Citrix ADC

複数のファイアウォール環境

複数ファイアウォール環境では、Citrix ADCアプライアンスは、パブリックインターネットに接続する外部セット、および内部プライベートネットワークに接続する内部セットの2つのファイアウォールセットの間に配置されます。通常、外部セットは出力トラフィックを処理します。これらのファイアウォールは、主に外部リソースへのアクセスを許可または拒否するアクセス制御リストを実装します。通常、内部セットは入力トラフィックを処理します。これらのファイアウォールは、入力トラフィックの負荷分散とは別に、悪意のある攻撃からイントラネットを保護するセキュリティを実装します。マルチファイアウォール環境では、別のファイアウォールからのトラフィックをロードバランシングできます。デフォルトでは、ファイアウォールからのトラフィックは、Citrix ADCアプライアンスの他のファイアウォールでは負荷分散されません。Citrix ADC 両側でファイアウォールの負荷分散を有効にすると、出力方向と入力方向のトラフィックフローが改善され、トラフィックの処理速度が向上します。

次の図は、複数ファイアウォールの負荷分散環境を示しています。

図1:ファイアウォールの負荷分散(複数ファイアウォール)

複数のファイアウォール環境

図1のような構成では、外部ファイアウォールによって負荷分散されている場合でも、内部ファイアウォールを通過するトラフィックの負荷分散を行うようにCitrix ADCを構成できます。たとえば、この機能を設定すると、外部ファイアウォール(ファイアウォール 1、2、3)からのトラフィックは内部ファイアウォール(ファイアウォール 4、5、6)でロードバランシングされ、その逆も同様です。

ファイアウォールロードバランシングは、MAC モード LB 仮想サーバに対してのみサポートされます。

サービスタイプANY は、すべてのトラフィックを受け入れるようにCitrix ADCを構成します。

HTTP および TCP に関連する利点を活用するには、サービスおよび仮想サーバを HTTP または TCP タイプで構成します。FTP が機能するには、FTP タイプを使用してサービスを構成します。

複数のファイアウォール環境でのCitrix ADC 構成

複数のファイアウォール環境でCitrix ADCアプライアンスを構成するには、負荷分散機能を有効にし、外部ファイアウォールで送信トラフィックの負荷分散を行うように仮想サーバーを構成し、内部ファイアウォールを越えて入力トラフィックの負荷分散を行うように仮想サーバーを構成する必要があります。Citrix ADCアプライアンスでファイアウォールの負荷分散を有効にします。マルチファイアウォール環境で、ファイアウォール全体でトラフィックの負荷分散を行うように仮想サーバを構成するには、次の作業を行う必要があります。

  1. ファイアウォールごとにワイルドカードサービスを構成する
  2. ワイルドカードサービスごとにモニタを構成する
  3. ワイルドカード仮想サーバーを構成して、ファイアウォールに送信されるトラフィックの負荷を分散する
  4. MAC 書き換えモードで仮想サーバを設定します
  5. ファイアウォールサービスをワイルドカード仮想サーバーにバインドする

ロードバランシング機能の有効化

サービスや仮想サーバーなどの負荷分散エンティティを構成して実装するには、Citrix ADCデバイスで負荷分散機能を有効にする必要があります。

CLI を使用してロードバランシングを有効にするには、次の手順を実行します。

コマンドプロンプトで次のコマンドを入力して、負荷分散を有効にし、構成を確認します。

enable ns feature <featureName>
show ns feature

例:

enable ns feature LoadBalancing
Done
show ns feature
Feature Acronym Status
------- ------- ------
1) Web Logging WL OFF
2) Surge Protection SP ON
3) Load Balancing LB ON
.
.
.
24) NetScaler Push push OFF
Done

GUI を使用してロードバランシングを有効にするには、次の手順を実行します。

  1. ナビゲーションウィンドウで、[ システム] を展開し、[ 設定] をクリックします。
  2. [設定] ウィンドウの [モードと機能] で、[基本機能の変更] をクリックします。
  3. [基本機能の構成] ダイアログボックスで、[負荷分散] チェックボックスをオンにし、[OK] をクリックします。

ファイアウォールごとにワイルドカードサービスを構成する

すべてのプロトコルからのトラフィックを受け入れるには、すべてのプロトコルとポートのサポートを指定して、ファイアウォールごとにワイルドカードサービスを設定する必要があります。

CLI を使用して各ファイアウォールにワイルドカードサービスを設定するには、次の手順を実行します。

コマンドプロンプトで次のコマンドを入力して、すべてのプロトコルとポートのサポートを構成します。

add service <name>@ <serverName> <serviceType> <port_number>

例:

add service fw-svc1 10.102.29.5 ANY *

GUI を使用して各ファイアウォールにワイルドカードサービスを構成するには、次の手順を実行します。

  1. [ トラフィック管理 ] > [ ロードバランシング ] > [ サービス] に移動します。

  2. 詳細ウィンドウで、[ 追加] をクリックします。

  3. [サービスの作成] ダイアログボックスで、次に示すパラメータの値を指定します。

    • サービス名:名前
    • サーバ:サーバ名

    -* 必須パラメータ

  4. [プロトコル] で [任意] を選択し、[ポート] で [*] を選択します。

  5. [ 作成] をクリックし、[ 閉じる] をクリックします。作成したサービスが [Services] ペインに表示されます。

各サービスのモニターの構成

PING モニターは、デフォルトでサービスにバインドされます。個々のファイアウォールを介して信頼側のホストを監視するように、トランスペアレントモニタを構成する必要があります。その後、透過モニターをサービスにバインドできます。デフォルトのPINGモニターは、Citrix ADCアプライアンスとアップストリームデバイス間の接続のみを監視します。トランスペアレントモニタは、アプライアンスからモニタで指定された宛先 IP アドレスを所有するデバイスへのパスに存在するすべてのデバイスを監視します。トランスペアレントモニタが設定されておらず、ファイアウォールのステータスが UP であるにもかかわらず、そのファイアウォールからのネクストホップデバイスのいずれかがダウンしている場合、アプライアンスはロードバランシングの実行中にファイアウォールを含み、パケットをファイアウォールに転送します。ただし、ネクストホップデバイスのいずれかがダウンしているため、パケットは最終的な宛先に配信されません。トランスペアレントモニタをバインドすることにより、いずれかのデバイス(ファイアウォールを含む)がダウンしている場合、サービスはダウンとしてマークされ、アプライアンスがファイアウォールロードバランシングを実行するときにファイアウォールは含まれません。

トランスペアレントモニタをバインドすると、PING モニタが上書きされます。トランスペアレントモニタに加えて PING モニタを構成するには、トランスペアレントモニタを作成してバインドした後、PING モニタをサービスにバインドする必要があります。

CLI を使用してトランスペアレントモニタを設定するには、次の手順を実行します。

コマンドプロンプトで次のコマンドを入力して、トランスペアレントモニタを構成し、構成を確認します。

add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr|*>] [-transparent (YES | NO )]
bind lb monitor <monitorName> <serviceName>

例:

add monitor monitor-HTTP-1 HTTP -destip 10.10.10.11 -transparent YES
bind monitor monitor-HTTP-1 fw-svc1

Citrix ADCアプライアンスは、サービスにバインドされているモニターからサーバーL2パラメーターを学習します。UDP-ECV モニタの場合は、受信文字列を設定して、アプライアンスがサーバの L2 パラメータを学習できるようにします。受信ストリングが設定されておらず、サーバが応答しない場合、アプライアンスは L2 パラメータを学習しませんが、サービスは UP に設定されます。このサービスのトラフィックはブラックホールです。

CLI を使用して受信ストリングを設定するには、次の手順を実行します。

コマンドプロンプトで、次のコマンドを入力します。

add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr|*>] [-transparent (YES | NO )] [-send <string>] [-recv <string>]

例:

add lb monitor monitor-udp-1 udp-ecv -destip 10.10.10.11 -transparent YES –send "test message" –recv "site_is_up"

GUI を使用してトランスペアレントモニタを作成してバインドするには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [モニター] に移動します。

  2. 詳細ウィンドウで、[ 追加] をクリックします。

  3. [モニタの作成] ダイアログボックスで、次に示すパラメータの値を指定します。

    • 名前*
    • タイプ*—タイプ
    • Destination IP
    • 透明

    -* 必須パラメータ

  4. [ 作成] をクリックし、[ 閉じる] をクリックします。[Monitors] ペインで、構成したモニタを選択し、画面の下部に表示される設定が正しいことを確認します。

ファイアウォールに送信されるトラフィックの負荷分散のための仮想サーバーの構成

あらゆる種類のトラフィックをロードバランシングするには、プロトコルとポートを任意の値として指定する、ワイルドカード仮想サーバを設定する必要があります。

CLI を使用してファイアウォールに送信されるトラフィックをロードバランシングするように仮想サーバを設定するには、次の手順を実行します。

コマンドプロンプトで、次のコマンドを入力します。

add lb vserver <name>@ <serviceType> <IPAddress> <port_number>

例:

add lb vserver Vserver-LB-1 ANY * *

GUI を使用してファイアウォールに送信されるトラフィックをロードバランシングするように仮想サーバを設定するには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
  2. 詳細ウィンドウで、[ 追加] をクリックします。
  3. [プロトコル] で [任意] を選択し、[IP アドレス] と [ポート] で [*] を選択します。
  4. [ 作成] をクリックし、[ 閉じる] をクリックします。作成した仮想サーバーが [負荷分散仮想サーバー] ウィンドウに表示されます。

仮想サーバの MAC 書き換えモードへの設定

着信トラフィックの転送に MAC アドレスを使用するように仮想サーバを設定するには、MAC 書き換えモードを有効にする必要があります。

CLI を使用して MAC 書き換えモードで仮想サーバを設定するには、次の手順を実行します。

コマンドプロンプトで、次のコマンドを入力します。

set lb vserver <name>@ -m <RedirectionMode>

例:

set lb vserver Vserver-LB-1 -m MAC

GUI を使用して MAC 書き換えモードで仮想サーバを設定するには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
  2. 詳細ウィンドウで、リダイレクションモードを構成する仮想サーバー (Vserver-LB1 など) を選択し、[開く] をクリックします。
  3. [詳細設定] タブの [リダイレクトモード] で、[開く] をクリックします。
  4. [OK] をクリックします。

仮想サーバーへのファイアウォールサービスのバインド

Citrix ADCアプライアンス上のサービスにアクセスするには、そのサービスをワイルドカード仮想サーバーにバインドする必要があります。

CLI を使用してファイアウォールサービスを仮想サーバにバインドするには、次の手順を実行します。

コマンドプロンプトで、次のコマンドを入力します。

bind lb vserver <name>@ <serviceName>

例:

bind lb vserver Vserver-LB-1 Service-HTTP-1

GUI を使用してファイアウォールサービスを仮想サーバにバインドするには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
  2. 詳細ウィンドウで、リダイレクションモードを構成する仮想サーバー (Vserver-LB1 など) を選択し、[開く] をクリックします。
  3. [仮想サーバーの構成 (負荷分散)] ダイアログボックスの [サービス] タブで、仮想サーバーにバインドするサービスの横にある [アクティブ] チェックボックスをオンにします (Service-HTTP-1 など)。
  4. [OK] をクリックします。

Citrix ADCアプライアンスでの複数ファイアウォールの負荷分散の構成

ファイアウォールの負荷分散を使用してCitrix ADC 両側のトラフィックを負荷分散するには、vServerSpecificMacパラメータを使用してマルチファイアウォールの負荷分散を有効にする必要があります。

CLI を使用して複数ファイアウォールのロードバランシングを設定するには、次の手順を実行します。

コマンドプロンプトで、次のコマンドを入力します。

set lb parameter -vServerSpecificMac <status>

例:

set lb parameter -vServerSpecificMac ENABLED

GUI を使用して複数ファイアウォールのロードバランシングを設定するには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
  2. 詳細ウィンドウで、リダイレクションモードを構成する仮想サーバーを選択します (たとえば、[負荷分散パラメーターの構成])。
  3. [負荷分散パラメータの設定] ダイアログボックスで、[仮想サーバー固有の MAC] チェックボックスをオンにします。
  4. [OK] をクリックします。

設定の保存と確認

設定タスクが完了したら、必ず設定を保存してください。また、設定が正しいことを確認する必要があります。

CLI を使用して設定を保存および確認するには、次の手順を実行します。

コマンドプロンプトで次のコマンドを入力して、トランスペアレントモニタを構成し、構成を確認します。

  • save ns config
  • show vserver

例:

save config
show lb vserver FWLBVIP2
        FWLBVIP2 (\*:\*) - ANY    Type: ADDRESS
        State: UP
        Last state change was at Mon Jun 14 07:22:54 2010
        Time since last state change: 0 days, 00:00:32.760
        Effective State: UP
        Client Idle Timeout: 120 sec
        Down state flush: ENABLED
        Disable Primary Vserver On Down : DISABLED
        No. of Bound Services :  2 (Total)       2 (Active)
        Configured Method: LEASTCONNECTION
        Current Method: Round Robin, Reason: A new service is bound
        Mode: MAC
        Persistence: NONE
        Connection Failover: DISABLED

1) fw-int-svc1 (10.102.29.5: *) - ANY State: UP Weight: 1
2) fw-int-svc2 (10.102.29.9: \*) - ANY State: UP Weight: 1
 Done
show service fw-int-svc1
        fw-int-svc1 (10.102.29.5:\*) - ANY
        State: DOWN
        Last state change was at Thu Jul  8 14:44:51 2010
        Time since last state change: 0 days, 00:01:50.240
        Server Name: 10.102.29.5
        Server ID : 0   Monitor Threshold : 0
        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits
        Use Source IP: NO
        Client Keepalive(CKA): NO
        Access Down Service: NO
        TCP Buffering(TCPB): NO
        HTTP Compression(CMP): NO
        Idle timeout: Client: 120 sec   Server: 120 sec
        Client IP: DISABLED
        Cacheable: NO
        SC: OFF
        SP: OFF
        Down state flush: ENABLED

1)      Monitor Name: monitor-HTTP-1
                State: DOWN     Weight: 1
                Probes: 9       Failed [Total: 9 Current: 9]
                Last response: Failure - Time out during TCP connection establishment stage
                Response Time: 2000.0 millisec
2)      Monitor Name: ping
                State: UP       Weight: 1
                Probes: 3       Failed [Total: 0 Current: 0]
                Last response: Success - ICMP echo reply received.
                Response Time: 1.275 millisec
 Done

GUI を使用して設定を保存および確認するには、次の手順を実行します。

  1. 詳細ウィンドウで、[保存] をクリックします。
  2. [設定の保存] ダイアログボックスで、[はい] をクリックします。
  3. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
  4. 詳細ウィンドウで、手順 5 で作成した仮想サーバーを選択し、[詳細] ウィンドウに表示される設定が正しいことを確認します。
  5. [ トラフィック管理 ] > [ ロードバランシング ] > [ サービス] に移動します。
  6. 詳細ウィンドウで、手順 5 で作成したサービスを選択し、[詳細] ウィンドウに表示される設定が正しいことを確認します。

複数ファイアウォール環境でのファイアウォールロードバランシング設定の監視

構成がアップして実行されたら、各サービスと仮想サーバーの統計情報を表示して、考えられる問題をチェックする必要があります。

仮想サーバの統計情報の表示

仮想サーバーのパフォーマンスを評価したり、問題のトラブルシューティングを行うために、Citrix ADCアプライアンスで構成された仮想サーバーの詳細を表示できます。すべての仮想サーバの統計情報のサマリーを表示することも、仮想サーバの名前を指定して、その仮想サーバの統計情報だけを表示することもできます。次の詳細を表示できます。

  • 名前
  • IPアドレス
  • ポート
  • プロトコル
  • 仮想サーバの状態
  • 受信したリクエストの割合
  • ヒット率

コマンドラインインターフェイスを使用して仮想サーバーの統計情報を表示するには

Citrix ADCアプライアンスで現在構成されているすべての仮想サーバー、または単一の仮想サーバーの統計情報のサマリーを表示するには、コマンドプロンプトで次のように入力します。

stat lb vserver [-detail] [<name>]

例:

>stat lb vserver -detail
Virtual Server(s) Summary
                      vsvrIP  port     Protocol        State    Req/s   Hits/s
One                        *    80         HTTP           UP      5/s      0/s
Two                        *     0          TCP         DOWN      0/s      0/s
Three                      *  2598          TCP         DOWN      0/s      0/s
dnsVirtualNS    10.102.29.90    53          DNS         DOWN      0/s      0/s
BRVSERV            10.10.1.1    80         HTTP         DOWN      0/s      0/s
LBVIP           10.102.29.66    80         HTTP           UP      0/s      0/s
 Done


GUI を使用して仮想サーバの統計情報を表示するには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] > [統計] に移動します。
  2. 1 つの仮想サーバのみの統計情報を表示する場合は、詳細ペインで仮想サーバを選択し、[Statistics] をクリックします。

サービスの統計情報の表示

サービス統計情報を使用して、要求、応答、要求バイト、応答バイト、現在のクライアント接続、サージキュー内の要求、現在のサーバ接続などを表示できます。

CLI を使用してサービスの統計情報を表示するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

stat service <name>

例:

stat service Service-HTTP-1

GUIを使用してサービスの統計情報を表示するには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [サービス] > [統計] に移動します。
  2. 1 つのサービスの統計情報だけを表示する場合は、サービスを選択し、[Statistics] をクリックします。

複数のファイアウォール環境