Citrix ADC

Traduction d’adresses réseau entrantes

Lorsqu’un client envoie un paquet à une appliance Citrix ADC configurée pour la traduction d’adresses réseau entrantes (INAT), l’appliance convertit l’adresse IP de destination publique du paquet en adresse IP de destination privée et transfère le paquet au serveur à cette adresse.

Les configurations suivantes sont prises en charge :

  • Mappage IPv4-IPv4 : une adresse IPv4 publique sur l’appliance Citrix ADC écoute les demandes de connexion au nom d’un serveur IPv4 privé. L’appliance Citrix ADC traduit l’adresse IP de destination publique du paquet en adresse IP de destination du serveur. Ensuite, l’appliance transmet le paquet au serveur à cette adresse.
  • Mappage IPv4-IPv6 : une adresse IPv4 publique sur l’appliance Citrix ADC écoute les demandes de connexion au nom d’un serveur IPv6 privé. L’appliance Citrix ADC crée un paquet de requête IPv6 avec l’adresse IP du serveur IPv6 comme adresse IP de destination.
  • Mappage IPv6-IPv4 : une adresse IPv6 publique sur l’appliance Citrix ADC écoute les demandes de connexion au nom d’un serveur IPv4 privé. L’appliance Citrix ADC crée un paquet de requête IPv4 avec l’adresse IP du serveur IPv4 comme adresse IP de destination.
  • Mappage IPv6-IPv6 : une adresse IPv6 publique sur l’appliance Citrix ADC écoute les demandes de connexion au nom d’un serveur IPv6 privé. L’appliance Citrix ADC traduit l’adresse IP de destination publique du paquet en adresse IP de destination du serveur. Ensuite, l’appliance transmet le paquet au serveur à cette adresse.

Lorsque l’appliance transfère un paquet à un serveur, l’adresse IP source attribuée au paquet est déterminée comme suit :

  • Si le mode USNIP (USNIP) est activé et si le mode USIP source est désactivé, l’appliance utilise une adresse IP de sous-réseau (SNIP) comme adresse IP source.
  • Si le mode USIP est activé et que le mode USNIP est désactivé, l’appliance utilise l’adresse IP du client (CIP) comme adresse IP source.
  • Si les deux modes USIP et USNIP sont activés, le mode USIP est prioritaire.
  • Vous pouvez également configurer Citrix ADC pour qu’il utilise une adresse IP unique comme adresse IP source, en définissant le paramètre ProxyIP.
  • Si aucun des modes ci-dessus n’est activé et qu’une adresse IP unique n’a pas été spécifiée, Citrix ADC tente d’utiliser un MIP comme adresse IP source.
  • Si les modes USIP et USNIP sont activés et qu’une adresse IP unique a été spécifiée, l’ordre de priorité est le suivant : USIP-unique IP-USNIP-MIP-Error.

Pour protéger Citrix ADC contre les attaques DoS, vous pouvez activer le proxy TCP. Toutefois, si d’autres mécanismes de protection sont utilisés dans votre réseau, vous pouvez les désactiver.

Configuration des règles INAT

Vous pouvez créer, modifier ou supprimer une entrée INAT.

Procédures CLI

Pour créer une entrée INAT à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez les commandes suivantes pour créer une entrée INAT et vérifier sa configuration :

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLED | DISABLED)] [-ftp (ENABLED | DISABLED)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-proxyIP <ip_addr > ipv6_addr>]
  • show inat [<name>]

Exemple :

> add inat ip4-ip4 172.16.1.2 192.168.1.1 -proxyip 10.102.29.171
 Done

Pour modifier une entrée INAT à l’aide de l’interface de ligne de commande :

Pour modifier une entrée INAT, tapez la commande set inat, le nom de l’entrée et les paramètres à modifier, avec leurs nouvelles valeurs.

Pour supprimer une configuration INAT à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • rm inat <name>

Exemple :

> rm inat ip4-ip4
 Done

Procédures GUI

Pour configurer une entrée INAT à l’aide de l’interface graphique :

Accédez à Système > Réseau > Itinéraires > INAT, puis ajoutez une entrée INAT ou modifiez une entrée INAT existante.

Pour supprimer une configuration INAT à l’aide de l’interface graphique :

Accédez à Système > Réseau > Itinéraires > INAT, supprimez la configuration INAT.

Basculement de connexion pour les règles INAT

Le basculement de connexion ou la mise en miroir des connexions permet au nœud principal de dupliquer les informations de connexion et de persistance sur le nœud secondaire en haute disponibilité. Les informations d’état de la connexion sont partagées régulièrement avec le nœud secondaire lorsque la mise en miroir de connexion est activée.

L’activation du basculement de connexion offre plus de fiabilité, mais cela se fait au prix d’un certain temps système utilisé pour partager les informations d’état. Les données de connexion sont synchronisées avec l’unité de secours avec chaque mise à jour de l’état du paquet ou du flux. Par conséquent, il ne doit être utilisé que dans des endroits où la fiabilité du niveau de connexion est d’une importance primordiale.

Les configurations haute disponibilité de l’appliance Citrix ADC prennent en charge le basculement de connexion pour les connexions INAT. Le nœud principal envoie des mappages INAT et d’autres informations de connexion INAT au nœud secondaire à intervalles réguliers. L’appliance secondaire utilise les informations de mappage et de connexion uniquement en cas de basculement.

Lorsqu’un basculement se produit, le nouveau nœud principal contient des informations sur les connexions INAT établies avant le basculement. Par conséquent, il continue à desservir ces connexions même après le basculement.

Du point de vue du client, le basculement est transparent. Pendant la période de transition, le client et le serveur peuvent subir une brève interruption et des retransmissions. Le basculement de connexion peut être activé par règle INAT.

Pour activer le basculement de connexion sur une règle INAT, vous activez le paramètre connFailover de cette règle RNAT spécifique à l’aide de l’interface de ligne de commande.

Procédure CLI

Pour activer le basculement de connexion pour une règle INAT à l’aide de l’interface de ligne de commande :

Pour activer le basculement de connexion lors de l’ajout d’une règle INAT, à l’invite de commandes, tapez :

  • add inat <name> <publicIP> <privateIP> [-tcpproxy (ENABLED | DISABLED)] [-ftp ( ENABLED | DISABLED)] [-usip (ON | OFF)] [-usnip (ON | OFF)] [-proxyIP <ip_addr|ipv6_addr>] -connfailover (ENABLED | DISABLED)

  • show inat <name>

Pour activer le basculement de connexion lors de la modification d’une règle INAT existante, à l’invite de commandes, tapez :

  • set inat -connfailover (ENABLED | DISABLED)
  • show inat <name>

Traduction d’adresses réseau entrantes