Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen

Sie können den virtuellen Forward-Proxy-Cache-Umleitungsserver auf der Citrix ADC Appliance so konfigurieren, dass die Ziel-IP-Adresse der Anforderung, die auf dem virtuellen Cache-Umleitungsserver landet, in die IP-Adresse des Ursprungsservers übersetzt wird. Diese Übersetzung erfolgt unabhängig davon, ob die Anforderung an die zwischengespeicherten Server oder den Ursprungsserver gesendet wird. Bisher konnte der virtuelle Server für die Weiterleitung von Proxy-Cache-Umleitung in der Service-Provider-Umgebung aufgrund der Einschränkungen bei der Cache-Umleitung mithilfe von Richtlinien für Inhaltswechsel nicht effektiv verwendet werden, um Datenverkehr über die Firewall zu senden. Der virtuelle Cache-Umleitungsserver hat die Ursprungs-IP-Adresse nicht in die Ziel-IP übersetzt, wenn das Paket in den Cache gesendet wurde. Die Ziel-IP-Adresse war die des Ursprungsservers nur, wenn die Anforderungen vom zwischengespeicherten Server gesendet wurden.

Hinweis: Die Übersetzung der Ziel-IP-Adresse einer Anforderung in die Ursprungs-IP-Adresse wird für einen virtuellen Server mit transparenter Cache-Umleitung nicht unterstützt. Für einen virtuellen Cache-Umleitungsserver muss diese Option auf OFF gesetzt sein.

Anwendungsfall

In einer Bereitstellung, bei der Citrix ADC Appliance für die Weiterleitungsproxy-Cache-Umleitung, Firewall und wiederverwendete Client-IP-Adressen konfiguriert ist, kann die Firewall die wiederverwendeten IP-Adressen nicht unterscheiden/verwenden. Daher müssen diese wiederverwendeten IP-Adressen in verschiedene IP-Adressen übersetzt werden. Um die wiederverwendeten IP-Adressen zu übersetzen, muss die Citrix ADC Appliance Folgendes ausführen:

  1. Fragen Sie einen virtuellen DNS-Load Balancing Server für die Auflösung des Ziels ab.
  2. Aktualisieren Sie die Ursprungs-IP-Adresse und Portnummer im Ziel.
  3. Senden Sie die Anfrage zurück an die Firewall.

Betrachten Sie die folgende Bereitstellung, die eine Citrix ADC Appliance für die Weiterleitungsproxy-Cache-Umleitung, Firewall und zwei Router (Router 1 und Router 2) konfiguriert hat. Der Netzwerkverkehr fließt zu Internet 1 über Router 1 und Internet 2 über Router 2.

lokalisiertes Bild

In diesem Beispiel stammen Eingabeanforderungen von Clients aus zwei verschiedenen VLANs, VLAN11 oder VLAN12. Die Client-IP-Adresse (10.0.0.0) wird wiederverwendet. Basierend auf den Richtlinien zur Cache-Umleitung und zum Inhaltswechsel kann die Anforderung direkt an den Ursprungsserver oder an die Firewall gesendet werden.

  • Wenn die Anforderung die Firewall umgehen und ins Internet gehen muss, wird basierend auf der Eingabeanforderung VLAN entweder Router 1 oder Router 2 ausgewählt und die Anforderung an Internet 1 oder Internet 2 gesendet.

  • Wenn die Anforderung durch die Firewall gehen muss, muss die Quell-IP der Anfrage in eine bestimmte IP-Adresse übersetzt werden. Die übersetzte IP-Adresse kann verwendet werden, um das VLAN zu identifizieren, über das die Anfrage gekommen ist. Wenn die Eingabeanforderung beispielsweise von VLAN11 stammt, wird die Quell-IP-Adresse in 11.x.x.x übersetzt. Wenn die Anfrage von VLAN12 kommt, wird die Quell-IP-Adresse in 12.x.x.x übersetzt.

Nachdem die Firewall die Anforderung verarbeitet hat, wird die Anforderung an die Appliance zurückgesendet. mit der Kombination aus Listenrichtlinie und Netzprofilen übersetzt die Appliance die Quell-IP-Adresse zurück in die ursprüngliche IP-Adresse und sendet die Anforderung basierend auf der Eingabe-VLAN-ID an Router 1 oder Router 2.

Hinweis: Der Modus des virtuellen Lastausgleichsservers, der an den Cache gebunden ist, muss immer auf den MAC-Modus eingestellt sein. Obwohl der IP-Modus für diese Funktion nicht blockiert ist, führt das Festlegen des IP-Modus zu unerwartetem Verhalten.

So übersetzen Sie die Ziel-IP-Adresse und Portnummer der Anforderung mit der CLI in die Ursprungs-IP-Adresse

Geben Sie an der Eingabeaufforderung;

set cr vserver <vsname> -useoriginIpPortForCache <YES|NO>

Beispiel:

set cr vserver cvsrv1 -useoriginIpPortForCache YES

Wenn UseOriginipPortForCache auf Ja festgelegt ist und die Anforderung von den zwischengespeicherten Servern bedient werden muss, wird die Ziel-IP der Anforderung in die IP-Adresse des Ursprungsservers übersetzt.

Hinweis: Wenn UseOriginipPortForCache aktiviert ist, setzen Sie immer den virtuellen Lastausgleichsserver, der an den Cache gebunden ist, in den MAC-Modus.

So übersetzen Sie die Ziel-IP-Adresse und den Port der Anforderung mit der GUI in die Ursprungs-IP-Adresse

  1. Navigieren Sie zu Traffic Management > Cache-Umleitung > Virtuelle Server, und klicken Sie auf Hinzufügen .

  2. Geben Sie die Details des virtuellen Cache-Umleitungsservers an.

  3. Wählen Sie Ursprungs-IP-Port für Cache verwenden, um die Übersetzung der Ziel-IP-Adresse der Anforderung in die Ursprungs-IP-Adresse zu aktivieren.

  4. Klicken Sie auf OK.