Citrix ADC

用例 10:入侵检测系统服务器的负载平衡

要使 Citrix ADC 设备能够支持入侵检测系统 (IDS) 服务器的负载平衡,必须通过启用端口镜像的交换机连接 IDS 服务器和客户端。客户端向服务器发送请求。由于在交换机上启用了端口镜像,因此请求数据包将复制或发送到 Citrix ADC 设备虚拟服务器端口。然后,设备使用配置的负载平衡方法来选择 IDS 服务器,如下图所示。

图 1. 负载均衡 IDS 服务器的拓扑

拓扑

注意:目前,设备仅支持被动 IDS 设备的负载平衡。

如上图所示,IDS 负载平衡设置的功能如下:

  1. 客户端请求将发送到 IDS 服务器,启用镜像端口的交换机将这些数据包转发到 IDS 服务器。源 IP 地址是客户端的 IP 地址,目标 IP 地址是服务器的 IP 地址。源 MAC 地址是路由器的 MAC 地址,目标 MAC 地址是服务器的 MAC 地址。
  2. 流经交换机的流量将镜像到设备。设备使用第 3 层信息(源 IP 地址和目标 IP 地址)将数据包转发到选定的 IDS 服务器,而不更改源 IP 地址或目标 IP 地址。它将源 MAC 地址和目标 MAC 地址修改为选定 IDS 服务器的 MAC 地址。

注意:当负载平衡 IDS 服务器时,您可以配置 SRCIPHASH、DESTIPHASH 或 SRCIPDESTIPHASH 负载平衡方法。建议使用 SRCIPDESTIPHASH 方法,因为从客户端流向设备上服务的数据包必须发送到单个 IDS 服务器。

假设已创建 Service-ANY-1、Service-ANY-2 和 Service-ANY-3 并绑定到 Vserver-LB-1。虚拟服务器平衡服务上的负载。下表列出了设备上配置的实体的名称和值。

实体类型 名称 IP 地址 端口 协议
虚拟服务器 Vserver-LB-1 * * 任何
服务 Service-ANY-1 10.102.29.101 * 任何
  Service-ANY-2 10.102.29.102 * 任何
  Service-ANY-3 10.102.29.103 * 任何
显示器 Ping

注意:您可以使用内联模式或单臂模式进行 IDS 负载平衡设置。

下图显示了要在设备上配置的参数的负载平衡实体和值。

图 2. 负载平衡 IDS 服务器的实体模型

实体模型

要配置 IDS 负载平衡设置,必须首先启用基于 Mac 的转发。您还必须禁用设备上的第 2 层和第 3 层模式。

使用命令行界面启用基于 Mac 的转发

在命令提示窗口中,键入:

enable ns mode <ConfigureMode>

示例:

enable ns mode MAC

使用配置实用程序启用基于 Mac 的转发

导航到“系统”>“设置”>“配置模式”,然后选择“基于 MAC 的转发”。

接下来,请参阅设置基本负载平衡,以配置基本的负载平衡设置。

配置基本负载平衡设置后,必须通过配置受支持的负载平衡方法(例如,无会话虚拟服务器上的 SRCIPDESTIP 哈希方法)并启用 MAC 模式对其进行自定义。设备不会维护连接状态,只会将数据包转发到 IDS 服务器,而不会对数据包进行处理。目标 IP 地址和端口保持不变,因为虚拟服务器处于 MAC 模式。

使用命令行界面为无会话虚拟服务器配置 LB 方法和重定向模式

在命令提示窗口中,键入:

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>

示例:

set lb vserver Vserver-LB-1 -lbMethod SourceIPDestIPHash -m MAC -sessionless enabled

注意

对于绑定到已启用-m MAC 选项的虚拟服务器的服务,必须绑定非用户监视器。

使用配置实用程序为无会话虚拟服务器配置 LB 方法和重定向模式的步骤

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器。
  2. 打开虚拟服务器,然后在重定向模式下,选择“基于 MAC”。
  3. 在“高级设置”中,单击“方法”,然后选择“SRCIPDESTIPHASH”。单击“流量设置”,然后选择“无会话负载平衡”。

使用命令行界面将服务设置为使用源 IP 地址

在命令提示窗口中,键入:

set service <ServiceName> -usip <Value>

示例:

set service Service-ANY-1 -usip yes

使用配置实用程序将服务设置为使用源 IP 地址

  1. 导航到流量管理 > 负载平衡 > 服务
  2. 打开服务,然后在“设置”中选择使用源 IP 地址

要使 USIP 正常工作,必须将其设置为全局。有关全局配置 USIP 的更多信息,请参阅IP 地址