuota portuaria. El dispositivo Citrix ADC puede limitar los puertos NAT LSN que cada suscriptor utilizará a la vez para un protocolo especificado. Por ejemplo, puede limitar cada suscriptor a un máximo de 500 puertos NAT TCP. Cuando las asignaciones NAT de LSN para un suscriptor alcanzan el límite, el dispositivo Citrix ADC no asigna puertos NAT adicionales del protocolo especificado a ese suscriptor.
  • Límite de sesión del suscriptor. El número de sesiones simultáneas para un suscriptor puede ser mayor que su cuota de puerto. El dispositivo Citrix ADC puede limitar las sesiones LSN permitidas para cada suscriptor para un protocolo especificado. Cuando el número de sesiones LSN alcanza el límite para un suscriptor, el dispositivo Citrix ADC no permite que el suscriptor abra sesiones adicionales del protocolo especificado.
  • Límite de sesiones de grupo. El dispositivo Citrix ADC puede limitar el número total de sesiones LSN permitidas para un grupo de suscriptores para un protocolo especificado. Cuando el número total de sesiones LSN alcanza el límite de un grupo para un protocolo especificado, el dispositivo Citrix ADC no permite que ningún suscriptor del grupo abra sesiones adicionales del protocolo especificado. Por ejemplo, limitar un grupo a un máximo de 10000 sesiones UDP. Cuando el número total de sesiones UDP para este grupo alcanza 10000, el dispositivo Citrix ADC no permite que ningún suscriptor del grupo abra sesiones UDP adicionales.

Puertas de enlace de capa de aplicación

Para algunos protocolos de capa de aplicación, las direcciones IP y los números de puerto de protocolo también se comunican en la carga útil del paquete. La puerta de enlace de capa de aplicación para un protocolo analiza la carga útil del paquete y realiza los cambios necesarios para garantizar que el protocolo continúa funcionando sobre LSN.

El dispositivo Citrix ADC admite ALG para los siguientes protocolos:

  • FTP
  • ICMP
  • TFTP
  • PPTP
  • SIP
  • RTSP

Soporte para horquilla

El dispositivo Citrix ADC admite la comunicación entre suscriptores o hosts internos mediante direcciones IP NAT. Este tipo de comunicación entre dos suscriptores que utilizan direcciones IP NAT se llama flujo de horquilla. El flujo de horquilla está habilitado de forma predeterminada y no puede inhabilitarlo.

NAT a gran escala