ADC

NAT a gran escala

Nota:

La función NAT a gran escala (LSN) está obsoleta a partir de la versión 14.1 de NetScaler.

Las funciones obsoletas no se eliminan inmediatamente. El dispositivo NetScaler sigue admitiendo la función obsoleta hasta que se elimine en una versión futura.

El crecimiento fenomenal de Internet ha provocado una escasez de direcciones IPv4 públicas. La NAT a gran escala (LSN/CGNAT) ofrece una solución a este problema, ya que maximiza el uso de las direcciones IPv4 públicas disponibles al compartir unas cuantas direcciones IPv4 públicas entre un gran grupo de usuarios de Internet.

LSN traduce las direcciones IPv4 privadas en direcciones IPv4 públicas. Incluye métodos de traducción de direcciones de red y puertos para agregar muchas direcciones IP privadas en menos direcciones IPv4 públicas. El LSN está diseñado para gestionar la NAT a gran escala. La función LSN de NetScaler es muy útil para los proveedores de servicios de Internet (ISP) y los operadores que proporcionan millones de traducciones para dar soporte a un gran número de usuarios (suscriptores) y con un rendimiento muy alto.

Arquitectura LSN

La arquitectura LSN de un ISP que utiliza productos NetScaler consiste en suscriptores (usuarios de Internet) en espacios de direcciones privados que acceden a Internet a través de un dispositivo NetScaler implementado en la red principal del ISP. Los suscriptores se conectan al ISP a través de la red de acceso del ISP. Por lo general, los suscriptores para uso comercial de Internet están conectados directamente a la red de acceso del ISP. Para atender a esos suscriptores solo se requiere un nivel de NAT (NAT44).

Sin embargo, los suscriptores no comerciales suelen utilizar equipos locales del cliente (CPE), como enrutadores y módems, que también implementan la NAT. Estos dos niveles de NAT crean el modelo NAT444. La implementación de un dispositivo NetScaler en la red principal de un ISP para la funcionalidad de LSN es transparente para los suscriptores y no requiere cambios de configuración en los suscriptores ni en los CPE.

Imagen traducida

El dispositivo NetScaler recibe todos los paquetes de suscriptores destinados a Internet. El dispositivo está configurado con un conjunto de direcciones IP NAT predefinidas para su uso en LSN. El dispositivo NetScaler utiliza su función LSN para traducir la dirección IP de origen (privada) y el puerto del paquete a la dirección IP NAT (pública) y al puerto NAT y, a continuación, envía el paquete a su destino en Internet. El dispositivo mantiene un registro de todas las sesiones activas que utilizan la función LSN. Estas sesiones se denominan sesiones de LSN. El dispositivo NetScaler también mantiene las asignaciones entre la dirección IP y el puerto del suscriptor, y la dirección IP y el puerto de NAT, para cada sesión. Estos mapeos se denominan mapeos LSN. A partir de las sesiones de LSN y los mapeos de LSN, el dispositivo NetScaler reconoce un paquete de respuesta (recibido de Internet) que pertenece a una sesión determinada. El dispositivo traduce la dirección IP de destino y el puerto del paquete de respuesta de la dirección IP NAT: puerto a la dirección IP del suscriptor:puerto y envía el paquete traducido al suscriptor.

Funciones de LSN compatibles con el dispositivo NetScaler

A continuación se describen algunas de las funciones de LSN compatibles con el dispositivo NetScaler:

Asignación de recursos NAT

El dispositivo NetScaler asigna direcciones IP y puertos NAT, de su conjunto de recursos NAT predefinido, a los suscriptores para que traduzcan sus paquetes para su transmisión a servidores externos (Internet). El dispositivo NetScaler admite los siguientes tipos de direcciones IP NAT y asignación de puertos para los suscriptores:

  • Determinístico. El dispositivo NetScaler asigna una dirección IP NAT y un bloque de puertos a cada suscriptor. El dispositivo asigna de forma secuencial los recursos de NAT a estos suscriptores. Asigna el primer bloque de puertos de la dirección IP NAT inicial a la dirección IP del suscriptor inicial. El siguiente rango de puertos se asigna al siguiente suscriptor, y así sucesivamente, hasta que la dirección NAT no tenga suficientes puertos para el siguiente suscriptor. En ese momento, el primer bloque de puertos de la siguiente dirección NAT se asigna al suscriptor, y así sucesivamente.

    El dispositivo NetScaler registra la dirección IP NAT asignada y el bloque de puertos de un suscriptor. Para una conexión, se puede identificar a un suscriptor simplemente por su dirección IP NAT mapeada y su bloque de puertos. Por este motivo, el dispositivo NetScaler no registra ninguna sesión de LSN creada o eliminada. Si se utiliza todo el bloque de puertos, el dispositivo NetScaler interrumpe cualquier conexión nueva del suscriptor.

  • Dinámica. El dispositivo NetScaler asigna una dirección IP NAT aleatoria y un puerto del pool NAT de LSN para la conexión de un suscriptor. Cuando la asignación de bloques de puertos está habilitada en la configuración, el dispositivo asigna una dirección IP NAT aleatoria y un bloque de puertos para un suscriptor cuando inicia una conexión por primera vez. A continuación, el dispositivo NetScaler asigna esta dirección IP NAT y uno de los puertos del bloque asignado a cada conexión posterior de este suscriptor. Si se está usando todo el bloque de puertos, el dispositivo asigna un nuevo bloque de puerto aleatorio al suscriptor cuando inicia una nueva conexión. Uno de los puertos del nuevo bloque de puertos está asignado a la nueva conexión.

Agrupación de IP

Las siguientes opciones de asignación de recursos NAT están disponibles para las sesiones posteriores de un suscriptor al que se le asignó una dirección IP de NAT aleatorios y un puerto para una sesión existente.

  • Emparejado. El dispositivo NetScaler asigna la misma dirección IP NAT para todas las sesiones asociadas al mismo suscriptor. Cuando no haya más puertos disponibles para esa dirección, el dispositivo interrumpe cualquier conexión nueva del suscriptor. Esta opción es necesaria para el correcto funcionamiento de determinadas aplicaciones que requieren la creación de varias sesiones en la misma dirección IP de origen (por ejemplo, en aplicaciones de igual a igual que utilizan el protocolo RTP o RTCP).
  • Aleatorio. El dispositivo NetScaler asigna direcciones IP NAT aleatorias, del grupo, para diferentes sesiones asociadas al mismo suscriptor.

Reutilización de mapeos de LSN

El dispositivo NetScaler puede reutilizar un mapa LSN existente para nuevas conexiones que se originen en la misma dirección IP y puerto del suscriptor. La función LSN de NetScaler admite los siguientes tipos de reutilización de mapeos de LSN:

  1. Endpoint Independent. El dispositivo NetScaler reutiliza el mapeo LSN para los paquetes posteriores enviados desde la misma dirección IP y puerto del suscriptor (X:x) a cualquier dirección IP y puerto externos. Este tipo de reutilización de mapas LSN es útil para el correcto funcionamiento de las aplicaciones VOIP y de igual a igual.
  2. Depende de la dirección. El dispositivo NetScaler reutiliza el mapeo LSN para los paquetes posteriores enviados desde la misma dirección IP y puerto del suscriptor (X:x) a la misma dirección IP externa (Y), independientemente del puerto externo.
  3. Depende del puerto de dirección. El dispositivo NetScaler reutiliza el mapeo LSN para los paquetes posteriores enviados desde la misma dirección IP y puerto internos (X:x) a la misma dirección IP y puerto externos (Y:y) mientras el mapeo sigue activo.

Filtrado LSN

El dispositivo NetScaler puede filtrar paquetes de hosts externos en función de las sesiones de LSN activas y los mapeos de LSN. Considere un ejemplo de mapeo de LSN que incluye el mapeo de IP:Port (X:x) del suscriptor, IP:Port de NAT (N:n) y IP:Port del host externo (Y:y). La función LSN de NetScaler admite los siguientes tipos de filtrado:

  1. Endpoint Independent. El dispositivo NetScaler filtra solo los paquetes que no están destinados a NAT IP:Port (N:n), que representa IP:Port (X:x) del suscriptor, independientemente de la dirección IP del host externo y del origen del puerto (z:z). El dispositivo NetScaler reenvía todos los paquetes destinados a X:x. En otras palabras, el envío de paquetes desde el suscriptor a cualquier dirección IP externa es suficiente para permitir que los paquetes de cualquier host externo lleguen al suscriptor. Este tipo de filtrado es útil para el correcto funcionamiento de las aplicaciones VOIP y de igual a igual.
  2. Depende de la dirección. El dispositivo NetScaler filtra los paquetes no destinados a NAT IP:Port (N:n), que representa IP:Port (X:x) del suscriptor. Además, el dispositivo filtra los paquetes de la dirección IP y el puerto (Y:y) del host externo destinados a N:n si el suscriptor no ha enviado anteriormente paquetes a Y:AnyPort (independiente del puerto externo). En otras palabras, recibir paquetes de un host externo específico requiere que el suscriptor envíe primero paquetes a la dirección IP de ese host externo específico.
  3. Depende del puerto de dirección. El dispositivo NetScaler filtra los paquetes no destinados a NAT IP:Port (N:n), que representa IP:Port (X:x) del suscriptor. Además, el dispositivo filtra los paquetes de la dirección IP del host externo y el puerto (Y:y) destinados a N:n si el suscriptor no ha enviado paquetes a Y:y anteriormente. En otras palabras, recibir paquetes de un host externo específico requiere que el suscriptor envíe primero paquetes a esa dirección IP externa y puerto específicos.

Cuotas

El dispositivo NetScaler puede limitar la cantidad de puertos y sesiones NAT para cada suscriptor para garantizar una distribución justa de los recursos entre los suscriptores. El dispositivo NetScaler también puede limitar el número de sesiones de un grupo de suscriptores para garantizar una distribución justa de los recursos entre los diferentes grupos de suscriptores.

  • Cuota portuaria. El dispositivo NetScaler puede limitar los puertos NAT de LSN para que cada suscriptor los utilice a la vez para un protocolo específico. Por ejemplo, puede limitar cada suscriptor a un máximo de 500 puertos TCP NAT. Cuando las asignaciones de NAT de LSN para un suscriptor alcanzan el límite, el dispositivo NetScaler no asigna puertos NAT adicionales del protocolo especificado a ese suscriptor.
  • Límite de sesión de suscriptor. El número de sesiones simultáneas de un suscriptor puede superar su cuota de puerto. El dispositivo NetScaler puede limitar las sesiones LSN permitidas para cada suscriptor para un protocolo específico. Cuando el número de sesiones de LSN alcanza el límite para un suscriptor, el dispositivo NetScaler no permite que el suscriptor abra sesiones adicionales del protocolo especificado.
  • Límite de sesiones grupales. El dispositivo NetScaler puede limitar el número total de sesiones de LSN permitidas para un grupo de suscriptores para un protocolo especificado. Cuando el número total de sesiones de LSN alcanza el límite de un grupo para un protocolo especificado, el dispositivo NetScaler no permite que ningún suscriptor del grupo abra sesiones adicionales del protocolo especificado. Por ejemplo, limita un grupo a un máximo de 10000 sesiones UDP. Cuando el número total de sesiones UDP de este grupo llegue a 10000, el dispositivo NetScaler no permite que ningún suscriptor del grupo abra sesiones UDP adicionales.

Puertas de enlace de capa de aplicación

Para algunos protocolos de la capa de aplicación, las direcciones IP y los números de puerto del protocolo también se comunican en la carga útil del paquete. Application Layer Gateway para un protocolo analiza la carga útil del paquete y realiza los cambios necesarios para garantizar que el protocolo siga funcionando a través de LSN.

El dispositivo NetScaler admite ALG para los siguientes protocolos:

  • FTP
  • ICMP
  • TFTP
  • PPTP
  • SIP
  • RTSP

Soporte Hairpin

El dispositivo NetScaler admite la comunicación entre suscriptores o hosts internos mediante direcciones IP NAT. Este tipo de comunicación entre dos suscriptores que utilizan direcciones IP de NAT se denomina flujo en horquilla. El flujo en horquilla está activado de forma predeterminada y no se puede inhabilitar.

NAT a gran escala