ADC

LSN 的配置步骤

在 Citrix ADC 设备上配置 LSN 包括以下任务:

  1. 设置全局 LSN 参数。全局参数包括在高可用性设置中为 LSN 功能预留的 Citrix ADC 内存量以及 LSN 会话的同步。
  2. 创建 LSN 客户端实体并将订阅者绑定到它。LSN 客户端实体是希望 Citrix ADC 设备对其执行 LSN 的通信的一组订阅服务器。客户端实体包括用于识别订阅者的 IPv4 地址和扩展 ACL 规则。LSN 客户端只能绑定到一个 LSN 组。命令行界面具有两个命令,用于创建 LSN 客户端实体并将订阅者绑定到 LSN 客户端实体。配置实用程序将这两个操作组合在一个屏幕上。
  3. 创建 LSN 池并将 NAT IP 地址绑定到该池。LSN 池定义了 Citrix ADC 设备用于执行 LSN 的 NAT IP 地址池。池被分配参数,如端口块分配和 NAT 类型(确定性或动态)。绑定到 LSN 组的 LSN 池应用于绑定到同一组的 LSN 客户端实体的所有订阅者。只有具有相同 NAT 类型设置的 LSN 池和 LSN 组可以绑定在一起。多个 LSN 池可以绑定到一个 LSN 组。对于动态 NAT,LSN 池可以绑定到多个 LSN 组。对于确定性 NAT,绑定到 LSN 组的池不能绑定到其他 LSN 组。命令行界面具有两个命令,用于创建 LSN 池并将 NAT IP 地址绑定到 LSN 池。配置实用程序将这两个操作组合在一个屏幕上。
  4. (可选)为指定协议创建 LSN 传输配置文件。LSN 传输配置文件定义了订阅者对于给定协议可以拥有的各种超时和限制,例如最大 LSN 会话和最大端口使用率。为每个协议(TCP、UDP 和 ICMP)的 LSN 传输配置文件绑定到 LSN 组。配置文件可以绑定到多个 LSN 组。绑定到 LSN 组的配置文件应用于绑定到同一组的 LSN 客户端的所有订阅者。默认情况下,具有 TCP、UDP 和 ICMP 协议默认设置的 LSN 传输配置文件在创建过程中绑定到 LSN 组。此配置文件称为默认传输配置文件。绑定到 LSN 组的 LSN 传输配置文件将覆盖该协议的默认 LSN 传输配置文件。
  5. (可选)为指定协议创建 LSN 应用程序配置文件并将一组目标端口绑定到该协议。LSN 应用程序配置文件为给定协议和一组目标端口定义组的 LSN 映射和 LSN 筛选控件。对于一组目标端口,您将每个协议(TCP、UDP 和 ICMP)的 LSN 配置文件绑定到 LSN 组。配置文件可以绑定到多个 LSN 组。绑定到 LSN 组的 LSN 应用程序配置文件应用于绑定到同一组的 LSN 客户端的所有订阅者。默认情况下,具有针对所有目标端口的 TCP、UDP 和 ICMP 协议的默认设置的 LSN 应用程序配置文件将在其创建期间绑定到 LSN 组。此配置文件称为默认应用程序配置文件。将具有指定目标端口集的 LSN 应用程序配置文件绑定到 LSN 组时,绑定配置文件将覆盖该目标端口集上该协议的默认 LSN 应用程序配置文件。命令行界面具有两个命令,用于创建 LSN 应用程序配置文件并将一组目标端口绑定到 LSN 应用程序配置文件。配置实用程序将这两个操作组合在一个屏幕上。
  6. 创建 LSN 组并将 LSN 池、(可选)LSN 传输配置文件和(可选)LSN 应用程序配置文件绑定到 LSN 组。LSN 组是由 LSN 客户端、LSN 池、LSN 传输配置文件和 LSN 应用程序配置文件组成的实体。为组分配参数,例如端口块大小和 LSN 会话的日志记录。参数设置应用于绑定到 LSN 组的 LSN 客户端的所有订阅服务器。只有具有相同 NAT 类型设置的 LSN 池和 LSN 组可以绑定在一起。多重 LSN 池可以绑定到 LSN 组。对于动态 NAT,LSN 池可以绑定到多个 LSN 组。对于确定性 NAT,绑定到 LSN 组的池不能绑定到其他 LSN 组。只有一个 LSN 客户端实体可以绑定到 LSN 组,并绑定到 LSN 组的 LSN 客户端实体不能绑定到其他 LSN 组。命令行界面具有两个命令,用于创建 LSN 组和将 LSN 池、LSN 传输配置文件、LSN 应用程序配置文件绑定到 LSN 组。配置实用程序将这两个操作组合在一个屏幕中。

下表列出了可在 Citrix ADC 设备上创建的不同 LSN 实体和绑定的最大数量。这些限制还取决于 Citrix ADC 设备上的可用内存。

LSN 实体和绑定 限制
LSN 客户端 1024
LSN 池 128
LSN 组 1024
可绑定到 LSN 客户端的订阅者网络 64
可绑定到 LSN 客户端的扩展 ACL 1024
池中的 NAT IP 地址 4096
可绑定到 LSN 组的 LSN 池 8
可以使用相同的 LSN 池的 LSN 组 16
可绑定到 LSN 组的 LSN 传输配置文件 3(TCP、UDP 和 ICMP 协议各一个)
可以使用相同的 LSN 传输配置文件的 LSN 组 8
可绑定到 LSN 组的 LSN 应用程序配置文件 64
可以使用相同的 LSN 应用程序配置文件的 LSN 组 8
可绑定到 LSN 应用程序配置文件的端口范围 8

使用命令行界面进行配置

使用命令行界面创建 LSN 客户端

在命令提示符下,键入:

add lsn client <clientname>

show lsn client
<!--NeedCopy-->

使用命令行界面将网络地址或 ACL 规则绑定到 LSN 客户端

在命令提示符下,键入:

bind lsn client <clientname> ((-network <ip_addr> [-netmask <netmask>] [-td<positive_integer>]) | -aclname <string>)

show lsn client
<!--NeedCopy-->

使用命令行界面创建 LSN 池

在命令提示符下,键入:

add lsn pool <poolname> [-nattype ( DYNAMIC | DETERMINISTIC )] [-portblockallocation ( ENABLED | DISABLED )] [-portrealloctimeout <secs>] [-maxPortReallocTmq <positive_integer>]

show lsn pool
<!--NeedCopy-->

使用命令行界面将 IP 地址范围绑定到 LSN 池

在命令提示符下,键入:

bind lsn pool <poolname> <lsnip>

show lsn pool
<!--NeedCopy-->

注意:要从 LSN 池中删除 LSN IP 地址,请使用 unbind lsn 池命令。

使用命令行界面创建 LSN 传输配置文件

在命令提示符下,键入:

add lsn transportprofile <transportprofilename> <transportprotocol> [-sessiontimeout <secs>] [-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>] [-portpreserveparity ( ENABLED | DISABLED )] [-portpreserverange (ENABLED | DISABLED )] [-syncheck ( ENABLED | DISABLED )]

show lsn transportprofile
<!--NeedCopy-->

使用命令行界面创建 LSN 应用程序配置文件

在命令提示符下,键入:

add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling (PAIRED | RANDOM )] [-mapping <mapping>] [-filtering <filtering>][-tcpproxy ( ENABLED | DISABLED )] [-td <positive_integer>]

show lsn appsprofile
<!--NeedCopy-->

使用命令行界面将应用程序协议端口范围绑定到 LSN 应用程序配置文件

在命令提示符下,键入:

bind lsn appsprofile <appsprofilename> <lsnport>

show lsn appsprofile
<!--NeedCopy-->

使用命令行界面创建 LSN 组

在命令提示符下,键入:

add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC |DETERMINISTIC )] [-portblocksize <positive_integer>] [-logging (ENABLED | DISABLED )] [-sessionLogging ( ENABLED | DISABLED )][-sessionSync (ENABLED | DISABLED )] [-snmptraplimit <positive_integer>] [-ftp ( ENABLED | DISABLED )]

show lsn group
<!--NeedCopy-->

使用命令行界面将 LSN 配置文件和 LSN 池绑定到 LSN 组

在命令提示符下,键入:

bind lsn group <groupname> (-poolname <string> | -transportprofilename <string> | -appsprofilename <string>)

show lsn group
<!--NeedCopy-->

使用配置实用程序进行配置

使用配置实用程序配置 LSN 客户端并绑定 IPv4 网络地址或 ACL 规则

导航到“系统”>“大规模 NAT”>“客户 端”,然后添加客户端,然后将 IPv4 网络地址或 ACL 规则绑定到客户端。

使用配置实用程序配置 LSN 池并绑定 NAT IP 地址

导航到 “ 系统” > “大规模 NAT ” > “ ”,然后添加池,然后将 NAT IP 地址或一系列 NAT IP 地址绑定到池。

使用配置实用程序配置 LSN 传输配置文件

  1. 导航到 系统 > 大规模 NAT > 配置文件
  2. 在详细信息窗格上,单击 传输 选项卡,然后添加传输配置文件。

使用配置实用程序配置 LSN 应用程序配置文件

  1. 导航到 系统 > 大规模 NAT > 配置文件
  2. 在详细信息窗格上,单击“应用程序”选项卡,然后添加应用程序配置文件。

使用配置实用程序配置 LSN 组并绑定 LSN 客户端、池、传输配置文件和应用程序配置文件

导航到“系统”>“大规模 NAT”>“组”,然后添加组,然后将 LSN 客户端、池、传输配置文件和应用程序配置文件绑定到该组。

参数描述(CLI 过程中列出的命令)

  • add lsn client

    • clientname

      LSN 客户端实体的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 客户端后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn client1”或“lsn client1”)。

      这是一个强制性的论点。最大长度:127

参数描述(CLI 过程中列出的命令)

  • bind lsn client

    • clientname

      LSN 客户端实体的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 客户端后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn client1”或“lsn client1”)。

      这是一个强制性的论点。最大长度:127

    • network

      您希望 Citrix ADC 设备对其流量执行大型 NAT 的 LSN 订阅者或订阅者网络的 IPv4 地址。

    • netmask

      网络参数中指定的 IPv4 地址的子网掩码。

      默认值:255.255.255.255

    • td

      此订阅者或订阅者网络(由网络参数指定)所属的流量域的 ID。

      如果未指定 ID,订阅者或订阅者网络将成为默认流量域的一部分。

      默认值:0

      最小值:0

      最大值:4094

    • 阿克勒名称

      其操作为“允许”的任何已配置扩展 ACL 的名称。扩展 ACL 规则中指定的条件标识来自 Citrix ADC 设备要对其执行大型 NAT 的 LSN 订阅者的流量。最大长度:127

参数描述(CLI 过程中列出的命令)

  • add lsn pool

    • poolname

      LSN 池的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 池后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn pool1”或“lsn pool1”)。

      这是一个强制性的论点。最大长度:127

    • nattype

      为订阅者(绑定到 LSN 组的 LSN 客户端实体)的 NAT IP 地址和端口分配类型(从绑定到 LSN 组的 LSN 池):

      可用选项功能如下:

      • 确定性— 为每个订阅者(绑定到 LSN 组的 LSN 客户端)分配 NAT IP 地址和端口块。Citrix ADC 设备按顺序将 NAT 资源分配给这些订阅服务器。Citrix ADC 设备将初始 NAT IP 地址上的第一个端口块(块大小由 LSN 组的端口块大小参数确定)分配给初始订阅者 IP 地址。下一个端口范围分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。在这种情况下,下一个 NAT 地址上的第一个端口块用于订阅服务器,依此类促。由于每个订阅者现在都会收到一个确定性的 NAT IP 地址和一个端口块,因此可以识别订阅者,而无需任何日志记录。对于连接,只能根据 NAT IP 地址和端口以及目标 IP 地址和端口来识别订阅者。

      • 动态— 从 LSN NAT 池中为订阅者连接分配随机 NAT IP 地址和端口。如果启用了端口块分配(在 LSN 池中)并指定了端口块大小(在 LSN 组中),Citrix ADC 设备会在首次启动连接时为订阅者分配随机 NAT IP 地址和端口块。设备会为此订阅服务器的不同连接分配此 NAT IP 地址和端口(来自已分配的端口块)。如果从已分配的订阅服务器端口块中分配了所有端口(针对不同的订阅服务器连接),则设备会为订阅服务器分配一个新的随机端口块。只有具有相同 NAT 类型设置的 LSN 池和 LSN 组可以绑定在一起。多重 LSN 池可以绑定到 LSN 组。

        可能的值:DYNAMIC, DETERMINISTIC

        默认值:DYNAMIC

    • 端口块分配

      当 NAT 分配设置为动态 NAT 时,从 NAT IP 地址的可用 NAT 端口池中为每个订阅者分配随机 NAT 端口块。对于从订阅者启动的任何连接,Citrix ADC 设备将从已分配 NAT 端口块的订阅者分配 NAT 端口以创建 LSN 会话。

      必须在绑定 LSN 组中设置端口块大小。对于订阅服务器,如果所有端口都是从已分配的订阅服务器端口块中分配的,Citrix ADC 设备会为订阅服务器分配一个新的随机端口块。

      对于确定性 NAT,默认情况下此参数处于启用状态,您无法禁用此参数。

      可能的值:ENABLED、DISABLED

      默认值: 禁用

    • 本地超时

      解除 LSN NAT 端口(当 LSN 映射被删除时)和重新分配它们为新的 LSN 会话之间的等待时间(以秒为单位)。为了防止旧映射和新映射和会话之间的冲突,必须使用此参数。它确保所有已建立的会话都被破坏,而不是重定向到不同的订阅者。这不适用于以下中使用的端口:

      • 确定性 NAT
      • 地址相关过滤和地址端口相关过滤
      • 具有端口块分配的动态 NAT

      在这些情况下,将立即重新分配端口。

      默认值:0

      最大值:600

    • maxPortReallocTmq

      端口重新分配超时适用于每个 NAT IP 地址的最大端口数。换句话说,重新分配超时适用于每个 NAT IP 地址的最大解除端口队列大小。

      当队列大小已满时,将立即为新的 LSN 会话重新分配下一个解除分配的端口。

      默认值:65536

      最大值:65536

参数描述(CLI 过程中列出的命令)

  • bind lsn pool

    • poolname

      LSN 池的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 池后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn pool1”或“lsn pool1”)。

      这是一个强制性的论点。最大长度:127

    • 利斯普

      IPv4 地址或一系列 IPv4 地址用作 LSN 的 NAT IP 地址。

      创建池后,这些 IPv4 地址将作为 Citrix ADC 拥有的 LSN 类型的 IP 地址添加到 Citrix ADC 设备中。与 LSN 池关联的 LSN IP 地址不能与其他 LSN 池共享。为此参数指定的 IP 地址必须与 Citrix ADC 拥有的任何 IP 地址一样存在于 Citrix ADC 设备上。在命令行界面中,用连字符分隔范围。例如:10.102.29.30-10.102.29.189。您可以稍后从池中删除部分或全部 LSN IP 地址,并将 IP 地址添加到 LSN 池。

参数描述(CLI 过程中列出的命令)

  • add lsn transportprofile

    • transportprofilename

      LSN 传输配置文件的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 传输配置文件后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn transport profile1”或“lsn transport profile1”)。

      这是一个强制性的论点。最大长度:127

    • transportprotocol

      要为其设置 LSN 传输配置文件参数的协议。

      这是一个强制性的论点。

      可能的值:TCP, UDP, ICMP

    • 会话超时

      空闲 LSN 会话的超时(以秒为单位)。如果 LSN 会话处于空闲状态超过此值的时间,Citrix ADC 设备将删除该会话。

      从任一端点收到 FIN 或 RST 消息时,此超时不适用于 TCP LSN 会话。

      默认值:120

      最小值:60

    • 发现超时

      从其中一个端点收到 FIN 或 RST 消息后,TCP LSN 会话的超时(以秒为单位)。

      如果 TCP LSN 会话处于空闲状态(Citrix ADC 设备收到 FIN 或 RST 消息后)超过此值,Citrix ADC 设备将删除该会话。

      由于 Citrix ADC 设备的 LSN 功能不会维护任何 TCP LSN 会话的状态信息,因此此超时可容纳 FIN 或 RST 以及来自其他端点的 ACK 消息的传输,以便两个端点都可以正确关闭连接。

      默认值:30

    • 端口配额

      每个订阅者为指定协议一次使用的 LSN NAT 端口的最大数量。例如,每个订阅者最多可以限制为 500 个 TCP NAT 端口。当订阅者的 LSN NAT 映射达到限制时,Citrix ADC 设备不会为该订阅者分配其他 NAT 端口。

      默认值:0

      最小值:0

      最大值:65535

    • 会议配额

      指定协议的每个订阅者允许的最大并发 LSN 会话数。当 LSN 会话数达到订阅者的限制时,Citrix ADC 设备不允许订阅者打开其他会话。

      默认值:0

      最小值:0

      最大值:65535

    • 端口保存平价

      启用订阅服务器端口与其映射的 LSN NAT 端口之间的端口奇偶校验。例如,如果订阅者从奇数端口启动连接,Citrix ADC 设备将为此连接分配奇数 LSN NAT 端口。您必须设置此参数,以便使要求源端口为偶数或奇数编号的协议正常运行,例如,在使用 RTP 或 RTCP 协议的对等应用程序中。

      可能的值:ENABLED、DISABLED

      默认值: 禁用

    • 端口保护区

      如果订阅者从已知端口 (0-1023) 启动连接,请为此连接分配已知端口范围 (0-1023) 的 NAT 端口。例如,如果订阅者从端口 80 启动连接,Citrix ADC 设备可以将端口 100 分配为此连接的 NAT 端口。

      此参数适用于不分配端口块的动态 NAT。如果分配的端口范围包括已知端口,则它也适用于确定性 NAT。

      当所有可用 NAT IP 地址的所有已知端口在不同的订阅服务器连接(LSN 会话)中使用,并且订阅服务器从已知端口启动连接时,Citrix ADC 设备将删除此连接。

      可能的值:ENABLED、DISABLED

      默认值: 禁用

    • 同步

      以静默方式删除 Citrix ADC 设备上没有 LSN-NAT 会话的连接的任何非 SYN 数据包。

      如果禁用此参数,Citrix ADC 设备将接受任何非 SYN 数据包,并为此连接创建新的 LSN 会话条目。

      以下是 Citrix ADC 设备接收此类数据包的一些原因:

      • 存在连接的 LSN 会话,但 Citrix ADC 设备删除了此会话,因为 LSN 会话处于空闲状态超过配置的会话超时时间。
      • 这些数据包可能是 DoS 攻击的一部分。

      可能的值:ENABLED、DISABLED

      默认值:ENABLED

参数描述(CLI 过程中列出的命令)

  • add lsn appsprofile

    • appsprofilename

      LSN 应用程序配置文件的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 应用程序配置文件后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn application profile1”或“lsn application profile1”)。

      这是一个强制性的论点。最大长度:127

    • transportprotocol

      应用此 LSN 应用程序配置文件的参数的协议的名称。

      这是一个强制性的论点。

      可能的值:TCP, UDP, ICMP

    • 共用

      与同一订阅者关联的会话的 NAT IP 地址分配选项。

      可用选项功能如下:

      • 配对— Citrix ADC 设备为与同一订阅服务器关联的所有会话分配相同的 NAT IP 地址。在 LSN 会话中使用 NAT IP 地址的所有端口时(对于相同或多个订阅者),Citrix ADC 设备会删除订阅者的任何新连接。
      • R@@andom— Citrix ADC 设备从池中为与同一订阅者关联的不同会话分配随机 NAT IP 地址。

      此参数仅适用于动态 NAT 分配。

      可能的值:配对、随机

      默认值:RANDOM

    • 映射

      LSN 映射的类型应用于来自同一订阅者 IP 地址和端口的后续数据包。

      考虑 LSN 映射的示例,其中包括订阅者 IP:端口 (X: x)、NAT IP: 端口 (N: n) 和外部主机 IP: 端口 (Y: Y) 的映射。

      可用选项功能如下:

      • ENDPOINT 独立— 对从相同的订阅者 IP 地址和端口 (X: x) 发送到任何外部 IP 地址和端口的后续数据包重复使用 LSN 映射。
      • 址相关 — 对从相同的订阅者 IP 地址和端口 (X: x) 发送到同一外部 IP 地址 (Y) 的后续数据包重复使用 LSN 映射,而不考虑外部端口。
      • 址端口相关 — 在映射仍处于活动状态时,对从相同的内部 IP 地址和端口 (X: x) 发送到相同的外部 IP 地址和端口 (Y: Y) 的后续数据包重复使用 LSN 映射。

      可能的值:ENDPOINT-INDEPENDENT, ADDRESS-DEPENDENT, ADDRESS-PORT-DEPENDENT

      默认值:ADDRESS-PORT-DEPENDENT

    • 过滤

      应用于源自外部主机的数据包的筛选器类型。

      考虑 LSN 映射的示例,其中包括订阅者 IP:端口 (X: x)、NAT IP: 端口 (N: n) 和外部主机 IP: 端口 (Y: Y) 的映射。

      可用选项功能如下:

      • 无论外部主机 IP 地址和口 X: x,仅筛选出未发往订阅者 IP 地址和端口 X: x 的数据包,而不考虑外部主机 IP 地址和端口源 (z: z)。Citrix ADC 设备将任何数据包转发到 X: x。换句话说,从订阅者发送数据包到任何外部 IP 地址就足以允许从任何外部主机发送数据包到订阅者。
      • 地址相关 — 筛选出不发往订阅者 IP 地址和端口 x: x 的数据包。此外,如果客户端以前没有将数据包发送到 Y: Anyport(与外部端口无关),则设备会筛选出 Y: y 发送给订阅者 (X: x) 的数据包。换句话说,接收来自特定外部主机的数据包需要订阅者首先将数据包发送到该特定外部主机的 IP 地址。
      • 依赖于端口的地址 (默认)— 筛选出不发往订阅者 IP 地址和端口 (X: x) 的数据包。此外,如果订阅者以前未向 Y: Y 发送数据包,Citrix ADC 设备会筛选出发往订阅者 (X: x) 的 Y: Y 中的数据包。换句话说,接收来自特定外部主机的数据包需要订阅者首先将数据包发送到该外部 IP 地址和端口。

      可能的值:ENDPOINT-INDEPENDENT, ADDRESS-DEPENDENT, ADDRESS-PORT-DEPENDENT

      默认值:ADDRESS-PORT-DEPENDENT

    • 特别代理

      启用 TCP 代理,这使 Citrix ADC 设备能够通过使用第 4 层功能优化 TCP 流量。

      可能的值:ENABLED、DISABLED

      默认值: 禁用

    • td

      Citrix ADC 设备在执行 LSN 后发送出站流量所通过的流量域的 ID。

      如果未指定 ID,设备将通过 ID 为 0 的默认流量域发送出站流量。

      默认值:65535

      最大值:65535

参数描述(CLI 过程中列出的命令)

  • bind lsn appsprofile

    • appsprofilename

      LSN 应用程序配置文件的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 应用程序配置文件后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn application profile1”或“lsn application profile1”)。

      这是一个强制性的论点。最大长度:127

    • 在斯波特

      端口号或端口号范围,以匹配来自订阅者的传入数据包的目标端口。当目标端口匹配时,LSN 应用程序配置文件将应用于 LSN 会话。用连字符分隔一系列端口。例如,40-90。

参数描述(CLI 过程中列出的命令)

  • add lsn group

    • groupname

      LSN 组的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 组后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn group1”或“lsn group1”)。

      这是一个强制性的论点。最大长度:127

    • clientname

      要与 LSN 组关联的 LSN 客户端实体的名称。您只能将一个 LSN 客户端实体与 LSN 组关联。创建 LSN 组后,您无法删除此关联或替换为其他 LSN 客户端实体。

      这是一个强制性的论点。最大长度:127

    • nattype

      订阅者的 NAT IP 地址和端口分配类型(来自绑定 LSN 池):

      可用选项功能如下:

      • 确定性— 为每个订阅者(绑定到 LSN 组的 LSN 客户端)分配 NAT IP 地址和端口块。Citrix ADC 设备按顺序将 NAT 资源分配给这些订阅服务器。Citrix ADC 设备将初始 NAT IP 地址上的第一个端口块(块大小由 LSN 组的端口块大小参数确定)分配给初始订阅者 IP 地址。下一个端口范围分配给下一个订阅者,依此类推,直到 NAT 地址没有足够的端口供下一个订阅者使用。在这种情况下,下一个 NAT 地址上的第一个端口块用于订阅服务器,依此类促。由于每个订阅者现在都会收到一个确定性的 NAT IP 地址和一个端口块,因此可以识别订阅者,而无需任何日志记录。对于连接,只能根据 NAT IP 地址和端口以及目标 IP 地址和端口来识别订阅者。
      • 动态— 为订阅者的连接分配随机 NAT IP 地址和 LSN NAT 池中的端口。如果启用了端口块分配(在 LSN 池中)并指定了端口块大小(在 LSN 组中),Citrix ADC 设备会在首次启动连接时为订阅者分配随机 NAT IP 地址和端口块。设备会为此订阅服务器的不同连接分配此 NAT IP 地址和端口(来自已分配的端口块)。如果从已分配的订阅服务器端口块中分配了所有端口(针对不同的订阅服务器连接),则设备会为订阅服务器分配一个新的随机端口块。

      可能的值:DYNAMIC, DETERMINISTIC

      默认值:DYNAMIC

    • 端口块大小

      要为每个订阅者分配的 NAT 端口块的大小。

      若要为动态 NAT 设置此参数,必须在绑定 LSN 池中启用端口块分配参数。对于确定性 NAT,端口块分配参数始终处于启用状态,您无法禁用该参数。

      在动态 NAT 中,Citrix ADC 设备从 NAT IP 地址的可用 NAT 端口池中为每个订阅者分配随机 NAT 端口块。对于订阅者,如果所有端口都是从已分配的订阅者端口块中分配的,则设备会为订阅者分配一个新的随机端口块。

    • logging

      为此 LSN 组创建或删除的日志映射条目和会话。Citrix ADC 设备仅在同时启用日志记录和会话日志记录参数时记录此 LSN 组的 LSN 会话。

      设备使用其现有的系统日志和审核日志框架来记录 LSN 信息。您必须通过在相关的 NSLOG 操作和 SYLOG 操作实体中启用 LSN 参数来启用全局级 LSN 日志记录。启用日志记录参数后,Citrix ADC 设备会生成与此 LSN 组的 LSN 映射和 LSN 会话相关的日志消息。然后,设备将这些日志消息发送到与 NSLOG 操作和 SYSLOG 操作实体关联的服务器。

      LSN 映射条目的日志消息包含以下信息:

      • Citrix ADC 设备的 NSIP 地址
      • 时间戳
      • 条目类型(映射或会话)
      • 是创建还是删除 LSN 映射条目
      • 订阅者的 IP 地址、端口和流量域 ID
      • NAT IP 地址和端口
      • 协议名称
      • 可能存在目标 IP 地址、端口和流量域 ID,具体取决于以下条件:
        • 不记录与端点点无关的映射的目标 IP 地址和端口
        • 仅记录与地址相关的映射目标 IP 地址(而不是端口)
        • 将记录目标 IP 地址和端口以进行与地址端口相关的映射

      可能的值:ENABLED、DISABLED

      默认值: 禁用

    • sessionLogging

      为 LSN 组创建或删除的日志会话。Citrix ADC 设备仅在同时启用日志记录和会话日志记录参数时记录此 LSN 组的 LSN 会话。

      LSN 会话的日志消息包含以下信息:

      • Citrix ADC 设备的 NSIP 地址
      • 时间戳
      • 条目类型(映射或会话)
      • 是创建还是删除 LSN 会话
      • 订阅者的 IP 地址、端口和流量域 ID
      • NAT IP 地址和端口
      • 协议名称
      • 目标 IP 地址、端口和流量域 ID

      可能的值:ENABLED、DISABLED

      默认值: 禁用

    • 会话同步

      在高可用性 (HA) 部署中,将与此 LSN 组相关的所有 LSN 会话的信息与辅助节点同步。故障转移后,已建立的 TCP 连接和 UDP 数据包流保持活动状态并在辅助节点(新主节点)上恢复。

      要使此设置工作,必须启用全局会话同步参数。

      可能的值:ENABLED、DISABLED

      默认值:ENABLED

    • 自然资源

      可以在一分钟内为 LSN 组生成的 SNMP 陷阱邮件的最大数量。

      默认值:100

      最小值:0

      最大值:10000

    • FTP

      为 FTP 协议启用应用程序层网关 (ALG)。对于某些应用程序层协议,IP 地址和协议端口号通常在数据包有效负载中进行通信。充当 ALG 时,设备会更改数据包负载,以确保协议继续通过 LSN 工作。

      注意:Citrix ADC 设备还包括适用于 ICMP 和 TFTP 协议的 ALG。默认情况下,ICMP 协议的 ALG 处于启用状态,并且没有设置禁用该协议。默认情况下,TFTP 协议的 ALG 处于禁用状态。当您将 UDP LSN 应用程序配置文件绑定到 LSN 组时,系统会自动为 LSN 组启用 ALG(具有端点独立映射、与端点无关的筛选和目标端口为 69(TFTP 的已知端口)。

      可能的值:ENABLED、DISABLED

      默认值:ENABLED

参数描述(CLI 过程中列出的命令)

  • bind lsn group

    • groupname

      LSN 组的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 LSN 组后无法更改。以下要求仅适用于 CLI:如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“lsn group1”或“lsn group1”)。

      这是一个强制性的论点。最大长度:127

    • poolname

      要绑定到指定 LSN 组的 LSN 池的名称。只有具有相同 NAT 类型设置的 LSN 池和 LSN 组可以绑定在一起。多重 LSN 池可以绑定到 LSN 组。

      对于确定性 NAT,绑定到 LSN 组的池不能绑定到其他 LSN 组。对于动态 NAT,绑定到 LSN 组的池可以绑定到多个 LSN 组。最大长度:127

    • transportprofilename

      要绑定到指定 LSN 组的 LSN 传输配置文件的名称。为要为其指定设置的每个协议绑定配置文件。

      默认情况下,具有 TCP、UDP 和 ICMP 协议默认设置的 LSN 传输配置文件在创建过程中绑定到 LSN 组。此配置文件称为默认传输。

      绑定到 LSN 组的 LSN 传输配置文件将覆盖该协议的默认 LSN 传输配置文件。最大长度:127

    • appsprofilename

      要绑定到指定 LSN 组的 LSN 应用程序配置文件的名称。对于每组目标端口,请为要指定设置的每个协议绑定一个配置文件。

      默认情况下,具有针对所有目标端口的 TCP、UDP 和 ICMP 协议的默认设置的 LSN 应用程序配置文件将在其创建期间绑定到 LSN 组。此配置文件称为默认应用程序配置文件。

      将具有指定目标端口集的 LSN 应用程序配置文件绑定到 LSN 组时,绑定配置文件将覆盖该目标端口集上该协议的默认 LSN 应用程序配置文件。最大长度:127