Citrix ADC

Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern

Damit die Citrix ADC Appliance den Lastenausgleich von IDS-Servern (Intrusion Detection System) unterstützen kann, müssen die IDS-Server und -Clients über einen Switch mit aktivierter Portspiegelung verbunden sein. Der Client sendet eine Anforderung an den Server. Da die Portspiegelung auf dem Switch aktiviert ist, werden die Anforderungspakete kopiert oder an den virtuellen Serverport der Citrix ADC Appliance gesendet. Die Appliance verwendet dann die konfigurierte Lastausgleichsmethode, um einen IDS-Server auszuwählen, wie im folgenden Diagramm dargestellt.

Abbildung 1. Topologie von IDS-Servern mit Lastausgleich

Topologie

Hinweis: Derzeit unterstützt die Appliance nur den Lastausgleich passiver IDS-Geräte.

Wie im vorhergehenden Diagramm dargestellt, funktioniert das IDS-Lastausgleichs-Setup wie folgt:

  1. Die Clientanforderung wird an den IDS-Server gesendet, und ein Switch mit aktiviertem Spiegelungsport leitet diese Pakete an den IDS-Server weiter. Die Quell-IP-Adresse ist die IP-Adresse des Clients, und die Ziel-IP-Adresse ist die IP-Adresse des Servers. Die Quell-MAC-Adresse ist die MAC-Adresse des Routers, und die Ziel-MAC-Adresse ist die MAC-Adresse des Servers.
  2. Der Datenverkehr, der über den Switch fließt, wird auf die Appliance gespiegelt. Die Appliance verwendet die Layer-3-Informationen (Quell-IP-Adresse und Ziel-IP-Adresse), um das Paket an den ausgewählten IDS-Server weiterzuleiten, ohne die Quell-IP-Adresse oder Ziel-IP-Adresse zu ändern. Es ändert die Quell-MAC-Adresse und die Ziel-MAC-Adresse in die MAC-Adresse des ausgewählten IDS-Servers.

Hinweis: Beim Lastenausgleich von IDS-Servern können Sie die Lastenausgleichsmethoden SRCIPHASH, DESTIPHASH oder SRCIPDESTIPHASH konfigurieren. Die SRCIPDESTIPHASH-Methode wird empfohlen, da Pakete, die vom Client zu einem Dienst auf der Appliance fließen, an einen einzelnen IDS-Server gesendet werden müssen.

Angenommen, service-ANY-1, service-ANY-2 und service-ANY-3 werden erstellt und an Vserver-LB-1 gebunden. Der virtuelle Server gleicht die Last der Dienste aus. In der folgenden Tabelle sind die Namen und Werte der auf der Appliance konfigurierten Entitäten aufgeführt.

Entitätstyp Name IP-Adresse Port Protokoll
Virtueller Server Vserver-LB-1 * * ANY
Services Service-ANY-1 10.102.29.101 * ANY
  Service-ANY-2 10.102.29.102 * ANY
  Service-ANY-3 10.102.29.103 * ANY
Monitore Ping Ohne Ohne Ohne

Hinweis: Sie können den Inline-Modus oder den Einarmmodus für eine IDS-Lastausgleichseinrichtung verwenden.

Das folgende Diagramm zeigt die Lastausgleichseinheiten und die Werte der Parameter, die auf der Appliance konfiguriert werden sollen.

Abbildung 2. Entitätsmodell für Load Balancing IDS Server

Entity-Modell

Um ein IDS-Load Balancing-Setup zu konfigurieren, müssen Sie zunächst die MAC-basierte Weiterleitung aktivieren. Außerdem müssen Sie die Modi Layer 2 und Layer 3 auf der Appliance deaktivieren.

So aktivieren Sie die MAC-basierte Weiterleitung mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

enable ns mode <ConfigureMode>

Beispiel:

enable ns mode MAC

So aktivieren Sie die MAC-basierte Weiterleitung mit dem Konfigurationsdienstprogramm

Navigieren Sie zu System > Einstellungen > Modi konfigurieren, und wählen Sie MAC-basierte Weiterleitung aus.

Nächstes finden Sie unter Grundlegender Lastenausgleich einrichten, um ein grundlegendes Lastausgleichs-Setup zu konfigurieren.

Nachdem Sie das grundlegende Lastausgleichs-Setup konfiguriert haben, müssen Sie es für IDS anpassen, indem Sie eine unterstützte Lastausgleichsmethode konfigurieren (z. B. die SRCIPDESTIP-Hash-Methode auf einem virtuellen Server ohne Sitzungsfunktion) und den MAC-Modus aktivieren. Die Appliance behält den Status der Verbindung nicht bei und leitet die Pakete nur an die IDS-Server weiter, ohne sie zu verarbeiten. Die Ziel-IP-Adresse und der Port bleiben unverändert, da sich der virtuelle Server im MAC-Modus befindet.

So konfigurieren Sie die LB-Methode und den Umleitungsmodus für einen virtuellen Server ohne Sitzungsfunktion mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>

Beispiel:

set lb vserver Vserver-LB-1 -lbMethod SourceIPDestIPHash -m MAC -sessionless enabled

Hinweis:

Für einen Dienst, der an einen virtuellen Server gebunden ist, auf dem die Option -m MAC aktiviert ist, müssen Sie einen Nicht-Benutzermonitor binden.

So konfigurieren Sie die LB-Methode und den Umleitungsmodus für einen virtuellen Server ohne Sitzungsfunktion mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server.
  2. Öffnen Sie einen virtuellen Server, und wählen Sie im Umleitungsmodus MAC-basiert aus.
  3. Klicken Sie unter Erweiterte Einstellungen auf Methoden, und wählen Sie SRCIPDESTIPHASH aus. Klicken Sie auf Verkehrseinstellungen, und wählen Sie Sitzungsloser Lastenausgleich aus.

So legen Sie einen Dienst für die Verwendung der Quell-IP-Adresse mit der Befehlszeilenschnittstelle fest

Geben Sie an der Eingabeaufforderung Folgendes ein:

set service <ServiceName> -usip <Value>

Beispiel:

set service Service-ANY-1 -usip yes

So legen Sie einen Dienst für die Verwendung der Quell-IP-Adresse mit dem Konfigurationsdienstprogramm fest

  1. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Dienste.
  2. Öffnen Sie einen Dienst, und wählen Sie unter Einstellungen Quell-IP-Adresse verwendenaus.

Damit USIP korrekt funktioniert, müssen Sie es global festlegen. Weitere Hinweise zum globalen Konfigurieren von USIP finden Sie unterIP-Adressierung.