NAT à grande échelle
Remarque
Cette fonctionnalité est disponible avec une licence Citrix ADC Advanced ou Premium Edition.
La croissance phénoménale d’Internet a entraîné une pénurie d’adresses IPv4 publiques. Large Scale NAT (LSN/CGNAT) fournit une solution à ce problème, maximisant l’utilisation des adresses IPv4 publiques disponibles en partageant quelques adresses IPv4 publiques parmi un grand nombre d’utilisateurs d’Internet.
LSN traduit les adresses IPv4 privées en adresses IPv4 publiques. Il inclut des méthodes de traduction d’adresse réseau et de port pour agréger de nombreuses adresses IP privées en moins d’adresses IPv4 publiques. LSN est conçu pour gérer NAT à grande échelle. La fonctionnalité Citrix ADC LSN est très utile pour les fournisseurs d’accès Internet (FAI) et les entreprises fournissant des millions de traductions pour prendre en charge un grand nombre d’utilisateurs (abonnés) et à un débit très élevé.
Architecture LSN
L’architecture LSN d’un fournisseur de services Internet utilisant les produits Citrix se compose d’abonnés (utilisateurs d’Internet) dans des espaces d’adressage privés accédant à Internet via une appliance Citrix ADC déployée dans le réseau central du fournisseur de services Internet. Les abonnés sont connectés au FAI par l’intermédiaire du réseau d’accès du FAI. Habituellement, les abonnés à des fins commerciales d’Internet sont directement connectés au réseau d’accès du FSI. Pour desservir ces abonnés, il n’y a qu’un seul niveau de NAT (NAT44).
Toutefois, les abonnés non commerciaux sont généralement derrière l’équipement local du client (CPE), comme les routeurs et les modems, qui implémente également NAT. Ces deux niveaux de NAT créent le modèle NAT444. Le déploiement d’une appliance Citrix ADC dans le réseau central d’un fournisseur de services Internet pour la fonctionnalité LSN est transparent pour les abonnés et ne nécessite aucune modification de configuration pour les abonnés ou les CPE.
L’appliance Citrix ADC reçoit tous les paquets d’abonnés destinés à Internet. L’appliance est configurée avec un pool d’adresses IP NAT prédéfinies à utiliser pour LSN. L’appliance Citrix ADC utilise sa fonctionnalité LSN pour traduire l’adresse IP source (privée) et le port du paquet vers l’adresse IP NAT (publique) et le port NAT, puis envoie le paquet à sa destination sur Internet. L’appliance conserve un enregistrement de toutes les sessions actives qui utilisent la fonction LSN. Ces sessions sont appelées sessions LSN. L’appliance Citrix ADC gère également les mappages entre l’adresse IP et le port de l’abonné, et l’adresse IP NAT et le port, pour chaque session. Ces mappings sont appelés mappings LSN. À partir des sessions LSN et des mappages LSN, l’appliance Citrix ADC reconnaît un paquet de réponse (reçu d’Internet) appartenant à une session particulière. L’appliance convertit l’adresse IP de destination et le port du paquet de réponse de l’adresse IP NAT:port vers l’adresse IP de l’abonné : port, et envoie le paquet traduit à l’abonné.
Fonctionnalités LSN prises en charge sur l’appliance Citrix ADC
Voici quelques-unes des fonctionnalités LSN prises en charge sur l’appliance Citrix ADC :
Affectation des ressources NAT
L’appliance Citrix ADC alloue des adresses IP et des ports NAT, à partir de son pool de ressources NAT prédéfini, aux abonnés afin de traduire leurs paquets pour transmission vers des hôtes externes (Internet). L’appliance Citrix ADC prend en charge les types suivants d’adresse IP NAT et d’allocation de port pour les abonnés :
-
Déterministe. L’appliance Citrix ADC alloue une adresse IP NAT et un bloc de ports à chaque abonné. L’appliance alloue séquentiellement des ressources NAT à ces abonnés. Elle attribue le premier bloc de ports sur l’adresse IP NAT de début à l’adresse IP de l’abonné de début. La plage suivante de ports est attribuée à l’abonné suivant, et ainsi de suite, jusqu’à ce que l’adresse NAT ne dispose pas de suffisamment de ports pour l’abonné suivant. À ce stade, le premier bloc de port sur l’adresse NAT suivante est affecté à l’abonné, et ainsi de suite.
L’appliance Citrix ADC consigne l’adresse IP NAT allouée et le bloc de port pour un abonné. Pour une connexion, un abonné peut être identifié uniquement par son adresse IP NAT mappée et son bloc de port. Pour cette raison, l’appliance Citrix ADC ne consigne aucune session LSN créée ou supprimée. Si l’ensemble du bloc de ports est utilisé, l’appliance Citrix ADC supprime toute nouvelle connexion de l’abonné.
-
Dynamique. L’appliance Citrix ADC alloue une adresse IP NAT aléatoire et un port du pool NAT LSN pour la connexion d’un abonné. Lorsque l’allocation de bloc de ports est activée dans la configuration, l’appliance alloue une adresse IP NAT aléatoire et un bloc de ports pour un abonné lorsqu’elle initie une connexion pour la première fois. L’appliance Citrix ADC alloue ensuite cette adresse IP NAT et l’un des ports du bloc alloué à chaque connexion ultérieure de cet abonné. Si l’ensemble du bloc de ports est utilisé, l’appliance alloue un nouveau bloc de ports aléatoire à l’abonné lorsqu’elle initie une nouvelle connexion. Un des ports du nouveau bloc de ports est alloué pour la nouvelle connexion.
Pool d’adresses IP
Les options d’allocation de ressources NAT suivantes sont disponibles pour les sessions suivantes d’un abonné qui a reçu une adresse IP NAT aléatoire et un port pour une session existante.
- Couplé. L’appliance Citrix ADC alloue la même adresse IP NAT pour toutes les sessions associées au même abonné. Lorsqu’aucun autre port n’est disponible pour cette adresse, l’appliance supprime les nouvelles connexions de l’abonné. Cette option est nécessaire pour le bon fonctionnement de certaines applications nécessitant la création de plusieurs sessions sur la même adresse IP source (par exemple dans les applications peer-to-peer qui utilisent le protocole RTP ou RTCP.
- Aléatoire. L’appliance Citrix ADC alloue des adresses IP NAT aléatoires, à partir du pool, pour différentes sessions associées au même abonné.
Réutilisation des mappages LSN
L’appliance Citrix ADC peut réutiliser un mappage LSN existant pour les nouvelles connexions provenant de la même adresse IP et du même port d’abonné. La fonctionnalité Citrix ADC LSN prend en charge les types suivants de réutilisation du mappage LSN :
- Indépendant du point de terminaison. L’appliance Citrix ADC réutilise le mappage LSN pour les paquets suivants envoyés à partir de la même adresse IP d’abonné et du même port (x:x) vers n’importe quelle adresse IP et port externes. Ce type de réutilisation du mapping LSN est utile pour le bon fonctionnement des applications VOIP et peer-to-peer.
- Dépendante de l’adresse. L’appliance Citrix ADC réutilise le mappage LSN pour les paquets suivants envoyés à partir de la même adresse IP d’abonné et du même port (x:x) vers la même adresse IP externe (Y), quel que soit le port externe.
- Dépendante du port d’adresse. L’appliance Citrix ADC réutilise le mappage LSN pour les paquets suivants envoyés à partir de la même adresse IP interne et du même port (x:x) vers la même adresse IP externe et le même port (Y:y) lorsque le mappage est toujours actif.
Filtrage LSN
L’appliance Citrix ADC peut filtrer les paquets des hôtes externes en fonction des sessions LSN actives et des mappages LSN. Prenons un exemple de mappage LSN qui inclut le mappage de l’abonné IP:Port (x:x), NAT IP:Port (n:n) et de l’hôte externe IP:Port (Y:y). La fonctionnalité Citrix ADC LSN prend en charge les types de filtrage suivants :
- Indépendant du point de terminaison. L’appliance Citrix ADC filtre uniquement les paquets qui ne sont pas destinés à NAT IP:Port (n:n), qui représente l’abonné IP:Port (x:x), indépendamment de l’adresse IP de l’hôte externe et de la source du port (z:z). L’appliance Citrix ADC transfère tous les paquets destinés à X:x. En d’autres termes, l’envoi de paquets de l’abonné à n’importe quelle adresse IP externe est suffisant pour autoriser les paquets de n’importe quel hôte externe à l’abonné. Ce type de filtrage est utile pour le bon fonctionnement des applications VoIP et peer-to-peer.
- Dépendante de l’adresse. L’appliance Citrix ADC filtre les paquets qui ne sont pas destinés à NAT IP:Port (n:n), qui représente l’abonné IP:Port (X:x). En outre, l’appliance filtre les paquets de l’adresse IP de l’hôte externe et du port (Y:y) destinés à n:n si l’abonné n’a pas déjà envoyé de paquets à Y:AnyPort (indépendant du port externe). En d’autres termes, la réception de paquets à partir d’un hôte externe spécifique nécessite que l’abonné envoie d’abord des paquets à l’adresse IP de cet hôte externe spécifique.
- Dépendante du port d’adresse. L’appliance Citrix ADC filtre les paquets qui ne sont pas destinés à NAT IP:Port (n:n), qui représente l’abonné IP:Port (X:x). En outre, l’appliance filtre les paquets de l’adresse IP de l’hôte externe et du port (Y:y) destinés à n:n si l’abonné n’a pas déjà envoyé de paquets à Y:y. En d’autres termes, la réception de paquets à partir d’un hôte externe spécifique nécessite que l’abonné envoie d’abord des paquets à cette adresse IP externe et au port spécifiques.
Quotas
L’appliance Citrix ADC peut limiter le nombre de ports et de sessions NAT pour chaque abonné afin d’assurer une répartition équitable des ressources entre les abonnés. L’appliance Citrix ADC peut également limiter le nombre de sessions d’un groupe d’abonnés afin d’assurer une répartition équitable des ressources entre les différents groupes d’abonnés.
- Quota de port. L’appliance Citrix ADC peut limiter les ports NAT LSN à utiliser à la fois par chaque abonné pour un protocole spécifié. Par exemple, vous pouvez limiter chaque abonné à un maximum de 500 ports NAT TCP. Lorsque les mappages NAT LSN pour un abonné atteignent la limite, l’appliance Citrix ADC n’alloue pas de ports NAT supplémentaires du protocole spécifié à cet abonné.
- Limite de session d’abonné. Le nombre de sessions simultanées pour un abonné peut être supérieur au quota de port. L’appliance Citrix ADC peut limiter les sessions LSN autorisées pour chaque abonné pour un protocole spécifié. Lorsque le nombre de sessions LSN atteint la limite pour un abonné, l’appliance Citrix ADC ne permet pas à l’abonné d’ouvrir des sessions supplémentaires du protocole spécifié.
- Limite de session de groupe. L’appliance Citrix ADC peut limiter le nombre total de sessions LSN autorisées pour un groupe d’abonnés pour un protocole spécifié. Lorsque le nombre total de sessions LSN atteint la limite d’un groupe pour un protocole spécifié, l’appliance Citrix ADC n’autorise aucun abonné du groupe à ouvrir des sessions supplémentaires du protocole spécifié. Par exemple, Vous limitez un groupe à un maximum de 10000 sessions UDP. Lorsque le nombre total de sessions UDP pour ce groupe atteint 10000, l’appliance Citrix ADC n’autorise aucun abonné du groupe à ouvrir des sessions UDP supplémentaires.
Passerelles de couche d’application
Pour certains protocoles de couche Application, les adresses IP et les numéros de port de protocole sont également communiqués dans la charge utile du paquet. Application Layer Gateway for a protocol analyse la charge utile du paquet et effectue les modifications nécessaires pour s’assurer que le protocole continue de fonctionner sur LSN.
L’appliance Citrix ADC prend en charge ALG pour les protocoles suivants :
- FTP
- ICMP
- TFTP
- PPTP
- SIP
- RTSP
Support en épingle à cheveux
L’appliance Citrix ADC prend en charge la communication entre les abonnés ou les hôtes internes à l’aide d’adresses IP NAT. Ce type de communication entre deux abonnés utilisant des adresses IP NAT est appelé flux en épingle à cheveux. Le flux en épingle à cheveux est activé par défaut et vous ne pouvez pas le désactiver.