Citrix ADC

大型 NAT

注意

此功能可通过 Citrix ADC 高级版或高级版许可证获得。

Internet 的惊人增长导致公共 IPv4 地址短缺。大型 NAT (LSN/CGNAT) 提供了解决此问题的解决方案,通过在大型 Internet 用户池中共享几个公共 IPv4 地址,最大限度地利用可用的公共 IPv4 地址。

LSN 将私有 IPv4 地址转换为公有 IPv4 地址。它包括网络地址和端口转换方法,将许多私有 IP 地址聚合到较少的公有 IPv4 地址中。LSN 旨在大型处理 NAT。Citrix ADC LSN 功能对于提供数百万翻译的 Internet 服务提供商 (ISP) 和运营商非常有用,以支持大量用户(订阅者)并且吞吐量非常高。

LSN 架构

使用 Citrix 产品的 ISP 的 LSN 架构由专用地址空间中的订阅者(Internet 用户)组成,通过部署在 ISP 核心网络中的 Citrix ADC 设备访问 Internet。订阅者通过 ISP 的接入网络连接到 ISP。通常,用于商业用途的 Internet 用户直接连接到 Internet 服务提供商的接入网络。为这些用户提供服务只需要一个级别的 NAT (NAT44)。

然而,非商业用户通常位于客户内部设备 (CPE) 的后面,如路由器和调制解调器,这些设备也实现了 NAT。这两个级别的 NAT 创建 NAT444 模型。在 ISP 的核心网络中部署 Citrix ADC 设备以实现 LSN 功能对订阅者是透明的,并且不需要对订阅者或 CPE 进行配置更改。

本地化后的图片

Citrix ADC 设备接收发送到 Internet 的所有订阅者数据包。设备配置了用于 LSN 的预定义 NAT IP 地址池。Citrix ADC 设备使用其 LSN 功能将数据包的源 IP 地址(专用)和端口转换为 NAT IP 地址(公用)和 NAT 端口,然后将数据包发送到 Internet 上的目标。设备维护使用 LSN 功能的所有活动会话的记录。这些会话称为 LSN 会话。Citrix ADC 设备还维护每个会话的订阅者 IP 地址和端口以及 NAT IP 地址和端口之间的映射。这些映射称为 LSN 映射。通过 LSN 会话和 LSN 映射,Citrix ADC 设备可识别属于特定会话的响应数据包(从 Internet 接收)。设备将响应数据包的目标 IP 地址和端口从 NAT IP 地址:端口转换为订阅者 IP 地址:端口,并将已翻译的数据包发送给订阅者。

Citrix ADC 设备支持的 LSN 功能

下面介绍 Citrix ADC 设备支持的一些 LSN 功能:

NAT 资源分配

Citrix ADC 设备从其预定义的 NAT 资源池中向订阅者分配 NAT IP 地址和端口,以便转换其数据包以传输到外部主机(Internet)。Citrix ADC 设备支持为订阅服务器分配以下类型的 NAT IP 地址和端口:

  • 确定性。Citrix ADC 设备向每个订阅者分配一个 NAT IP 地址和一个端口块。设备按顺序将 NAT 资源分配给这些订阅服务器。它将开始 NAT IP 地址上的第一个端口块分配给初始订阅者 IP 地址。下一个端口范围分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。此时,下一个 NAT 地址上的第一个端口块分配给订阅者,依此类促。

    Citrix ADC 设备记录分配的 NAT IP 地址和订阅者的端口块。对于连接,只能通过其映射的 NAT IP 地址和端口块来识别订阅者。因此,Citrix ADC 设备不记录创建或删除的任何 LSN 会话。如果正在使用整个端口块,Citrix ADC 设备会删除来自订阅者的任何新连接。

  • 动态。Citrix ADC 设备为订阅者的连接分配随机 NAT IP 地址和 LSN NAT 池中的端口。当在配置中启用端口块分配时,设备会在首次启动连接时为订阅者分配随机 NAT IP 地址和端口块。然后,Citrix ADC 设备将此 NAT IP 地址和已分配块中的一个端口分配给此订阅者的每个后续连接。如果正在使用整个端口块,设备会在启动新连接时向订阅者分配一个新的随机端口块。新端口块中的一个端口分配给新连接。

IP 池

以下 NAT 资源分配选项适用于已为现有会话分配随机 NAT IP 地址和端口的订阅者的后续会话。

  • 配对。Citrix ADC 设备会为与同一订阅服务器关联的所有会话分配相同的 NAT IP 地址。当该地址没有更多的端口可用时,设备会删除订阅服务器的任何新连接。需要在同一源 IP 地址上创建多个会话的某些应用程序(例如,在使用 RTP 或 RTCP 协议的对等应用程序中,则需要此选项。
  • 随机。Citrix ADC 设备从池中为与同一订阅者关联的不同会话分配随机 NAT IP 地址。

重用 LSN 映射

Citrix ADC 设备可以为来自同一订阅者 IP 地址和端口的新连接重用现有 LSN 映射。Citrix ADC LSN 功能支持以下类型的 LSN 映射重用:

  1. 无关端点。Citrix ADC 设备对从同一订阅者 IP 地址和端口 (X: x) 发送到任何外部 IP 地址和端口的后续数据包重复使用 LSN 映射。这种类型的 LSN 映射重用对于 VOIP 和对等应用程序的正常运行非常有用。
  2. 取决于地址。Citrix ADC 设备对从相同的订阅者 IP 地址和端口 (X: x) 发送到同一外部 IP 地址 (Y) 的后续数据包重复使用 LSN 映射,而不考虑外部端口。
  3. 依赖于端口的地址。Citrix ADC 设备对从相同内部 IP 地址和端口 (X: x) 发送到相同外部 IP 地址和端口 (Y: Y) 的后续数据包重复使用 LSN 映射,而映射仍处于活动状态。

LSN 筛选

Citrix ADC 设备可以根据活动 LSN 会话和 LSN 映射筛选来自外部主机的数据包。考虑 LSN 映射的示例,其中包括订阅者 IP:端口 (X: x)、NAT IP: 端口 (N: n) 和外部主机 IP: 端口 (Y: Y) 的映射。Citrix ADC LSN 功能支持以下类型的筛选:

  1. 无关端点。Citrix ADC 设备仅过滤掉那些不注定向到 NAT IP: 端口 (N: n) 的数据包,该数据包表示订阅者 IP: 端口 (x: x),而不考虑外部主机 IP 地址和端口源 (z: z)。Citrix ADC 设备将任何数据包转发到 X: x。换句话说,从订阅者发送数据包到任何外部 IP 地址就足以允许从任何外部主机发送数据包到订阅者。这种类型的过滤对于 VOIP 和点对点应用程序的正常运行非常有用。
  2. 取决于地址。Citrix ADC 设备过滤掉不是发往 NAT IP: 端口 (N: n) 的数据包,该数据包表示订阅者 IP: 端口 (X: x)。此外,如果订阅者以前未将数据包发送到 Y: AnyPort(与外部端口无关),则设备会从外部主机 IP 地址和端口 (Y: Y) 中筛选出定向 N: n 的数据包。换句话说,接收来自特定外部主机的数据包需要订阅者首先将数据包发送到该特定外部主机的 IP 地址。
  3. 依赖于端口的地址。Citrix ADC 设备过滤掉不是发往 NAT IP: 端口 (N: n) 的数据包,该数据包表示订阅者 IP: 端口 (X: x)。此外,如果订阅者以前未向 Y: Y 发送数据包,则设备会从外部主机 IP 地址和端口 (Y: Y) 中筛选出定向 N: n 的数据包。换句话说,接收来自特定外部主机的数据包需要订阅者首先将数据包发送到该特定的外部 IP 地址和端口。

配额

Citrix ADC 设备可以限制每个订阅者的 NAT 端口和会话数量,以确保在订阅者之间公平分配资源。Citrix ADC 设备还可以限制订阅者组的会话数,以确保在不同的订阅者组之间公平分配资源。

  • 端口配额。Citrix ADC 设备可以限制每个订阅者针对指定协议一次使用的 LSN NAT 端口。例如,您可以将每个订阅者限制为最多 500 个 TCP NAT 端口。当订阅者的 LSN NAT 映射达到限制时,Citrix ADC 设备不会将指定协议的其他 NAT 端口分配给该订阅者。
  • 订阅者会话限制。订阅者的并发会话数可以大于端口配额。Citrix ADC 设备可以限制指定协议允许每个订阅者使用的 LSN 会话。当 LSN 会话数达到订阅者的限制时,Citrix ADC 设备不允许订阅者打开指定协议的其他会话。
  • 组会话限制。Citrix ADC 设备可以限制指定协议的订阅者组允许的 LSN 会话总数。当 LSN 会话总数达到指定协议的组的限制时,Citrix ADC 设备不允许该组的任何订阅者打开指定协议的其他会话。例如,您将组限制为最多 10000 个 UDP 会话。当此组的 UDP 会话总数达到 10000 时,Citrix ADC 设备不允许该组的任何订阅者打开其他 UDP 会话。

应用程序层网关

对于某些应用程序层协议,IP 地址和协议端口号也会在数据包的有效负载中进行通信。协议的应用程序层网关分析数据包的负载,并执行必要的更改,以确保协议继续通过 LSN 工作。

Citrix ADC 设备支持以下协议的 ALG:

  • FTP
  • ICMP
  • TFTP
  • PPTP
  • SIP
  • RTSP

发夹支持

Citrix ADC 设备支持使用 NAT IP 地址的订阅者或内部主机之间的通信。使用 NAT IP 地址的两个订阅者之间的这种类型的通信称为发夹流。默认情况下,发夹流处于启用状态,您无法禁用它。

大型 NAT