Citrix ADC

バックエンド通信に指定したソース IP を使用する

物理サーバーまたは他のピアデバイスとの通信では、Citrix ADCアプライアンスはソースIPアドレスとして所有するIPアドレスを使用します。Citrix ADCアプライアンスはIPアドレスのプールを維持し、サーバーとの接続中にIPアドレスを動的に選択します。物理サーバが配置されているサブネットに応じて、アプライアンスは使用するIPアドレスを決定します。このアドレスプールは、トラフィックおよびモニタプローブの送信に使用されます。

多くの場合、アプライアンスで、バックエンド通信に特定の IP アドレスまたは特定の IP アドレスのセットからの任意の IP アドレスを使用したい場合があります。次に、いくつかの例を示します。

  • モニタプローブに使用される送信元 IP アドレスが特定のセットに属している場合、サーバはモニタプローブとトラフィックを区別できます。
  • サーバーのセキュリティを向上させるために、特定の一連の IP アドレスからの要求や、場合によっては単一の特定の IP アドレスからの要求に応答するようにサーバーを構成できます。この場合、アプライアンスは、サーバによって受け入れられた IP アドレスのみを送信元 IP アドレスとして使用できます。
  • アプライアンスは、IP アドレスを IP セットに分散し、セットのアドレスを特定のサービスへの接続にのみ使用できれば、内部接続を効率的に管理できます。

指定した送信元 IP アドレスを使用するようにアプライアンスを設定するには、ネットプロファイル(ネットワークプロファイル)を作成し、そのプロファイルを使用するようにアプライアンスエンティティを構成します。ネットプロファイルは、負荷分散またはコンテンツスイッチング仮想サーバー、Citrix Gateway VPN仮想サーバー、サービス、サービスグループ、またはモニターにバインドできます。ネットプロファイルには、Citrix ADCが所有するIPアドレス(SNIPおよびVIP)があり、送信元IPアドレスとして使用できます。単一の IP アドレスでも、IP セットと呼ばれる IP アドレスのセットでもかまいません。ネットプロファイルにIPセットがある場合、アプライアンスは接続時にIPセットからIPアドレスを動的に選択します。プロファイルに 1 つの IP アドレスがある場合、同じ IP アドレスが送信元 IP として使用されます。

ネットプロファイルが負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーにバインドされている場合、そのプロファイルは、バインドされているすべてのサービスにトラフィックを送信するために使用されます。ネットプロファイルがサービスグループにバインドされている場合、アプライアンスはサービスグループのすべてのメンバーに対してそのプロファイルを使用します。ネットプロファイルがモニターにバインドされている場合、アプライアンスはモニターから送信されたすべてのプローブに対してプロファイルを使用します。

注:

  • Citrix ADCアプライアンスがVIPアドレスを使用してサーバーと通信する場合、セッションエントリを使用して、VIPアドレス宛てのトラフィックがサーバーからの応答であるか、クライアントからの要求であるかを識別します。

  • ネットプロファイルをCitrix Gateway VPN仮想サーバーにバインドできます。ただし、ネットプロファイルをバインドするときは、いくつかの点に注意する必要があります。詳細については、「 ネットプロファイルを VPN 仮想サーバーにバインドするときの注意点」を参照してください。

  • サービスまたはサービスグループにバインドされたネットプロファイル IP は、対応するバックエンドサーバーへのトラフィックの送信だけでなく、未解決のバックエンド FQDN によってトリガーされる DNS 要求にも使用されます。

トラフィック送信のためのネットプロファイルの使用

[Use Source IP Address (USIP)] オプションが有効になっている場合、アプライアンスはクライアントの IP アドレスを使用し、すべてのネットプロファイルを無視します。USIP オプションが有効になっていない場合、アプライアンスは次の方法でソース IP を選択します。

  • 仮想サーバまたはサービス/サービスグループにネットプロファイルがない場合、アプライアンスはデフォルトの方式を使用します。
  • サービス/サービスグループにのみネットプロファイルがある場合、アプライアンスはそのネットプロファイルを使用します。
  • 仮想サーバ上にのみネットプロファイルがある場合、アプライアンスはそのネットプロファイルを使用します。
  • 仮想サーバとサービス/サービスグループの両方にネットプロファイルがある場合、アプライアンスはサービス/サービスグループにバインドされたネットプロファイルを使用します。

モニタプローブの送信にネットプロファイルを使用します。

モニタプローブの場合、アプライアンスは次の方法でソース IP を選択します。

  • モニターにバインドされたネットプロファイルがある場合、アプライアンスはモニターのネットプロファイルを使用します。仮想サーバまたはサービス/サービスグループにバインドされたネットプロファイルは無視されます。
  • モニターにバインドされたネットプロファイルがない場合は、
    • サービス/サービスグループにネットプロファイルがある場合、アプライアンスはサービス/サービスグループのネットプロファイルを使用します。
    • サービス/サービスグループにもネットプロファイルがない場合、アプライアンスはデフォルトの方法でソース IP を選択します。

注:サービスにバインドされたネットプロファイルがない場合、サービスがサービスグループにバインドされている場合、アプライアンスはサービスグループ上のネットプロファイルを検索します。

指定した送信元 IP アドレスを通信に使用するには、次の手順に従います。

  1. Citrix ADCアプライアンスが所有するSNiPおよびVIPのプールからIPセットを作成します。IP セットは、SNIP アドレスと VIP アドレスの両方で構成できます。手順については、 IP セットの作成を参照してください
  2. ネットプロファイルを作成します。手順については、 ネットプロファイルの作成を参照してください
  3. ネットプロファイルをアプライアンスのエンティティにバインドします。手順については、 Citrix ADCエンティティへのネットプロファイルのバインドを参照してください

注:

  • ネットプロファイルは、Citrix ADCアプライアンスでSNIPおよびVIPとして指定されたIPアドレスのみを持つことができます。

  • Citrix ADC が開始したパケットでは、送信元 IP パーシステンスは適用されません。

ネットプロファイルの管理

ネットプロファイル(ネットワークプロファイル)には、1つのIPアドレスまたはIPセットが含まれます。物理サーバーまたはピアとの通信中、Citrix ADCアプライアンスは、プロファイルで指定されたアドレスを送信元IPアドレスとして使用します。

IP セットを作成する

IPセットは、Citrix ADCアプライアンスでサブネットIPアドレス(SNIP)または仮想IPアドレス(VIP)として構成されるIPアドレスのセットです。IPセットには、そのセットに含まれるIPアドレスの用途を識別するためのわかりやすい名前を付けます。IPセットを作成するには、IPアドレスセットを追加し、Citrix ADC所有のIPアドレスをバインドします。SNIP アドレスと VIP アドレスは、同じ IP セット内に存在できます。

CLI を使用して IP セットを作成するには

コマンドプロンプトで、次のコマンドを入力します。

add ipset <name>

bind ipset <name> <IPAddress>
<!--NeedCopy-->

または

bind ipset <name> <IPAddress>

show ipset [<name>]
<!--NeedCopy-->

上記のコマンドは、名前を渡さない場合に、アプライアンス上のすべての IP セットの名前を表示します。名前を渡すと、指定した IP セットにバインドされた IP アドレスが表示されます。

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done
<!--NeedCopy-->

GUI を使用して IP セットを作成するには

[ システム] > [ネットワーク] > [IP セット]に移動し、IP セットを作成します。

ネットプロファイルの作成

ネットプロファイル(ネットワークプロファイル)は、Citrix ADCアプライアンスの1つ以上のSNIPアドレスまたはVIPアドレスで構成されます。

CLI を使用してネットプロファイルを作成するには

コマンドプロンプトで入力します。

add netprofile <name> [-srcIp <srcIpVal>]
<!--NeedCopy-->

このコマンドで srcipVal が指定されていない場合は、後でset netprofileコマンドを使用して指定することができます。

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done
<!--NeedCopy-->

ネットプロファイルをCitrix ADCエンティティにバインドする

ネットプロファイルは、負荷分散仮想サーバー、サービス、サービスグループ、またはモニターにバインドできます。

注:Citrix ADCエンティティの作成時にネットプロファイルをバインドすることも、既存のエンティティにバインドすることもできます。

コマンドラインインターフェイスを使用してネットプロファイルをサーバーにバインドするには

ネットプロファイルは、負荷分散仮想サーバーとコンテンツスイッチング仮想サーバーにバインドできます。適切な仮想サーバを指定します。

コマンドプロンプトで入力します。

set lb vserver <name> -netProfile <net_profile_name>
<!--NeedCopy-->

または

set cs vserver <name> -netProfile <net_profile_name>
<!--NeedCopy-->

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done
<!--NeedCopy-->

GUI を使用してネットプロファイルを仮想サーバーにバインドするには

  1. [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、仮想サーバーを開きます。
  2. [詳細設定] で [ プロファイル] をクリックし、ネットプロファイルを設定します。

CLI を使用してネットプロファイルをサービスにバインドするには

コマンドプロンプトで入力します。

set service <name> -netProfile <net_profile_name>
<!--NeedCopy-->

set service brnssvc1 -netProfile brnsnp
 Done
<!--NeedCopy-->

GUI を使用してネットプロファイルをサービスにバインドするには

  1. [ トラフィック管理] > [負荷分散] > [サービス] に移動し、サービスを開きます。
  2. [詳細設定] で [ プロファイル] をクリックし、ネットプロファイルを設定します。

CLI を使用してネットプロファイルをサービスグループにバインドするには

コマンドプロンプトで入力します。

set servicegroup <serviceGroupName> -netProfile <net_profile_name>
<!--NeedCopy-->

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done
<!--NeedCopy-->

GUI を使用してネットプロファイルをサービスグループにバインドするには

  1. [ トラフィック管理] > [負荷分散] > [サービスグループ] に移動し、サービスグループを開きます。
  2. [詳細設定] で [ プロファイル] をクリックし、ネットプロファイルを設定します。

CLI を使用してネットプロファイルをモニターにバインドするには

コマンドプロンプトで入力します。

set monitor <monitor_name> -netProfile <net_profile_name>

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done
<!--NeedCopy-->

GUI を使用してネットプロファイルをモニターにバインドするには

  1. トラフィック管理 > 負荷分散 > モニターに移動します
  2. モニターを開き、ネットプロファイルを設定します。
バックエンド通信に指定したソース IP を使用する