ADC

Anwendungsfall 10: Lastausgleich von Intrusion-Detection-System-Servern

Damit die Citrix ADC Appliance den Lastausgleich von IDS-Servern (Intrusion Detection System) unterstützt, müssen die IDS-Server und Clients über einen Switch verbunden sein, für den die Portspiegelung aktiviert ist. Der Client sendet eine Anfrage an den Server. Da die Portspiegelung auf dem Switch aktiviert ist, werden die Anforderungspakete kopiert oder an den virtuellen Serverport der Citrix ADC Appliance gesendet. Die Appliance verwendet dann die konfigurierte Load-Balancing-Methode, um einen IDS-Server auszuwählen, wie in der folgenden Abbildung dargestellt.

Abbildung 1. Topologie von IDS-Servern mit Lastausgleich

Topology

Hinweis: Derzeit unterstützt die Appliance nur den Lastausgleich passiver IDS-Geräte.

Wie im vorherigen Diagramm dargestellt, funktioniert das IDS-Load-Balancing-Setup wie folgt:

  1. Die Client-Anfrage wird an den IDS-Server gesendet, und ein Switch mit aktiviertem Mirroring-Port leitet diese Pakete an den IDS-Server weiter. Die Quell-IP-Adresse ist die IP-Adresse des Clients, und die Ziel-IP-Adresse ist die IP-Adresse des Servers. Die Quell-MAC-Adresse ist die MAC-Adresse des Routers, und die Ziel-MAC-Adresse ist die MAC-Adresse des Servers.
  2. Der Datenverkehr, der durch den Switch fließt, wird auf die Appliance gespiegelt. Die Appliance verwendet die Layer-3-Informationen (Quell-IP-Adresse und Ziel-IP-Adresse), um das Paket an den ausgewählten IDS-Server weiterzuleiten, ohne die Quell-IP-Adresse oder die Ziel-IP-Adresse zu ändern. Es ändert die Quell-MAC-Adresse und die Ziel-MAC-Adresse in die MAC-Adresse des ausgewählten IDS-Servers.

Hinweis: Beim Lastenausgleich von IDS-Servern können Sie die Lastausgleichsmethoden SRCIPHASH, DESTIPHASH oder SRCIPDESTIPHASH konfigurieren. Die Methode SRCIPDESTIPHASH wird empfohlen, da Pakete, die vom Client zu einem Dienst auf der Appliance fließen, an einen einzelnen IDS-Server gesendet werden müssen.

Angenommen, Service-ANY-1, Service-ANY-2 und Service-ANY-3 werden erstellt und an vServer-LB-1 gebunden. Der virtuelle Server verteilt die Belastung der Dienste. In der folgenden Tabelle sind die Namen und Werte der auf der Appliance konfigurierten Entitäten aufgeführt.

Entitätstyp Name IP-Adresse Port Protokoll
Virtueller Server Vserver-LB-1 * * ANY
Services Service-ANY-1 10.102.29.101 * ANY
  Service-ANY-2 10.102.29.102 * ANY
  Service-ANY-3 10.102.29.103 * ANY
Bildschirme Ping Ohne Ohne Ohne

Hinweis: Sie können den Inline-Modus oder den Einarmmodus für ein IDS-Load-Balancing-Setup verwenden.

Das folgende Diagramm zeigt die Load-Balancing-Entitäten und Werte der Parameter, die auf der Appliance konfiguriert werden sollen.

Abbildung 2. Entitätsmodell für Load Balancing IDS Server

Entity-model

Um ein IDS-Load Balancing-Setup zu konfigurieren, müssen Sie zunächst die MAC-basierte Weiterleitung aktivieren. Deaktivieren Sie auch die Layer-2- und Layer-3-Modi auf der Appliance.

So aktivieren Sie die MAC-basierte Weiterleitung mit der Befehlszeilenschnittstelle

Geben Sie an der Befehlszeile Folgendes ein:

enable ns mode <ConfigureMode>
<!--NeedCopy-->

Beispiel:

enable ns mode MAC
<!--NeedCopy-->

So aktivieren Sie die MAC-basierte Weiterleitung mithilfe des Konfigurationsdienstprogramms

Navigieren Sie zu System > Einstellungen > Modi konfigurierenund wählen Sie MAC-basierte Weiterleitungaus.

Als Nächstes finden Sie unter “Einrichten des Basic Load Balancing”, um ein grundlegendes Load Balancing-Setup zu konfigurieren.

Nachdem Sie das grundlegende Lastausgleichs-Setup konfiguriert haben, müssen Sie es für IDS anpassen, indem Sie eine unterstützte Lastausgleichsmethode konfigurieren (z. B. die SRCIPDESTIP-Hash-Methode auf einem virtuellen Server ohne Sitzungsfunktion) und den MAC-Modus aktivieren. Die Appliance behält den Verbindungsstatus nicht bei und leitet die Pakete nur an die IDS-Server weiter, ohne sie zu verarbeiten. Die Ziel-IP-Adresse und der Port bleiben unverändert, da sich der virtuelle Server im MAC-Modus befindet.

So konfigurieren Sie eine Load Balancing-Methode und einen Umleitungsmodus für einen sitzungslosen virtuellen Server mithilfe der Befehlszeilenschnittstelle

Geben Sie an der Befehlszeile Folgendes ein:

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>
<!--NeedCopy-->

Beispiel:

set lb vserver Vserver-LB-1 -lbMethod SourceIPDestIPHash -m MAC -sessionless enabled
<!--NeedCopy-->

Hinweis

Für einen Dienst, der an einen virtuellen Server gebunden ist, auf dem die Option -m MAC aktiviert ist, müssen Sie einen Nicht-Benutzermonitor binden.

So konfigurieren Sie eine Load Balancing-Methode und einen Umleitungsmodus für einen sitzungslosen virtuellen Server mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Öffnen Sie einen virtuellen Server und wählen Sie im Umleitungsmodus MAC Based aus.
  3. Klicken Sie in den Erweiterten Einstellungen auf Methoden und wählen Sie SCRIPDESTIPHASH aus. Klicken Sie auf Verkehrseinstellungen, und wählen Sie Sitzungsloser Lastenausgleich aus.

So legen Sie einen Dienst zur Verwendung der Quell-IP-Adresse mithilfe der Befehlszeilenschnittstelle fest

Geben Sie an der Befehlszeile Folgendes ein:

set service <ServiceName> -usip <Value>
<!--NeedCopy-->

Beispiel:

set service Service-ANY-1 -usip yes
<!--NeedCopy-->

So legen Sie einen Dienst zur Verwendung der Quell-IP-Adresse mit dem Konfigurationsdienstprogramm fest

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  2. Öffnen Sie einen Dienst und wählen Sie in den Einstellungen die Option Quell-IP-Adresse verwendenaus.

Damit USIP korrekt funktioniert, müssen Sie es global festlegen. Weitere Informationen zum globalen Konfigurieren von USIP finden Sie unter IP-Adressierung.