Citrix ADC

启用使用源 IP 模式

Citrix ADC 设备与物理服务器或对等设备通信时,默认情况下,它将使用其自己的 IP 地址之一作为源 IP。设备维护一个 子网 IP 地址池 (SNIP),并从该池中选择一个 IP 地址,用作连接到物理服务器的源 IP 地址。选择 SNIP 地址的决定取决于物理服务器所在的子网。

如有必要,可以将 Citrix ADC 设备配置为使用客户端的 IP 地址作为源 IP。某些应用程序需要客户端的实际 IP 地址。以下用例是几个示例:

  • Web 访问日志中的客户端 IP 地址用于计费或使用情况分析。
  • 客户端的 IP 地址用于确定客户端的来源国或客户端的来源 ISP。例如,许多搜索引擎(如 Google)提供与用户所属位置相关的内容。
  • 应用程序必须知道客户端的 IP 地址,以验证请求来自可信的来源。
  • 有时,即使应用程序服务器不需要客户端的 IP 地址,放置在应用程序服务器和 Citrix ADC 之间的防火墙可能需要客户端的 IP 地址来筛选流量。

如果希望 Citrix ADC 使用客户端的 IP 地址与服务器进行通信,请启用“使用源 IP 模式 (USIP)”模式。

下图显示了设备如何在 USIP 模式下使用 IP 地址。

启用 USIP 时的 IP 寻址

准备工作

在启用 USIP 模式之前,请注意以下几点:

  • 在以下情况下启用 USIP:
    • 入侵检测系统 (IDS) 服务器的负载平衡
    • SMTP 负载平衡
    • 无状态连接故障转移
    • 无会话负载平衡
    • 如果使用直接服务器返回 (DSR) 模式
  • USIP 全局设置仅适用于 USIP 全局设置后创建的服务。换句话说,当 USIP 全局设置进行了 USIP 全局设置时不适用于现有服务。例如,全局禁用 USIP 不会在现有服务上禁用 USIP。但是,它会阻止后来创建的服务自动启用 USIP。

    要在一组现有服务上启用或禁用 USIP,您需要在其中每个服务上启用或禁用 USIP。

  • 启用了 USIP 后,必须将服务器的 Gateway 设置为 Citrix ADC 拥有的某个 IP 地址(子网 IP (SNIP) 类型),以便服务器的响应始终通过 Citrix ADC 设备。
  • 如果启用了 USIP,请将服务器连接的空闲超时设置为低于默认值的值,以便在服务器端快速清除空闲连接。
  • 对于透明缓存重定向,如果启用了 USIP,也可以启用 L2CONN。
  • 由于 HTTP 连接在启用了 USIP 时不会重复使用,因此可能会累积大量的服务器端连接。空闲服务器连接可阻止其他客户端的连接。因此,设置与服务的最大连接数限制。Citrix 还建议将启用了 USIP 的服务的 HTTP 服务器超时值设置为低于默认值的值,以便在服务器端快速清除空闲连接。
  • 作为 USIP 模式的替代方法,您可以选择将客户端的 IP 地址 (CIP) 插入到需要客户端 IP 地址的应用程序服务器服务器服务器服务器服务器的服务器端连接的请求标头中。
  • 在早期 Citrix ADC 版本中,对于服务器端连接,USIP 模式具有以下源端口选项:

    • 使用客户端的端口。使用此选项,无法重复使用连接。对于来自客户端的每个请求,都会与物理服务器建立一个新的连接。
    • 使用代理端口。使用此选项,可以对来自同一客户端的所有请求重复使用连接。

    在以后的 Citrix ADC 版本中,如果启用了 USIP,则默认情况下使用代理端口进行服务器端连接,而不是重复使用连接。不重复使用连接可能不会影响建立连接的速度。

    默认情况下,如果启用了 USIP 模式,则启用“使用代理端口”选项。

    注意: 如果启用了 USIP 模式,建议启用“使用代理端口”选项。

    有关使用代理端口选项的更多信息,请参阅为服务器端连接配置源端口

配置步骤

如果希望 Citrix ADC 使用客户端的 IP 地址与服务器进行通信,请启用“使用源 IP 模式 (USIP)”模式。默认情况下,USIP 模式处于禁用状态。可以在 Citrix ADC 或特定服务上全局启用 USIP 模式。如果您在全局范围内启用它,则默认情况下为所有后来创建的服务启用了 USIP。如果为特定服务启用了 USIP,则客户端的 IP 地址仅用于指向该服务的流量。

CLI 过程

要使用 CLI 全局启用或禁用 USIP 模式,请执行以下操作:

在命令提示窗口中,键入以下命令之一:

  • enable ns mode USIP

  • disable ns mode USIP

要使用 CLI 为服务启用 USIP 模式,请执行以下操作:

在命令提示窗口中,键入:

set service <name>@ -usip (YES |

示例:

> set service Service-HTTP-1 -usip YES
Done

GUI 程序

要使用 GUI 全局启用或禁用 USIP 模式,请执行以下操作:

  1. 导航到系统 > 设置,在模式和功能组中,单击更改模式
  2. 选择或清除使用源 IP选项。

要使用 GUI 为服务启用 USIP 模式,请执行以下操作:

  1. 导航到 流量管理 > 负载平衡 > 服务 ,然后编辑服务。
  2. 高级设置中,选择服务设置,然后选择使用源 IP 地址

启用使用源 IP 模式