Caso de uso 10: Equilibrio de carga de servidores del sistema de detección de intrusiones

Para permitir que el dispositivo Citrix ADC admita el equilibrio de carga de los servidores del sistema de detección de intrusiones (IDS), los servidores y los clientes IDS deben conectarse a través de un conmutador que tenga habilitada la duplicación de puertos. El cliente envía una solicitud al servidor. Dado que la duplicación de puertos está habilitada en el conmutador, los paquetes de solicitud se copian o envían al puerto del servidor virtual del dispositivo Citrix ADC. A continuación, el dispositivo utiliza el método de equilibrio de carga configurado para seleccionar un servidor IDS, como se muestra en el siguiente diagrama.

Imagen 1. Topología de servidores IDS balanceados de carga

topología

Nota: Actualmente, el dispositivo solo admite el equilibrio de carga de dispositivos IDS pasivos.

Como se ilustra en el diagrama anterior, la configuración de equilibrio de carga de IDS funciona de la siguiente manera:

  1. La solicitud del cliente se envía al servidor IDS y un switch con un puerto de duplicación habilitado reenvía estos paquetes al servidor IDS. La dirección IP de origen es la dirección IP del cliente y la dirección IP de destino es la dirección IP del servidor. La dirección MAC de origen es la dirección MAC del enrutador y la dirección MAC de destino es la dirección MAC del servidor.
  2. El tráfico que fluye a través del conmutador se refleja en el dispositivo. El dispositivo utiliza la información de capa 3 (dirección IP de origen y dirección IP de destino) para reenviar el paquete al servidor IDS seleccionado sin cambiar la dirección IP de origen o la dirección IP de destino. Modifica la dirección MAC de origen y la dirección MAC de destino a la dirección MAC del servidor IDS seleccionado.

Nota: Cuando los servidores IDS de equilibrio de carga, puede configurar los métodos de equilibrio de carga SRCIPHASH, DESTIPHASH o SRCIPDESTIPHASH. Se recomienda el método SRCIPDESTIPHASH porque los paquetes que fluyen desde el cliente a un servicio del dispositivo deben enviarse a un único servidor IDS.

Supongamos que Service-ANY-1, Servicio-ANY-2 y Servicio-ANY-3 se crean y vinculan a VServer-LB-1. El servidor virtual equilibra la carga en los servicios. En la tabla siguiente se enumeran los nombres y valores de las entidades configuradas en el dispositivo.

Tipo de entidad Nombre Dirección IP Puerto Protocolo
Servidor virtual Vserver-LB-1 * * CUALQUIER
Servicios Service-ANY-1 10.102.29.101 * CUALQUIER
  Service-ANY-2 10.102.29.102 * CUALQUIER
  Service-ANY-3 10.102.29.103 * CUALQUIER
Monitores Ping Ninguno Ninguno Ninguno

Nota: Puede utilizar el modo en línea o el modo de un brazo para una configuración de equilibrio de carga IDS.

El siguiente diagrama muestra las entidades de equilibrio de carga y los valores de los parámetros que se configurarán en el dispositivo.

Imagen 2. Modelo de entidad para servidores IDS de equilibrio de carga

entity-model

Para configurar una configuración de equilibrio de carga de IDS, primero debe habilitar el reenvío basado en Mac. También debe inhabilitar los modos de capa 2 y capa 3 en el dispositivo.

Para habilitar el reenvío basado en Mac mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

enable ns mode <ConfigureMode>

Ejemplo:

enable ns mode MAC

Para habilitar el reenvío basado en Mac mediante la utilidad de configuración

Vaya a Sistema > Configuración > Configurar modos y seleccione Reenvío basado en MAC.

A continuación, consulte “Configuración del equilibrio de carga básico”, para configurar una configuración básica de equilibrio de carga.

Después de configurar la configuración básica de equilibrio de carga, debe personalizarla para IDS configurando un método de equilibrio de carga compatible (como el método Hash SRCIPDESTIP en un servidor virtual sin sesión) y habilitando el modo MAC. El dispositivo no mantiene el estado de la conexión y solo reenvía los paquetes a los servidores IDS sin procesarlos. La dirección IP de destino y el puerto permanecen sin cambios porque el servidor virtual está en modo MAC.

Para configurar el método LB y el modo de redirección para un servidor virtual sin sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>

Ejemplo:

set lb vserver Vserver-LB-1 -lbMethod SourceIPDestIPHash -m MAC -sessionless enabled

Nota

Para un servicio enlazado a un servidor virtual en el que la opción MAC -m está habilitada, debe enlazar un monitor que no sea usuario.

Para configurar el método LB y el modo de redirección para un servidor virtual sin sesión mediante la utilidad de configuración

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Abra un servidor virtual y, en Modo de redirección, seleccione Basado en MAC.
  3. En Configuración avanzada, haga clic en Métodos y seleccione SRCIPDESTIPHASH. Haga clic en Configuración del tráfico y seleccione Equilibrio de carga sin sesión.

Para establecer un servicio para que utilice la dirección IP de origen mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set service <ServiceName> -usip <Value>

Ejemplo:

set service Service-ANY-1 -usip yes

Para establecer un servicio para que utilice la dirección IP de origen mediante la utilidad de configuración

  1. Vaya a Gestión del Tráfico > Equilibrio de Carga > Servicios.
  2. Abra un servicio y, en Configuración, seleccione Usar dirección IP de origen.

Para que USIP funcione correctamente, debe configurarlo globalmente. Para obtener más información acerca de la configuración global de USIP, consulte Dirección IP.