ADC

複数ファイアウォール環境

マルチファイアウォール環境では、NetScalerアプライアンスは、パブリックインターネットに接続する外部セットと内部のプライベートネットワークに接続する内部セットの2つのファイアウォールの間に配置されます。外部セットは通常、出力トラフィックを処理します。これらのファイアウォールは主に、外部リソースへのアクセスを許可または拒否するアクセス制御リストを実装します。通常、内部セットが入力トラフィックを処理します。これらのファイアウォールは、侵入トラフィックの負荷分散とは別に、イントラネットを悪意のある攻撃から保護するセキュリティを実装しています。複数のファイアウォール環境では、別のファイアウォールからのトラフィックを負荷分散できます。デフォルトでは、ファイアウォールからのトラフィックは、NetScalerアプライアンスを介して他のファイアウォールで負荷分散されません。NetScalerの両側でファイアウォールの負荷分散を有効にすると、出力方向と入力方向の両方のトラフィックフローが改善され、トラフィックの処理が速くなります。

次の図は、複数のファイアウォールの負荷分散環境を示しています

図1:ファイアウォール負荷分散 (マルチファイアウォール)

複数ファイアウォール環境

図1のような構成では、外部ファイアウォールによって負荷分散されている場合でも、内部ファイアウォールを介してトラフィックの負荷分散を行うようにNetScalerを構成できます。たとえば、この機能を設定すると、外部ファイアウォール(ファイアウォール 1、2、3)からのトラフィックは、内部ファイアウォール(ファイアウォール 4、5、6)で負荷分散され、その逆も同様です。

ファイアウォールの負荷分散は、MAC モードの LB 仮想サーバーでのみサポートされます。

サービスタイプANYは、すべてのトラフィックを受け入れるようにCitrix ADCを構成します。

HTTP と TCP に関連する利点を利用するには、サービスと仮想サーバーを HTTP または TCP タイプに設定します。FTP が機能するには、FTP タイプでサービスを構成します。

マルチファイアウォール環境でのNetScalerの構成

複数のファイアウォール環境でNetScalerアプライアンスを構成するには、負荷分散機能を有効にし、外部ファイアウォールを介して出力トラフィックの負荷分散を行うように仮想サーバーを構成し、内部ファイアウォールを介して入力トラフィックの負荷分散を行うように仮想サーバーを構成し、NetScalerアプライアンスでファイアウォールの負荷分散を有効にする必要があります。複数のファイアウォール環境でファイアウォールを介してトラフィックの負荷を分散するように仮想サーバーを構成するには、次のことが必要です。

  1. ファイアウォールごとにワイルドカードサービスを構成する
  2. ワイルドカードサービスごとにモニターを設定する
  3. ワイルドカード仮想サーバーを構成して、ファイアウォールに送信されるトラフィックの負荷を分散します。
  4. 仮想サーバーをMAC書き換えモードで構成する
  5. ファイアウォールサービスをワイルドカード仮想サーバーにバインドする

負荷分散機能を有効にする

サービスや仮想サーバーなどの負荷分散エンティティを構成して実装するには、NetScalerデバイスで負荷分散機能を有効にする必要があります。

CLI を使用して負荷分散を有効にするには:

コマンドプロンプトで次のコマンドを入力して負荷分散を有効にし、構成を確認します。

enable ns feature <featureName>
show ns feature
<!--NeedCopy-->

例:

enable ns feature LoadBalancing
Done
show ns feature
Feature Acronym Status
------- ------- ------
1) Web Logging WL OFF
2) Surge Protection SP ON
3) Load Balancing LB ON
.
.
.
24) NetScaler Push push OFF
Done
<!--NeedCopy-->

GUI を使用して負荷分散を有効にするには:

  1. ナビゲーションペインで、[System] を展開し、[Settings] をクリックします。
  2. [設定] ペインの [モードと機能] で、[基本機能の変更] をクリックします。
  3. 「基本機能の設定」ダイアログで、「負荷分散」チェックボックスを選択し、「OK」をクリックします。

各ファイアウォールのワイルドカードサービスの設定

すべてのプロトコルからのトラフィックを受け入れるには、すべてのプロトコルとポートのサポートを指定して、ファイアウォールごとにワイルドカードサービスを設定する必要があります。

CLIを使用して各ファイアウォールのワイルドカードサービスを設定するには:

コマンドプロンプトで次のコマンドを入力して、すべてのプロトコルとポートのサポートを設定します。

add service <name>@ <serverName> <serviceType> <port_number>
<!--NeedCopy-->

例:

add service fw-svc1 10.102.29.5 ANY *
<!--NeedCopy-->

GUI を使用して各ファイアウォールのワイルドカードサービスを設定するには:

  1. [Traffic Management] > [Load Balancing] > [Services] の順に移動します。

  2. 詳細ペインで、[Add] をクリックします。

  3. 「サービスの作成」ダイアログ・ボックスで、次に示すように次のパラメータの値を指定します。

    • サービス名—名前
    • サーバー—サーバー名

    -* 必須パラメータ

  4. [プロトコル] で [任意] を選択し、[ポート] で [*] を選択します。

  5. [Create] をクリックしてから、[Close] をクリックします。作成したサービスが [サービス] ペインに表示されます。

各サービスのモニターの設定

PING モニターは、デフォルトではサービスにバインドされています。個々のファイアウォールを介して信頼側のホストを監視するには、透過的なモニターを設定する必要があります。その後、透過モニターをサービスにバインドできます。デフォルトのPINGモニターは、Citrix ADCアプライアンスと上流デバイス間の接続のみを監視します。透過モニタは、アプライアンスからモニタで指定された宛先 IP アドレスを所有するデバイスまでのパスに存在するすべてのデバイスを監視します。透過モニタが設定されておらず、ファイアウォールのステータスが UP であるが、そのファイアウォールのネクストホップデバイスの 1 つがダウンしている場合、アプライアンスは負荷分散の実行中にファイアウォールを組み込み、パケットをファイアウォールに転送します。ただし、ネクストホップデバイスの 1 つがダウンしているため、パケットは最終的な宛先に配信されません。透過モニターをバインドすると、デバイス(ファイアウォールを含む)のいずれかがダウンしている場合、サービスはダウンとしてマークされ、アプライアンスがファイアウォール負荷分散を実行するときにファイアウォールは含まれません。

透過モニターをバインドすると、PING モニターがオーバーライドされます。透過モニタに加えて PING モニタを設定するには、透過モニタを作成してバインドした後、PING モニタをサービスにバインドする必要があります。

CLI を使用してトランスペアレントモニターを設定するには:

コマンドプロンプトで、次のコマンドを入力して透過モニタを構成し、構成を確認します。

add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr|*>] [-transparent (YES | NO )]
bind lb monitor <monitorName> <serviceName>
<!--NeedCopy-->

例:

add monitor monitor-HTTP-1 HTTP -destip 10.10.10.11 -transparent YES
bind monitor monitor-HTTP-1 fw-svc1
<!--NeedCopy-->

NetScalerアプライアンスは、サービスにバインドされたモニターからサーバーL2パラメーターを学習します。UDP-ECV モニターの場合は、受信文字列を設定して、アプライアンスがサーバーの L2 パラメーターを学習できるようにします。受信文字列が設定されておらず、サーバーが応答しない場合、アプライアンスは L2 パラメーターを学習しませんが、サービスは UP に設定されます。このサービスのトラフィックはブラックホール化されています。

CLI を使用して受信文字列を設定するには:

コマンドプロンプトで、次のコマンドを入力します。

add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr|*>] [-transparent (YES | NO )] [-send <string>] [-recv <string>]
<!--NeedCopy-->

例:

add lb monitor monitor-udp-1 udp-ecv -destip 10.10.10.11 -transparent YES –send "test message" –recv "site_is_up"
<!--NeedCopy-->

GUI を使用してトランスペアレントモニターを作成してバインドするには:

  1. [ トラフィック管理] > [負荷分散] > [モニター] に移動します。

  2. 詳細ペインで、[Add] をクリックします。

  3. 「モニターの作成」ダイアログ・ボックスで、次に示すように次のパラメータの値を指定します。

    • 名前*
    • type*—type
    • 接続先IP
    • 透明

    -* 必須パラメータ

  4. [Create] をクリックしてから、[Close] をクリックします。[モニター] ペインで、構成したモニターを選択し、画面の下部に表示される設定が正しいことを確認します。

ファイアウォールに送信されるトラフィックの負荷分散を行うための仮想サーバーの設定

あらゆる種類のトラフィックの負荷を分散するには、プロトコルとポートを任意の値として指定するワイルドカード仮想サーバーを構成する必要があります。

CLIを使用してファイアウォールに送信されるトラフィックの負荷を分散するように仮想サーバーを設定するには:

コマンドプロンプトで、次のコマンドを入力します。

add lb vserver <name>@ <serviceType> <IPAddress> <port_number>
<!--NeedCopy-->

例:

add lb vserver Vserver-LB-1 ANY * *
<!--NeedCopy-->

GUI を使用してファイアウォールに送信されるトラフィックの負荷を分散するように仮想サーバーを設定するには:

  1. [Traffic Management]>[Load Balancing]>[Virtual Servers]の順に選択します。
  2. 詳細ペインで、[Add] をクリックします。
  3. [プロトコル] で [任意] を選択し、[IP アドレスとポート] で [*] を選択します。
  4. [Create] をクリックしてから、[Close] をクリックします。作成した仮想サーバーが [負荷分散仮想サーバー] ペインに表示されます。

仮想サーバーを MAC リライトモードに設定

着信トラフィックの転送に MAC アドレスを使用するように仮想サーバーを設定するには、MAC 書き換えモードを有効にする必要があります。

CLIを使用して仮想サーバをMACリライトモードに設定するには:

コマンドプロンプトで、次のコマンドを入力します。

set lb vserver <name>@ -m <RedirectionMode>
<!--NeedCopy-->

例:

set lb vserver Vserver-LB-1 -m MAC
<!--NeedCopy-->

GUI を使用して仮想サーバを MAC リライトモードに設定するには:

  1. [Traffic Management]>[Load Balancing]>[Virtual Servers]の順に選択します。
  2. 詳細ペインで、リダイレクトモードを構成する仮想サーバー (たとえば、VServer-LB1) を選択し、[開く] をクリックします。
  3. 「詳細設定」タブの「リダイレクトモード」モードで、「開く」をクリックします。
  4. [OK] をクリックします。

ファイアウォールサービスの仮想サーバーへのバインディング

NetScalerアプライアンス上のサービスにアクセスするには、ワイルドカード仮想サーバーにバインドする必要があります。

CLIを使用してファイアウォールサービスを仮想サーバーにバインドするには:

コマンドプロンプトで、次のコマンドを入力します。

bind lb vserver <name>@ <serviceName>
<!--NeedCopy-->

例:

bind lb vserver Vserver-LB-1 Service-HTTP-1
<!--NeedCopy-->

GUI を使用してファイアウォールサービスを仮想サーバーにバインドするには:

  1. [Traffic Management]>[Load Balancing]>[Virtual Servers]の順に選択します。
  2. 詳細ペインで、リダイレクトモードを構成する仮想サーバー (たとえば、VServer-LB1) を選択し、[開く] をクリックします。
  3. [仮想サーバーの構成 (負荷分散)] ダイアログボックスの [サービス] タブで、仮想サーバーにバインドするサービス (たとえば、Service-HTTP-1) の横にある [アクティブ] チェックボックスを選択します。
  4. [OK] をクリックします。

NetScalerアプライアンスでのマルチファイアウォールの負荷分散の構成

ファイアウォールの負荷分散を使用してNetScalerの両側でトラフィックの負荷分散を行うには、vServerSpecificMacパラメーターを使用してマルチファイアウォールの負荷分散を有効にする必要があります。

CLI を使用してマルチファイアウォールの負荷分散を設定するには:

コマンドプロンプトで、次のコマンドを入力します。

set lb parameter -vServerSpecificMac <status>
<!--NeedCopy-->

例:

set lb parameter -vServerSpecificMac ENABLED
<!--NeedCopy-->

GUI を使用してマルチファイアウォールのロードバランシングを設定するには:

  1. [Traffic Management]>[Load Balancing]>[Virtual Servers]の順に選択します。
  2. 詳細ペインで、リダイレクションモードを構成する仮想サーバーを選択します (たとえば、負荷分散パラメーターの構成)。
  3. [負荷分散パラメータの設定] ダイアログボックスで、[仮想サーバー固有の MAC] チェックボックスを選択します。
  4. [OK] をクリックします。

設定の保存と検証

構成タスクが完了したら、必ず構成を保存してください。また、設定が正しいことを確認する必要があります。

CLI を使用して設定を保存して確認するには:

コマンドプロンプトで、次のコマンドを入力して透過モニタを構成し、構成を確認します。

  • save ns config
  • show vserver

例:

save config
show lb vserver FWLBVIP2
        FWLBVIP2 (\*:\*) - ANY    Type: ADDRESS
        State: UP
        Last state change was at Mon Jun 14 07:22:54 2010
        Time since last state change: 0 days, 00:00:32.760
        Effective State: UP
        Client Idle Timeout: 120 sec
        Down state flush: ENABLED
        Disable Primary Vserver On Down : DISABLED
        No. of Bound Services :  2 (Total)       2 (Active)
        Configured Method: LEASTCONNECTION
        Current Method: Round Robin, Reason: A new service is bound
        Mode: MAC
        Persistence: NONE
        Connection Failover: DISABLED

1) fw-int-svc1 (10.102.29.5: *) - ANY State: UP Weight: 1
2) fw-int-svc2 (10.102.29.9: \*) - ANY State: UP Weight: 1
 Done
show service fw-int-svc1
        fw-int-svc1 (10.102.29.5:\*) - ANY
        State: DOWN
        Last state change was at Thu Jul  8 14:44:51 2010
        Time since last state change: 0 days, 00:01:50.240
        Server Name: 10.102.29.5
        Server ID : 0   Monitor Threshold : 0
        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits
        Use Source IP: NO
        Client Keepalive(CKA): NO
        Access Down Service: NO
        TCP Buffering(TCPB): NO
        HTTP Compression(CMP): NO
        Idle timeout: Client: 120 sec   Server: 120 sec
        Client IP: DISABLED
        Cacheable: NO
        SC: OFF
        SP: OFF
        Down state flush: ENABLED

1)      Monitor Name: monitor-HTTP-1
                State: DOWN     Weight: 1
                Probes: 9       Failed [Total: 9 Current: 9]
                Last response: Failure - Time out during TCP connection establishment stage
                Response Time: 2000.0 millisec
2)      Monitor Name: ping
                State: UP       Weight: 1
                Probes: 3       Failed [Total: 0 Current: 0]
                Last response: Success - ICMP echo reply received.
                Response Time: 1.275 millisec
 Done
<!--NeedCopy-->

GUI を使用して設定を保存して確認するには:

  1. 詳細ペインで、[ 保存] をクリックします。
  2. 「 設定を保存 」ダイアログで、「 はい」をクリックします。
  3. [Traffic Management]>[Load Balancing]>[Virtual Servers]の順に選択します。
  4. 詳細ウィンドウで、手順 5 で作成した仮想サーバーを選択し、[詳細] ウィンドウに表示される設定が正しいことを確認します。
  5. [Traffic Management] > [Load Balancing] > [Services] の順に移動します。
  6. 詳細ウィンドウで、手順 5 で作成したサービスを選択し、[詳細] ウィンドウに表示される設定が正しいことを確認します。

マルチファイアウォール環境におけるファイアウォールの負荷分散設定の監視

構成が起動して実行されたら、各サービスと仮想サーバーの統計情報を表示して、考えられる問題がないかどうかを確認する必要があります。

仮想サーバーの統計情報を表示する

仮想サーバーのパフォーマンスを評価したり、問題をトラブルシューティングしたりするために、Citrix ADCアプライアンスに構成されている仮想サーバーの詳細を表示できます。すべての仮想サーバーの統計情報の概要を表示することも、仮想サーバーの名前を指定して、その仮想サーバーの統計情報のみを表示することもできます。次の詳細を表示できます。

  • 名前
  • IPアドレス
  • ポート
  • Protocol
  • 仮想サーバーの状態
  • 受け取ったリクエストの割合
  • ヒット率

コマンドラインインターフェイスを使用して仮想サーバーの統計情報を表示するには

Citrix ADCアプライアンスで現在構成されているすべての仮想サーバー、または単一の仮想サーバーの統計情報の概要を表示するには、コマンドプロンプトで次のように入力します。

stat lb vserver [-detail] [<name>]
<!--NeedCopy-->

例:

>stat lb vserver -detail
Virtual Server(s) Summary
                      vsvrIP  port     Protocol        State    Req/s   Hits/s
One                        *    80         HTTP           UP      5/s      0/s
Two                        *     0          TCP         DOWN      0/s      0/s
Three                      *  2598          TCP         DOWN      0/s      0/s
dnsVirtualNS    10.102.29.90    53          DNS         DOWN      0/s      0/s
BRVSERV            10.10.1.1    80         HTTP         DOWN      0/s      0/s
LBVIP           10.102.29.66    80         HTTP           UP      0/s      0/s
 Done


<!--NeedCopy-->

GUI を使用して仮想サーバーの統計情報を表示するには:

  1. トラフィック管理 > 負荷分散 > 仮想サーバー > 統計に移動します。
  2. 1 つの仮想サーバーのみの統計情報を表示する場合は、詳細ペインで仮想サーバーを選択し、[統計] をクリックします。

サービスの統計情報の表示

サービス統計を使用して、要求、応答、要求バイト、応答バイト、現在のクライアント接続、サージキュー内の要求、現在のサーバ接続などのレートを表示できます。

CLI を使用してサービスの統計情報を表示するには:

コマンドプロンプトで入力します。

stat service <name>
<!--NeedCopy-->

例:

stat service Service-HTTP-1
<!--NeedCopy-->

GUI を使用してサービスの統計情報を表示するには:

  1. トラフィック管理 > 負荷分散 > サービス > 統計に移動します。
  2. 1 つのサービスの統計情報だけを表示する場合は、サービスを選択して [Statistics] をクリックします。
複数ファイアウォール環境