Citrix ADC

Übersetzung eingehender Netzwerkadressen

Wenn ein Client ein Paket an eine Citrix ADC Appliance sendet, die für die Inbound Network Address Translation (INAT) konfiguriert ist, übersetzt die Appliance die öffentliche Ziel-IP-Adresse des Pakets in eine private Ziel-IP-Adresse und leitet das Paket an den Server an dieser Adresse weiter.

Folgende Konfigurationen werden unterstützt:

  • IPv4-IPv4-Zuordnung: Eine öffentliche IPv4-Adresse auf der Citrix ADC Appliance überwacht Verbindungsanforderungen im Auftrag eines privaten IPv4-Servers. Die Citrix ADC Appliance übersetzt die öffentliche Ziel-IP-Adresse des Pakets in die Ziel-IP-Adresse des Servers. Anschließend leitet die Appliance das Paket an den Server unter dieser Adresse weiter.
  • IPv4-IPv6-Zuordnung: Eine öffentliche IPv4-Adresse auf der Citrix ADC Appliance überwacht Verbindungsanforderungen im Auftrag eines privaten IPv6-Servers. Die Citrix ADC Appliance erstellt ein IPv6-Anforderungspaket mit der IP-Adresse des IPv6-Servers als Ziel-IP-Adresse.
  • IPv6-IPv4-Zuordnung: Eine öffentliche IPv6-Adresse auf der Citrix ADC Appliance überwacht Verbindungsanforderungen im Auftrag eines privaten IPv4-Servers. Die Citrix ADC Appliance erstellt ein IPv4-Anforderungspaket mit der IP-Adresse des IPv4-Servers als Ziel-IP-Adresse.
  • IPv6-IPv6-Zuordnung: Eine öffentliche IPv6-Adresse auf der Citrix ADC Appliance überwacht Verbindungsanforderungen im Auftrag eines privaten IPv6-Servers. Die Citrix ADC Appliance übersetzt die öffentliche Ziel-IP-Adresse des Pakets in die Ziel-IP-Adresse des Servers. Anschließend leitet die Appliance das Paket an den Server unter dieser Adresse weiter.

Wenn die Appliance ein Paket an einen Server weiterleitet, wird die dem Paket zugewiesene Quell-IP-Adresse wie folgt ermittelt:

  • Wenn der Use Subnet IP (USNIP) -Modus aktiviert ist und der Use Source IP (USIP) -Modus deaktiviert ist, verwendet die Appliance eine Subnetz-IP-Adresse (SNIP) als Quell-IP-Adresse.
  • Wenn der USIP-Modus aktiviert ist und der USNIP-Modus deaktiviert ist, verwendet die Appliance die Client-IP-Adresse (CIP) als Quell-IP-Adresse.
  • Wenn sowohl USIP- als auch USNIP-Modi aktiviert sind, hat der USIP-Modus Vorrang.
  • Sie können den Citrix ADC auch so konfigurieren, dass eine eindeutige IP-Adresse als Quell-IP-Adresse verwendet wird, indem Sie den ProxyIP-Parameter festlegen.
  • Wenn keiner der oben genannten Modi aktiviert ist und keine eindeutige IP-Adresse angegeben wurde, versucht Citrix ADC, eine MIP als Quell-IP-Adresse zu verwenden.
  • Wenn sowohl USIP- als auch USNIP-Modi aktiviert sind und eine eindeutige IP-Adresse angegeben wurde, lautet die Rangfolge wie folgt: USIP-Unique IP-USNIP-MIP-Fehler.

Um den Citrix ADC vor DoS-Angriffen zu schützen, können Sie TCP-Proxy aktivieren. Wenn jedoch andere Schutzmechanismen in Ihrem Netzwerk verwendet werden, können Sie diese deaktivieren.

Konfigurieren von INAT-Regeln

Sie können einen INAT-Eintrag erstellen, ändern oder entfernen.

CLI-Verfahren

So erstellen Sie einen INAT-Eintrag mit der CLI:

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen INAT-Eintrag zu erstellen und dessen Konfiguration zu überprüfen:

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLED | DISABLED)] [-ftp (ENABLED | DISABLED)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-proxyIP <ip_addr > ipv6_addr>]
  • show inat [<name>]

Beispiel:

> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
 Done

So ändern Sie einen INAT Eintrag mit der CLI:

Um einen INAT-Eintrag zu ändern, geben Sie den Befehl set inat, den Namen des Eintrags und die zu ändernden Parameter mit den neuen Werten ein.

So entfernen Sie eine INAT Konfiguration mit der CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • rm inat <name>

Beispiel:

> rm inat ip4-ip4
 Done

GUI-Verfahren

So konfigurieren Sie einen INAT Eintrag mit der GUI:

Navigieren Sie zu System > Netzwerk > Routen > INAT, und fügen Sie einen INAT Eintrag hinzu oder bearbeiten Sie einen vorhandenen INAT Eintrag.

So entfernen Sie eine INAT Konfiguration mit der GUI:

Navigieren Sie zu System > Netzwerk > Routen > INAT, löschen Sie die INAT-Konfiguration.

Verbindungsfailover für INAT Regeln

Verbindungs-Failover oder Verbindungsspiegelung ermöglicht es dem primären Knoten, Verbindungs- und Persistenzinformationen mit dem sekundären Knoten in einer hohen Verfügbarkeit zu duplizieren. Die Statusinformationen der Verbindung werden regelmäßig mit dem sekundären Knoten geteilt, wenn die Verbindungsspiegelung aktiviert ist.

Das Aktivieren von Verbindungs-Failover bietet mehr Zuverlässigkeit, aber es kommt auf Kosten einer gewissen Systemzeit für die Freigabe der Statusinformationen. Die Verbindungsdaten werden mit jeder Paket- oder Flussstatusaktualisierung mit der Standby-Einheit synchronisiert. Daher darf es nur an Orten verwendet werden, an denen die Zuverlässigkeit der Verbindungsebene von größter Bedeutung ist.

Hochverfügbarkeits-Setups der Citrix ADC Appliance unterstützen Verbindungsfailover für INAT-Verbindungen. Der primäre Knoten sendet INAT-Zuordnungen und andere INAT-bezogene Verbindungsinformationen in regelmäßigen Abständen an den sekundären Knoten. Die sekundäre Appliance verwendet die Zuordnungs- und Verbindungsinformationen nur im Falle eines Failovers.

Wenn ein Failover auftritt, enthält der neue primäre Knoten Informationen über die INAT Verbindungen, die vor dem Failover eingerichtet wurden. Daher wird diese Verbindungen auch nach dem Failover weiterhin bedient.

Aus Sicht des Clients ist das Failover transparent. Während der Übergangszeit kann es zu einer kurzen Unterbrechung und erneuten Übertragung des Clients und des Servers kommen. Verbindungsfailover kann pro INAT Regel aktiviert werden.

Zum Aktivieren des Verbindungsfailovers für eine INAT-Regel aktivieren Sie denconnFailover Parameter dieser bestimmten RNAT-Regel mithilfe von CLI.

CLI-Verfahren

So aktivieren Sie das Verbindungsfailover für eine INAT Regel über die CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein, um das Verbindungsfailover beim Hinzufügen einer INAT-Regel zu aktivieren:

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLED | DISABLED)] [-ftp ( ENABLED | DISABLED)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-proxyIP <ip_addr|ipv6_addr>] -connfailover (ENABLED | DISABLED)

  • show inat <name>

Geben Sie an der Eingabeaufforderung Folgendes ein, um das Verbindungsfailover zu aktivieren, während Sie eine vorhandene INAT-Regel ändern:

  • set inat -connfailover (ENABLED | DISABLED)
  • show inat <name>

Übersetzung eingehender Netzwerkadressen