ADC

Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse

Sie können den virtuellen Forward-Proxy-Cache-Umleitungsserver auf der Citrix ADC Appliance so konfigurieren, dass er die Ziel-IP-Adresse der Anfrage, die auf dem virtuellen Cache-Umleitungsserver landet, in die IP-Adresse des Ursprungsservers übersetzt. Diese Übersetzung erfolgt unabhängig davon, ob die Anfrage an die zwischengespeicherten Server oder den Ursprungsserver gesendet wird. Bisher konnte der virtuelle Server für die Forward-Proxy-Cache-Umleitung in einer Service Provider-Umgebung nicht effektiv verwendet werden, um Datenverkehr über die Firewall zu senden, da die Cache-Umleitung mithilfe von Content Switching-Richtlinien eingeschränkt war. Der virtuelle Cache-Umleitungsserver hat die ursprüngliche IP-Adresse nicht in die Ziel-IP übersetzt, als das Paket in den Cache gesendet wurde. Die Ziel-IP-Adresse war nur dann die des Ursprungsservers, wenn die Anfragen vom zwischengespeicherten Server bedient wurden.

Hinweis: Die Übersetzung der Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse wird für einen virtuellen Server mit transparenter Cache-Umleitung nicht unterstützt. Für einen virtuellen Server mit transparenter Cache-Umleitung muss diese Option auf OFF gesetzt sein.

Anwendungsfall

In einer Bereitstellung, in der die Citrix ADC Appliance für Forward-Proxy-Cache-Umleitung, Firewall und wiederverwendete Client-IP-Adressen konfiguriert ist, kann die Firewall die wiederverwendeten IP-Adressen nicht unterscheiden/verwenden. Daher müssen diese wiederverwendeten IP-Adressen in verschiedene IP-Adressen übersetzt werden. Um die wiederverwendeten IP-Adressen zu übersetzen, muss die Citrix ADC Appliance Folgendes ausführen:

  1. Fragen Sie einen virtuellen DNS-Lastausgleichsserver nach der Auflösung des Ziels ab.
  2. Aktualisieren Sie die ursprüngliche IP-Adresse und die Portnummer im Ziel.
  3. Senden Sie die Anfrage zurück an die Firewall.

Stellen Sie sich die folgende Bereitstellung vor, bei der eine Citrix ADC-Appliance für die Forward-Proxy-Cache-Umleitung, eine Firewall und zwei Router (Router 1 und Router 2) konfiguriert ist. Der Netzwerkverkehr fließt jeweils über Router 1 zu Internet 1 und über Router 2 zu Internet 2.

lokalisiertes Bild

In diesem Beispiel kommen Eingabeanforderungen von Clients von zwei verschiedenen VLANs, VLAN11 oder VLAN12. Die Client-IP-Adresse (10.0.0.0) wird wiederverwendet. Basierend auf den Richtlinien für die Cache-Umleitung und den Content Switching kann die Anfrage direkt an den Ursprungsserver oder an die Firewall gesendet werden.

  • Wenn die Anfrage die Firewall Bypass und ins Internet gehen muss, wird basierend auf dem Eingabeanforderungs-VLAN entweder Router 1 oder Router 2 ausgewählt und die Anfrage wird an Internet 1 oder Internet 2 gesendet.

  • Wenn die Anfrage die Firewall passieren muss, muss die Quell-IP der Anfrage in eine bestimmte IP-Adresse übersetzt werden. Die übersetzte IP-Adresse kann verwendet werden, um das VLAN zu identifizieren, über das die Anfrage eingegangen ist. Wenn die Eingabeanforderung beispielsweise von VLAN11 kommt, wird die Quell-IP-Adresse in 11.x.x.x übersetzt. Wenn die Anfrage von VLAN12 kommt, wird die Quell-IP-Adresse in 12.x.x.x übersetzt.

Nachdem die Firewall die Anfrage verarbeitet hat, wird die Anfrage an die Appliance zurückgesendet. Mithilfe der Kombination aus Listen-Policy und Netzprofilen übersetzt die Appliance dann die Quell-IP-Adresse zurück in die ursprüngliche IP-Adresse und sendet die Anfrage basierend auf der eingegebenen VLAN-ID an Router 1 oder Router 2.

Hinweis: Der Modus des virtuellen Lastausgleichsservers, der an den Cache gebunden ist, muss immer auf den MAC-Modus eingestellt sein. Der IP-Modus für diese Funktion ist zwar nicht blockiert, die Einstellung auf den IP-Modus führt jedoch zu unerwartetem Verhalten.

Um die Ziel-IP-Adresse und die Portnummer der Anfrage mithilfe der CLI in die Ursprungs-IP-Adresse zu übersetzen

Geben Sie an der Eingabeaufforderung;

set cr vserver <vsname> -useoriginIpPortForCache <YES|NO>
<!--NeedCopy-->

Beispiel:

set cr vserver cvsrv1 -useoriginIpPortForCache YES
<!--NeedCopy-->

Wenn useOriginIPPortForCache auf Ja gesetzt ist und die Anfrage von den zwischengespeicherten Servern bedient werden muss, wird die Ziel-IP der Anfrage in die IP-Adresse des Ursprungsservers übersetzt.

Hinweis: Wenn useOriginipPortForCache aktiviert ist, setzen Sie den virtuellen Lastausgleichsserver, der an den Cache gebunden ist, immer auf den MAC-Modus.

Um die Ziel-IP-Adresse und den Port der Anfrage mithilfe der GUI in die Ursprungs-IP-Adresse zu übersetzen

  1. Navigieren Sie zu Traffic Management > Cache-Umleitung > Virtuelle Server und klicken Sie auf Hinzufügen.

  2. Geben Sie die Details des virtuellen Servers für die Cache-Umleitung an.

  3. Wählen Sie Origin-IP-Port für Cache verwenden aus, um die Übersetzung der Ziel-IP-Adresse der Anfrage in die Ursprungs-IP-Adresse zu aktivieren.

  4. Klicken Sie auf OK.

Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse