Citrix ADC

使用例 10: 侵入検知システムサーバーの負荷分散

Citrix ADC アプライアンスが侵入検知システム(IDS)サーバの負荷分散をサポートできるようにするには、ポートミラーリングが有効になっているスイッチを介して IDS サーバとクライアントを接続する必要があります。クライアントは、サーバーに要求を送信します。スイッチ上でポートミラーリングが有効になっているため、要求パケットはCitrix ADCアプライアンスの仮想サーバーポートにコピーまたは送信されます。アプライアンスは、次の図に示すように、設定されたロードバランシング方式を使用して IDS サーバを選択します。

図1:ロードバランシングされた IDS サーバのトポロジ

トポロジ

注:現在、アプライアンスはパッシブ IDS デバイスのロードバランシングのみをサポートしています。

前の図に示すように、IDS ロードバランシングの設定は次のように機能します。

  1. クライアント要求は IDS サーバに送信され、ミラーリングポートが有効になっているスイッチはこれらのパケットを IDS サーバに転送します。送信元 IP アドレスはクライアントの IP アドレスで、宛先 IP アドレスはサーバの IP アドレスです。送信元 MAC アドレスはルータの MAC アドレスで、宛先 MAC アドレスはサーバの MAC アドレスです。
  2. スイッチを通過するトラフィックは、アプライアンスにミラーリングされます。アプライアンスは、レイヤ 3 情報(送信元 IP アドレスと宛先 IP アドレス)を使用して、送信元 IP アドレスまたは宛先 IP アドレスを変更せずに、選択した IDS サーバにパケットを転送します。送信元 MAC アドレスと宛先 MAC アドレスが、選択した IDS サーバの MAC アドレスに変更されます。

注:IDS サーバをロードバランシングする場合、SRCIPHASH、DESTIPHASH、または SRCIPDESTIPHASH ロードバランシング方式を設定できます。クライアントからアプライアンス上のサービスに流れるパケットは、単一の IDS サーバに送信する必要があるため、SRCIPDESTIPHASH 方式が推奨されます。

Service-ANY-1、Service-ANY-2、Service-ANY-3 が作成され、Vserver-LB-1 にバインドされているとします。仮想サーバは、サービスの負荷を分散します。次の表に、アプライアンス上で構成されているエンティティの名前と値を示します。

エンティティタイプ 名前 IPアドレス ポート プロトコル
仮想サーバ Vserver-LB-1 * * ANY
サービス Service-ANY-1 10.102.29.101 * ANY
  Service-ANY-2 10.102.29.102 * ANY
  Service-ANY-3 10.102.29.103 * ANY
モニター Ping なし なし なし

注:IDS ロードバランシングの設定には、インラインモードまたはワンアームモードを使用できます。

次の図は、アプライアンスで設定するパラメータの負荷分散エンティティと値を示しています。

図2:ロードバランシング IDS サーバのエンティティモデル

エンティティモデル

IDS ロードバランシング設定を設定するには、最初に MAC ベースの転送を有効にする必要があります。アプライアンスのレイヤ 2 モードとレイヤ 3 モードも無効にします。

コマンドラインインターフェイスを使用して MAC ベースの転送を有効にするには

コマンドプロンプトで入力します。

enable ns mode <ConfigureMode>
<!--NeedCopy-->

例:

enable ns mode MAC
<!--NeedCopy-->

構成ユーティリティを使用して MAC ベースの転送を有効にするには

[ システム] > [設定] > [モードの設定] に移動し、[ MAC ベースの転送] を選択します。

次に、基本的な負荷分散設定を構成するには、「基本負荷分散の設定」を参照してください。

基本的なロードバランシング設定を設定したら、サポートされているロードバランシング方式(セッションレス仮想サーバ上の SRCIPDESTIP Hash 方式など)を設定し、MAC モードを有効にして IDS 用にカスタマイズする必要があります。アプライアンスは接続の状態を維持せず、パケットを処理せずに IDS サーバにだけ転送します。仮想サーバが MAC モードであるため、宛先 IP アドレスとポートは変更されません。

コマンドラインインターフェイスを使用してセッションレス仮想サーバーの負荷分散方式とリダイレクトモードを構成するには

コマンドプロンプトで入力します。

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>
<!--NeedCopy-->

例:

set lb vserver Vserver-LB-1 -lbMethod SourceIPDestIPHash -m MAC -sessionless enabled
<!--NeedCopy-->

-m MAC オプションが有効になっている仮想サーバーにバインドされているサービスの場合は、非ユーザーモニターをバインドする必要があります。

構成ユーティリティを使用してセッションレス仮想サーバーの負荷分散方式とリダイレクトモードを構成するには

  1. Traffic Management > Load Balancing > Virtual Serversに移動します。
  2. 仮想サーバを開き、[リダイレクションモード] で [MAC ベース] を選択します。
  3. [詳細設定] で、[メソッド] をクリックし、[SRCIPDESTIPHASH] を選択します。[トラフィックの設定] をクリックし、[セッションレスロードバランシング] を選択します。

コマンドラインインターフェイスを使用して送信元 IP アドレスを使用するようにサービスを設定するには

コマンドプロンプトで入力します。

set service <ServiceName> -usip <Value>
<!--NeedCopy-->

例:

set service Service-ANY-1 -usip yes
<!--NeedCopy-->

構成ユーティリティを使用して送信元 IP アドレスを使用するようにサービスを設定するには

  1. [ トラフィック管理 ] > [ 負荷分散 ] > [ サービス] に移動します。
  2. サービスを開き、[設定] で [送信元 IP アドレスを使用] を選択します。

USIP を正しく機能させるには、グローバルに設定する必要があります。USIP をグローバルに設定する方法の詳細については、「 IP アドレッシング」を参照してください。