ADC

Quell-IP-Modus verwenden aktivieren

Wenn die NetScaler-Appliance mit den physischen Servern oder Peer-Geräten kommuniziert, verwendet sie standardmäßig eine ihrer eigenen IP-Adressen als Quell-IP. Die Appliance verwaltet einen Pool von Subnetz-IP-Adressen (SNIPs) und wählt eine IP-Adresse aus diesem Pool aus, die als Quell-IP-Adresse für eine Verbindung zum physischen Server verwendet wird. Die Entscheidung, eine SNIP-Adresse auszuwählen, hängt vom Subnetz ab, in dem sich der physische Server befindet.

Bei Bedarf können Sie die NetScaler-Appliance so konfigurieren, dass sie die IP-Adresse des Clients als Quell-IP verwendet. Einige Anwendungen benötigen die tatsächliche IP-Adresse des Clients. Die folgenden Anwendungsfälle sind einige Beispiele:

  • Die IP-Adresse des Kunden im Webzugriffsprotokoll wird zu Abrechnungszwecken oder zur Nutzungsanalyse verwendet.
  • Die IP-Adresse des Kunden wird verwendet, um das Herkunftsland des Kunden oder den ursprünglichen ISP des Kunden zu bestimmen. Beispielsweise bieten viele Suchmaschinen wie Google Inhalte, die für den Standort relevant sind, zu dem der Nutzer gehört.
  • Die Anwendung muss die IP-Adresse des Clients kennen, um zu überprüfen, ob die Anfrage von einer vertrauenswürdigen Quelle stammt.
  • Manchmal benötigt eine Firewall zwischen dem Anwendungsserver und dem NetScaler die IP-Adresse des Clients, obwohl ein Anwendungsserver die IP-Adresse des Clients nicht benötigt, um den Datenverkehr zu filtern.

Aktivieren Sie den Modus “Use Source IP” (USIP), wenn der NetScaler die IP-Adresse des Clients für die Kommunikation mit den Servern verwenden soll.

Die folgende Abbildung zeigt, wie die Appliance IP-Adressen im USIP-Modus verwendet.

IP-Adressierung, wenn USIP aktiviert ist

Voraussetzungen

Bevor Sie den USIP-Modus aktivieren, beachten Sie die folgenden Punkte:

  • Aktivieren Sie USIP in den folgenden Situationen:
    • Lastausgleich der IDS-Server (Intrusion Detection System)
    • SMTP-Lastausgleich
    • Failover für statuslose Verbindungen
    • Sitzungsloser Lastausgleich
    • Wenn Sie den Direct Server Return (DSR) -Modus verwenden
  • Die globale USIP-Einstellung gilt nur für Dienste, die erstellt werden, nachdem die globale USIP-Einstellung vorgenommen wurde. Mit anderen Worten, die globale USIP-Einstellung gilt nicht für die vorhandenen Dienste, wenn die globale USIP-Einstellung vorgenommen wird. Beispielsweise wird USIP nicht für die vorhandenen Dienste deaktiviert, wenn Sie USIP global deaktivieren. Es verhindert jedoch, dass die anschließend erstellten Dienste USIP automatisch aktivieren.

    Um USIP für eine Reihe vorhandener Dienste zu aktivieren oder zu deaktivieren, müssen Sie USIP für jeden dieser Dienste aktivieren oder deaktivieren.

  • Wenn USIP aktiviert ist, müssen Sie das Gateway des Servers auf eine der NetScaler-eigenen IP-Adressen (vom Typ Subnet IP (SNIP)) festlegen, damit die Antwort des Servers immer über die NetScaler-Appliance erfolgt.
  • Wenn Sie USIP aktivieren, setzen Sie das Leerlauf-Timeout für Serververbindungen auf einen Wert, der unter dem Standardwert liegt, damit inaktive Verbindungen serverseitig schnell gelöscht werden.
  • Wenn Sie USIP aktivieren, aktivieren Sie für eine transparente Cache-Umleitung auch L2CONN.
  • Da HTTP-Verbindungen nicht wiederverwendet werden, wenn USIP aktiviert ist, kann sich eine große Anzahl serverseitiger Verbindungen ansammeln. Inaktive Serververbindungen können Verbindungen für andere Clients blockieren. Legen Sie daher Grenzwerte für die maximale Anzahl von Verbindungen zu einem Dienst fest. Citrix empfiehlt außerdem, den HTTP-Server-Timeout-Wert für einen Dienst, für den USIP aktiviert ist, auf einen niedrigeren Wert als den Standardwert festzulegen, damit inaktive Verbindungen serverseitig schnell gelöscht werden.
  • Als Alternative zum USIP-Modus haben Sie die Möglichkeit, die IP-Adresse (CIP) des Clients in den Anforderungsheader der serverseitigen Verbindung für einen Anwendungsserver einzufügen, der die IP-Adresse des Clients benötigt.
  • In früheren NetScaler-Versionen hatte der USIP-Modus die folgenden Quellportoptionen für serverseitige Verbindungen:

    • Verwenden Sie den Port des Clients. Mit dieser Option können Verbindungen nicht wiederverwendet werden. Für jede Anfrage des Clients wird eine neue Verbindung mit dem physischen Server hergestellt.
    • Verwenden Sie den Proxy-Port. Mit dieser Option ist die Wiederverwendung von Verbindungen für alle Anfragen desselben Clients möglich.

    In den späteren NetScaler-Versionen wird, wenn USIP aktiviert ist, standardmäßig einen Proxyport für serverseitige Verbindungen verwendet und Verbindungen nicht wiederverwendet. Wenn Verbindungen nicht wiederverwendet werden, wirkt sich dies möglicherweise nicht auf die Geschwindigkeit des Verbindungsaufbaus aus.

    Standardmäßig ist die Option Proxy-Port verwenden aktiviert, wenn der USIP-Modus aktiviert ist.

    Hinweis: Wenn Sie den USIP-Modus aktivieren, wird empfohlen, die Option Proxy-Port verwenden zu aktivieren.

    Weitere Informationen zur Option Proxy-Port verwenden finden Sie unter Konfigurieren des Quellports für serverseitige Verbindungen.

Konfigurationsschritte

Aktivieren Sie den USIP-Modus (Use Source IP), wenn NetScaler die IP-Adresse des Clients für die Kommunikation mit den Servern verwenden soll. Standardmäßig ist der USIP-Modus deaktiviert. Der USIP-Modus kann global auf dem NetScaler oder in einem bestimmten Dienst aktiviert werden. Wenn Sie es global aktivieren, ist USIP standardmäßig für alle später erstellten Dienste aktiviert. Wenn Sie USIP für einen bestimmten Dienst aktivieren, wird die IP-Adresse des Clients nur für den Datenverkehr verwendet, der an diesen Dienst weitergeleitet wird.

CLI-Verfahren

Um den USIP-Modus global über die CLI zu aktivieren oder zu deaktivieren:

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • enable ns mode USIP

  • disable ns mode USIP

So aktivieren Sie den USIP-Modus für einen Dienst über die CLI:

Geben Sie in der Befehlszeile Folgendes ein:

**set service** <name>@ -**usip** (**YES** | **NO**)

Beispiel:

> set service Service-HTTP-1 -usip YES
Done
<!--NeedCopy-->

GUI-Verfahren

Um den USIP-Modus global über die GUI zu aktivieren:

  1. Navigieren Sie zu System > Einstellungenund klicken Sie in der Gruppe Modi und Funktionen auf Modi ändern.
  2. Wählen Sie die Option Quell-IP verwenden.

Um den USIP-Modus für einen Dienst über die GUI zu aktivieren:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services, und bearbeiten Sie einen Service.
  2. Wählen Sie unter Erweiterte Einstellungen die Option Diensteinstellungen und dann Quell-IP-Adresse verwenden aus.
Quell-IP-Modus verwenden aktivieren