Citrix ADC

Traducción de direcciones de red entrante

Cuando un cliente envía un paquete a un dispositivo Citrix ADC configurado para la traducción de direcciones de red entrante (INAT), el dispositivo traduce la dirección IP de destino pública del paquete a una dirección IP de destino privada y reenvía el paquete al servidor en esa dirección.

Se admiten las siguientes configuraciones:

  • Asignación IPv4-IPv4: Una dirección IPv4 pública en el dispositivo Citrix ADC escucha las solicitudes de conexión en nombre de un servidor IPv4 privado. El dispositivo Citrix ADC traduce la dirección IP de destino pública del paquete a la dirección IP de destino del servidor. A continuación, el dispositivo reenvía el paquete al servidor en esa dirección.
  • Asignación IPv4-IPv6: Una dirección IPv4 pública en el dispositivo Citrix ADC escucha las solicitudes de conexión en nombre de un servidor IPv6 privado. El dispositivo Citrix ADC crea un paquete de solicitud IPv6 con la dirección IP del servidor IPv6 como dirección IP de destino.
  • Asignación IPv6-IPv4: Una dirección IPv6 pública en el dispositivo Citrix ADC escucha las solicitudes de conexión en nombre de un servidor IPv4 privado. El dispositivo Citrix ADC crea un paquete de solicitud IPv4 con la dirección IP del servidor IPv4 como dirección IP de destino.
  • Asignación IPv6-IPv6: Una dirección IPv6 pública del dispositivo Citrix ADC escucha las solicitudes de conexión en nombre de un servidor IPv6 privado. El dispositivo Citrix ADC traduce la dirección IP de destino pública del paquete a la dirección IP de destino del servidor. A continuación, el dispositivo reenvía el paquete al servidor en esa dirección.

Cuando el dispositivo reenvía un paquete a un servidor, la dirección IP de origen asignada al paquete se determina de la siguiente manera:

  • Si se habilita el modo IP de subred (USNIP) y se inhabilita el modo IP de origen (USIP), el dispositivo utiliza una dirección IP de subred (SNIP) como dirección IP de origen.
  • Si el modo USIP está habilitado y el modo USNIP está inhabilitado, el dispositivo utiliza la dirección IP del cliente (CIP) como dirección IP de origen.
  • Si ambos modos USIP y USNIP están habilitados, el modo USIP tiene prioridad.
  • También puede configurar Citrix ADC para que utilice una dirección IP única como dirección IP de origen, estableciendo el parámetro ProxyIP.
  • Si ninguno de los modos anteriores está habilitado y no se ha especificado una dirección IP única, Citrix ADC intenta utilizar un MIP como dirección IP de origen.
  • Si ambos modos USIP y USNIP están habilitados y se ha especificado una dirección IP única, el orden de prioridad es el siguiente: USIP-Unique IP-USNIP-MIP-Error.

Para proteger Citrix ADC de ataques DoS, puede habilitar el proxy TCP. Sin embargo, si se utilizan otros mecanismos de protección en la red, puede inhabilitarlos.

Configurar reglas INAT

Puede crear, modificar o eliminar una entrada INAT.

Procedimientos CLI

Para crear una entrada INAT mediante la CLI:

En el símbolo del sistema, escriba los siguientes comandos para crear una entrada INAT y verificar su configuración:

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLIDOS | **DESACTIVADAS] [-ftp** (habilitado | inhabilitado)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-ProxyIP \ < ip_addr >ipv6_addr>]
  • show inat [<name>]

Ejemplo:

> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
 Done

Para modificar una entrada INAT mediante la CLI:

Para modificar una entrada INAT, escriba el set inat comando, el nombre de la entrada y los parámetros que se van a cambiar, con sus nuevos valores.

Para eliminar una configuración de INAT mediante la CLI:

En el símbolo del sistema, escriba:

  • rm inat <name>

Ejemplo:

> rm inat ip4-ip4
 Done

Procedimientos de GUI

Para configurar una entrada INAT mediante la GUI:

Vaya a Sistema > Red > Rutas > INAT y agregue una entrada INAT o modifique una entrada INAT existente.

Para eliminar una configuración INAT mediante la GUI:

Vaya a Sistema > Red > Rutas > INAT, elimine la configuración INAT.

Failover de conexión para reglas INAT

La conmutación por error de conexión o la duplicación de conexiones permiten que el nodo principal duplique la información de conexión y persistencia en el nodo secundario en una alta disponibilidad. La información de estado de la conexión se comparte regularmente con el nodo secundario cuando se habilita la duplicación de conexiones.

Habilitar la conmutación por error de conexión proporciona más fiabilidad, pero se produce a costa de un tiempo del sistema que se utiliza para compartir la información de estado. Los datos de conexión se sincronizan con la unidad de espera con cada paquete o actualización de estado de flujo. Por lo tanto, debe usarse solo en lugares donde la fiabilidad del nivel de conexión es de suma importancia.

Las configuraciones de alta disponibilidad del dispositivo Citrix ADC admiten la conmutación por error de conexión para conexiones INAT. El nodo principal envía asignaciones INAT y otra información de conexión relacionada con INAT al nodo secundario a intervalos regulares. El dispositivo secundario utiliza la información de asignación y conexión solo en caso de conmutación por error.

Cuando se produce una conmutación por error, el nuevo nodo principal tiene información sobre las conexiones INAT establecidas antes de la conmutación por error. Por lo tanto, continúa sirviendo esas conexiones incluso después de la conmutación por error.

Desde la perspectiva del cliente, la conmutación por error es transparente. Durante el período de transición, el cliente y el servidor pueden experimentar una breve interrupción y retransmisiones. La conmutación por error de conexión se puede habilitar por regla INAT.

Para habilitar la conmutación por error de conexión en una regla INAT, habilite el connFailover parámetro de esa regla RNAT específica mediante CLI.

Procedimiento CLI

Para habilitar la conmutación por error de conexión para una regla INAT mediante la CLI:

Para habilitar la conmutación por error de conexión al agregar una regla INAT, en el símbolo del sistema, escriba:

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLIDOS | **DESACTIVADAS] [-ftp** ( habilitado | inhabilitado)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-ProxyIP <ip_addr|ipv6_addr>] -connfailover (ENABLED | DISABLED)

  • show inat <name>

Para habilitar la conmutación por error de conexión al modificar una regla INAT existente, en el símbolo del sistema, escriba:

  • set inat -connfailover (ENABLED | DISABLED)
  • show inat <name>

Traducción de direcciones de red entrante