Utiliser une adresse IP source spécifiée pour la communication backend

Pour la communication avec les serveurs physiques ou d’autres périphériques homologues, l’appliance Citrix ADC utilise une adresse IP qui lui appartient comme adresse IP source. L’appliance Citrix ADC gère un pool d’adresses IP et sélectionne dynamiquement une adresse IP lors de la connexion à un serveur. En fonction du sous-réseau dans lequel le serveur physique est placé, l’appliance décide de l’adresse IP à utiliser. Ce pool d’adresses est utilisé pour l’envoi de trafic ainsi que pour les sondes de surveillance.

Dans de nombreux cas, vous pouvez souhaiter que l’appliance utilise une adresse IP spécifique ou n’importe quelle adresse IP d’un ensemble spécifique d’adresses IP pour les communications back-end. Voici quelques exemples :

  • Un serveur peut distinguer les sondes de surveillance du trafic si l’adresse IP source utilisée pour les sondes de surveillance appartient à un ensemble spécifique.
  • Pour améliorer la sécurité du serveur, un serveur peut être configuré pour répondre aux demandes provenant d’un ensemble spécifique d’adresses IP ou, parfois, d’une seule adresse IP spécifique. Dans ce cas, l’appliance peut utiliser uniquement les adresses IP acceptées par le serveur comme adresse IP source.
  • L’appliance peut gérer efficacement ses connexions internes si elle peut distribuer ses adresses IP dans des ensembles d’adresses IP et utiliser une adresse d’un ensemble uniquement pour se connecter à un service spécifique.

Pour configurer l’appliance pour qu’elle utilise une adresse IP source spécifiée, créez des profils réseau (profils réseau) et configurez les entités de l’appliance pour qu’elles utilisent le profil. Un profil réseau peut être lié à l’équilibrage de charge ou au changement de contenu de serveurs virtuels, de services, de groupes de services ou de moniteurs. Un profil réseau possède des adresses IP appartenant à Citrix ADC (SNIP et VIP) qui peuvent être utilisées comme adresse IP source. Il peut s’agir d’une seule adresse IP ou d’un ensemble d’adresses IP, appelé ensemble d’adresses IP. Si un profil réseau possède un jeu d’adresses IP, l’appliance sélectionne dynamiquement une adresse IP dans le jeu d’adresses IP au moment de la connexion. Si un profil possède une seule adresse IP, la même adresse IP est utilisée comme adresse IP source.

Si un profil réseau est lié à un serveur virtuel d’équilibrage de charge ou de commutation de contenu, le profil est utilisé pour envoyer du trafic à tous les services qui lui sont liés. Si un profil réseau est lié à un groupe de services, l’appliance utilise le profil pour tous les membres du groupe de services. Si un profil réseau est lié à un moniteur, l’appliance utilise le profil pour toutes les sondes envoyées à partir du moniteur.

Remarque : Lorsqu’une appliance Citrix ADC utilise une adresse VIP pour communiquer avec un serveur, elle utilise des entrées de session pour déterminer si le trafic destiné à l’adresse VIP est une réponse d’un serveur ou une demande d’un client.

Utilisation d’un profil net pour l’envoi de trafic

Si l’option Utiliser l’adresse IP source (USIP) est activée, l’appliance utilise l’adresse IP du client et ignore tous les profils réseau. Si l’option USIP n’est pas activée, l’appliance sélectionne l’adresse IP source de la manière suivante :

  • S’il n’y a pas de profil net sur le serveur virtuel ou le groupe de services/services, l’appliance utilise la méthode par défaut.
  • S’il existe un profil net uniquement sur le groupe de services/services, l’appliance utilise ce profil net.
  • S’il existe un profil net uniquement sur le serveur virtuel, l’appliance utilise le profil net.
  • S’il existe un profil net à la fois sur le serveur virtuel et le groupe de services/services, l’appliance utilise le profil net lié au groupe de services/services.

Utilisation d’un profil réseau pour l’envoi de sondes de moniteur :

Pour les sondes de moniteur, l’appliance sélectionne l’adresse IP source de la manière suivante :

  • Si un profil réseau est lié au moniteur, l’appliance utilise le profil réseau du moniteur. Il ignore les profils réseau liés au serveur virtuel ou au groupe de services/services.
  • S’il n’y a pas de profil net lié au moniteur,
    • S’il existe un profil net sur le groupe de services/services, l’appliance utilise le profil net du groupe de services/services.
    • S’il n’y a pas de profil net même sur le groupe de services/services, l’appliance utilise la méthode par défaut de sélection d’une adresse IP source.

Note : S’il n’y a pas de profil net lié à un service, l’appliance recherche un profil net sur le groupe de services si le service est lié à un groupe de services.

Pour utiliser une adresse IP source spécifiée pour la communication, procédez comme suit :

  1. Créez des jeux d’adresses IP à partir du pool de SNIP et de VIP appartenant à l’appliance Citrix ADC. Un jeu d’adresses IP peut être constitué à la fois d’adresses SNIP et VIP. Pour obtenir des instructions, veuillez consulter la section Création de jeux d’adresses IP.
  2. Créez des profils réseau. Pour obtenir des instructions, veuillez consulter la section Création d’un profil réseau.
  3. Liez les profils réseau aux entités de l’appliance. Pour obtenir des instructions, veuillez consulter la section Liaison d’un profil réseau à une entité Citrix ADC.

Remarque :

  • Un profil réseau ne peut avoir que les adresses IP spécifiées en tant que SNIP et VIP sur l’appliance Citrix ADC.

  • La persistance IP source n’est pas respectée pour les paquets initiés par Citrix ADC.

Gérer les profils réseau

Un profil réseau (ou profil réseau) contient une adresse IP ou un jeu d’adresses IP. Lors de la communication avec des serveurs physiques ou des homologues, l’appliance Citrix ADC utilise les adresses spécifiées dans le profil comme adresse IP source.

Créer un jeu d’adresses IP

Un ensemble d’adresses IP est un ensemble d’adresses IP configurées sur l’appliance Citrix ADC en tant qu’adresses IP de sous-réseau (SNIP) ou adresses IP virtuelles (VIP). Un ensemble d’adresses IP est identifié avec un nom significatif qui aide à identifier l’utilisation des adresses IP qu’il contient. Pour créer un ensemble d’adresses IP, ajoutez un ensemble d’adresses IP appartenant à Citrix ADC. Les adresses SNIP et VIP peuvent être présentes dans le même ensemble d’adresses IP.

Pour créer un jeu d’adresses IP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

add ipset <name>

bind ipset <name> <IPAddress>

ou

bind ipset <name> <IPAddress>

show ipset [<name>]

La commande ci-dessus affiche les noms de tous les ensembles d’adresses IP de l’appliance si vous ne transmettez aucun nom. Il affiche les adresses IP liées au jeu d’adresses IP spécifié si vous transmettez un nom.

Exemples

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done

Pour créer un jeu d’adresses IP à l’aide de l’interface graphique

Accédez à Système > Réseau > Jeux d’adresses IPet créez un jeu d’adresses IP.

Créer un profil net

Un profil réseau (profil réseau) consiste en une ou plusieurs adresses SNIP ou VIP de l’appliance Citrix ADC.

Pour créer un profil réseau à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add netprofile <name> [-srcIp <srcIpVal>]

Si le srCIPval n’est pas fourni dans cette commande, il peut être fourni ultérieurement à l’aide de la commande set netprofile.

Exemples

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done

Lier un profil net à une entité Citrix ADC

Un profil réseau peut être lié à un serveur virtuel d’équilibrage de charge, un service, un groupe de services ou un moniteur.

Remarque : Vous pouvez lier un profil net au moment de la création d’une entité Citrix ADC ou le lier à une entité existante.

Pour lier un profil net à un serveur à l’aide de l’interface de ligne de commande

Vous pouvez lier un profil net pour équilibrer la charge des serveurs virtuels et des serveurs virtuels de commutation de contenu. Spécifiez le serveur virtuel approprié.

À l’invite de commandes, tapez :

set lb vserver <name> -netProfile <net_profile_name>

ou

set cs vserver <name> -netProfile <net_profile_name>

Exemples

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done

Pour lier un profil réseau à un serveur virtuel à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis ouvrez le serveur virtuel.
  2. Dans Paramètres avancés, cliquez sur Profils et définissez un profil réseau.

Pour lier un profil réseau à un service à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set service <name> -netProfile <net_profile_name>

Exemple

set service brnssvc1 -netProfile brnsnp
 Done

Pour lier un profil réseau à un service à l’aide de l’interface graphique graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serviceset ouvrez un service.
  2. Dans Paramètres avancés, cliquez sur Profils et définissez un profil réseau.

Pour lier un profil réseau à un groupe de services à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set servicegroup <serviceGroupName> -netProfile <net_profile_name>

Exemple

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done

Pour lier un profil réseau à un groupe de services à l’aide de l’interface graphique graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Groupesde services et ouvrez un groupe de services.
  2. Dans Paramètres avancés, cliquez sur Profils et définissez un profil réseau.

Pour lier un profil réseau à un moniteur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set monitor <monitor_name> -netProfile <net_profile_name>

Exemple

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done

Pour lier un profil réseau à un moniteur à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Moniteurs.
  2. Ouvrez un moniteur et définissez le profil net.