Citrix ADC 13.0

Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation

Für die Kommunikation mit den physischen Servern oder anderen Peer-Geräten verwendet die Citrix ADC Appliance eine IP-Adresse, die ihr gehört, als Quell-IP-Adresse. Die Citrix ADC Appliance verwaltet einen Pool ihrer IP-Adressen und wählt dynamisch eine IP-Adresse aus, während eine Verbindung mit einem Server hergestellt wird. Abhängig vom Subnetz, in dem der physische Server abgelegt ist, entscheidet die Appliance, welche IP-Adresse verwendet werden soll. Dieser Adresspool dient sowohl zum Senden von Datenverkehr als auch zum Monitorprobes.

In vielen Situationen kann es vorkommen, dass die Appliance eine bestimmte IP-Adresse oder eine beliebige IP-Adresse aus einem bestimmten Satz von IP-Adressen für die Backend-Kommunikation verwendet. Im Folgenden finden Sie einige Beispiele:

  • Ein Server kann Monitorprobes vom Datenverkehr unterscheiden, wenn die Quell-IP-Adresse, die für Monitorprobes verwendet wird, zu einem bestimmten Satz gehört.
  • Zur Verbesserung der Serversicherheit kann ein Server so konfiguriert werden, dass er auf Anfragen von einem bestimmten Satz von IP-Adressen oder manchmal von einer einzelnen bestimmten IP-Adresse reagiert. In diesem Fall kann die Appliance nur die vom Server akzeptierten IP-Adressen als Quell-IP-Adresse verwenden.
  • Die Appliance kann ihre internen Verbindungen effizient verwalten, wenn sie ihre IP-Adressen in IP-Sets verteilen und eine Adresse aus einem Satz nur für die Verbindung mit einem bestimmten Dienst verwenden kann.

Um die Appliance für die Verwendung einer angegebenen Quell-IP-Adresse zu konfigurieren, erstellen Sie Netzprofile (Netzwerkprofile) und konfigurieren Sie die Appliance-Entitäten für die Verwendung des Profils. Ein Netzprofil kann an den Lastenausgleich gebunden werden oder Inhalte, die virtuelle Server, Dienste, Dienstgruppen oder Monitore wechseln. Ein Netzprofil verfügt über IP-Adressen im Besitz von Citrix ADC (SNIPs und VIPs), die als Quell-IP-Adresse verwendet werden können. Dabei kann es sich um eine einzelne IP-Adresse oder um einen Satz von IP-Adressen handeln, der als IP-Set bezeichnet wird. Wenn ein Netzprofil eine IP gesetzt hat, wählt die Appliance dynamisch eine IP-Adresse aus dem IP-Set zum Zeitpunkt der Verbindung aus. Wenn ein Profil über eine einzelne IP-Adresse verfügt, wird dieselbe IP-Adresse als Quell-IP verwendet.

Wenn ein Netzprofil an einen Lastenausgleich oder einen virtuellen Server mit Inhaltswechsel gebunden ist, wird das Profil zum Senden von Datenverkehr an alle an ihn gebundenen Dienste verwendet. Wenn ein Netzprofil an eine Dienstgruppe gebunden ist, verwendet die Appliance das Profil für alle Mitglieder der Dienstgruppe. Wenn ein Netzprofil an einen Monitor gebunden ist, verwendet die Appliance das Profil für alle vom Monitor gesendeten Prüfpunkte.

Hinweis: Wenn eine Citrix ADC Appliance eine VIP-Adresse für die Kommunikation mit einem Server verwendet, verwendet sie Sitzungseinträge, um festzustellen, ob der für die VIP-Adresse bestimmte Datenverkehr eine Antwort eines Servers oder eine Anforderung eines Clients ist.

Verwendung eines Netzprofils zum Senden von Traffic

Wenn die Option Quell-IP-Adresse (USIP) verwenden aktiviert ist, verwendet die Appliance die IP-Adresse des Clients und ignoriert alle Netzprofile. Wenn die USIP-Option nicht aktiviert ist, wählt die Appliance die Quell-IP folgendermaßen aus:

  • Wenn auf dem virtuellen Server oder der Servicegruppe kein Netzprofil vorhanden ist, verwendet die Appliance die Standardmethode.
  • Wenn nur in der Service- und Servicegruppe ein Netzprofil vorhanden ist, verwendet die Appliance dieses Netzprofil.
  • Wenn nur auf dem virtuellen Server ein Netzprofil vorhanden ist, verwendet die Appliance das Netzprofil.
  • Wenn sowohl auf dem virtuellen Server als auch auf der Servicegruppe ein Netzprofil vorhanden ist, verwendet die Appliance das an die Servicegruppe gebundene Netzprofil.

Verwendung eines Netzprofils zum Senden von Monitor-Sonden:

Bei Monitor-Sonden wählt die Appliance die Quell-IP folgendermaßen aus:

  • Wenn ein Netzprofil an den Monitor gebunden ist, verwendet die Appliance das Netzprofil des Monitors. Es ignoriert die Netzprofile, die an den virtuellen Server oder die Servicegruppe gebunden sind.
  • Wenn kein Netzprofil an den Monitor gebunden ist,
    • Wenn in der Service- und Servicegruppe ein Nettoprofil vorhanden ist, verwendet die Appliance das Nettoprofil der Servicegruppe.
    • Wenn selbst in der Service- und Servicegruppe kein Netprofil vorhanden ist, verwendet die Appliance die Standardmethode zur Auswahl einer Quell-IP.

Hinweis: Wenn kein Netzprofil an einen Dienst gebunden ist, sucht die Appliance nach einem Netzprofil in der Servicegruppe, wenn der Dienst an eine Servicegruppe gebunden ist.

Gehen Sie wie folgt vor, um eine angegebene Quell-IP-Adresse für die Kommunikation zu verwenden:

  1. Erstellen Sie IP-Sets aus dem Pool von SNIPs und VIPs, die der Citrix ADC Appliance gehören. Ein IP-Set kann sowohl aus SNIP- als auch VIP-Adressen bestehen. Anweisungen finden Sie unter Erstellen von IP-Sets.
  2. Erstellen von Netzprofilen. Anweisungen finden Sie unter Erstellen eines Netzprofils.
  3. Binden Sie die Netzprofile an die Appliance-Entitäten. Anweisungen finden Sie unter Binden eines Netzprofils an eine Citrix ADC Entität.

Hinweis:

  • Ein Netzprofil kann nur die IP-Adressen enthalten, die als SNIP und VIP auf der Citrix ADC Appliance angegeben sind.

  • Quell-IP-Persistenz wird für Citrix ADC initiierte Pakete nicht berücksichtigt.

Verwalten von Netzprofilen

Ein Netzprofil (oder Netzwerkprofil) enthält eine IP-Adresse oder einen IP-Satz. Während der Kommunikation mit physischen Servern oder Peers verwendet die Citrix ADC Appliance die im Profil angegebenen Adressen als Quell-IP-Adresse.

Erstellen eines IP-Sets

Ein IP-Set ist ein Satz von IP-Adressen, die auf der Citrix ADC-Appliance als Subnetz-IP-Adressen (SNIPs) oder virtuelle IP-Adressen (VIPs) konfiguriert sind. Ein IP-Satz wird mit einem aussagekräftigen Namen identifiziert, der bei der Identifizierung der Verwendung der darin enthaltenen IP-Adressen hilft. Um einen IP-Satz zu erstellen, fügen Sie einen IP-Satz hinzu und binden Sie ihn mit Citrix ADC-eigenen IP-Adressen an. SNIP-Adressen und VIP-Adressen können im gleichen IP-Set vorhanden sein.

So erstellen Sie einen IP-Satz mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add ipset <name>

bind ipset <name> <IPAddress>

oder

bind ipset <name> <IPAddress>

show ipset [<name>]

Der obige Befehl zeigt die Namen aller IP-Sets auf der Appliance an, wenn Sie keinen Namen übergeben. Es zeigt die IP-Adressen, die an den angegebenen IP-Satz gebunden sind, wenn Sie einen Namen übergeben.

Beispiele

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done

So erstellen Sie mit der GUI einen IP-Satz

Navigieren Sie zu System > Netzwerk > IP-Sets, und erstellen Sie einen IP-Satz.

Erstellen eines Netzprofils

Ein Netzprofil (Netzwerkprofil) besteht aus einer oder mehreren SNIP- oder VIP-Adressen der Citrix ADC Appliance.

So erstellen Sie ein Netzprofil mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add netprofile <name> [-srcIp <srcIpVal>]

Wenn der SrcIPval in diesem Befehl nicht bereitgestellt wird, kann er später mithilfe des Befehls set netprofile bereitgestellt werden.

Beispiele

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done

Binden eines Netzprofils an eine Citrix ADC Entität

Ein Netzprofil kann an einen virtuellen Lastausgleichsserver, einen Dienst, eine Dienstgruppe oder einen Monitor gebunden werden.

Hinweis: Sie können ein Netzprofil zum Zeitpunkt der Erstellung einer Citrix ADC Entität binden oder an eine vorhandene Entität binden.

So binden Sie ein Netzprofil mit der Befehlszeilenschnittstelle an einen Server

Sie können ein Netzprofil binden, um virtuelle Server mit Lastenausgleich zu laden und virtuelle Server mit Content Switching zu wechseln. Geben Sie den entsprechenden virtuellen Server an.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set lb vserver <name> -netProfile <net_profile_name>

oder

set cs vserver <name> -netProfile <net_profile_name>

Beispiele

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done

So binden Sie ein Netzprofil mit der GUI an einen virtuellen Server

  1. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Virtuelle Server, und öffnen Sie den virtuellen Server.
  2. Klicken Sie unter Erweiterte Einstellungen auf Profile, und legen Sie ein Netzprofil fest.

So binden Sie ein Netzprofil mit der CLI an einen Dienst

Geben Sie an der Eingabeaufforderung Folgendes ein:

set service <name> -netProfile <net_profile_name>

Beispiel

set service brnssvc1 -netProfile brnsnp
 Done

So binden Sie ein Netzprofil mit der GUI an einen Dienst

  1. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Dienste, und öffnen Sie einen Dienst.
  2. Klicken Sie unter Erweiterte Einstellungen auf Profile, und legen Sie ein Netzprofil fest.

So binden Sie ein Netzprofil mit der CLI an eine Servicegruppe

Geben Sie an der Eingabeaufforderung Folgendes ein:

set servicegroup <serviceGroupName> -netProfile <net_profile_name>

Beispiel

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done

So binden Sie ein Netzprofil mit der GUI an eine Servicegruppe

  1. Navigieren Sie zu Traffic Management > Load Balancing > Service Groups, und öffnen Sie eine Servicegruppe.
  2. Klicken Sie unter Erweiterte Einstellungen auf Profile, und legen Sie ein Netzprofil fest.

So binden Sie ein Netzprofil mit der CLI an einen Monitor

Geben Sie an der Eingabeaufforderung Folgendes ein:

set monitor <monitor_name> -netProfile <net_profile_name>

Beispiel

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done

So binden Sie ein Netzprofil mit der GUI an einen Monitor

  1. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Monitore.
  2. Öffnen Sie einen Monitor und legen Sie das Netzprofil fest.
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation