Traduire l’adresse IP de destination d’une requête vers l’adresse IP d’origine
Vous pouvez configurer le serveur virtuel de redirection du cache proxy direct sur l’appliance NetScaler pour traduire l’adresse IP de destination de la demande arrivant sur le serveur virtuel de redirection du cache en adresse IP du serveur d’origine. Cette traduction s’effectue indépendamment du fait que la demande soit envoyée aux serveurs en cache ou au serveur d’origine. Auparavant, le serveur virtuel de redirection du cache par proxy direct dans un environnement de fournisseur de services ne pouvait pas être utilisé efficacement pour envoyer du trafic via le pare-feu en raison des limites de la redirection du cache à l’aide de stratégies de commutation de contenu. Le serveur virtuel de redirection du cache n’a pas traduit l’adresse IP d’origine en adresse IP de destination lorsque le paquet a été envoyé au cache. L’adresse IP de destination était celle du serveur d’origine uniquement lorsque les demandes étaient traitées à partir du serveur en cache.
Remarque : La traduction de l’adresse IP de destination d’une demande en adresse IP d’origine n’est pas prise en charge pour un serveur virtuel de redirection de cache transparent. Pour un serveur virtuel de redirection de cache transparent, cette option doit être définie sur OFF.
Cas d’utilisation
Dans un déploiement dans lequel l’appliance NetScaler est configurée pour la redirection du cache du proxy direct, le pare-feu et les adresses IP des clients réutilisées, le pare-feu ne peut pas distinguer/utiliser les adresses IP réutilisées. Par conséquent, ces adresses IP réutilisées doivent être traduites en différentes adresses IP. Pour traduire les adresses IP réutilisées, l’appliance NetScaler doit effectuer les opérations suivantes :
- Interrogez un serveur virtuel d’équilibrage de charge DNS pour obtenir la résolution de la destination.
- Mettez à jour l’adresse IP d’origine et le numéro de port de la destination.
- Renvoie la demande au pare-feu.
Envisagez le déploiement suivant qui comporte une appliance NetScaler configurée pour la redirection directe du cache du proxy, un pare-feu et deux routeurs (routeur 1 et routeur 2). Le trafic réseau circule vers Internet 1 via le routeur 1 et vers Internet 2 via le routeur 2 respectivement.
Dans cet exemple, les demandes d’entrée des clients proviennent de deux VLAN différents, VLAN11 ou VLAN12. L’adresse IP du client (10.0.0.0) est réutilisée. Selon les stratégies de redirection du cache et de commutation de contenu, la demande peut être transmise directement au serveur d’origine ou au pare-feu.
-
Si la demande doit contourner le pare-feu et accéder à Internet, en fonction du VLAN de la demande d’entrée, le routeur 1 ou le routeur 2 est sélectionné et la demande est envoyée à Internet 1 ou Internet 2.
-
Si la demande doit passer par le pare-feu, l’adresse IP source de la demande doit être traduite en une adresse IP spécifique. L’adresse IP traduite peut être utilisée pour identifier le VLAN par lequel la demande provient. Par exemple, si la demande d’entrée provient du VLAN11, l’adresse IP source est traduite en 11.x.x.x. Si la demande provient du VLAN12, l’adresse IP source est traduite en 12.x.x.x.
Une fois que le pare-feu a traité la demande, celle-ci est renvoyée à l’appliance. À l’aide de la combinaison de la stratégie d’écoute et des profils réseau, l’appliance traduit ensuite l’adresse IP source en adresse IP d’origine et envoie la demande au routeur 1 ou au routeur 2 en fonction de l’ID VLAN d’entrée.
Remarque : Le mode du serveur virtuel d’équilibrage de charge lié au cache doit toujours être réglé sur le mode MAC. Bien que le mode IP de cette fonctionnalité ne soit pas bloqué, le réglage en mode IP entraîne un comportement inattendu.
Pour traduire l’adresse IP de destination et le numéro de port de la demande en adresse IP d’origine à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez ;
set cr vserver <vsname> -useoriginIpPortForCache <YES|NO>
<!--NeedCopy-->
Exemple :
set cr vserver cvsrv1 -useoriginIpPortForCache YES
<!--NeedCopy-->
Lorsque UseOriginIPPortForCache est défini sur Oui et si la demande doit être traitée à partir des serveurs mis en cache, l’adresse IP de destination de la demande est convertie en adresse IP du serveur d’origine.
Remarque : Si UseOriginIPPortForCache est activé, définissez toujours le serveur virtuel d’équilibrage de charge lié au cache en mode MAC.
Pour traduire l’adresse IP de destination et le port de la demande en adresse IP d’origine à l’aide de l’interface graphique
-
Accédez à Gestion du trafic > Redirection du cache > Serveurs virtuels et cliquez sur Ajouter.
-
Spécifiez les détails du serveur virtuel de redirection du cache.
-
Sélectionnez Utiliser le port IP d’origine pour le cache afin d’activer la traduction de l’adresse IP de destination de la demande en adresse IP d’origine.
-
Cliquez sur OK.