Citrix ADC

Cas d’utilisation 10 : Équilibrage de la charge des serveurs du système de détection d’intrusion

Pour permettre à l’appliance Citrix ADC de prendre en charge l’équilibrage de charge des serveurs IDS (Intrusion Detection System), les serveurs et les clients IDS doivent être connectés via un commutateur dont la mise en miroir des ports est activée. Le client envoie une requête au serveur. Étant donné que la mise en miroir des ports est activée sur le commutateur, les paquets de requête sont copiés ou envoyés au port du serveur virtuel de l’appliance Citrix ADC. L’appliance utilise ensuite la méthode d’équilibrage de charge configurée pour sélectionner un serveur IDS, comme indiqué dans le diagramme suivant.

Figure 1. Topologie des serveurs IDS à charge équilibrée

topologie

Remarque : Actuellement, l’appliance prend en charge l’équilibrage de charge des périphériques IDS passifs uniquement.

Comme illustré dans le diagramme précédent, la configuration de l’équilibrage de charge IDS fonctionne comme suit :

  1. La demande du client est envoyée au serveur IDS, et un commutateur doté d’un port de mise en miroir activé transfère ces paquets au serveur IDS. L’adresse IP source est l’adresse IP du client et l’adresse IP de destination est l’adresse IP du serveur. L’adresse MAC source est l’adresse MAC du routeur et l’adresse MAC de destination est l’adresse MAC du serveur.
  2. Le trafic qui circule à travers le commutateur est mis en miroir vers l’appliance. L’appliance utilise les informations de couche 3 (adresse IP source et adresse IP de destination) pour transférer le paquet au serveur IDS sélectionné sans modifier l’adresse IP source ou l’adresse IP de destination. Il modifie l’adresse MAC source et l’adresse MAC de destination à l’adresse MAC du serveur IDS sélectionné.

Remarque : lors de l’équilibrage de charge des serveurs IDS, vous pouvez configurer les méthodes d’équilibrage de charge SRCIPHASH, DESTIPHASH ou SRCIPDESTIPHASH. La méthode SRCIPDESTIPHASH est recommandée car les paquets circulant du client vers un service sur l’appliance doivent être envoyés à un seul serveur IDS.

Supposons que Service-any-1, Service-any-2 et Service-any-3 soient créés et liés à vServer-lb-1. Le serveur virtuel équilibre la charge sur les services. Le tableau suivant répertorie les noms et les valeurs des entités configurées sur l’appliance.

Type d’entité Name Adresse IP Port Protocole
Serveur virtuel Vserver-LB-1 * * ANY
Services Service-ANY-1 10.102.29.101 * ANY
  Service-ANY-2 10.102.29.102 * ANY
  Service-ANY-3 10.102.29.103 * ANY
Moniteurs Ping Aucun Aucun Aucun

Remarque : Vous pouvez utiliser le mode en ligne ou le mode à un bras pour une configuration d’équilibrage de charge IDS.

Le diagramme suivant présente les entités d’équilibrage de charge et les valeurs des paramètres à configurer sur l’appliance.

Figure 2. Modèle d’entité pour les serveurs IDS d’équilibrage de charge

entity-model

Pour configurer une configuration d’équilibrage de charge IDS, vous devez d’abord activer le transfert basé sur MAC. Vous devez également désactiver les modes de couche 2 et de couche 3 sur l’appliance.

Pour activer le transfert basé sur MAC à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

enable ns mode <ConfigureMode>

Exemple :

enable ns mode MAC

Pour activer le transfert basé sur MAC à l’aide de l’utilitaire de configuration

Accédez à Système > Paramètres > Configurer les modes, puis sélectionnez Transfert basé sur MAC.

Ensuite, consultez “Configuration de l’équilibrage de charge de base« , pour configurer une configuration d’équilibrage de charge de base.

Après avoir configuré la configuration d’équilibrage de charge de base, vous devez la personnaliser pour IDS en configurant une méthode d’équilibrage de charge prise en charge (telle que la méthode de hachage SRCIPDESTIP sur un serveur virtuel sans session) et en activant le mode MAC. L’appliance ne conserve pas l’état de la connexion et transfère uniquement les paquets aux serveurs IDS sans les traiter. L’adresse IP et le port de destination restent inchangés car le serveur virtuel est en mode MAC.

Pour configurer la méthode LB et le mode de redirection pour un serveur virtuel sans session à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>

Exemple :

set lb vserver Vserver-LB-1 -lbMethod SourceIPDestIPHash -m MAC -sessionless enabled

Remarque

Pour un service lié à un serveur virtuel sur lequel l’option -m MAC est activée, vous devez lier un moniteur non-utilisateur.

Pour configurer la méthode LB et le mode de redirection pour un serveur virtuel sans session à l’aide de l’utilitaire de configuration

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Ouvrez un serveur virtuel et, en mode redirection, sélectionnez basé sur MAC.
  3. Dans Paramètres avancés, cliquez sur Méthodes, puis sélectionnez SRCIPDESTIPHASH. Cliquez sur Paramètres de trafic, puis sélectionnez Équilibrage de charge sans session.

Pour définir un service pour utiliser l’adresse IP source à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set service <ServiceName> -usip <Value>

Exemple :

set service Service-ANY-1 -usip yes

Pour définir un service pour utiliser l’adresse IP source à l’aide de l’utilitaire de configuration

  1. Accédez à Gestion du trafic > Équilibrage de charge > Services.
  2. Ouvrez un service et, dans Paramètres, sélectionnez Utiliser l’adresse IP source.

Pour que USIP fonctionne correctement, vous devez le définir globalement. Pour plus d’informations sur la configuration globale d’USIP, reportez-vous à la section Adressage IP.