Traduire l’adresse IP de destination d’une requête vers l’adresse IP d’origine

Vous pouvez configurer le serveur virtuel de redirection de cache proxy de transfert sur l’appliance Citrix ADC pour traduire l’adresse IP de destination de l’atterrissage de la requête sur le serveur virtuel de redirection de cache vers l’adresse IP du serveur d’origine. Cette traduction se produit indépendamment du fait que la demande soit envoyée aux serveurs mis en cache ou au serveur d’origine. Auparavant, le serveur virtuel de redirection de cache proxy de transfert dans l’environnement de fournisseur de services ne pouvait pas être utilisé efficacement pour envoyer du trafic à travers le pare-feu en raison des limitations de la redirection de cache à l’aide de stratégies de commutation de contenu. Le serveur virtuel de redirection de cache n’a pas traduit l’adresse IP d’origine dans l’adresse IP de destination lorsque le paquet a été envoyé au cache. L’adresse IP de destination était celle du serveur d’origine uniquement lorsque les requêtes ont été traitées à partir du serveur mis en cache.

Remarque : La traduction de l’adresse IP de destination d’une requête vers l’adresse IP d’origine n’est pas prise en charge pour un serveur virtuel de redirection de cache transparent. Pour un serveur virtuel de redirection de cache transparent, cette option doit être définie sur OFF.

Cas d’utilisation

Dans un déploiement sur lequel l’appliance Citrix ADC est configurée pour la redirection du cache proxy, le pare-feu et les adresses IP client réutilisées, le pare-feu ne peut pas distinguer/utiliser les adresses IP réutilisées. Par conséquent, ces adresses IP réutilisées doivent être traduites en différentes adresses IP. Pour traduire les adresses IP réutilisées, l’appliance Citrix ADC doit effectuer les opérations suivantes :

  1. Interrogez un serveur virtuel d’équilibrage de charge DNS pour la résolution de la destination.
  2. Mettez à jour l’adresse IP d’origine et le numéro de port dans la destination.
  3. Renvoyez la demande au pare-feu.

Considérez le déploiement suivant qui dispose d’une appliance Citrix ADC configurée pour la redirection du cache proxy, le pare-feu et deux routeurs (routeur 1 et routeur 2). Le trafic réseau circule vers Internet 1 via le routeur 1 et vers Internet 2 via le routeur 2 respectivement.

image localisée

Dans cet exemple, les demandes d’entrée des clients proviennent de deux VLAN différents, VLAN11 ou VLAN12. L’adresse IP du client (10.0.0.0) est réutilisée. En fonction des stratégies de redirection du cache et de commutation de contenu, la demande peut aller directement au serveur d’origine ou au pare-feu.

  • Si la demande doit contourner le pare-feu et aller sur Internet, alors en fonction de la demande d’entrée VLAN, Routeur 1 ou Routeur 2 est sélectionné et la demande est envoyée à Internet 1 ou Internet 2.

  • Si la requête doit passer par le pare-feu, l’adresse IP source de la requête doit être traduite en adresse IP spécifique. L’adresse IP traduite peut être utilisée pour identifier le VLAN par lequel la demande est venue. Par exemple, si la demande d’entrée provient de VLAN11, l’adresse IP source est traduite en 11.x.x.x. Si la requête provient de VLAN12, l’adresse IP source est traduite en 12.x.x.x.

Une fois la demande traitée par le pare-feu, la demande est renvoyée à l’appliance. À l’aide de la combinaison de stratégies d’écoute et de profils réseau, l’appliance convertit l’adresse IP source en adresse IP d’origine et envoie la demande au routeur 1 ou 2 en fonction de l’ID VLAN d’entrée.

Remarque : Le mode du serveur virtuel d’équilibrage de charge lié au cache doit toujours être défini sur le mode MAC. Bien que le mode IP de cette fonctionnalité ne soit pas bloqué, le réglage en mode IP entraîne un comportement inattendu.

Pour traduire l’adresse IP de destination et le numéro de port de la requête vers l’adresse IP d’origine à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez ;

set cr vserver <vsname> -useoriginIpPortForCache <YES|NO>

Exemple :

set cr vserver cvsrv1 -useoriginIpPortForCache YES

Lorsque UseOriginIPportForCache est défini sur Oui et si la demande doit être traitée à partir des serveurs mis en cache, l’adresse IP de destination de la requête est convertie en adresse IP du serveur d’origine.

Remarque : si UseOriginIPportForCache est activé, définissez toujours le serveur virtuel d’équilibrage de charge lié au cache en mode MAC.

Pour traduire l’adresse IP de destination et le port de la requête à l’adresse IP d’origine à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Redirection du cache > Serveurs virtuels, puis cliquez sur Ajouter.

  2. Spécifiez les détails du serveur virtuel de redirection de cache.

  3. Sélectionnez Utiliser le port IP d’origine pour le cache pour activer la traduction de l’adresse IP de destination de la requête vers l’adresse IP d’origine.

  4. Click OK.