Citrix ADC

送信元 IP モードの使用を有効にする

Citrix ADCアプライアンスが物理サーバーまたはピアデバイスと通信する場合、デフォルトでは、独自のIPアドレスがソースIPとして使用されます。アプライアンスは、 サブネットIPアドレス(SNIP)のプールを維持し、物理サーバへの接続のための送信元IPアドレスとして使用するIPアドレスをこのプールから選択します。SNIP アドレスの選択は、物理サーバが存在するサブネットによって異なります。

必要に応じて、クライアントのIPアドレスをソースIPとして使用するようにCitrix ADCアプライアンスを構成できます。アプリケーションによっては、クライアントの実際の IP アドレスが必要です。次のユースケースは、いくつかの例です。

  • Web アクセスログ内のクライアントの IP アドレスは、課金目的や使用状況分析に使用されます。
  • クライアントのIPアドレスは、クライアントの出身国またはクライアントの発信元ISPを決定するために使用されます。たとえば、Google などの多くの検索エンジンでは、ユーザーが属する場所に関連するコンテンツを提供しています。
  • アプリケーションは、要求が信頼できる送信元からのものであることを確認するために、クライアントの IP アドレスを知っている必要があります。
  • アプリケーションサーバーでクライアントのIPアドレスが必要ない場合でも、アプリケーションサーバーとCitrix ADCの間に配置されたファイアウォールで、トラフィックをフィルタリングするためにクライアントのIPアドレスが必要になることがあります。

Citrix ADCでサーバーとの通信にクライアントのIPアドレスを使用する場合は、「ソースIPモード(USIP)を使用」モードを有効にします。

次の図は、アプライアンスが USIP モードでの IP アドレスを使用する方法を示しています。

USIP が有効な場合の IP アドレス指定

はじめに

USIP モードを有効にする前に、次の点に注意してください。

  • 次の状況で USIP を有効にします。
    • IDS(侵入検知システム)サーバの負荷分散
    • SMTP 負荷分散
    • ステートレス接続のフェイルオーバー
    • セッションレス負荷分散
    • ダイレクトサーバーリターン (DSR) モードを使用する場合
  • USIP グローバル設定は、USIP グローバル設定が行われた後に作成されるサービスにのみ適用されます。つまり、USIP グローバル設定が行われると、USIP グローバル設定は既存のサービスに適用されません。たとえば、USIP をグローバルに無効にしても、既存のサービスの USIP は無効になりません。しかし、その後、作成されたサービスが自動的にUSIPを有効にするのを停止します。

    既存のサービスのセットで USIP を有効または無効にするには、これらの各サービスで USIP を有効または無効にする必要があります。

  • USIPが有効な場合、サーバーの応答が常にCitrix ADCアプライアンスを通過するように、サーバーのGateway をCitrix ADC所有のIPアドレス(SNIP)のいずれかに設定する必要があります。
  • USIP を有効にする場合は、サーバー接続のアイドルタイムアウトをデフォルト値よりも低い値に設定し、アイドル接続がサーバー側で迅速にクリアされるようにします。
  • トランスペアレントキャッシュリダイレクションの場合、USIP を有効にする場合は、L2CONN も有効にします。
  • USIP が有効な場合、HTTP 接続は再利用されないため、多数のサーバー側接続が蓄積する可能性があります。アイドル状態のサーバー接続は、他のクライアントの接続をブロックできます。したがって、サービスへの接続の最大数に制限を設定します。また、USIPが有効なサービスのHTTPサーバーのタイムアウト値をデフォルトよりも低い値に設定して、アイドル状態の接続がサーバー側で迅速にクリアされるようにすることをお勧めします。
  • USIP モードの代わりに、クライアントの IP アドレスを必要とするアプリケーションサーバーのサーバー側接続の要求ヘッダーにクライアントの IP アドレス (CIP) を挿入することもできます。
  • 以前のCitrix ADCリリースでは、USIPモードにはサーバー側接続用の次のソースポートオプションがありました。

    • クライアントのポートを使用します。このオプションでは、接続を再利用できません。クライアントからの要求ごとに、物理サーバとの新しい接続が確立されます。
    • プロキシポートを使用します。このオプションを使用すると、同じクライアントからのすべての要求で接続を再利用できます。

    新しいCitrix ADCリリースでは、USIPが有効になっている場合、デフォルトでは、サーバー側の接続にはプロキシポートが使用され、接続は再利用されません。接続を再利用しないと、接続の確立速度には影響しません。

    USIP モードが有効になっている場合、[プロキシポートを使用] オプションはデフォルトで有効になります。

    注: USIP モードを有効にする場合は、[プロキシポートを使用] オプションを有効にすることをお勧めします。

    [プロキシポートを使用] オプションの詳細については、サーバー側接続用の送信元ポートの構成を参照してください。

構成の手順

Citrix ADCでサーバーとの通信にクライアントのIPアドレスを使用する場合は、「ソースIPモード(USIP)を使用」モードを有効にします。デフォルトでは、USIP モードは無効です。USIPモードは、Citrix ADCまたは特定のサービスでグローバルに有効にできます。グローバルに有効にすると、以降に作成されるすべてのサービスに対して USIP がデフォルトで有効になります。特定のサービスに対して USIP を有効にすると、クライアントの IP アドレスはそのサービス宛てのトラフィックに対してのみ使用されます。

CLI のプロシージャ

CLI を使用して USIP モードをグローバルに有効または無効にするには、次の手順を実行します。

コマンドプロンプトで、次のコマンドのいずれかを入力します。

  • enable ns mode USIP

  • disable ns mode USIP

CLI を使用してサービスの USIP モードを有効にするには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

set service <name>@ -usip (YES | NO)

例:

> set service Service-HTTP-1 -usip YES
Done

GUIのプロシージャ

GUI を使用して USIP モードをグローバルに有効または無効にするには、次の手順を実行します。

  1. [システム] > [設定] に移動し、[モードと機能] で [モードの変更] をクリックします。
  2. [ソース IP を使用] オプションをオンまたはオフにします。

GUI を使用してサービスの USIP モードを有効にするには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [サービス] に移動し、サービスを編集します。
  2. [詳細設定]で、[サービス設定]を選択し、[送信元 IP アドレスの使用] を選択します。

送信元 IP モードの使用を有効にする