ADC

Verwenden Sie eine angegebene Quell-IP für Back-End-Kommunikation

Für die Kommunikation mit den physischen Servern oder anderen Peer-Geräten verwendet die Citrix ADC Appliance eine IP-Adresse, die ihr gehört, als Quell-IP-Adresse. Die Citrix ADC Appliance verwaltet einen Pool ihrer IP-Adressen und wählt dynamisch eine IP-Adresse aus, während sie sich mit einem Server verbindet. Abhängig vom Subnetz, in dem der physische Server abgelegt ist, entscheidet die Appliance, welche IP-Adresse verwendet werden soll. Dieser Adresspool wird zum Senden von Traffic- und Monitor-Sonden verwendet.

In vielen Situationen möchten Sie möglicherweise, dass die Appliance eine bestimmte IP-Adresse oder eine IP-Adresse von einem bestimmten Satz von IP-Adressen für die Back-End-Kommunikation verwendet. Im Folgenden finden Sie einige Beispiele:

  • Ein Server kann Monitorprobes vom Datenverkehr unterscheiden, wenn die Quell-IP-Adresse, die für Monitorprobes verwendet wird, zu einem bestimmten Satz gehört.
  • Um die Serversicherheit zu verbessern, kann ein Server so konfiguriert werden, dass er auf Anfragen von einem bestimmten Satz von IP-Adressen oder manchmal von einer einzigen bestimmten IP-Adresse reagiert. In diesem Fall kann die Appliance nur die vom Server akzeptierten IP-Adressen als Quell-IP-Adresse verwenden.
  • Die Appliance kann ihre internen Verbindungen effizient verwalten, wenn sie ihre IP-Adressen in IP-Sets verteilen und eine Adresse aus einem Satz nur für die Verbindung zu einem bestimmten Dienst verwenden kann.

Um die Appliance für die Verwendung einer angegebenen Quell-IP-Adresse zu konfigurieren, erstellen Sie Netzprofile (Netzwerkprofile) und konfigurieren Sie die Appliance-Entitäten für die Verwendung des Profils. Ein Netzprofil kann an den Lastenausgleich oder an virtuelle Server mit Content Switching, virtuelle Server, Dienste, Dienstgruppen oder Monitore von Citrix Gateway VPN gebunden werden. Ein Netzprofil verfügt über IP-Adressen im Besitz von Citrix ADC (SNIPs und VIPs), die als Quell-IP-Adresse verwendet werden können. Es kann sich um eine einzelne IP-Adresse oder eine Reihe von IP-Adressen handeln, die als IP-Set bezeichnet werden. Wenn ein Netzprofil über eine IP verfügt, wählt die Appliance dynamisch eine IP-Adresse aus der zum Zeitpunkt der Verbindung eingestellten IP aus. Wenn ein Profil eine einzelne IP-Adresse hat, wird dieselbe IP-Adresse als Quell-IP verwendet.

Wenn ein Netzprofil an einen virtuellen Load Balancing- oder Content Switching-Server gebunden ist, wird das Profil zum Senden von Datenverkehr an alle an ihn gebundenen Dienste verwendet. Wenn ein Netzprofil an eine Dienstgruppe gebunden ist, verwendet die Appliance das Profil für alle Mitglieder der Dienstgruppe. Wenn ein Netzprofil an einen Monitor gebunden ist, verwendet die Appliance das Profil für alle vom Monitor gesendeten Prüfpunkte.

Hinweis:

  • Wenn eine Citrix ADC Appliance eine VIP-Adresse verwendet, um mit einem Server zu kommunizieren, identifiziert sie anhand von Sitzungseinträgen, ob der für die VIP-Adresse bestimmte Datenverkehr eine Antwort von einem Server oder eine Anforderung eines Clients ist.

  • Sie können ein Netzprofil an virtuelle VPN-Server von Citrix Gateway binden. Beim Binden eines Netzprofils müssen Sie jedoch einige Punkte notieren. Weitere Informationen finden Sie unter Punkte, die beim Binden eines Netzprofils an einen virtuellen VPN-Server zu beachtensind.

  • Die an einen Dienst oder eine Dienstgruppe gebundenen Netzprofil-IPs werden nicht nur zum Senden von Datenverkehr an die entsprechenden Back-End-Server verwendet, sondern auch für die DNS-Anforderungen, die durch ungelöste Back-End-FQDN ausgelöst werden.

Verwendung eines Netzprofils zum Senden von Traffic

Wenn die Option Quell-IP-Adresse (USIP) verwenden aktiviert ist, verwendet die Appliance die IP-Adresse des Clients und ignoriert alle Netzprofile. Wenn die USIP-Option nicht aktiviert ist, wählt die Appliance die Quell-IP auf folgende Weise aus:

  • Wenn auf dem virtuellen Server oder der Service-Gruppe kein Netzprofil vorhanden ist, verwendet die Appliance die Standardmethode.
  • Wenn nur ein Netzprofil in der Service-Gruppe vorhanden ist, verwendet die Appliance dieses Netzprofil.
  • Wenn nur auf dem virtuellen Server ein Netzprofil vorhanden ist, verwendet die Appliance das Netzprofil.
  • Wenn sowohl auf dem virtuellen Server als auch auf der Service-/Servicegruppe ein Netzprofil vorhanden ist, verwendet die Appliance das an die Service/Servicegruppe gebundene Netzprofil.

Verwendung eines Netzprofils zum Senden von Monitor-Prüfungen:

Bei Monitor-Prüfungen wählt die Appliance die Quell-IP auf folgende Weise aus:

  • Wenn an den Monitor ein Netzprofil gebunden ist, verwendet die Appliance das Netzprofil des Monitors. Es ignoriert die Netzprofile, die an den virtuellen Server oder die Dienstleistungsgruppe gebunden sind.
  • Wenn kein Netzprofil an den Monitor gebunden ist,
    • Wenn in der Service-Gruppe ein Netzprofil vorhanden ist, verwendet die Appliance das Netzprofil der Service-/Servicegruppe.
    • Wenn selbst in der Service-/Servicegruppe kein Netzprofil vorhanden ist, verwendet die Appliance die Standardmethode zur Auswahl einer Quell-IP.

Hinweis: Wenn kein Netzwerkprofil an einen Dienst gebunden ist, sucht die Appliance nach einem Netzprofil in der Dienstgruppe, wenn der Dienst an eine Dienstgruppe gebunden ist.

Gehen Sie wie folgt vor, um eine angegebene Quell-IP-Adresse für die Kommunikation zu verwenden:

  1. Erstellen Sie IP-Sets aus dem Pool von SNIPs und VIPs, die der Citrix ADC Appliance gehören. Ein IP-Set kann sowohl aus SNIP- als auch VIP-Adressen bestehen. Anweisungen finden Sie unter Erstellen von IP-Sets.
  2. Erstellen von Netzprofilen. Anweisungen finden Sie unter Erstellen eines Netzprofils.
  3. Binden Sie die Netzprofile an die Appliance-Entitäten. Anweisungen finden Sie unter Binden eines Netzprofils an eine Citrix ADC Entität.

Hinweis:

  • Ein Netzprofil kann nur die IP-Adressen haben, die auf der Citrix ADC Appliance als SNIP und VIP angegeben sind.

  • Die Quell-IP-Persistenz wird für von Citrix ADC initiierte Pakete nicht berücksichtigt.

Netzprofile verwalten

Ein Netzprofil (oder Netzwerkprofil) enthält eine IP-Adresse oder einen IP-Satz. Während der Kommunikation mit physischen Servern oder Peers verwendet die Citrix ADC Appliance die im Profil angegebenen Adressen als Quell-IP-Adresse.

Erstellen eines IP-Sets

Ein IP-Set ist ein Satz von IP-Adressen, die auf der Citrix ADC Appliance als Subnetz-IP-Adressen (SNIPs) oder virtuelle IP-Adressen (VIPs) konfiguriert sind. Ein IP-Satz wird mit einem aussagekräftigen Namen identifiziert, der bei der Identifizierung der Verwendung der darin enthaltenen IP-Adressen hilft. Um einen IP-Satz zu erstellen, fügen Sie einen IP-Satz hinzu und binden Sie IP-Adressen im Besitz von Citrix ADC daran. SNIP-Adressen und VIP-Adressen können im gleichen IP-Set vorhanden sein.

So erstellen Sie einen IP-Satz mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add ipset <name>

bind ipset <name> <IPAddress>
<!--NeedCopy-->

Oder

bind ipset <name> <IPAddress>

show ipset [<name>]
<!--NeedCopy-->

Der vorhergehende Befehl zeigt die Namen aller IP-Sets auf der Appliance an, wenn Sie keinen Namen übergeben. Es zeigt die IP-Adressen, die an den angegebenen IP-Satz gebunden sind, wenn Sie einen Namen übergeben.

Beispiele

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done
<!--NeedCopy-->

So erstellen Sie einen IP-Satz mit der GUI

Navigieren Sie zu System > Netzwerk > IP-Sets, und erstellen Sie ein IP-Set.

Erstellen Sie ein Netzprofil

Ein Netzprofil (Netzwerkprofil) besteht aus einer oder mehreren SNIP - oder VIP-Adressen der Citrix ADC Appliance.

So erstellen Sie ein Netzprofil mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add netprofile <name> [-srcIp <srcIpVal>]
<!--NeedCopy-->

Wenn SrCipval in diesem Befehl nicht angegeben ist, kann er später mit dem set netprofile Befehl bereitgestellt werden.

Beispiele

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done
<!--NeedCopy-->

Binden eines Netzprofils an eine Citrix ADC-Entität

Ein Netzprofil kann an einen virtuellen Lastausgleichsserver, einen Dienst, eine Dienstgruppe oder einen Monitor gebunden werden.

Hinweis: Sie können ein Netzprofil zum Zeitpunkt der Erstellung einer Citrix ADC-Entität binden oder an eine vorhandene Entität binden.

So binden Sie ein Netzprofil mithilfe der Befehlszeilenschnittstelle an einen Server

Sie können ein Netzprofil an virtuelle Server mit Lastenausgleich und virtuelle Content Switching-Server binden. Geben Sie den entsprechenden virtuellen Server an.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set lb vserver <name> -netProfile <net_profile_name>
<!--NeedCopy-->

Oder

set cs vserver <name> -netProfile <net_profile_name>
<!--NeedCopy-->

Beispiele

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done
<!--NeedCopy-->

So binden Sie ein Netzprofil mithilfe der GUI an einen virtuellen Server

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und öffnen Sie den virtuellen Server.
  2. Klicken Sie in den erweiterten Einstellungen auf Profile, und legen Sie ein Netzprofil fest.

So binden Sie ein Netzprofil mithilfe der CLI an einen Dienst

Geben Sie an der Eingabeaufforderung Folgendes ein:

set service <name> -netProfile <net_profile_name>
<!--NeedCopy-->

Beispiel

set service brnssvc1 -netProfile brnsnp
 Done
<!--NeedCopy-->

So binden Sie ein Netzprofil mithilfe der GUI an einen Dienst

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services, und öffnen Sie einen Dienst.
  2. Klicken Sie in den erweiterten Einstellungen auf Profile, und legen Sie ein Netzprofil fest.

So binden Sie ein Netzprofil mithilfe der CLI an eine Dienstgruppe

Geben Sie an der Eingabeaufforderung Folgendes ein:

set servicegroup <serviceGroupName> -netProfile <net_profile_name>
<!--NeedCopy-->

Beispiel

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done
<!--NeedCopy-->

So binden Sie ein Netzprofil mithilfe der GUI an eine Dienstgruppe

  1. Navigieren Sie zu Traffic Management > Load Balancing > Dienstgruppen, und öffnen Sie eine Dienstgruppe.
  2. Klicken Sie in den erweiterten Einstellungen auf Profile, und legen Sie ein Netzprofil fest.

So binden Sie ein Netzprofil mithilfe der CLI an einen Monitor

Geben Sie an der Eingabeaufforderung Folgendes ein:

set monitor <monitor_name> -netProfile <net_profile_name>

Beispiel

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done
<!--NeedCopy-->

So binden Sie ein Netzprofil mithilfe der GUI an einen Monitor

  1. Navigieren Sie zu Traffic Management > Load Balancing > Monitore.
  2. Öffnen Sie einen Monitor und legen Sie das Netzprofil fest.
Verwenden Sie eine angegebene Quell-IP für Back-End-Kommunikation