ADC

Caso de uso 10: Equilibrio de carga de los servidores del sistema de detección de intrusiones

Para permitir que el dispositivo Citrix ADC admita el equilibrio de carga de los servidores del sistema de detección de intrusiones (IDS), los servidores y clientes IDS deben estar conectados a través de un conmutador que tenga habilitada la duplicación de puertos. El cliente envía una solicitud al servidor. Como la duplicación de puertos está habilitada en el conmutador, los paquetes de solicitud se copian o envían al puerto del servidor virtual del dispositivo Citrix ADC. A continuación, el dispositivo utiliza el método de equilibrio de carga configurado para seleccionar un servidor IDS, como se muestra en el siguiente diagrama.

Figura 1. Topología de servidores IDS balanceados de carga

Topology

Nota: Actualmente, el dispositivo solo admite el equilibrio de carga de dispositivos IDS pasivos.

Como se ilustra en el diagrama anterior, la configuración del equilibrio de carga del IDS funciona de la siguiente manera:

  1. La solicitud del cliente se envía al servidor IDS y un conmutador con un puerto de duplicación activado reenvía estos paquetes al servidor IDS. La dirección IP de origen es la dirección IP del cliente y la dirección IP de destino es la dirección IP del servidor. La dirección MAC de origen es la dirección MAC del router y la dirección MAC de destino es la dirección MAC del servidor.
  2. El tráfico que fluye a través del conmutador se refleja en el dispositivo. El dispositivo utiliza la información de capa 3 (dirección IP de origen y dirección IP de destino) para reenviar el paquete al servidor IDS seleccionado sin cambiar la dirección IP de origen ni la dirección IP de destino. Modifica la dirección MAC de origen y la dirección MAC de destino por la dirección MAC del servidor IDS seleccionado.

Nota: Al equilibrar la carga de los servidores IDS, puede configurar los métodos de equilibrio de carga SRCIPHASH, DESTIPHASH o SRCIPDESTIPHASH. Se recomienda el método SRCIPDESTIPHASH porque los paquetes que fluyen del cliente a un servicio del dispositivo deben enviarse a un único servidor IDS.

Supongamos que Service-ANY-1, Service-ANY-2 y Service-ANY-3 se crean y enlazan a vServer-LB-1. El servidor virtual equilibra la carga de los servicios. La siguiente tabla muestra los nombres y valores de las entidades configuradas en el dispositivo.

Tipo de entidad Nombre Dirección IP Puerto Protocolo
Servidor virtual Vserver-LB-1 * * CUALQUIERA
Servicios Service-ANY-1 10.102.29.101 * CUALQUIERA
  Service-ANY-2 10.102.29.102 * CUALQUIERA
  Service-ANY-3 10.102.29.103 * CUALQUIERA
Monitores Ping Nada Nada Nada

Nota: Puede utilizar el modo en línea o el modo de un solo brazo para una configuración de equilibrio de carga de IDS.

El siguiente diagrama muestra las entidades de equilibrio de carga y los valores de los parámetros que se van a configurar en el dispositivo.

Figura 2. Modelo de entidad para servidores IDS de equilibrio de carga

Entity-model

Para configurar una configuración de equilibrio de carga de IDS, primero debe habilitar el reenvío basado en Mac. Desactive también los modos de capa 2 y capa 3 en el dispositivo.

Para habilitar el reenvío basado en Mac mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

enable ns mode <ConfigureMode>
<!--NeedCopy-->

Ejemplo:

enable ns mode MAC
<!--NeedCopy-->

Para habilitar el reenvío basado en MAC mediante la utilidad de configuración

Vaya a Sistema > Configuración > Configurar modosy seleccione Reenvío basado en MAC.

A continuación, consulte “Configuración del equilibrio de carga básico”, para configurar una configuración básica de equilibrio de carga.

Después de configurar la configuración básica de equilibrio de carga, debe personalizarla para IDS configurando un método de equilibrio de carga compatible (como el método Hash SRCIPDESTIP en un servidor virtual sin sesión) y habilitando el modo MAC. El dispositivo no mantiene el estado de la conexión y solo reenvía los paquetes a los servidores IDS sin procesarlos. La dirección IP de destino y el puerto permanecen sin cambios porque el servidor virtual está en modo MAC.

Para configurar un método de equilibrio de carga y un modo de redirección para un servidor virtual sin sesión mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>
<!--NeedCopy-->

Ejemplo:

set lb vserver Vserver-LB-1 -lbMethod SourceIPDestIPHash -m MAC -sessionless enabled
<!--NeedCopy-->

Nota

Para un servicio enlazado a un servidor virtual en el que está habilitada la opción -m MAC, debe vincular un monitor que no sea usuario.

Para configurar un método de equilibrio de carga y un modo de redirección para un servidor virtual sin sesión mediante la utilidad de configuración

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Abra un servidor virtual y, en el modo de redireccionamiento, seleccione Basado en MAC.
  3. En Configuración avanzada, haga clic en Métodos y seleccione SRCIPDESTIPHASH. Haga clic en Configuración del tráfico y seleccione Equilibrio de carga sin sesión.

Para configurar un servicio para que utilice la dirección IP de origen mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set service <ServiceName> -usip <Value>
<!--NeedCopy-->

Ejemplo:

set service Service-ANY-1 -usip yes
<!--NeedCopy-->

Para configurar un servicio de modo que utilice la dirección IP de origen mediante la utilidad de configuración

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servicios.
  2. Abra un servicio y, en Configuración, seleccione Usar dirección IP de origen.

Para que USIP funcione correctamente, debe configurarlo globalmente. Para obtener más información sobre la configuración de USIP en todo el mundo, consulte Direccionamiento IP.