Citrix ADC

入站网络地址转换

当客户端向配置为入站网络地址转换 (INat) 的 Citrix ADC 设备发送数据包时,该设备将数据包的公共目标 IP 地址转换为专用目标 IP 地址,并将数据包转发到该地址的服务器。

支持以下配置:

  • IPv4-IPv4 映射:Citrix ADC 设备上的公有 IPv4 地址代表专用 IPv4 服务器侦听连接请求。Citrix ADC 设备将数据包的公有目的 IP 地址转换为服务器的目的 IP 地址。然后,设备将数据包转发到位于该地址的服务器。
  • IPv4-IPv6 映射:Citrix ADC 设备上的公有 IPv4 地址代表专用 IPv6 服务器侦听连接请求。Citrix ADC 设备创建一个 IPv6 请求数据包,并将 IPv6 服务器的 IP 地址作为目标 IP 地址。
  • IPv6-IPv4 映射:Citrix ADC 设备上的公用 IPv6 地址代表专用 IPv4 服务器侦听连接请求。Citrix ADC 设备创建一个 IPv4 请求数据包,将 IPv4 服务器的 IP 地址作为目标 IP 地址。
  • IPv6-IPv6 映射:Citrix ADC 设备上的公用 IPv6 地址代表专用 IPv6 服务器侦听连接请求。Citrix ADC 设备将数据包的公有目的 IP 地址转换为服务器的目的 IP 地址。然后,设备将数据包转发到位于该地址的服务器。

当设备将数据包转发到服务器时,分配给该数据包的源 IP 地址按以下方式确定:

  • 如果启用了使用子网 IP (USNIP) 模式,并且禁用了源 IP (USSIP) 模式,则设备将使用子网 IP 地址 (SNIP) 作为源 IP 地址。
  • 如果启用了 USNIP 模式,并且禁用了 USNIP 模式,则设备将使用客户端 IP (CIP) 地址作为源 IP 地址。
  • 如果同时启用了 USIP 和 USNIP 模式,则优先使用 USIP 模式。
  • 您还可以通过设置 ProxyIP 参数,将 Citrix ADC 配置为使用唯一 IP 地址作为源 IP 地址。
  • 如果上述模式均未启用,且尚未指定唯一 IP 地址,Citrix ADC 将尝试使用 MIP 作为源 IP 地址。
  • 如果同时启用了 USIP 和 USNIP 模式,并且指定了唯一的 IP 地址,则优先级顺序如下:USIP 唯一的 IP-USNIP-MIP 错误。

要保护 Citrix ADC 免受 DoS 攻击,可以启用 TCP 代理。但是,如果您的网络中使用了其他保护机制,则可以禁用它们。

配置 INAT 规则

您可以创建、修改或删除 INATE 条目。

CLI 过程

要使用 CLI 创建 INATE 条目,请执行以下操作:

在命令提示符下,键入以下命令以创建 INAT 条目并验证其配置:

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLED | DISABLED)] [-ftp (ENABLED | DISABLED)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-proxyIP <ip_addr > ipv6_addr>]
  • show inat [<name>]

示例:

> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
 Done

要使用 CLI 修改 INat 条目,请执行以下操作:

要修改 INAT 条目,请键入 set inat 命令、条目名称和要更改的参数及其新值。

要使用 CLI 删除 INat 配置,请执行以下操作:

在命令提示窗口中,键入:

  • rm inat <name>

示例:

> rm inat ip4-ip4
 Done

GUI 程序

要使用 GUI 配置 INat 条目,请执行以下操作:

导航到系统 > 网络 > 路由 > INAT,然后添加 INAT 条目或编辑现有 INAT 条目。

要使用 GUI 删除 INat 配置,请执行以下操作:

导航到系统 > 网络 > 路由 > INat,删除 INat 配置。

INAT 规则的连接故障切换

连接故障切换或连接镜像使主节点能够以高可用性将连接和持久性信息复制到辅助节点。启用连接镜像时,会定期与辅助节点共享连接的状态信息。

启用连接故障切换可提供更高的可靠性,但是它会花费一些系统时间来共享状态信息。每次数据包或流状态更新时,连接数据会同步到备用设备。因此,它必须仅在连接级别可靠性至关重要的地方使用。

Citrix ADC 设备高可用性设置支持 INAT 连接的连接故障切换。主节点定期向辅助节点发送 INAT 映射和其他与 INAT 相关的连接信息。辅助设备仅在发生故障切换时使用映射和连接信息。

发生故障转移时,新的主节点将包含有关故障转移之前建立的 INAT 连接的信息。因此,即使在故障切换之后,它仍会继续为这些连接提供服务。

从客户端的角度来看,故障转移是透明的。在过渡期间,客户端和服务器可能会遇到短暂的中断和重新传输。可以根据 INAT 规则启用连接故障切换。

要在 INAT 规则上启用连接故障转移,请使用 CLI 启用该特定 RNAT 规则的 connFailover 参数。

CLI 程序

要使用 CLI 为 INAT 规则启用连接故障切换,请执行以下操作:

要在添加 INAT 规则时启用连接故障切换,请在命令提示符处键入:

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLED | DISABLED)] [-ftp ( ENABLED | DISABLED)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-proxyIP <ip_addr|ipv6_addr>] -connfailover (ENABLED | DISABLED)

  • show inat <name>

要在修改现有 INAT 规则时启用连接故障切换,请在命令提示符处键入:

  • set inat -connfailover (ENABLED | DISABLED)
  • show inat <name>

入站网络地址转换