Citrix ADC

Adressübersetzung eingehender Netzwerke

Wenn ein Client ein Paket an eine Citrix ADC Appliance sendet, die für die Inbound Network Address Translation (INAT) konfiguriert ist, übersetzt die Appliance die öffentliche Ziel-IP-Adresse des Pakets in eine private Ziel-IP-Adresse und leitet das Paket an den Server an dieser Adresse weiter.

Folgende Konfigurationen werden unterstützt:

  • IPv4-IPv4-Zuordnung: Eine öffentliche IPv4-Adresse auf der Citrix ADC Appliance überwacht Verbindungsanforderungen im Auftrag eines privaten IPv4-Servers. Die Citrix ADC Appliance übersetzt die IP-Adresse des Pakets an das öffentliche Ziel in die Ziel-IP-Adresse des Servers. Dann leitet die Appliance das Paket an den Server unter dieser Adresse weiter.
  • IPv4-IPv6-Zuordnung: Eine öffentliche IPv4-Adresse auf der Citrix ADC Appliance überwacht Verbindungsanforderungen im Auftrag eines privaten IPv6-Servers. Die Citrix ADC Appliance erstellt ein IPv6-Anforderungspaket mit der IP-Adresse des IPv6-Servers als Ziel-IP-Adresse.
  • IPv6-IPv4-Zuordnung: Eine öffentliche IPv6-Adresse auf der Citrix ADC Appliance überwacht Verbindungsanforderungen im Auftrag eines privaten IPv4-Servers. Die Citrix ADC Appliance erstellt ein IPv4-Anforderungspaket mit der IP-Adresse des IPv4-Servers als Ziel-IP-Adresse.
  • IPv6-IPv6-Zuordnung: Eine öffentliche IPv6-Adresse auf der Citrix ADC Appliance überwacht Verbindungsanforderungen im Auftrag eines privaten IPv6-Servers. Die Citrix ADC Appliance übersetzt die IP-Adresse des Pakets an das öffentliche Ziel in die Ziel-IP-Adresse des Servers. Dann leitet die Appliance das Paket an den Server unter dieser Adresse weiter.

Wenn die Appliance ein Paket an einen Server weiterleitet, wird die dem Paket zugewiesene Quell-IP-Adresse wie folgt ermittelt:

  • Wenn der Use Subnet IP (USNIP) -Modus aktiviert ist und der Use Source IP (USIP) -Modus deaktiviert ist, verwendet die Appliance eine Subnetz-IP-Adresse (SNIP) als Quell-IP-Adresse.
  • Wenn der USIP-Modus aktiviert ist und der USNIP-Modus deaktiviert ist, verwendet die Appliance die Client-IP-Adresse (CIP) als Quell-IP-Adresse.
  • Wenn sowohl USIP- als auch USNIP-Modi aktiviert sind, hat der USIP-Modus Vorrang.
  • Sie können den Citrix ADC auch so konfigurieren, dass eine eindeutige IP-Adresse als Quell-IP-Adresse verwendet wird, indem Sie den ProxyIP-Parameter festlegen.
  • Wenn keiner der oben genannten Modi aktiviert ist und keine eindeutige IP-Adresse angegeben wurde, versucht Citrix ADC, eine MIP als Quell-IP-Adresse zu verwenden.
  • Wenn sowohl USIP- als auch USNIP-Modi aktiviert sind und eine eindeutige IP-Adresse angegeben wurde, lautet die Rangfolge wie folgt: USIP-Unique IP-USNIP-MIP-Fehler.

Um den Citrix ADC vor DoS-Angriffen zu schützen, können Sie TCP-Proxy aktivieren. Wenn jedoch andere Schutzmechanismen in Ihrem Netzwerk verwendet werden, können Sie diese deaktivieren.

Konfigurieren von INAT-Regeln

Sie können einen INAT-Eintrag erstellen, ändern oder entfernen.

CLI-Verfahren

So erstellen Sie einen INAT-Eintrag mit der CLI:

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen INAT-Eintrag zu erstellen und dessen Konfiguration zu überprüfen:

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLED | DISABLED)] [-ftp (ENABLED | DISABLED)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-proxyIP <ip_addr > ipv6_addr>]
  • show inat [<name>]

Beispiel:

> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
 Done
<!--NeedCopy-->

So ändern Sie einen INAT Eintrag mit der CLI:

Um einen INAT-Eintrag zu ändern, geben Sie den Befehl set inat, den Namen des Eintrags und die zu ändernden Parameter mit den neuen Werten ein.

So entfernen Sie eine INAT Konfiguration mit der CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • rm inat <name>

Beispiel:

> rm inat ip4-ip4
 Done
<!--NeedCopy-->

GUI-Verfahren

So konfigurieren Sie einen INAT Eintrag mit der GUI:

Navigieren Sie zu System > Netzwerk > Routen > INAT, fügen Sie einen INAT-Eintrag hinzu oder bearbeiten Sie einen vorhandenen INAT-Eintrag.

So entfernen Sie eine INAT Konfiguration mit der GUI:

Navigieren Sie zu System > Netzwerk > Routen > INAT, löschen Sie die INAT-Konfiguration.

Verbindungs-Failover für INAT-Regeln

Verbindungs-Failover oder Verbindungsspiegelung ermöglicht es dem primären Knoten, Verbindungs- und Persistenzinformationen mit dem sekundären Knoten in hoher Verfügbarkeit zu duplizieren. Die Statusinformationen der Verbindung werden regelmäßig mit dem sekundären Knoten geteilt, wenn die Verbindungsspiegelung aktiviert ist.

Das Aktivieren des Verbindungs-Failovers bietet mehr Zuverlässigkeit, geht jedoch zu Kosten einer Systemzeit, die für die Weitergabe der Zustandsinformationen aufgebraucht wird. Die Verbindungsdaten werden bei jeder Aktualisierung des Paket- oder Flow-Status mit der Standby-Unit synchronisiert. Daher darf es nur an Orten eingesetzt werden, an denen die Zuverlässigkeit der Verbindungsebene von größter Bedeutung ist.

Hochverfügbarkeitssetups der Citrix ADC Appliance unterstützen Verbindungs-Failover für INAT-Verbindungen. Der primäre Knoten sendet in regelmäßigen Abständen INAT-Mappings und andere INAT-bezogene Verbindungsinformationen an den sekundären Knoten. Die sekundäre Appliance verwendet die Zuordnungs- und Verbindungsinformationen nur im Falle eines Failovers.

Wenn ein Failover auftritt, enthält der neue primäre Knoten Informationen über die INAT-Verbindungen, die vor dem Failover hergestellt wurden. Daher wird diese Verbindungen auch nach dem Failover weiterhin bedient.

Aus Sicht des Kunden ist das Failover transparent. Während der Übergangsphase können der Client und der Server eine kurze Unterbrechung und erneute Übertragung erfahren. Verbindungs-Failover kann pro INAT-Regel aktiviert werden.

Um das Verbindungs-Failover für eine INAT-Regel zu aktivieren, aktivieren Sie den connFailover Parameter dieser spezifischen RNAT-Regel mit CLI.

CLI-Verfahren

So aktivieren Sie das Verbindungsfailover für eine INAT Regel über die CLI:

Um das Verbindungs-Failover beim Hinzufügen einer INAT-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLED | DISABLED)] [-ftp ( ENABLED | DISABLED)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-proxyIP <ip_addr|ipv6_addr>] -connfailover (ENABLED | DISABLED)

  • show inat <name>

Um das Verbindungs-Failover beim Ändern einer vorhandenen INAT-Regel zu aktivieren, geben Sie an der Eingabeaufforderung Folgendes ein:

  • set inat -connfailover (ENABLED | DISABLED)
  • show inat <name>
Adressübersetzung eingehender Netzwerke