ADC

使用指定的源 IP 进行后端通信

为了与物理服务器或其他对等设备进行通信,Citrix ADC 设备使用其拥有的 IP 地址作为源 IP 地址。Citrix ADC 设备维护其 IP 地址池,并在与服务器连接时动态选择 IP 地址。根据物理服务器所在的子网,设备决定要使用的 IP 地址。此地址池用于发送流量和监视探测器。

在许多情况下,您可能希望设备使用特定 IP 地址或来自一组特定 IP 地址的任何 IP 地址进行后端通信。以下是几个例子:

  • 如果用于监视探测的源 IP 地址属于特定集,则服务器可以将监视探测与流量区分开来。
  • 为了提高服务器安全性,可以将服务器配置为响应来自一组特定 IP 地址的请求,或者有时响应来自单个特定 IP 地址的请求。在这种情况下,设备只能使用服务器接受的 IP 地址作为源 IP 地址。
  • 如果设备可以将其 IP 地址分配到 IP 集中,并且仅将集中的地址用于连接到特定服务,则设备可以有效地管理其内部连接。

要将设备配置为使用指定的源 IP 地址,请创建网络配置文件(网络配置文件)并将设备实体配置为使用该配置文件。网络配置文件可以绑定到负载平衡或内容交换虚拟服务器、Citrix Gateway VPN 虚拟服务器、服务、服务组或监视器。网络配置文件具有 Citrix ADC 拥有的 IP 地址(剪切和 VIP),可用作源 IP 地址。它可以是单个 IP 地址或一组 IP 地址,称为 IP 集。如果网络配置文件设置了 IP,设备会在连接时从 IP 集中动态选择 IP 地址。如果配置文件有单个 IP 地址,则使用相同的 IP 地址作为源 IP。

如果网络配置文件绑定到负载平衡或内容交换虚拟服务器,则该配置文件用于向绑定到其的所有服务发送流量。如果网络配置文件绑定到服务组,则设备将使用该服务组的所有成员的配置文件。如果网络配置文件绑定到监视器,设备将该配置文件用于从监视器发送的所有探测。

注意:

  • 当 Citrix ADC 设备使用 VIP 地址与服务器通信时,它会使用会话条目来确定发往 VIP 地址的流量是来自服务器的响应还是来自客户端的请求。

  • 您可以将网络配置文件绑定到 Citrix Gateway VPN 虚拟服务器。但是,在绑定网络配置文件时,您需要注意一些要点。有关更多信息,请参阅 将网络配置文件绑定到 VPN 虚拟服务器时的注意事项。

  • 绑定到服务或服务组的网络配置文件 IP 不仅用于向相应的后端服务器发送流量,还用于由任何未解析的后端 FQDN 触发的 DNS 请求。

用于发送流量的网络配置文件

如果启用了使用源 IP 地址 (USIP) 选项,则设备将使用客户端的 IP 地址并忽略所有网络配置文件。如果未启用 USIP 选项,设备将按以下方式选择源 IP:

  • 如果虚拟服务器或服务/服务组上没有网络配置文件,则设备将使用默认方法。
  • 如果服务/服务组中只有网络配置文件,则设备将使用该网络配置文件。
  • 如果仅在虚拟服务器上存在网络配置文件,则设备将使用网络配置文件。
  • 如果虚拟服务器和服务/服务组上都有网络配置文件,则设备将使用绑定到服务/服务组的网络配置文件。

使用网络配置文件发送监控探测器:

对于监视器探测器,设备将按以下方式选择源 IP:

  • 如果有绑定到监视器的网络配置文件,则设备将使用监视器的网络配置文件。它会忽略绑定到虚拟服务器或服务/服务组的网络配置文件。
  • 如果没有绑定到监视器的网络配置文件,
    • 如果服务/服务组上有网络配置文件,则设备将使用服务/服务组的网络配置文件。
    • 如果即使在服务/服务组中也没有网络配置文件,则设备将使用默认方法来选择源 IP。

注意:如果没有绑定到服务的网络配置文件,则设备会在服务组上查找网络配置文件(如果该服务绑定到服务组)。

要使用指定的源 IP 地址进行通信,请执行以下步骤:

  1. 从 Citrix ADC 设备拥有的剪辑和 VIP 池中创建 IP 集。IP 集可以由 SNIP 和 VIP 地址组成。有关说明,请参阅 创建 IP 集
  2. 创建网络配置文件。有关说明,请参阅 创建网络配置文件
  3. 将网络配置文件绑定到设备实体。有关说明,请参阅 将网络配置文件绑定到 Citrix ADC 实体

注意:

  • 网络配置文件只能具有在 Citrix ADC 设备上指定为 SNIP 和 VIP 的 IP 地址。

  • Citrix ADC 启动的数据包不支持源 IP 持久性。

管理网络资料

网络配置文件中包含一个 IP 地址或 IP 集。在与物理服务器或对等机通信期间,Citrix ADC 设备使用配置文件中指定的地址作为源 IP 地址。

创建 IP 集

IP 集是一组 IP 地址,在 Citrix ADC 设备上将其配置为子网 IP 地址 (SNIP) 或虚拟 IP 地址 (VIP)。IP 集通过有意义的名称进行标识,这些名称有助于确定其中所含 IP 地址的用途。要创建 IP 集,请添加 IP 集,然后将 Citrix ADC 拥有的 IP 地址绑定到该集。SNIP 地址和 VIP 地址可以存在于同一个 IP 集中。

使用 CLI 创建 IP 集

在命令提示符下,键入以下命令:

add ipset <name>

bind ipset <name> <IPAddress>
<!--NeedCopy-->

bind ipset <name> <IPAddress>

show ipset [<name>]
<!--NeedCopy-->

如果不传递任何名称,上面的命令将显示设备上所有 IP 集的名称。如果传递名称,它会显示绑定到指定 IP 集的 IP 地址。

示例

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done
<!--NeedCopy-->

使用 GUI 创建 IP 集

导航到 “ 系统” > “网络” > “IP 集”,然后创建 IP 集。

创建网络配置文件

网络配置文件(网络配置文件)由 Citrix ADC 设备的一个 或多个 SNIP 或 VIP 地址组成。

使用 CLI 创建网络配置文件

在命令提示符下,键入:

add netprofile <name> [-srcIp <srcIpVal>]
<!--NeedCopy-->

如果此命令中没有提供 srcipVal,则稍后可以使用 set netprofile 命令提供它。

示例

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done
<!--NeedCopy-->

将网络配置文件绑定到 Citrix ADC 实体

网络配置文件可以绑定到负载平衡虚拟服务器、服务、服务组或监视器。

注意:您可以在创建 Citrix ADC 实体时绑定网络配置文件,也可以将其绑定到现有实体。

使用命令行界面将网络配置文件绑定到服务器

您可以将网络配置文件绑定到负载平衡虚拟服务器和内容交换虚拟服务器。指定适当的虚拟服务器。

在命令提示符下,键入:

set lb vserver <name> -netProfile <net_profile_name>
<!--NeedCopy-->

set cs vserver <name> -netProfile <net_profile_name>
<!--NeedCopy-->

示例

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done
<!--NeedCopy-->

使用 GUI 将网络配置文件绑定到虚拟服务器

  1. 导航到 流量管理 > 负载平衡 > 虚拟服务器,然后打开虚拟服务器。
  2. 在高级设置中,单击 配置文件,然后设置网络配置文件。

使用 CLI 将网络配置文件绑定到服务

在命令提示符下,键入:

set service <name> -netProfile <net_profile_name>
<!--NeedCopy-->

示例

set service brnssvc1 -netProfile brnsnp
 Done
<!--NeedCopy-->

使用 GUI 将网络配置文件绑定到服务

  1. 导航到 “ 流量管理” > “负载平衡” > “服务”,然后打开服务。
  2. 在高级设置中,单击 配置文件,然后设置网络配置文件。

使用 CLI 将网络配置文件绑定到服务组

在命令提示符下,键入:

set servicegroup <serviceGroupName> -netProfile <net_profile_name>
<!--NeedCopy-->

示例

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done
<!--NeedCopy-->

使用 GUI 将网络配置文件绑定到服务组

  1. 导航到 流量管理 > 负载平衡 > 服务组,然后打开服务组。
  2. 在高级设置中,单击 配置文件,然后设置网络配置文件。

使用 CLI 将网络配置文件绑定到监视器

在命令提示符下,键入:

set monitor <monitor_name> -netProfile <net_profile_name>

示例

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done
<!--NeedCopy-->

使用 GUI 将网络配置文件绑定到监视器

  1. 导航到 流量管理 > 负载平衡 > 监控器
  2. 打开监视器,并设置网络配置文件。
使用指定的源 IP 进行后端通信