Citrix ADC

バックエンド通信に指定された送信元 IP を使用する

物理サーバーまたは他のピアデバイスとの通信では、Citrix ADCアプライアンスはソースIPアドレスとして所有するIPアドレスを使用します。Citrix ADCアプライアンスはIPアドレスのプールを維持し、サーバーとの接続中にIPアドレスを動的に選択します。物理サーバが配置されているサブネットに応じて、アプライアンスは使用するIPアドレスを決定します。このアドレスプールは、モニタのプローブだけでなく、トラフィックの送信にも使用されます。

多くの場合、アプライアンスでバックエンド通信に特定の IP アドレスまたは特定の IP アドレスセットの任意の IP アドレスを使用することが必要な場合があります。次に、いくつかの例を示します。

  • モニタプローブに使用される送信元 IP アドレスが特定のセットに属している場合、サーバはモニタプローブとトラフィックを区別できます。
  • サーバーのセキュリティを向上させるために、サーバーは特定の IP アドレスのセットからの要求に応答するように構成することも、場合によっては、単一の IP アドレスからの要求に応答するように構成することもできます。この場合、アプライアンスは、サーバによって受け入れられた IP アドレスのみを送信元 IP アドレスとして使用できます。
  • アプライアンスは、IP アドレスを IP セットに配信し、特定のサービスへの接続にのみセットのアドレスを使用できる場合、内部接続を効率的に管理できます。

指定した送信元 IP アドレスを使用するようにアプライアンスを設定するには、ネットプロファイル(ネットワークプロファイル)を作成し、そのプロファイルを使用するようにアプライアンスエンティティを構成します。ネットプロファイルは負荷分散またはコンテンツスイッチ仮想サーバー、サービス、サービスグループ、またはモニターにバインドされます。ネットプロファイルには、Citrix ADCが所有するIPアドレス(SNIPおよびVIP)があり、送信元IPアドレスとして使用できます。これは、単一の IP アドレスまたは IP アドレスのセット(IP セットと呼ばれる)です。ネットプロファイルにIPセットがある場合、アプライアンスは接続時にIPセットからIPアドレスを動的に選択します。プロファイルに単一の IP アドレスがある場合、同じ IP アドレスが送信元 IP として使用されます。

ネットプロファイルが負荷分散またはコンテンツスイッチング仮想サーバーにバインドされている場合、そのプロファイルは、それにバインドされているすべてのサービスにトラフィックを送信するために使用されます。ネットプロファイルがサービスグループにバインドされている場合、アプライアンスはサービスグループのすべてのメンバーに対してそのプロファイルを使用します。ネットプロファイルがモニターにバインドされている場合、アプライアンスはモニターから送信されたすべてのプローブに対してプロファイルを使用します。

注:Citrix ADCアプライアンスがVIPアドレスを使用してサーバーと通信する場合、セッションエントリを使用して、VIPアドレス宛てのトラフィックがサーバーからの応答であるか、クライアントからの要求であるかを識別します。

トラフィック送信のためのネットプロファイルの使用

Use Source IP Address(USIP)オプションが有効になっている場合、アプライアンスはクライアントのIPアドレスを使用し、すべてのネットプロファイルを無視します。USIPオプションが有効になっていない場合、アプライアンスは次の方法でソースIPを選択します。

  • 仮想サーバまたはサービス/サービス・グループにネット・プロファイルがない場合、アプライアンスはデフォルトの方法を使用します。
  • サービス/サービス・グループにのみネット・プロファイルがある場合、アプライアンスはそのネット・プロファイルを使用します。
  • 仮想サーバー上にのみネット・プロファイルがある場合、アプライアンスはネット・プロファイルを使用します。
  • 仮想サーバとサービス/サービス・グループの両方にネット・プロファイルがある場合、アプライアンスはサービス/サービス・グループにバインドされたネット・プロファイルを使用します。

モニタプローブを送信するためのネットプロファイルの使用:

モニタプローブの場合、アプライアンスは次の方法で送信元 IP を選択します。

  • モニターにバインドされたネットプロファイルがある場合、アプライアンスはモニターのネットプロファイルを使用します。仮想サーバまたはサービス/サービスグループにバインドされたネットプロファイルは無視されます。
  • モニターにネットプロファイルがバインドされていない場合、
    • サービス/サービス・グループにネット・プロファイルがある場合、アプライアンスはサービス/サービス・グループのネット・プロファイルを使用します。
    • サービス/サービス・グループにもネット・プロファイルがない場合、アプライアンスはデフォルトの方法でソースIPを選択します。

注意:サービスにバインドされたネット・プロファイルがない場合、サービスがサービス・グループにバインドされている場合、アプライアンスはサービス・グループのネット・プロファイルを探します。

指定された送信元 IP アドレスを通信に使用するには、次の手順を実行します。

  1. Citrix ADCアプライアンスが所有するSNIPおよびVIPのプールからIPセットを作成します。IP セットは、SNIP アドレスと VIP アドレスの両方で構成できます。手順については、「IP セットの作成」を参照してください。
  2. ネットプロファイルを作成します。手順については、「ネット・プロファイルの作成」を参照してください。
  3. ネットプロファイルをアプライアンスのエンティティにバインドします。手順については、「Citrix ADCエンティティへのネットプロファイルのバインド」を参照してください。

注:

  • ネットプロファイルは、Citrix ADCアプライアンス上でSNIPとVIPとして指定されたIPアドレスのみを持つことができます。

  • Citrix ADC によって開始されたパケットでは、送信元 IP の永続性は考慮されません。

ネット・プロファイルの管理

ネットプロファイル(ネットワークプロファイル)には、1つのIPアドレスまたはIPセットが含まれます。物理サーバーまたはピアとの通信中、Citrix ADCアプライアンスは、プロファイルで指定されたアドレスを送信元IPアドレスとして使用します。

IP セットを作成する

IPアドレスセットは、Citrix ADCアプライアンス上でサブネットIPアドレス(SNIP)または仮想IPアドレス(VIP)として構成される一連のIPアドレスです。IPセットには、そのセットに含まれるIPアドレスの用途を識別するためのわかりやすい名前を付けます。IP セットを作成するには、IP セットを追加し、Citrix ADC が所有する IP アドレスをバインドします。SNIP アドレスと VIP アドレスは、同じ IP セット内に存在できます。

CLI を使用して IP セットを作成するには

コマンドプロンプトで、次のコマンドを入力します。

add ipset <name>

bind ipset <name> <IPAddress>

または

bind ipset <name> <IPAddress>

show ipset [<name>]

上記のコマンドは、名前を渡さない場合、アプライアンス上のすべての IP セットの名前を表示します。名前を渡すと、指定した IP セットにバインドされた IP アドレスが表示されます。

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done

GUI を使用して IP セットを作成するには

[システム] > [ネットワーク] > [IP セット] に移動し、IP セットを作成します。

ネットプロファイルの作成

ネットプロファイル(ネットワークプロファイル)は、Citrix ADCアプライアンスの1つ以上のSNIPアドレス またはVIPアドレスで構成されます。

CLI を使用してネットプロファイルを作成するには

コマンドプロンプトで、次のように入力します。

add netprofile <name> [-srcIp <srcIpVal>]

このコマンドで srcIpVal を指定しない場合は、後で set netprofile コマンドを使用して提供できます。

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done

ネットプロファイルをCitrix ADCエンティティにバインドする

ネットプロファイルは、ロードバランシング仮想サーバ、サービス、サービスグループ、またはモニタにバインドできます。

注:ネットプロファイルは、Citrix ADCエンティティの作成時にバインドすることも、既存のエンティティにバインドすることもできます。

コマンドラインインターフェイスを使用してネットプロファイルをサーバーにバインドするには

ネットプロファイルは、負荷分散仮想サーバーとコンテンツスイッチング仮想サーバーにバインドできます。適切な仮想サーバを指定します。

コマンドプロンプトで、次のように入力します。

set lb vserver <name> -netProfile <net_profile_name>

または

set cs vserver <name> -netProfile <net_profile_name>

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done

GUI を使用してネットプロファイルを仮想サーバーにバインドするには

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、仮想サーバーを開きます。
  2. [詳細設定] で、[プロファイル] をクリックし、ネットプロファイルを設定します。

CLI を使用してネットプロファイルをサービスにバインドするには

コマンドプロンプトで、次のように入力します。

set service <name> -netProfile <net_profile_name>

set service brnssvc1 -netProfile brnsnp
 Done

GUI を使用してネットプロファイルをサービスにバインドするには

  1. [トラフィック管理] > [負荷分散] > [サービス]に移動し、サービスを開きます。
  2. [詳細設定] で、[プロファイル] をクリックし、ネットプロファイルを設定します。

CLI を使用してネットプロファイルをサービスグループにバインドするには

コマンドプロンプトで、次のように入力します。

set servicegroup <serviceGroupName> -netProfile <net_profile_name>

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done

GUIを使用してネット・プロファイルをサービス・グループにバインドするには

  1. トラフィック管理」>「ロードバランシング」>「サービスグループ」に移動し、サービスグループを開きます。
  2. [詳細設定] で、[プロファイル] をクリックし、ネットプロファイルを設定します。

CLI を使用してネットプロファイルをモニタにバインドするには

コマンドプロンプトで、次のように入力します。

set monitor <monitor_name> -netProfile <net_profile_name>

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done

GUI を使用してネットプロファイルをモニタにバインドするには

  1. [トラフィック管理] > [ロードバランシング] > [モニター]に移動します。
  2. モニターを開き、ネットプロファイルを設定します。

バックエンド通信に指定された送信元 IP を使用する