Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse
Sie können den virtuellen Forward-Proxy-Cache-Umleitungsserver auf der NetScaler-Appliance so konfigurieren, dass die Ziel-IP-Adresse der Anfrage, die auf dem virtuellen Cache-Umleitungsserver landet, in die IP-Adresse des Originalservers übersetzt wird. Diese Übersetzung erfolgt unabhängig davon, ob die Anfrage an die zwischengespeicherten Server oder den Ursprungsserver gesendet wird. Bisher konnte der virtuelle Server für die Forward-Proxy-Cache-Umleitung in einer Service Provider-Umgebung nicht effektiv verwendet werden, um Datenverkehr über die Firewall zu senden, da die Cache-Umleitung mithilfe von Content Switching-Richtlinien eingeschränkt war. Der virtuelle Cache-Umleitungsserver hat die ursprüngliche IP-Adresse nicht in die Ziel-IP übersetzt, als das Paket in den Cache gesendet wurde. Die Ziel-IP-Adresse war nur dann die des Ursprungsservers, wenn die Anfragen vom zwischengespeicherten Server bedient wurden.
Hinweis: Die Übersetzung der Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse wird für einen virtuellen Server mit transparenter Cache-Umleitung nicht unterstützt. Für einen virtuellen Server mit transparenter Cache-Umleitung muss diese Option auf OFF gesetzt sein.
Anwendungsfall
In einer Bereitstellung, in der die NetScaler Appliance für die Forward-Proxy-Cache-Umleitung, Firewall und wiederverwendete Client-IP-Adressen konfiguriert ist, kann die Firewall die wiederverwendeten IP-Adressen nicht unterscheiden/verwenden. Daher müssen diese wiederverwendeten IP-Adressen in verschiedene IP-Adressen übersetzt werden. Um die wiederverwendeten IP-Adressen zu übersetzen, muss die NetScaler-Appliance Folgendes ausführen:
- Fragen Sie einen virtuellen DNS-Lastausgleichsserver nach der Auflösung des Ziels ab.
- Aktualisieren Sie die ursprüngliche IP-Adresse und die Portnummer im Ziel.
- Senden Sie die Anfrage zurück an die Firewall.
Stellen Sie sich die folgende Bereitstellung vor, bei der eine NetScaler-Appliance für die Forward-Proxy-Cache-Umleitung, eine Firewall und zwei Router (Router 1 und Router 2) konfiguriert ist. Der Netzwerkverkehr fließt jeweils über Router 1 zu Internet 1 und über Router 2 zu Internet 2.
In diesem Beispiel kommen Eingabeanforderungen von Clients von zwei verschiedenen VLANs, VLAN11 oder VLAN12. Die Client-IP-Adresse (10.0.0.0) wird wiederverwendet. Basierend auf den Richtlinien für die Cache-Umleitung und den Content Switching kann die Anfrage direkt an den Ursprungsserver oder an die Firewall gesendet werden.
-
Wenn die Anfrage die Firewall Bypass und ins Internet gehen muss, wird basierend auf dem Eingabeanforderungs-VLAN entweder Router 1 oder Router 2 ausgewählt und die Anfrage wird an Internet 1 oder Internet 2 gesendet.
-
Wenn die Anfrage die Firewall passieren muss, muss die Quell-IP der Anfrage in eine bestimmte IP-Adresse übersetzt werden. Die übersetzte IP-Adresse kann verwendet werden, um das VLAN zu identifizieren, über das die Anfrage eingegangen ist. Wenn die Eingabeanforderung beispielsweise von VLAN11 kommt, wird die Quell-IP-Adresse in 11.x.x.x übersetzt. Wenn die Anfrage von VLAN12 kommt, wird die Quell-IP-Adresse in 12.x.x.x übersetzt.
Nachdem die Firewall die Anfrage verarbeitet hat, wird die Anfrage an die Appliance zurückgesendet. Mithilfe der Kombination aus Listen-Policy und Netzprofilen übersetzt die Appliance dann die Quell-IP-Adresse zurück in die ursprüngliche IP-Adresse und sendet die Anfrage basierend auf der eingegebenen VLAN-ID an Router 1 oder Router 2.
Hinweis: Der Modus des virtuellen Lastausgleichsservers, der an den Cache gebunden ist, muss immer auf den MAC-Modus eingestellt sein. Der IP-Modus für diese Funktion ist zwar nicht blockiert, die Einstellung auf den IP-Modus führt jedoch zu unerwartetem Verhalten.
Um die Ziel-IP-Adresse und die Portnummer der Anfrage mithilfe der CLI in die Ursprungs-IP-Adresse zu übersetzen
Geben Sie an der Eingabeaufforderung Folgendes ein:
set cr vserver <vsname> -useoriginIpPortForCache <YES|NO>
<!--NeedCopy-->
Beispiel:
set cr vserver cvsrv1 -useoriginIpPortForCache YES
<!--NeedCopy-->
Wenn useOriginIPPortForCache auf Ja gesetzt ist und die Anfrage von den zwischengespeicherten Servern bedient werden muss, wird die Ziel-IP der Anfrage in die IP-Adresse des Ursprungsservers übersetzt.
Hinweis: Wenn useOriginipPortForCache aktiviert ist, setzen Sie den virtuellen Lastausgleichsserver, der an den Cache gebunden ist, immer auf den MAC-Modus.
Um die Ziel-IP-Adresse und den Port der Anfrage mithilfe der GUI in die Ursprungs-IP-Adresse zu übersetzen
-
Navigieren Sie zu Traffic Management > Cache-Umleitung > Virtuelle Server und klicken Sie auf Hinzufügen.
-
Geben Sie die Details des virtuellen Servers für die Cache-Umleitung an.
-
Wählen Sie Origin-IP-Port für Cache verwenden aus, um die Übersetzung der Ziel-IP-Adresse der Anfrage in die Ursprungs-IP-Adresse zu aktivieren.
-
Klicken Sie auf OK.