Configuration NAT64 à grande échelle

Une configuration NAT64 à grande échelle sur une appliance Citrix ADC utilise les jeux de commandes LSN. Dans une configuration NAT64 à grande échelle, l’entité client LSN spécifie l’adresse IPv6 ou l’adresse réseau IPv6, ou les règles ACL6, pour identifier les abonnés IPv6. Une configuration NAT64 inclut également un profil IPv6, qui spécifie un préfixe NAT64.

La configuration de NAT64 sur une appliance Citrix ADC comporte les tâches suivantes :

  • Définissez les paramètres LSN globaux. Les paramètres globaux incluent la quantité de mémoire Citrix ADC réservée à la fonctionnalité LSN et la synchronisation des sessions LSN dans une configuration haute disponibilité.
  • Créez une entité client LSN pour identifier le trafic provenant d’abonnés IPv6. L’entité client LSN fait référence à un ensemble d’abonnés IPv6. L’entité client inclut des adresses IPv6 ou des préfixes réseau IPv6, ou des règles ACL6, pour identifier le trafic de ces abonnés. Un client LSN peut être lié à un seul groupe LSN. L’interface de ligne de commande comporte deux commandes pour créer une entité client LSN et lier un abonné à l’entité client LSN. L’interface graphique combine ces deux opérations sur un seul écran.
  • Créez un pool LSN et liez des adresses IP NAT à celui-ci. Un pool LSN définit un pool d’adresses IP NAT à utiliser par l’appliance Citrix ADC pour exécuter NAT64 à grande échelle. L’interface de ligne de commande comporte deux commandes pour créer un pool LSN et lier les adresses IP NAT au pool LSN. L’interface graphique combine ces deux opérations sur un seul écran.
  • Créez un profil LSN IP6. Un profil LSN IP6 définit le préfixe NAT64 pour une configuration NAT64 à grande échelle.
  • ( Facultatif) Créez un profil de transport LSN pour un protocole spécifié. Un profil de transport LSN définit divers délais d’expiration et limites, tels que le maximum de sessions NAT64 à grande échelle et l’utilisation maximale des ports qu’un abonné peut avoir pour un protocole donné. Vous liez un profil de transport LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil de transport LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP est lié à un groupe LSN lors de sa création. Ce profil est appelé profil de transport par défaut. Un profil de transport LSN que vous liez à un groupe LSN remplace le profil de transport LSN par défaut pour ce protocole.
  • ( Facultatif) Créez un profil d’application LSN pour un protocole spécifié et liez un ensemble de ports de destination à celui-ci. Un profil d’application LSN définit les contrôles de mappage LSN et de filtrage LSN d’un groupe pour un protocole donné et pour un ensemble de ports de destination. Pour un ensemble de ports de destination, vous liez un profil LSN pour chaque protocole (TCP, UDP et ICMP) à un groupe LSN. Un profil peut être lié à plusieurs groupes LSN. Un profil d’application LSN lié à un groupe LSN s’applique à tous les abonnés d’un client LSN lié au même groupe. Par défaut, un profil d’application LSN avec des paramètres par défaut pour les protocoles TCP, UDP et ICMP pour tous les ports de destination est lié à un groupe LSN lors de sa création. Ce profil est appelé profil d’application par défaut. Lorsque vous liez un profil d’application LSN, avec un ensemble de ports de destination spécifié, à un groupe LSN, le profil lié remplace le profil d’application LSN par défaut pour ce protocole sur cet ensemble de ports de destination. L’interface de ligne de commande comporte deux commandes pour créer un profil d’application LSN et lier un ensemble de ports de destination au profil d’application LSN. L’interface graphique combine ces deux opérations sur un seul écran.
  • Créez un groupe LSN et liez des pools LSN, un profil LSN IPv6, des profils de transport LSN (facultatif) et des profils d’application LSN (facultatif) au groupe LSN. Un groupe LSN est une entité composée d’un client LSN, d’un profil IPv6 LSN, de pools LSN, de profils de transport LSN et de profils d’application LSN. Des paramètres sont attribués à un groupe, tels que la taille du bloc de port et la journalisation des sessions LSN. Les paramètres s’appliquent à tous les abonnés d’un client LSN lié au groupe LSN. Un seul profil LSN IPv6 peut être lié à un groupe LSN, et un profil LSN IPv6 lié à un groupe LSN ne peut pas être lié à d’autres groupes LSN. Seuls les pools LSN et les groupes LSN avec les mêmes paramètres de type NAT peuvent être liés ensemble. Plusieurs pools LSN peuvent être liés à un groupe LSN. Une seule entité client LSN peut être liée à un groupe LSN, et une entité client LSN liée à un groupe LSN ne peut pas être liée à d’autres groupes LSN. L’interface de ligne de commande comporte deux commandes pour créer un groupe LSN et lier des pools LSN, des profils de transport LSN et des profils d’application LSN au groupe LSN. L’interface graphique combine ces deux opérations dans un seul écran.

Configuration à l’aide de la ligne de commande

Vous pouvez créer différentes configurations à l’aide de l’interface de ligne de commande. Suivez les étapes ci-dessous.

Pour créer un client LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn client <clientname

show lsn client

Pour lier un réseau IPv6 ou une règle ACL6 à un client LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn client <clientname> (-network6 <ipv6_addr|*>| -acl6name <string>)

show lsn client

Pour créer un pool LAN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn pool <poolname>

show lsn pool <poolname>

Pour lier des adresses IP NAT à un pool LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn pool <poolname> <lsnip>

show lsn pool

Remarque

Pour supprimer des adresses IP NAT (adresses IP LSN) d’un pool LSN, utilisez la commande unbind lsn pool.

Pour configurer un profil LSN IPv6 à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn ip6profile <name> –type NAT64 -natprefix <ipv6_addr|*>

show lsn ip6profile

Pour créer un profil de transport LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn transportprofile <transportprofilename> <transportprotocol> [-sessiontimeout <secs>] [-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )]

show lsn transportprofile

Pour créer un profil d’application LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling (PAIRED | RANDOM )] [-mapping <mapping>] [-filtering <filtering>][-tcpproxy ( ENABLED | DISABLED )]

show lsn appsprofile

Pour lier une plage de ports de protocole d’application à un profil d’application LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn appsprofile <appsprofilename> <lsnport>

show lsn appsprofile

Pour créer un groupe LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC | DETERMINISTIC )] [-portblocksize <positive_integer>] [-logging(ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync ( ENABLED | DISABLED )] [-snmptraplimit<positive_integer>] [-ftp ( ENABLED | DISABLED )] [-sipalg ( ENABLED | DISABLED )] [-rtspalg ( ENABLED |DISABLED )] [-ip6profile <string>]

show lsn group

Pour lier des profils de protocole LSN et des pools LSN à un groupe LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn group <groupname> (-poolname <string> | -transportprofilename <string> | -httphdrlogprofilename <string> | -appsprofilename <string> | -sipalgprofilename <string> | rtspalgprofilename <string>)

show lsn group

Exemple de configurations NAT64 à grande échelle

Voici quelques exemples de configurations de NAT64 à grande échelle :

Configuration simple à grande échelle NAT64 avec paramètres par défaut :

add lsn client LSN-NAT64-CLIENT-1

bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96

add lsn pool LSN-NAT64-POOL-1

bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70

add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96

add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1

bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1

Configuration simple à grande échelle NAT64 avec une règle ACL6 étendue pour identifier les abonnés :

add ns acl6 LSN-NAT64-ACL-2 ALLOW –srcIPv6 = 2001:DB8:5002::20 - 2001:DB8:5002::200

apply acl6s

add lsn client LSN-NAT64-CLIENT-2

bind lsn client LSN-NAT64-CLIENT-2 –acl6name LSN-NAT64-ACL-2

add lsn pool LSN-NAT64-POOL-2

bind lsn pool LSN-NAT64-POOL-2 203.0.113.5-203.0.113.10

add lsn ip6profile LSN-NAT64-PROFILE-2 -type NAT64 -natprefix 2001:DB8:302::/96

add lsn group LSN-NAT64-GROUP-2 -clientname LSN-NAT64-CLIENT-2 -ip6profile LSN-NAT64-PROFILE-2

bind lsn group LSN-NAT64-GROUP-2 -poolname LSN-NAT64-POOL-2

Configuration NAT64 à grande échelle avec allocation déterministe des ressources NAT :


add lsn client LSN-NAT64-CLIENT-7

bind lsn client LSN-NAT64-CLIENT-7 -network6 2001:DB8:1002::7/128

add lsn pool LSN-NAT64-POOL-7 -nattype DETERMINISTIC

bind lsn pool LSN-NAT64-POOL-7 203.0.113.24-203.0.113.27

add lsn ip6profile LSN-NAT64-PROFILE-7 -type NAT64 -natprefix 2001:DB8:307::/96

add lsn group LSN-NAT64-GROUP-7 -clientname LSN-NAT64-CLIENT-7 -ip6profile LSN-NAT64-PROFILE-7 -nattype DETERMINISTIC -portblocksize 256

bind lsn group LSN-NAT64-GROUP-7 -poolname LSN-POOL-7