ADC

RNAT

En Traducción inversa de direcciones de red (RNAT), el dispositivo Citrix ADC reemplaza las direcciones IP de origen de los paquetes generados por los servidores con direcciones IP NAT públicas. De forma predeterminada, el dispositivo utiliza una dirección SNIP como dirección IP NAT. También puede configurar el dispositivo para que utilice una dirección IP NAT única para cada subred. También puede configurar RNAT mediante Listas de control de acceso (ACL). Los modos Usar IP de origen (USIP), Usar IP de subred (USNIP) y Equilibrio de carga de enlace (LLB) afectan al funcionamiento de RNAT. Puede mostrar estadísticas para supervisar RNAT.

Nota: El intervalo de puertos efímeros para RNAT en el dispositivo Citrix ADC es 1024-65535.

Puede utilizar una dirección de red o una ACL extendida como condición para una entrada RNAT:

  • Uso de una dirección de red. Cuando se utiliza una dirección de red, el procesamiento RNAT se realiza en todos los paquetes procedentes de la red especificada.

  • Uso de ACL extendidas. Cuando utiliza ACL, el procesamiento RNAT se realiza en todos los paquetes que coinciden con las ACL. Para configurar el dispositivo Citrix ADC para que utilice una dirección IP única para el tráfico que coincida con una ACL, debe realizar las tres tareas siguientes:

    1. Configure la ACL.
    2. Configure RNAT para cambiar la dirección IP de origen y el puerto de destino.
    3. Aplique la ACL.

    El siguiente diagrama ilustra RNAT configurado con una ACL.

    Ilustración 1. RNAT con una ACL

    rnat acl

Tiene las siguientes opciones básicas para el tipo de dirección IP NAT:

  • Uso de un SNIP como dirección IP NAT. Cuando se utiliza un SNIP como dirección IP NAT, el dispositivo Citrix ADC reemplaza las direcciones IP de origen de los paquetes generados por el servidor por un SNIP. Por lo tanto, la dirección SNIP debe ser una dirección IP pública. Si el modo Usar IP de subred (USNIP) está habilitado, el Citrix ADC puede usar una dirección IP de subred (SNIP) como dirección IP de NAT.

  • Usar una dirección IP única como dirección IP NAT. Cuando se utiliza una dirección IP única como dirección IP NAT, el dispositivo Citrix ADC reemplaza las direcciones IP de origen de los paquetes generados por el servidor por la dirección IP única especificada. La dirección IP única debe ser una dirección IP pública propiedad de Citrix ADC. Si se configuran varias direcciones IP NAT para una subred, la selección de IP NAT utiliza el algoritmo round robin.

    Esta configuración se ilustra en el siguiente diagrama.

    Ilustración 2. Uso de una dirección IP única como dirección IP NAT

    rnat ip

Antes de comenzar

Antes de configurar una regla RNAT, tenga en cuenta los siguientes puntos:

  • Cuando RNAT y Usar IP de origen (USIP) están configurados en el dispositivo Citrix ADC, RNAT tiene prioridad. En otras palabras, la dirección IP de origen de los paquetes, que coincide con una regla RNAT, se reemplaza de acuerdo con la configuración de la regla RNAT.

  • En una topología en la que el dispositivo Citrix ADC realiza Equilibrio de carga de enlace (LLB) y RNAT para el tráfico procedente del servidor, el dispositivo selecciona la dirección IP de origen según el enrutador. La configuración LLB determina la selección del router. Para obtener más información sobre LLB, consulte Equilibrio de carga de vínculos.

Configurar RNAT

Las siguientes instrucciones proporcionan procedimientos de línea de comandos independientes para crear entradas RNAT que utilizan condiciones diferentes y diferentes tipos de direcciones IP NAT. En la GUI, todas las variaciones se pueden configurar en el mismo cuadro de diálogo, por lo que solo hay un procedimiento para los usuarios de GUI.

Procedimientos CLI

Para crear una regla RNAT mediante la CLI:

En el símbolo del sistema, para crear la regla y verificar la configuración, escriba:

  • add rnat <name> (<network> | (<aclname> [-redirectPort <port>]))
  • bind rnat <name> <natIP>@ …
  • show rnat

Para modificar o quitar una regla RNAT mediante la CLI:

  • Para modificar una regla RNAT:

    set rnat <name> (<aclname> [-redirectPort <port>])

  • Para quitar una regla RNAT, escriba el comando.

    rm rnat <name>

Utilice el siguiente comando para verificar la configuración:

  • show rnat

Ejemplos:


A network address as the condition and a SNIP address as the NAT IP address:

> add rnat RNAT-1 192.168.1.0 255.255.255.0
Done

A network address as the condition and a unique IP address as the NAT IP address:

> add rnat RNAT-2 192.168.1.0 255.255.255.0
Done

> bind rnat RNAT-2 -natip 10.102.29.50
Done

If instead of a single NAT IP address you specify a range, RNAT entries are created with all the Citrix ADC-owned IP addresses, except the NSIP, that fall within the range specified:

> add rnat RNAT-3 192.168.1.0 255.255.255.0
Done

> bind rnat RNAT-3 -natip 10.102.29.[50-110]
Done


An ACL as the condition and a SNIP address as the NAT IP address:

> add rnat RNAT-4 acl1
Done

An ACL as a condition and a unique IP address as the NAT IP address:

> add rnat RNAT-4 acl1
Done

> bind rnat RNAT-4 -natip 10.102.29.50
Done

If instead of a single NAT IP address you specify a range, RNAT entries are created with all the Citrix ADC-owned IP addresses, except the NSIP, that fall within the range specified:

> add rnat RNAT-5 acl1
Done

> bind rnat RNAT-5 -natip 10.102.29.[50-70]
Done

<!--NeedCopy-->

Procedimientos de GUI

Para crear una entrada RNAT mediante la GUI:

Vaya a Sistema > Red > NAT, haga clic en la ficha RNAT y agregue una nueva regla RNAT, o modifique una regla existente.

Monitorizar RNAT

Puede mostrar estadísticas de RNAT para solucionar problemas relacionados con la traducción de direcciones IP.

En la siguiente tabla se describen las estadísticas asociadas con RNAT y RNAT IP.

Estadística Descripción
Bytes recibidos Bytes recibidos durante las sesiones RNAT
Bytes enviados Bytes enviados durante las sesiones RNAT
Paquetes recibidos Paquetes recibidos durante las sesiones RNAT
Paquetes enviados Paquetes enviados durante sesiones RNAT
Syn enviado Solicitudes de conexiones enviadas durante las sesiones RNAT
Períodos de sesiones en curso Sesiones RNAT activas actualmente

Para ver las estadísticas de RNAT mediante la CLI:

En el símbolo del sistema, escriba:

  • stat rnat

Ejemplo:


> stat rnat

RNAT summary
                               Rate (/s)            Total
Bytes Received                   0                    0
Bytes Sent                       0                    0
Packets Received                 0                    0
Packets Sent                     0                    0
Syn Sent                         0                    0
Current RNAT sessions           --                    0
 Done
>
<!--NeedCopy-->

Para supervisar RNAT mediante la GUI:

Vaya a Sistema > Red > NAT, haga clic en la ficha RNAT y, a continuación, haga clic en Estadísticas.

Configurar RNAT6

Las reglas de traducción inversa de direcciones de red (RNAT) para paquetes IPv6 se denominan RNAT6s. Cuando un paquete IPv6 generado por un servidor coincide con las condiciones especificadas en la regla RNAT6, el dispositivo reemplaza la dirección IPv6 de origen del paquete IPv6 por una dirección IPv6 NAT configurada antes de reenviarla al destino. La dirección NAT IPv6 es una de las direcciones SNIP6 o VIP6 propiedad de Citrix ADC.

Al configurar una regla RNAT6, puede especificar un prefijo IPv6 o un ACL6 como condición:

  • Utilizar una dirección de red IPv6. Cuando se utiliza un prefijo IPv6, el dispositivo realiza el procesamiento RNAT en los paquetes IPv6 cuya dirección IPv6 coincide con el prefijo.
  • Mediante ACL6s. Cuando se utiliza un ACL6, el dispositivo realiza el procesamiento RNAT en los paquetes IPv6 que coinciden con las condiciones especificadas en el ACL6.

Tiene una de las siguientes opciones para establecer la dirección IP NAT:

  • Especifique un conjunto de direcciones SNIP6 y VIP6 propiedad de Citrix ADC para una regla RNAT6. El dispositivo Citrix ADC utiliza cualquiera de las direcciones IPv6 de este conjunto como dirección IP NAT para cada sesión. La selección se basa en el algoritmo round robin y se realiza para cada sesión.

  • No especifique ninguna dirección SNIP6 o VIP6 propiedad de Citrix ADC para una regla RNAT6. El dispositivo Citrix ADC utiliza cualquiera de las direcciones SNIP6 o VIP6 propiedad de Citrix ADC como dirección IP NAT. La selección se basa en la red de salto siguiente a la que está destinado un paquete IPv6 que coincide con la regla RNAT.

Procedimientos CLI

Para crear una regla RNAT6 mediante la CLI:

En el símbolo del sistema, para crear la regla y verificar la configuración, escriba:

  • add rnat6 <name>(<network>| (<acl6name>[-RedirectPort ]<port>))
  • bind rnat6 <name> <natIP6>@ …
  • show rnat6

Para modificar o quitar una regla RNAT6 mediante la CLI:

  • Para modificar una regla RNAT6 cuya condición es ACL6, escriba el <name> comando set rnat6, seguido de un nuevo valor para el parámetro RedirectPort.
  • Para quitar una regla RNAT6, escriba el <name> comando clear rnat6.

Procedimientos de GUI

Para configurar una regla RNAT6 mediante la GUI:

Vaya a Sistema > Red > NAT, haga clic en la ficha RNAT6 y agregue una nueva regla RNAT6, o modifique una regla existente.

Monitor RNAT6

Puede mostrar estadísticas relacionadas con la función RNAT6 para supervisar el rendimiento o para solucionar problemas relacionados con la función RNAT6. Puede mostrar un resumen de las estadísticas de las reglas RNAT6 o de una regla RNAT6 concreta. Los contadores estadísticos reflejan los eventos desde que se reinició por última vez el dispositivo Citrix ADC. Todos estos contadores se restablecen a 0 cuando se reinicia el dispositivo Citrix ADC.

A continuación se enumeran algunos de los contadores de estadísticas asociados con la función RNAT6:

  • Bytes recibidos: Bytes totales recibidos durante las sesiones RNAT6.
  • Bytes enviados: Número total de bytes enviados durante las sesiones RNAT6.
  • Paquetes recibidos: Número total de paquetes recibidos durante las sesiones RNAT6.
  • Paquetes enviados: Número total de paquetes enviados durante las sesiones RNAT6.
  • Syn enviado: Número total de solicitudes de conexiones enviadas durante las sesiones RNAT6
  • Sesiones actuales: Sesiones RNAT6 actualmente activas

Para mostrar una estadística resumida de todas las reglas de RNAT6 mediante la CLI:

En el símbolo del sistema, escriba:

  • inicio rnat6

Para mostrar estadísticas de una regla RNAT6 especificada mediante la CLI:

En el símbolo del sistema, escriba:

  • inicio rnat6 []<rnat6 rule name>

Para mostrar las estadísticas de RNAT6 mediante la GUI:

Vaya a Sistema > Red > NAT, haga clic en la ficha RNAT6 y, a continuación, haga clic en Estadísticas.

> stat rnat6

RNAT6 summary

                           Rate (/s)                Total

Bytes Received              178                20644

Bytes Sent                  178                20644

Packets Received             5                  401

Packets Sent                 5                  401

Syn Sent                     0                    2

Current RNAT6 sessions      --                    1

Done

<!--NeedCopy-->

Hora de inicio de registro y razones de cierre de conexión en entradas de registro de RNAT

Para diagnosticar o solucionar problemas relacionados con RNAT, el dispositivo Citrix ADC registra las sesiones de RNAT cada vez que se cierran.

Un mensaje de registro para una sesión RNAT consta de la siguiente información:

  • Dirección IP propiedad de Citrix ADC (dirección NSIP o dirección SNIP) desde la que se origina el mensaje de registro
  • Marca de tiempo de creación de registros
  • Protocolo de la sesión RNAT
  • Dirección IP de origen
  • Dirección IP RNAT
  • Dirección IP de destino
  • Hora de inicio de la sesión RNAT
  • Hora de cierre de la sesión RNAT
  • Total de bytes enviados por el dispositivo Citrix ADC para esta sesión de RNAT
  • Total de bytes recibidos por el dispositivo Citrix ADC para esta sesión de RNAT
  • Motivo del cierre de la sesión RNAT. El dispositivo Citrix ADC registra el motivo de cierre de las sesiones TCP RNAT que no utilizan el proxy TCP (proxy TCP inhabilitado) del dispositivo. Los siguientes son el tipo de motivos de cierre que se registran para las sesiones TCP RNAT:
    • TCP FIN. La sesión RNAT se cerró debido a un TCP FIN enviado por el dispositivo de origen o de destino.
    • TCP RST. La sesión de RNAT se cerró debido a un restablecimiento de TCP enviado por el dispositivo de origen o de destino.
    • Tiempo de espera. Se agotó el tiempo de espera de la sesión RNAT.

En la siguiente tabla se muestran algunas entradas de registro de ejemplo para sesiones RNAT.

Tipo de entrada Entrada de registro de ejemplo
Entrada de registro de ejemplo para sesión de RNAT UDP Dec 1 15:28:12 10.102.53.114 12/01/2015:15:28:12 GMT 0-PPE-0: Default UDP NAT\_OTHERCONN\_DELINK 154 0: Source 1.2.2.5:23431: Destination 192.168.123.122:22: NatIP 192.168.123.1:4045: Destination 192.168.123.122:22: Start Time 12/01/2015:15:26:58 GMT: Delink Time 12/01/2015:15:28:12 GMT: Total\_bytes\_send 2511: Total\_bytes\_recv 3725
Entrada de registro de muestra para sesión TCP RNAT. La entrada de registro muestra que la sesión se cerró debido a TCP Restablecer Dec 1 15:29:59 10.102.53.114 12/01/2015:15:27:59 GMT 0-PPE-0: Default TCP NAT\_OTHERCONN\_DELINK 152 0: Source 1.2.2.5:33826: Destination 192.168.123.122:22: NatIP 192.168.123.1:2384: Destination 192.168.123.122:22: Start Time 12/01/2015:15:27:40 GMT: Delink Time 12/01/2015:15:27:59 GMT: Total\_bytes\_send 2147: Total\_bytes\_recv 3257: Closure Reason TCP RST
Entrada de registro de muestra para sesión TCP RNAT. La entrada de registro muestra que se agotó el tiempo de espera de la sesión Dec 1 15:30:12 10.102.53.114 12/01/2015:15:30:12 GMT 0-PPE-0: Default TCP NAT\_OTHERCONN\_DELINK 155 0: Source 1.2.2.5:64976: Destination 192.168.123.115:22: NatIP 192.168.123.1:19636: Destination 192.168.123.115:22: Start Time 12/01/2015:15:27:25 GMT: Delink Time 12/01/2015:15:30:12 GMT: Total\_bytes\_send 0: Total\_bytes\_recv 0: Closure Reason TIMEOUT

Failover de conexión con estado para RNAT

La conmutación por error de conexión ayuda a evitar la interrupción del acceso a las aplicaciones implementadas en un entorno distribuido. El dispositivo Citrix ADC ahora admite la conmutación por error de conexión con estado para conexiones relacionadas con reglas RNAT en una configuración de alta disponibilidad (HA) de Citrix ADC. En una configuración de alta disponibilidad, la conmutación por error de conexión (o reflejo de conexión) hace referencia al proceso de mantener activa una conexión TCP o UDP establecida cuando se produce una conmutación por error.

El dispositivo principal envía mensajes al dispositivo secundario para sincronizar la información actual sobre las conexiones RNAT. El dispositivo secundario utiliza esta información de conexión solo en caso de que se produzca una conmutación por error. Cuando se produce una conmutación por error, el nuevo dispositivo Citrix ADC principal tiene información sobre las conexiones establecidas antes de la conmutación por error y, por lo tanto, continúa sirviendo esas conexiones incluso después de la conmutación por error. Desde la perspectiva del cliente, esta conmutación por error es transparente. Durante el período de transición, el cliente y el servidor pueden experimentar una breve interrupción y retransmisiones.

La conmutación por error de conexión se puede habilitar por regla de RNAT. Para habilitar la conmutación por error de conexión en una regla RNAT, habilite el parámetro ConnFailover (conmutación por error de conexión) de esa regla RNAT específica mediante CLI o GUI.

Para habilitar la conmutación por error de conexión para una regla RNAT mediante la CLI:

En el símbolo del sistema, escriba:

  • set rnat <name> -connfailover (ENABLED | DISABLED)
  • show rnat

Para habilitar la conmutación por error de conexión para una regla RNAT mediante la GUI:

  1. Vaya a Sistema > Red > NATsy, a continuación, haga clic en la ficha RNAT.
  2. Seleccione Failover de conexión mientras agrega una nueva regla RNAT o mientras modifica una regla existente.

Reserva del puerto de origen para conexiones RNAT a servidores

Para una solicitud que llega a una configuración de RNAT que tiene una o más direcciones IP RNAT y el parámetro Usar puerto proxy inhabilitado, el dispositivo Citrix ADC utiliza una de las direcciones IP RNAT y el puerto de origen de la solicitud RNAT para conectarse a los servidores. Antes de la compilación 13.0 47.x, la conexión RNAT (mediante el puerto de origen del cliente RNAT) al servidor falla si el mismo puerto de origen ya se ha utilizado en otras conexiones.

  • Puerto de origen inferior a 1024. De forma predeterminada, el dispositivo Citrix ADC reserva los primeros 1024 puertos de cualquier dirección IP propiedad de Citrix ADC (incluidas las direcciones IP RNAT). Antes de la compilación 13.0 47.x, la conexión RNAT (mediante el puerto de origen del cliente RNAT) al servidor falla si el puerto de origen de la solicitud RNAT es inferior o igual a 1024. Con la compilación 13.0 47.x, la conexión RNAT (mediante el puerto de origen del cliente RNAT) al servidor se realiza correctamente incluso si el puerto de origen de la solicitud RNAT es inferior o igual a 1024.

  • Puerto de origen superior a 1024. Antes de la compilación 13.0 47.x, la conexión RNAT (mediante el puerto de origen del cliente RNAT) al servidor falla si el mismo puerto de origen ya se ha utilizado en otras conexiones. Con la compilación 13.0 47.x, puede especificar un rango de puertos de origen cliente RNAT en el parámetro Retain Source Port range (retainsourceportrange) como parte de una configuración de RNAT. El dispositivo Citrix ADC reserva estos puertos de origen de cliente RNAT en la dirección IP RNAT para que se utilicen únicamente para la conexión RNAT a los servidores.

Eliminación de sesiones de RNAT

Puede eliminar todas las sesiones RNAT no deseadas o ineficientes del dispositivo Citrix ADC. El dispositivo libera inmediatamente los recursos (como el puerto de la dirección IP de NAT y la memoria) asignados para estas sesiones, lo que hace que los recursos estén disponibles para las sesiones nuevas. El dispositivo también elimina todos los paquetes posteriores relacionados con estas sesiones eliminadas. Puede quitar todas las sesiones de RNAT o seleccionadas del dispositivo Citrix ADC.

Para borrar todas las sesiones de RNAT mediante la CLI:

En el símbolo del sistema, escriba:

  • flush rnatsession

Para borrar sesiones RNAT selectivas mediante la CLI:

En el símbolo del sistema, escriba:

  • flush rnatsession ((-network <ip_addr> -netmask <netmask>) | -natIP <ip_addr> | -aclname <string>)

Para borrar todas o selectivas sesiones RNAT mediante la GUI:

  1. Vaya a Sistema > Red > NAT y,a continuación, haga clic en la ficha RNAT .
  2. En el menú Acciones, haga clic en Vacar sesiones RNAT para quitar todas las sesiones RNAT selectivas o todas (por ejemplo, quitar sesiones RNAT con una IP RNAT específica o pertenecer a una regla RNAT basada en red o ACL específica).

Configuraciones de ejemplo:

    Clear all RNAT sessions existing on a Citrix ADC appliance

    > flush rnatsession

    Done

    Clear all RNAT sessions belonging to network based RNAT rules that has 203.0.113.0/24 network as the matching condition.

    > flush rnatsession -network 203.0.113.0 -netmask 255.255.255.0

    Done

    Clear all RNAT sessions with RNAT IP 192.0.2.90.

    > flush rnatsession -natIP 192.0.2.90

    Done

    Clear all RNAT sessions belonging to ACL based RNAT rules that has ACL-RNAT-1 as the matching condition.

    > flush rnatsession -aclname ACL-RNAT-1

    Done
<!--NeedCopy-->