Large Scale NAT Deployment Guide

Transcription

1 導入ガイド : 実現のための Citrix NetScaler の導入と設定 IPv4 アドレス枯渇問題に対処する通信事業者向けの実績あるソリューション

2 目次 (LSN) とキャリアグレード NAT(CGN) とは NetScaler による LSN のサポート... 3 LSN の導入トポロジー... 4 簡単な LSN の設定... 5 NetScaler の基本的な設定... 6 初期設定... 6 NSVLAN の設定 可 性の設定... 7 データ VLAN の設定... 8 VLAN の監視... 8 リンクアグリゲーションの設定... 8 L2/L3 パケット転送モードの設定... 8 ライセンスファイルのインストール... 9 LSN の設定... 9 LSN グローバルパラメータの設定... 9 簡単な LSN クライアントと LSN プールの設定... 9 ACL を使 して加入者を識別 パブリック NAT IP の範囲を指定 複数のクライアントネットワークと NAT IP プールを使 した LSN の設定 設定の確認 度な LSN 機能の設定 Deterministic NAT EIM/EIF ユーザークォータ ヘアピニング 静的マッピング IP プーリング ロギングの設定 LSN ロギングの有効化 設定 ベストプラクティス まとめ 付録 コマンドリファレンス

3 (LSN) は キャリアグレード NAT(CGN) とも呼ば れ IPv4 アドレスの寿命を引き延ばすために世界中の通信事業者やイン ターネットサービスプロバイダーが実装しているテクノロジーです 従来 的な NAT は LSN と目的は同じですが その規模には制限がありました LSN は 通常 通信事業者 / サービスプロバイダー環境における非常に 規 模なネットワーク向けに設計されています この文書では LSN を実現するための Citrix NetScaler の導入および設定方法について説明します 本書では 通信事業者の運 に特化したユースケースを取り上げるほか NetScaler のロギング機能や一般的なロギングインフラストラクチャートポロジーについても説明します また NetScaler の LSN 機能を実装するために必要となるすべての設定コマンドも紹介します (LSN) とキャリアグレード NAT(CGN) とは 現在 ほとんどの地域で IPv4 アドレスは完全に枯渇しています インターネットへの接続を必要としている新しいエンティティやデバイスに割り当てることのできる新しい IPv4 はもはや存在しません その一方で オンライン状態になるデバイスの数は日々確実に増加しています また IoT (Internet of Things: 物のインターネット ) のような新しいテクノロジーの出現により 新しい IP アドレスに対するニーズは将来飛躍的に増加することが予想されます このような理由から IPv6 が作成されました すべての旧式の IPv4 ネットワークおよびエンドポイントを IPv6 へと移 するには時間がかかります このような移 作業においては 制限された既存の IPv4 アドレスの集合を活 することにより これらのネットワークやエンドポイントを介した接続を可能にする必要があります 制限された数の IPv4 アドレスの集合を使 して多くのユーザーが接続できるようにするには 複数のユーザーによる IPv4 アドレスの共有が必須となります 通信事業者とサービスプロバイダーは このような要件を満たすために LSN を開発しました LSN を使 すると 単一のパブリック IPv4 アドレスを多数の内部ネットワークまたはプライベートネットワークの加入者間で共有させることができます LSN の仕様は 以下に示す RFC を通じて徹底的に討議されました RFC 6888(LSN の共通要件 ) RFC 5382(TCP における NAT 作に関する要件 ) RFC 5508(ICMP における NAT 作に関する要件 ) RFC 4787(UDP における NAT 作に関する要件 ) Citrix NetScaler は上記のすべての仕様をサポートしているほか 最適化 セキュリティ 可 性に関する既存の機能を提供します NetScaler による LSN のサポート NetScaler は データセンターや企業が抱えているニーズを満たす 最も先進的なアプリケーションデリバリーコントローラー (ADC) です NetScaler は 年にわたって業界をリードする最新のテクノロジーを数多く提供しているほか 比類のない性能を実現しています 今回 NetScaler は 通信事業者やサービスプロバイダーにとってのコアテクノロジーとなっている LSN のサポートを開始しました NetScaler TriScale テクノロジーを使 することで 顧客はインフラストラクチャーを更新する際に い柔軟性を享受できます NetScaler による LSN のサポートに関する詳細を以下に示します 3

4 LSN をサポートする NetScaler の機能は e 以降のビルドより提供されます この LSN 機能セットを使 する顧客は NetScaler の Enterprise または Platinum エディションをライセンスする必要があります LSN 機能セットは 物理 (MPX) 仮想 ( VPX) マルチテナントプラットフォーム (SDX) からなる NetScaler のすべてのフォームファクターでサポートされています LSN 機能はスタンドアロンで使 することもできれば 負荷分散 監査ロギング トラフィックドメインのようなその他の NetScaler 機能と組み合わせて使 することもできます LSN の導入トポロジー 通信事業者やサービスプロバイダーが使 する一般的な LSN のトポロジーを下記の図に示します このトポロジーは 加入者 通信事業者のコアネットワーク インターネットという 3 つの主なセクションから構成されています ( 図 1 を参照 ) サブスクライバーのトラフィックは 通信事業者のコアネットワークを通過した後に インターネットへと到達します インターネットからの応答は 逆方向のパスを通じてサブスクライバーへと到達します の導入トポロジー 図 1:LSN の導入トポロジー 加入者セクションには 無線モード (RAN など ) および有線モード ( ブロードバンドなど ) を通じて通信事業者のネットワークに接続するすべてのエンドユーザーが含まれています インターネットセクションには DNS インフラストラクチャー Web サービス クラウドベースのサービス コンテンツプロバイダー /OTT アプリケーションなどの既知の要素が含まれています 上記のトポロジーの中心となるセクションは通信事業者のコアネットワークであり これはコントロールプレーンとデータプレーンという 2 つのサブセクションに分割されます コントロールプレーンは コアネットワークを通じて加入者のトラフィックを制御するために必要となるすべての管理機能から構成されています これらの機能には 課 トラフィック管理 ロギング 加入者のプロファイル管理などが含まれています データプレーンは ルーティングデバイス DSLAM P-GW などのトラフィック送信機能およびサービスから構成されています このレイヤは コントロールプレーンから入 を受け取り サブスクライバーのトラフィックをどのように処理するかを決定します NetScaler はデータプレーン内に配置され LSN 機能を実施します 4

5 簡単な LSN の設定 LSN の簡単なユースケースは サブスクライバーのトラフィックに関して NAT 操作を実 し 加入者がインターネット上のサービスと通信できるようにすることです LSN 導入環境内にある NetScaler 上での NAT 操作の設定は 3 つのステップで簡単に えます 本書では NetScaler での完全なレイヤ 2/3 の 可 性と LSN の設定を取り上げます 注 : 設定に進む前に 以下に示す LSN 関係の 語の意味を正しく理解しておいてください LSN クライアント : 通信事業者のプライベートネットワーク上に存在する加入者の集合を指すエンティティです LSN 操作は LSN クライアントエンティティを使 して特定される加入者のトラフィックに関して実 されます LSN プール :NetScaler 上で利 可能なパブリック NAT IP アドレスの集合を定義するエンティティです NetScaler は LSN プールで定義されているパブリック IP アドレスを使 して NAT 操作を実 します NAT IP:LSN デバイス上のパブリック IP アドレスです これらのパブリック IP アドレスは通信事業者が所有しているものであり インターネットでの通信に使 されます LSN グループ :LSN クライアントと LSN プールを表すエンティティです いくつかのパラメータをグループレベルで定義できます グループレベルのパラメータについては 度な LSN 機能の設定 を参照してください LSN マッピング : 加入者のプライベート IP アドレス / ポート情報と パブリック IP アドレス / ポート情報との関連付けを表します マッピングには 的マッピングと静的マッピングがあります LSN セッション : 加入者のアクティブなマッピングと 当該セッションで利 可能なすべての関連パラメータ ( タイムアウトなど ) を表します 宛先タプル (IP ポート ) はセッション情報の一部です LSN トラフィックプロファイル : 各種プロトコル (TCP UDP ICMP) のタイムアウトや制限を定義するために使 されます トラフィックプロファイルを LSN グループにバインドすることにより 同プロファイル内に記述したパラメータにより当該グループ内のすべての加入者のトラフィック 作を定義できます LSN アプリケーションプロファイル : 指定のプロトコルまたは一連の宛先ポートごとに LSN マッピングと LSN フィルタリング制御を定義します アプリケーションプロファイルも LSN グループにバインドできます これらの設定エンティティ間の関係と 推奨される設定順を図 2 に示します 5

6 図 2:NetScaler 上での LSN 設定エンティティ NetScaler の基本的な設定 NetScaler の LSN 機能の設定を う前に NetScaler アプライアンスの基本的な設定を う必要があります 基本設定には 管理 IP および VLAN の設定 アップストリームおよびダウンストリーム切り替えデバイスのためのリンクアグリゲーション 可 性 パケット転送の設定が含まれています 初期設定 新しい NetScaler 上で管理 IP およびサブネット IP(SNIP) を設定するには デバイスの電源を入れます その後 シリアルコンソール経由で設定コマンドラインインターフェイスにアクセスし 次のコマンドを実 します ns> set ns config ipaddress <management-ip> -netmask <subnet-mask> ns> add ns ip <ip-address> <netmask> -type <type> ns> set system user <username> -password <password> ns> save ns config ns> reboot 注 : サブネット IP(SNIP) とは サーバーサイドネットワークとの通信を開始する場合に使 される NetScaler 上の IP アドレスです 例えば ログサーバーとの通信を開始する場合 SNIP が NetScaler のソース IP アドレスとして使 されます 6

7 NSVLAN の設定 NSVLAN とは NetScaler 管理 IP(NSIP) アドレスのサブネットがバインドされる VLAN です NSIP サブネットは NSVLAN に関連付けられているインターフェイス上でのみ利 できます デフォルトで NSVLAN は VLAN-1 となりますが 別の VLAN を NSVLAN に指定することも可能です 別の VLAN を NSVLAN に指定した場合 その変更を有効にするには NetScaler アプライアンスをリブートする必要があります リブート後に NSIP サブネットのトラフィックが新しい NSVLAN に対して制限されることになります ns> set ns config nsvlan <vlan-id> -ifnum <slot/port> [-tagged (Yes/No)] ns> save ns config ns> reboot 可用性の設定 NetScaler は 可 性 (HA) 設定でアクティブ - パッシブモードをサポートしています NetScaler は LSN 導入環境内におけるクリティカルパス上で 作するため NetScaler を HA モードでインストールすることが強く推奨されます HA 設定では 2 つの NetScaler ノード ( プライマリおよびセカンダリ ) がハートビートを交換することで お互いのステータスを監視します 使 しないインターフェイス上ではすべてハートビートを無効にする必要があります ns> add HA node <id> <ip-address-of-the-peer-ha-node> ns> set interface <id> -hamonitor OFF [on all interfaces not used for HA heartbeat exchange] ns> show HA node HA の前提条件は次の通りです 対称 RSS キー RSS キーがセカンダリノード上で同期された場合 同期を強制 ( 推奨 ) した後 セカンダ リノードのウォームリブートを実 する必要があります 対称 RSS および同期の設定は次の通りです 1. プライマリノード上で以下を実 します a. RSS キーを対称に設定 b. フェイルオーバーを強制 c. ノードの設定 hasync を無効化 d. 設定の保存 (Saveconfig)/ リブート /* この時点で 対称キーを持った状態でプライマリノードが起 される */ 2. プライマリノードの起 後 セカンダリノード上で以下を実 します a. フェイルオーバーを強制 3. プライマリノード上で以下を実 します a. ノードの設定 hasync を有効化 b. NetScaler の LSN 機能を有効化 c. 同期を強制 7

8 /* セカンダリ上で N1 の対称キーの同期が われる */ 4. セカンダリノード上で以下を実 します a. 設定の保存 (Saveconfig)/ リブート /* 対称キーが N2 に適 される */ データ VLAN の設定 LSN の導入環境において NetScaler は事業者のコアネットワークの境界にインストールされます NetScaler のインターネットに面した側は BGP ノードのピアであり インターネットにパケットをルーティングします 一方 NetScaler の内側 ( 事業者コアネットワーク ) に面した側は インターネットに到達するために LSN 機能を必要とするすべての加入者のトラフィックを搬送します NetScaler は これらの両方の側にそれぞれ VLAN を必要とします NetScaler 上で VLAN は L3- VLAN として機能します これはサブネット IP も VLAN にバインドできることを意味します ns> add vlan <id> [-aliasname <string>] ns> bind vlan <id> -ifnum <slot/port> ns> bind vlan <id> -IPAddress <IPAddress> <netmask> 注 :HA の設定で 両方のデバイスで同じインターフェイスの番号付けを っていることを確認します これは VLAN 設定が HA ペア間で同期されるためです VLAN の監視 VLAN の設定を確認する場合や VLAN トラフィックに関連する統計量をチェックする場合 次のコマンドを使うと便利です ns> show vlan ns> stat vlan リンクアグリゲーションの設定 LSN の導入環境において NetScaler は非常に 量のトラフィックを処理します このため 単一インターフェイスではなく リンクアグリゲーションを使 する方がより役 ちます NetScaler は LACP や チャネル設定を使 することでリンクアグリゲーションをサポートします LACP はほとんどすべてのスイッチ / ルータデバイスでサポートされているため LACP を使 してアグリゲーションを実現します NetScaler 上で LACP を設定するには LACP チャネルの一部となるすべてのインターフェイス上で次のコマンドを実 します ns> set interface <id> [-lacpmode <lacpmode>] [-lacpkey<positive_integer>] [- lacppriority<positive_integer>] [-lacptimeout (LONG SHORT)] ns> show interface <id> 注 :HA の設定では LACP 設定の伝搬や同期はどちらも われません L2/L3 パケット転送モードの設定 NetScaler は様々なパケット転送モードをサポートしています NetScaler は同モードの設定に基づいて単なるスイッチまたはルータとして機能します LSN の導入環境では パケット転送モードを次のように設定する必要があります 8

9 ns> disable ns mode l2 ns> enable ns mode l3 ns> disable ns mode mbf ns> enable ns mode USNIP ライセンスファイルのインストール NetScaler ADC は Standard Enterprise Platinum という 3 種類のライセンスエディションをサポートしています ライセンスエディションごとに NetScaler ADC 上で利 できる機能セットが異なっています 各ライセンスエディションで利 できる機能セットの詳細については NetScaler のデータシートをご覧ください ( LSN 機能は NetScaler の Enterprise エディションおよび Platinum エディションで利 できます NetScaler 上にライセンスファイルをインストールする 順はすべてのエディションで同じです LSN の設定に進む前に NetScaler 上にライセンスファイルをインストールします ライセンスファイルを /nsconfig/license/ ディレクトリにコピーした後 当該デバイスをリブートする必要があります ns> shell root@ns# cd /nsconfig/license/ root@ns# cp <license-file-location> /nsconfig/license/ root@ns# reboot LSN の設定 NetScaler 上で LSN 機能を設定する 順は非常に簡単です LSN モジュールは 一連のグローバルパラメータから構成されています グローバル とは これらのパラメータが NetScaler デバイスを通過するすべての LSN トラフィックに適 されることを意味します 一方 特定の加入者 アプリケーション またはプロトコルの集合に関して LSN の 作を定義する LSN クライアントと LSN プールも存在します 特定の加入者やプロトコルの集合ごとの 作を微調整するには LSN プロファイル ( トラフィックプロファイルまたはアプリケーションプロファイル ) を使 します LSN グローバルパラメータの設定 必要に応じて グローバルレベルでメモリ制限やセッション同期の 作を設定できます このステップは 以下に説明するすべてのユースケースで必要となります ns> set lsn parameter [-memlimit <MBytes>] [-sessionsync ( ENABLED DISABLED )] 簡単な LSN クライアントと LSN プールの設定 1 つの加入者ネットワークと 1 つのパブリック NAT IP が存在する場合 1 つの LSN クライアントと 1 つの LSN プールを設定します ns> add lsn client <client-name> ns> add lsn client <client-name> -network <IPAddress> -netmask <netmask> ns> add lsn pool <pool-name> ns> bind lsn pool <pool-name> <public-nat-ip> ns> add lsn group <group-name> -clientname <client-name> 9

10 ns> bind lsn group <group-name> -poolname <pool-name> ACL を使用して加入者を識別 パブリック NAT IP の範囲を指定 加入者ネットワークは NetScaler 上でアクセス制御リスト (ACL) を使 することによっても識別できます ACL は IP VLAN インターフェイス およびその他のパラメータを使 した識別をサポートしているため ACL を使 すると い柔軟性が提供されます ns> add ns acl <acl-name> ALLOW srcip <startip-endip> ns> apply acl ns> add lsn client <client-name> ns> bind lsn client <client-name> -aclname <acl-name> ns> add lsn pool <pool-name> ns> bind lsn pool <pool-name> <NATIP1-NATIPx> ns> add lsn group <group-name> -clientname <client-name> ns> bind lsn group <group-name> -poolname <pool-name> 複数のクライアントネットワークと NAT IP プールを使用した LSN の設定 アプリケーションプロファイルとトランスポートプロファイルを使 すると プロトコルやアプリケーションごとに LSN の 作を制御できます アプリケーションプロファイルまたはトランスポートプロファイルは LSN グループにバインドできます これを うと 当該グループ内のすべての LSN クライアントが 対応するプロファイル内の設定に従うことになります 次の例では リソース ( プールの IP) を共有する方法と サブスクライバーの巨 な集合を LSN クライアントに追加する方法も示します ns> add lsn client <client-name> ns> bind lsn client <client-name> -network netmask ns> bind lsn client <client-name> -network netmask ns> bind lsn client <client-name> -network netmask ns> add lsn pool <pool-name> ns> bind lsn pool <pool-name> ns> bind lsn pool <pool-name> ns> bind lsn pool <pool-name> ns> add lsn group <group-name> -clientname <client-name> ns> bind lsn group <group-name> -poolname <pool-name> 設定の確認 NetScaler 上で実 されるすべての LSN 設定を確認するには 以下に示すコマンドを使 します リブート後にも変更を保持するには 確認した後に設定を保存します ns> show lsn parameter ns> show lsn client [<client-name>] ns> show lsn pool [<pool-name>] ns> show lsn group [<group-name>] ns> show lsn appsprofile ns> show lsn transportprofile 10

11 度な LSN 機能の設定 NetScaler では Deterministic NAT EIM/EIF ヘアピニング ユーザークォータ ALG など いくつかの 度な LSN 機能がサポートされています これらのユースケースのそれぞれで必要となる設定について以下に説明します Deterministic NAT NetScaler は NAT IP を加入者に割り当てる方法として 的および Deterministic( 決定論的 ) という 2 種類の割り当て方法をサポートしています デフォルトの割り当て方法は 的です Deterministic NAT は ロギング情報を減らしたい場合に使 すると便利です これは 加入者から NAT IP/ ポートへのマッピングは事前に決定済みであるためです Deterministic NAT オプションを選択する場合 管理者は以下に示す設定を います ns> add lsn client <client-name> ns> bind lsn client <client-name> -network <IPaddress> -netmask <netmask> ns> add lsn pool <pool-name> -nattype DETERMINISTIC ns> bind lsn pool <pool-name> <NATIP1-NATIPx> ns> add lsn group <group-name> -clientname <client-name> -nattype DETERMINISTIC portblocksize 1000 ns> bind lsn group <group-name> -poolname <pool-name> 注 :"DETERMINISTIC NAT" タイプは add lsn pool コマンドでも指定できます EIM/EIF EIM(Endpoint Independent Mapping: エンドポイント独 マッピング ) と EIF(Endpoint Independent Filtering: エンドポイント独 フィルタリング ) は LSN の非常に重要な機能です EIM は LSN マッピングの 作を制御します 各 EIM オプションに関する簡単な説明を以下に示します ENDPOINT-INDEPENDENT: 現在の LSN マッピングが 同じ加入者 IP アドレス / ポート (X:x) から任意の外部 IP アドレス / ポートへと送信されるトラフィックに対して使 されます ADDRESS-DEPENDENT: 現在の LSN マッピングが 同じ加入者 IP アドレス / ポート (X:x) から同じ外部 IP アドレス (Y) へと送信されるトラフィックに対して使 されます ADDRESS-PORT-DEPENDENT: 現在の LSN マッピングが 同じ加入者 IP アドレス / ポート (X:x) から同じ外部 IP アドレス / ポート (Y:y) へと送信されるトラフィックに対して使 されます 注 : デフォルトの設定は ADDRESS-PORT-DEPENDENT です EIF は 既存のマッピングセッションを使 して 外部ホストが任意の内部ホストにアクセスする方法を制御します EIF も上記のすべてのオプションをサポートします ns> add lsn client <client-name> ns> bind lsn client <client-name> -network <IPAddress> -netmask <mask> ns> add lsn pool <pool-name> ns> bind lsn pool <pool-name> <NATIP1-NATIPx> ns> add lsn group <group-name> -clientname <client-name> ns> bind lsn group <group-name> -poolname <pool-name> ns> add lsn appsprofile <apps-profile-1-name> TCP mapping ENDPOINT-INDEPENDENT ns> bind lsn appsprofile <apps-profile-1-name> <port-range> 11

12 ns> add lsn appsprofile <apps-profile-2-name> TCP filtering ADDRESS-DEPENDENT ns> bind lsn group <group-name> -appsprofilename <apps-profile-1-name> ns> bind lsn group <group-name> -appsprofilename <apps-profile-2-name> ユーザークォータ ユーザークォータを使うと 管理者は 各加入者が利 できる同時 NAT セッションの最 数を制限できます これにより 加入者ベース全体を通じたリソースの公平な分配を維持できます クォータは 2 つの方法で定義できます 1 つは 各加入者が利 できるポート数を制限することであり もう 1 つは 各加入者に許可されている同時 NAT セッションの総数を制限することです ns> add lsn client <client-name> ns> bind lsn client <client-name> -network <IPAdress> -netmask <mask> ns> add lsn pool <pool-name> ns> bind lsn pool <pool-name> <NATIP1-NATIPx> ns> add lsn group <group-name> -clientname <client-name> ns> bind lsn group <group-name> -poolname <pool-name> ns> add lsn transportprofile <transport-profile-1-name> TCP portquota 1000 ns> bind lsn group <group-name> -transportprofilename <transport-profile-1- name> ns> add lsn transportprofile <transport-profile-2-name> UDP portquota 20 ns> bind lsn group <group-name> -transportprofilename <transport-profile-2- name> ns> add lsn transportprofile <transport-profile-3-name> TCP sessionquota 50 ns> bind lsn group <group-name> -transportprofilename <transport-profile-3- name> 管理者はポートのクォータをどうやって決定するのでしょうか? 例えば LSN デバイスを X 名の加入者ベースで使 し Y 個の利 可能なパブリック IP アドレスが存在するとします この場合 各加入者が利 できる論理的なポート数は次の式で計算できます (65535 * Y) / (X) 注 : 任意の IP 上でのウェルノウンポート (1 1024) は 加入者 には使 されません このため 管理者はこれらのポートを利 可能な範囲から除外する必要があります ヘアピニング ヘアピニング機能は 2 名の内部加入者または 2 台の内部ホスト間での NATIP を使 した通信を可能にします この機能は NetScaler 上ではデフォルトで有効になっており 無効化できません 静的マッピング NetScaler は静的マッピング機能をサポートしています 顧客は 加入者の IP:port と NAT の IP:port 間の静的な マッピングを提供することを選択できます この設定を うと 特定の加入者の IP アドレス / ポートからのトラフィックが 常に同じ NAT の IP/ ポートを取得することを保証できます また 加入者が内部ネットワーク上で任意のサービスをホスティングする場合にも静的マッピングを使 できます この設定を うことで インターネットホストが当該内部サービスに到達できるようになります ns> add lsn static <static-map-name> <TCP/UDP> <subscrip> <subscrport> <natip> 12

13 [<natport>] 13

14 IP プーリング IP プーリングは NATIP を加入者のトラフィックに割り当てる方法を決定します IP プールングには以下に示す 2 つのオプションがあります 1. paired: 特定加入者のすべてのセッションで同じ NATIP を使 します この NATIP 上で利 可能なポートが存在しない場合 当該加入者からの新しい接続は破棄されます 2. random:natip は 利 可能な IP のプールからランダムに割り当てられます IP プーリングのデフォルト方式はランダムです この方式を paired に変更する場合 LSN Appsprofile を使 します ns> add lsn client <client-name> ns> bind lsn client <client-name> -network <IPAddress> -netmask <mask> ns> add lsn pool <pool-name> ns> bind lsn pool <pool-name> <NATIP1-NATIPx> ns> add lsn group <group-name> -clientname <client-name> ns> bind lsn group <group-name> -poolname <pool-name> ns> add lsn appsprofile <apps-profile-1-name> TCP ippooling paired ns> bind lsn group <group-name> -appsprofilename <apps-profile-1-name> ロギングの設定 NetScaler は 内部および外部ログサーバーの両方におけるすべての LSN アクティビティのロギングをサポートしています 通信事業者は 運 ログをローカルログサーバーに送信し セッション関係のログやトラフィック関係のログを外部ログサーバーに送信することを選択できます NetScaler は TCP プロトコルに基づく Auditlog フレームワークをサポートしています Auditlog では サーバーコンポーネントも NetScaler によって提供され 同コンポーネントを Windows/Linux/FreeBSD/Mac プラットフォーム上にインストールできます Auditlog フレームワークはクライアント - サーバーモデルです サーバーコンポーネントは外部ログサーバー上で実 されます 同コンポーネントの auditlog.conf ファイル内に NetScaler の IP アドレスを指定する必要があります こうすると サーバーコンポーネントは その NetScaler に対する TCP 接続を確 します 同様に NetScaler 上で Auditlog のアクションおよびポリシーを設定し ログサーバーの IP ログレベル ログセキュリティなどを指定する必要があります NetScaler 上でのロギングの設定に必要となるステップは次の通りです 1. NetScaler 上で Auditlog のアクションとポリシーを設定します 2. Auditlog ポリシーをグローバルレベルにバインドします 3. Auditlog アクションで指定した外部ログサーバー上に Auditlog サーバーコンポーネントを指定します 4. NetScaler をポイントするように Auditlog サーバーを設定します 5. Auditlog サーバーが NetScaler と通信できることを確認します 6. LSN トラフィックを開始し すべてのセッションが外部ログサーバー上でロギングされることを確認します 14

15 LSN ロギングの有効化 NetScaler は 各 LSN グループで生成または削除された LSN マッピングエントリと LSN セッションをログに記録します 特定の LSN グループの LSN 情報のロギングを制御するには その LSN グループのロギングパラメータおよびセッションロギングパラメータを使 します これらはグループレベルのパラメータであり デフォルトで表示されます NetScaler ADC は ロギングパラメータとセッションロギングパラメータの両方が有効化されている場合にのみ LSN セッションのロギングを実施します LSN マッピングエントリに関するログメッセージには次の情報が含まれています NetScaler ADC の NSIP アドレス タイムスタンプ エントリタイプ (MAPPING) 当該 LSN マッピングエントリの作成または削除の成否 加入者の IP アドレス ポート トラフィックドメイン ID NAT IP アドレスとポート プロトコル名 以下の条件に従って 宛先 IP アドレス ポート トラフィックドメイン ID がロギングされます - EIM の場合 宛先 IP アドレスとポートはロギングされません - ADDRESS-DEPENDENT マッピングの場合 宛先 IP アドレスのみがロギングされます ポートはロギングされません - ADDRESS-PORT-DEPENDENT マッピングの場合 宛先 IP アドレスとポートがロギングされます LSN セッションに関するログメッセージには次の情報が含まれています NetScaler ADC の NSIP アドレス タイムスタンプ エントリタイプ (SESSION) LSN セッションの作成または削除の成否 サブスクライバーの IP アドレス ポート トラフィックドメイン ID NAT IP アドレスとポート プロトコル名 宛先 IP アドレス ポート トラフィックドメイン ID 設定 ns> add lsn group <group-name> -clientname <client-name> [-logging ( ENABLED DISABLED )][-sessionlogging ( ENABLED DISABLED )] ns> set audit nslogparams lsn ENABLED ns> add audit nslogaction <name> <log-server-ip> -loglevel <level> -lsn ENABLED 15

16 ベストプラクティス シトリックスが推奨している NetScaler に関するベストプラクティスと LSN 設定に進む前に考慮すべき点を以下に示します EIM と EIF はデフォルトでは無効化されています シトリックスは VoIP アプリケーションや P2P(peer-to-peer) アプリケーションを正しく機能させるためには これらのオプションを有効化することを推奨しています NetScaler ADC が非常に多数 ( 百万単位 ) の LSN ログエントリを生成する場合 LSN 情報を NetScaler ADC 上ではなく外部ログサーバー上でロギングすることにより 同 ADC 上で最適な性能を実現できます シトリックスは すべての LSN セッションに関して中断のないシームレスな運 を実現するために 2 台の NetScaler ADC からなる HA 環境で LSN 機能を設定することを推奨しています - すべての HA 関係の通信を 当する 1 つの VLAN を設置するよう SYNC VLAN パラメータを設定します - プライマリノードの対称 RSS キーをセカンダリノードに同期させることで 多数の LSN マッピングおよびセッションのステートフルな同期を実現します LSN は RNAT よりも優先されます 指定の LSN 加入者からのパケットが RNAT ルールにも一致する場合 同パケットは LSN 設定に従って変換されます LSN セッションにのみ関連するパケットの転送は NetScaler ADC のルーティングテーブルに基づきます サブネット IP アドレスとは異なり 加入者の接続における LSN NAT IP アドレスの選択は 宛先 IP アドレスのルーティングエントリには基づきません インバウンドパケットの場合 静的 LSN マッピングが 的マッピングよりも優先されます アウトバウンドパケットの場合 LSN アプリケーションプロファイル内の設定が静的マッピングよりも優先されます 負荷分散仮想サーバーの L2 接続パラメータは LSN 機能では使 できません MAC ベースの転送 (MBF) は LSN セッションのみに関連するパケットには適 できません LSN 機能に割り当てられるアクティブなメモリ量を減らすには 構成済みメモリの設定を変更した後 NetScaler ADC をウォームリスタートする必要があります ウォームリスタートを わない場合 アクティブなメモリ量の増加だけが可能です まとめ 差し迫った IPv4 アドレスの枯渇と IPv6 を採 することの困難さを理由として 制限された IPv4 アドレスの利 を拡張するための きなニーズが存在しています IPv4 アドレスの利 を拡張することにより最も きな影響を受けるのは通信サービスプロバイダーです なぜなら IPv4 アドレスの利 を拡張できれば 通信サービスプロバイダーは数百万人の加入者をインターネットに接続できるようになるためです 規模が きいため IPv4 アドレスの利 を拡張するソリューションは堅牢でなければなりません また い安定性 性能 俊敏性を実現すると同時に 必要な機能を提供しなければなりません 世界で最も先進的な ADC である Citrix NetScaler は 今回 通信サービスプロバイダーが各自の IPv4 アドレス空間を有効活 できるようにする LSN 機能の総合的なセットを提供することになりました NetScaler は LSN 導入環境で必要とされるすべての機能をサポートしており 比類のない性能を提供します また NetScaler は非常に成熟したテクノロジーであり 卓越した安定性と

17 次元的なスケーラビリティを提供します 全体的に て NetScaler は IPv6 への移 時期において加入者のニーズを満たすために通信事業者やサービスプロバイダーが必要とする LSN 機能を提供する最良のソリューションです 付録 コマンドリファレンス > set lsn parameter [-memlimit <MBytes>] [-sessionsync ( ENABLED DISABLED )] > add lsn client <clientname> > bind lsn client <clientname> (( -network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]) -aclname <string>) > add lsn pool <poolname> [-nattype ( DYNAMIC DETERMINISTIC )] [- portblockallocation ( ENABLED DISABLED )] [-portrealloctimeout <secs>] [- maxportrealloctmq <positive_integer>] > bind lsn pool <poolname> <lsnip> > add lsn appsprofile <appsprofilename> <transportprotocol> [-ippooling ( PAIRED RANDOM )][-mapping <mapping>] [-filtering <filtering>] [-tcpproxy ( ENABLED DISABLED )] [-td <positive_integer>] > bind lsn appsprofile <appsprofilename> <lsnport> > add lsn transportprofile <transportprofilename> <transportprotocol> [- sessiontimeout <secs>][-finrsttimeout <secs>] [-portquota <positive_integer>] [-sessionquota <positive_integer>][-portpreserveparity ( ENABLED DISABLED )] [-portpreserverange ( ENABLED DISABLED )][-syncheck ( ENABLED DISABLED )] > add lsn group <groupname> -clientname <string> [-nattype ( DYNAMIC DETERMINISTIC )][-portblocksize <positive_integer>] [-logging ( ENABLED DISABLED )] [-sessionlogging ( ENABLED DISABLED )] [-sessionsync ( ENABLED DISABLED )] [-snmptraplimit <positive_integer>] [-ftp (ENABLED DISABLED )] > bind lsn group <groupname> (-poolname <string> -transportprofilename <string> -appsprofilename <string>) > add lsn static <name> <transportprotocol> <subscrip> <subscrport> [-td <positive_integer>][<natip> [<natport>]] [-destip <ip_addr> [-dsttd <positive_integer>] 17

18 ホワイトペーパー Large-Scale NAT Citrix について Citrix Systems, Inc.(NASDAQ:CTXS) は 新しい快適なワークスタイルを実現する仮想化 ネットワーキング クラウドインフラストラクチャのリーディングカンパニーです 多くの企業および組織の IT 部門やサービスプロバイダーが 仮想化 モバイル化されたワークスペースの構築 管理 セキュリティ確保のために シトリックスのソリューションを利 しています 仮想化 モバイル化されたワークスペースでは デバイス ユーザー 利 するネットワークやクラウドを問わず アプリケーション デスクトップ データ サービスをシームレスに利 することができます シトリックスは今年 創設 25 周年を迎えますが 今後も革新に取り組み モバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献していきます シトリックスの 2013 年度の年間売上 は 29 億ドルで その製品は世界中の 33 万以上の企業や組織において 1 億人以上の人々に利 されています シトリックスの詳細については をご覧ください 2014 Citrix Systems, Inc. All rights reserved. Citrix TriScale および NetScaler は Citrix Systems, Inc. またはその子会社の登録商標であり 米国の特許商標局およびその他の国に登録されています その他の商標や登録商標はそれぞれの各社が所有権を有するものです E1214/PDF J0215/PDF 18