Citrix ADC

Usar una IP de origen especificada para la comunicación de back-end

Para la comunicación con los servidores físicos u otros dispositivos del mismo nivel, el dispositivo Citrix ADC utiliza una dirección IP de su propiedad como dirección IP de origen. El dispositivo Citrix ADC mantiene un grupo de direcciones IP y selecciona dinámicamente una dirección IP mientras se conecta con un servidor. En función de la subred en la que se coloque el servidor físico, el dispositivo decide qué dirección IP se va a utilizar. Este grupo de direcciones se utiliza para enviar tráfico, así como para sondeos de supervisión.

En muchas situaciones, es posible que desee que el dispositivo utilice una dirección IP específica o cualquier dirección IP de un conjunto específico de direcciones IP para las comunicaciones back-end. A continuación se presentan algunos ejemplos:

  • Un servidor puede distinguir sondeos de monitor del tráfico si la dirección IP de origen utilizada para sondeos de monitor pertenece a un conjunto específico.
  • Para mejorar la seguridad del servidor, se puede configurar un servidor para responder a las solicitudes de un conjunto específico de direcciones IP o, a veces, desde una única dirección IP específica. En tal caso, el dispositivo solo puede utilizar las direcciones IP aceptadas por el servidor como dirección IP de origen.
  • El dispositivo puede administrar sus conexiones internas de manera eficiente si puede distribuir sus direcciones IP en conjuntos de IP y utilizar una dirección de un conjunto solo para conectarse a un servicio específico.

Para configurar el dispositivo para que utilice una dirección IP de origen especificada, cree perfiles de red (perfiles de red) y configure las entidades del dispositivo para que utilicen el perfil. Un perfil de red puede vincularse al equilibrio de carga o al cambio de contenido de servidores virtuales, servicios, grupos de servicios o monitores. Un perfil de red tiene direcciones IP propiedad de Citrix ADC (SNIP y VIP) que se pueden utilizar como dirección IP de origen. Puede ser una única dirección IP o un conjunto de direcciones IP, denominado conjunto IP. Si un perfil de red tiene un conjunto de IP, el dispositivo selecciona dinámicamente una dirección IP del conjunto de IP en el momento de la conexión. Si un perfil tiene una única dirección IP, se utiliza la misma dirección IP que la IP de origen.

Si un perfil de red está enlazado a un servidor virtual de equilibrio de carga o cambio de contenido, el perfil se utiliza para enviar tráfico a todos los servicios vinculados a él. Si un perfil de red está enlazado a un grupo de servicios, el dispositivo utiliza el perfil para todos los miembros del grupo de servicios. Si un perfil de red está enlazado a un monitor, el dispositivo utiliza el perfil para todos los sondeos enviados desde el monitor.

Nota: Cuando un dispositivo Citrix ADC utiliza una dirección VIP para comunicarse con un servidor, utiliza entradas de sesión para identificar si el tráfico destinado a la dirección VIP es una respuesta de un servidor o una solicitud de un cliente.

Uso de un perfil de red para enviar tráfico

Si la opción Usar dirección IP de origen (USIP) está habilitada, el dispositivo utiliza la dirección IP del cliente e ignora todos los perfiles de red. Si la opción USIP no está habilitada, el dispositivo selecciona la IP de origen de la siguiente manera:

  • Si no hay ningún perfil de red en el servidor virtual o en el grupo servicio/servicio, el dispositivo utiliza el método predeterminado.
  • Si solo hay un perfil de red en el grupo servicio/servicio, el dispositivo utiliza ese perfil de red.
  • Si solo hay un perfil de red en el servidor virtual, el dispositivo utiliza el perfil de red.
  • Si hay un perfil de red tanto en el servidor virtual como en el grupo servicio/servicio, el dispositivo utiliza el perfil de red enlazado al grupo servicio/servicio.

Uso de un perfil de red para enviar sondas de monitor:

Para sondas de monitor, el dispositivo selecciona la IP de origen de la siguiente manera:

  • Si hay un perfil de red enlazado al monitor, el dispositivo utiliza el perfil de red del monitor. Omite los perfiles de red enlazados al servidor virtual o al grupo de servicio/servicio.
  • Si no hay ningún perfil neto vinculado al monitor,
    • Si hay un perfil de red en el grupo servicio/servicio, el dispositivo utiliza el perfil de red del grupo servicio/servicio.
    • Si no hay ningún perfil de red ni siquiera en el grupo servicio/servicio, el dispositivo utiliza el método predeterminado para seleccionar una IP de origen.

Nota: Si no hay ningún perfil de red enlazado a un servicio, el dispositivo busca un perfil de red en el grupo de servicios si el servicio está enlazado a un grupo de servicios.

Para utilizar una dirección IP de origen especificada para la comunicación, siga estos pasos:

  1. Cree conjuntos de IP desde el grupo de SNIP y VIPs propiedad del dispositivo Citrix ADC. Un conjunto de IP puede constar de direcciones SNIP y VIP. Para obtener instrucciones, consulte Creación de conjuntos de IP.
  2. Crear perfiles de red. Para obtener instrucciones, consulte Creación de un perfil de red.
  3. Enlazar los perfiles de red a las entidades del dispositivo. Para obtener instrucciones, consulte Enlace de un perfil de red a una entidad Citrix ADC.

Nota:

  • Un perfil de red solo puede tener las direcciones IP especificadas como SNIP y VIP en el dispositivo Citrix ADC.

  • No se respeta la persistencia de IP de origen para los paquetes iniciados por Citrix ADC.

Administrar perfiles de red

Un perfil de red (o perfil de red) contiene una dirección IP o un conjunto de IP. Durante la comunicación con servidores físicos o pares, el dispositivo Citrix ADC utiliza las direcciones especificadas en el perfil como dirección IP de origen.

Crear un conjunto de IP

Un conjunto de IP es un conjunto de direcciones IP que se configuran en el dispositivo Citrix ADC como direcciones IP de subred (SNIP) o direcciones IP virtuales (VIP). Un conjunto de IP se identifica con un nombre significativo que ayuda a identificar el uso de las direcciones IP contenidas en él. Para crear un conjunto de IP, agregue un conjunto de IP y vincule las direcciones IP propiedad de Citrix ADC a él. Las direcciones SNIP y las direcciones VIP pueden estar presentes en el mismo conjunto de IP.

Para crear un conjunto de IP mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos:

add ipset <name>

bind ipset <name> <IPAddress>

o

bind ipset <name> <IPAddress>

show ipset [<name>]

El comando anterior muestra los nombres de todos los conjuntos de IP del dispositivo si no pasa ningún nombre. Muestra las direcciones IP enlazadas al conjunto IP especificado si pasa un nombre.

Ejemplos

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done

Para crear un conjunto de IP mediante la interfaz gráfica de usuario

Vaya a Sistema > Red > Conjuntos de IP y cree un conjunto de IP.

Crear un perfil de red

Un perfil de red (perfil de red) consta de una o varias direcciones SNIP o VIP del dispositivo Citrix ADC.

Para crear un perfil de red mediante la CLI

En el símbolo del sistema, escriba:

add netprofile <name> [-srcIp <srcIpVal>]

Si el SrciPval no se proporciona en este comando, se puede proporcionar más adelante mediante el comando set netprofile.

Ejemplos

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done

Enlazar un perfil de red a una entidad Citrix ADC

Un perfil de red se puede enlazar a un servidor virtual de equilibrio de carga, servicio, grupo de servicios o monitor.

Nota: Puede enlazar un perfil de red en el momento de crear una entidad de Citrix ADC o vincularlo a una entidad existente.

Para enlazar un perfil de red a un servidor mediante la interfaz de línea de comandos

Puede enlazar un perfil de red para servidores virtuales de equilibrio de carga y servidores virtuales de conmutación de contenido. Especifique el servidor virtual apropiado.

En el símbolo del sistema, escriba:

set lb vserver <name> -netProfile <net_profile_name>

o

set cs vserver <name> -netProfile <net_profile_name>

Ejemplos

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done

Para enlazar un perfil de red a un servidor virtual mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales y abra el servidor virtual.
  2. En Configuración avanzada, haga clic en Perfiles y defina un perfil de red.

Para enlazar un perfil de red a un servicio mediante la CLI

En el símbolo del sistema, escriba:

set service <name> -netProfile <net_profile_name>

Ejemplo

set service brnssvc1 -netProfile brnsnp
 Done

Para enlazar un perfil de red a un servicio mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servicios y abra un servicio.
  2. En Configuración avanzada, haga clic en Perfiles y defina un perfil de red.

Para enlazar un perfil de red a un grupo de servicios mediante la CLI

En el símbolo del sistema, escriba:

set servicegroup <serviceGroupName> -netProfile <net_profile_name>

Ejemplo

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done

Para enlazar un perfil de red a un grupo de servicios mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Grupos de servicio y abra un grupo de servicios.
  2. En Configuración avanzada, haga clic en Perfiles y defina un perfil de red.

Para enlazar un perfil de red a un monitor mediante la CLI

En el símbolo del sistema, escriba:

set monitor <monitor_name> -netProfile <net_profile_name>

Ejemplo

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done

Para enlazar un perfil de red a un monitor mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Monitores.
  2. Abra un monitor y establezca el perfil de red.

Usar una IP de origen especificada para la comunicación de back-end