Citrix ADC

使用指定的源 IP 进行后端通信

为了与物理服务器或其他对等设备进行通信,Citrix ADC 设备使用其拥有的 IP 地址作为源 IP 地址。Citrix ADC 设备维护其 IP 地址池,并在与服务器连接时动态选择 IP 地址。根据物理服务器所在的子网,设备决定要使用的 IP 地址。此地址池用于发送流量以及监视探测。

在许多情况下,您可能希望设备使用特定 IP 地址或特定 IP 地址集中的任何 IP 地址进行后端通信。以下是几个例子:

  • 如果用于监视探测的源 IP 地址属于特定集,则服务器可以将监视探测与流量区分开来。
  • 为了提高服务器的安全性,可以将服务器配置为响应来自一组特定 IP 地址的请求,有时还会响应来自单个特定 IP 地址的请求。在这种情况下,设备只能使用服务器接受的 IP 地址作为源 IP 地址。
  • 如果设备可以将其 IP 地址分配到 IP 集中,并将集中的地址仅用于连接到特定服务,则可以高效地管理其内部连接。

要将设备配置为使用指定的源 IP 地址,请创建网络配置文件(网络配置文件)并将设备实体配置为使用该配置文件。网络配置文件可绑定到负载平衡或内容交换虚拟服务器、服务、服务组或监视器。网络配置文件具有 Citrix ADC 拥有的 IP 地址(剪切和 VIP),可用作源 IP 地址。它可以是单个 IP 地址或一组 IP 地址,称为 IP 集。如果网络配置文件具有 IP 集,则设备会在连接时从 IP 集中动态选择 IP 地址。如果配置文件具有单个 IP 地址,则使用相同的 IP 地址作为源 IP。

如果网络配置文件绑定到负载平衡或内容交换虚拟服务器,则该配置文件将用于向绑定到它的所有服务发送流量。如果网络配置文件绑定到服务组,则设备将使用该配置文件用于服务组的所有成员。如果网络配置文件绑定到监视器,设备将该配置文件用于从监视器发送的所有探测。

注意:Citrix ADC 设备使用 VIP 地址与服务器通信时,它会使用会话条目来识别发往该 VIP 地址的流量是来自服务器的响应还是来自客户端的请求。

用于发送流量的网络配置文件

如果启用了“使用源 IP 地址 (USIP)”选项,设备将使用客户端的 IP 地址并忽略所有网络配置文件。如果未启用 USIP 选项,设备将按以下方式选择源 IP:

  • 如果虚拟服务器或服务/服务组上没有网络配置文件,则设备使用默认方法。
  • 如果仅在服务/服务组上存在网络配置文件,则设备将使用该网络配置文件。
  • 如果仅在虚拟服务器上存在网络配置文件,则设备将使用网络配置文件。
  • 如果虚拟服务器和服务/服务组都有网络配置文件,则设备将使用绑定到服务/服务组的网络配置文件。

网络配置文件用于发送监视探测:

对于监视器探头,设备采用以下方式选择源 IP:

  • 如果存在绑定到监视器的网络配置文件,设备将使用监视器的网络配置文件。它忽略绑定到虚拟服务器或服务/服务组的网络配置文件。
  • 如果没有绑定到监视器的网络配置文件,
    • 如果服务/服务组上存在网络配置文件,则设备将使用服务/服务组的网络配置文件。
    • 如果即使在服务/服务组上也没有网络配置文件,设备将使用默认方法选择源 IP。

注意:如果没有绑定到服务的网络配置文件,设备会在服务组上查找网络配置文件(如果服务绑定到服务组)。

要使用指定的源 IP 地址进行通信,请执行以下步骤:

  1. 从 Citrix ADC 设备拥有的剪断和 VIP 池中创建 IP 集。IP 集可以由 SNIP 和 VIP 地址组成。相关说明,请参阅创建 IP 集
  2. 创建网络配置文件。相关说明,请参阅创建网络配置文件
  3. 将网络配置文件绑定到设备实体。相关说明,请参阅将网络配置文件绑定到 Citrix ADC 实体

注意:

  • 网络配置文件只能具有 Citrix ADC 设备上指定为 SNIP 和 VIP 的 IP 地址。

  • 对于 Citrix ADC 启动的数据包,不支持源 IP 持久性。

管理网络配置文件

网络配置文件中包含一个 IP 地址或 IP 集。在与物理服务器或对等机通信期间,Citrix ADC 设备使用配置文件中指定的地址作为源 IP 地址。

创建 IP 集

IP 集是一组 IP 地址,它们在 Citrix ADC 设备上配置为子网 IP 地址 (SNIP) 或虚拟 IP 地址 (VIP)。IP 集通过有意义的名称进行标识,这些名称有助于确定其中所含 IP 地址的用途。要创建 IP 集,请添加 IP 集并将 Citrix ADC 拥有的 IP 地址绑定到该 IP 集。SNIP 地址和 VIP 地址可以存在于同一个 IP 集中。

使用 CLI 创建 IP 集

在命令提示符下,键入以下命令:

add ipset <name>

bind ipset <name> <IPAddress>

bind ipset <name> <IPAddress>

show ipset [<name>]

如果未传递任何名称,上述命令显示设备上所有 IP 集的名称。如果传递名称,它会显示绑定到指定 IP 集的 IP 地址。

示例

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done

使用 GUI 创建 IP 集

导航到系统”>“网络”>“IP 集,然后创建 IP 集。

创建网络配置文件

网络配置文件(网络配置文件)由 Citrix ADC 设备的一个 或多个 SNIP 或 VIP 地址组成。

使用 CLI 创建网络配置文件

在命令提示窗口中,键入:

add netprofile <name> [-srcIp <srcIpVal>]

如果此命令中未提供 SRCipval,则可以稍后使用设置的网络配 置文件命令提供它。

示例

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done

将网络配置文件绑定到 Citrix ADC 实体

网络配置文件可以绑定到负载平衡虚拟服务器、服务、服务组或监视器。

注意:您可以在创建 Citrix ADC 实体时绑定网络配置文件或将其绑定到现有实体。

使用命令行界面将网络配置文件绑定到服务器

您可以绑定网络配置文件来平衡虚拟服务器和内容交换虚拟服务器。指定适当的虚拟服务器。

在命令提示窗口中,键入:

set lb vserver <name> -netProfile <net_profile_name>

set cs vserver <name> -netProfile <net_profile_name>

示例

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done

使用 GUI 将网络配置文件绑定到虚拟服务器

  1. 导航到流量管理”>“负载平衡”>“虚拟服务器,然后打开虚拟服务器。
  2. 在“高级设置”中,单击配置文件”,然后设置网络配置文件。

使用 CLI 将网络配置文件绑定到服务

在命令提示窗口中,键入:

set service <name> -netProfile <net_profile_name>

示例

set service brnssvc1 -netProfile brnsnp
 Done

使用 GUI 将网络配置文件绑定到服务

  1. 导航到流量管理”>“负载平衡”>“服务”,然后打开服务。
  2. 在“高级设置”中,单击配置文件”,然后设置网络配置文件。

使用 CLI 将网络配置文件绑定到服务组

在命令提示窗口中,键入:

set servicegroup <serviceGroupName> -netProfile <net_profile_name>

示例

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done

使用 GUI 将网络配置文件绑定到服务组

  1. 导航到 流量管理 > 负载平衡 > 服务组,然后打开服务组。
  2. 在“高级设置”中,单击配置文件”,然后设置网络配置文件。

使用 CLI 将网络配置文件绑定到监视器

在命令提示窗口中,键入:

set monitor <monitor_name> -netProfile <net_profile_name>

示例

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done

使用 GUI 将网络配置文件绑定到监视器

  1. 导航到流量管理 > 负载平衡 > 监视器
  2. 打开监视器,并设置网络配置文件。

使用指定的源 IP 进行后端通信