Activer le mode Utiliser l’adresse IP source
Lorsque l’appliance NetScaler communique avec les serveurs physiques ou les appareils homologues, elle utilise par défaut l’une de ses propres adresses IP comme adresse IP source. L’appliance gère un pool d’adresses IP de sous-réseau (SNIP) et sélectionne une adresse IP dans ce pool à utiliser comme adresse IP source pour une connexion au serveur physique. La décision de sélectionner une adresse SNIP dépend du sous-réseau dans lequel réside le serveur physique.
Si nécessaire, vous pouvez configurer l’appliance NetScaler pour utiliser l’adresse IP du client comme adresse IP source. Certaines applications ont besoin de l’adresse IP réelle du client. Les cas d’utilisation suivants en sont quelques exemples :
- L’adresse IP du client dans le journal d’accès Web est utilisée à des fins de facturation ou d’analyse de l’utilisation.
- L’adresse IP du client est utilisée pour déterminer le pays d’origine du client ou le fournisseur d’accès Internet d’origine du client. Par exemple, de nombreux moteurs de recherche tels que Google fournissent du contenu pertinent au lieu auquel appartient l’utilisateur.
- L’application doit connaître l’adresse IP du client pour vérifier que la demande provient d’une source fiable.
- Parfois, même si un serveur d’applications n’a pas besoin de l’adresse IP du client, un pare-feu placé entre le serveur d’applications et NetScaler peut avoir besoin de l’adresse IP du client pour filtrer le trafic.
Activez le mode USE Source IP (USIP) si vous souhaitez que NetScaler utilise l’adresse IP du client pour communiquer avec les serveurs.
La figure suivante montre comment l’appliance utilise les adresses IP en mode USIP.
Avant de commencer
Avant d’activer le mode USIP, notez les points suivants :
- Activez l’USIP dans les situations suivantes :
- Équilibrage de charge des serveurs du système de détection d’intrusion (IDS)
- Équilibrage de charge SMTP
- Basculement de connexion sans état
- Équilibrage de charge sans session
- Si vous utilisez le mode Direct Server Return (DSR)
-
Le paramètre global USIP s’applique uniquement aux services créés après la définition du paramètre global USIP. En d’autres termes, le paramètre global USIP ne s’applique pas aux services existants lorsque le paramètre global USIP est défini. Par exemple, la désactivation globale de l’USIP ne désactive pas l’USIP sur les services existants. Mais cela empêche l’activation automatique de l’USIP pour les services créés ultérieurement.
Pour activer ou désactiver l’USIP sur un ensemble de services existants, vous devez activer ou désactiver l’USIP sur chacun de ces services.
- Lorsque l’USIP est activé, vous devez définir la passerelle du serveur sur l’une des adresses IP appartenant à NetScaler (de type Subnet IP (SNIP) afin que la réponse du serveur passe toujours par l’appliance NetScaler.
- Si vous activez l’USIP, définissez le délai d’inactivité pour les connexions au serveur à une valeur inférieure à la valeur par défaut, afin que les connexions inactives soient effacées rapidement côté serveur.
- Pour une redirection transparente du cache, si vous activez USIP, activez également L2CONN.
- Comme les connexions HTTP ne sont pas réutilisées lorsque l’USIP est activé, un grand nombre de connexions côté serveur peuvent s’accumuler. Les connexions au serveur inactives peuvent bloquer les connexions d’autres clients. Définissez donc des limites quant au nombre maximum de connexions à un service. Citrix recommande également de définir le délai d’expiration du serveur HTTP, pour un service sur lequel l’USIP est activé, à une valeur inférieure à la valeur par défaut, afin que les connexions inactives soient effacées rapidement côté serveur.
- Comme alternative au mode USIP, vous avez la possibilité d’insérer l’adresse IP du client (CIP) dans l’en-tête de demande de la connexion côté serveur pour un serveur d’applications qui a besoin de l’adresse IP du client.
-
Dans les versions précédentes de NetScaler, le mode USIP offrait les options de port source suivantes pour les connexions côté serveur :
- Utilisez le port du client. Avec cette option, les connexions ne peuvent pas être réutilisées. Pour chaque demande du client, une nouvelle connexion est établie avec le serveur physique.
- Utilisez le port proxy. Avec cette option, la réutilisation de la connexion est possible pour toutes les demandes provenant d’un même client.
Dans les versions ultérieures de NetScaler, si l’USIP est activé, la valeur par défaut est d’utiliser un port proxy pour les connexions côté serveur et de ne pas réutiliser les connexions. Le fait de ne pas réutiliser les connexions peut ne pas affecter la vitesse d’établissement des connexions.
Par défaut, l’option Utiliser le port proxy est activée si le mode USIP est activé.
Remarque : Si vous activez le mode USIP, il est recommandé d’activer l’option Utiliser le port proxy.
Pour plus d’informations sur l’option Utiliser le port proxy, voir Configurer le port source pour les connexions côté serveur.
Étapes de configuration
Activez le mode USE Source IP (USIP) si vous souhaitez que NetScaler utilise l’adresse IP du client pour communiquer avec les serveurs. Par défaut, le mode USIP est désactivé. Le mode USIP peut être activé globalement sur NetScaler ou sur un service spécifique. Si vous l’activez globalement, USIP est activé par défaut pour tous les services créés ultérieurement. Si vous activez l’USIP pour un service spécifique, l’adresse IP du client n’est utilisée que pour le trafic dirigé vers ce service.
Procédures CLI
Pour activer ou désactiver globalement le mode USIP à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez l’une des commandes suivantes :
-
enable ns mode USIP
-
disable ns mode USIP
Pour activer le mode USIP pour un service à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
**set service** <name>@ -**usip** (**YES** | **NON**)
Exemple :
> set service Service-HTTP-1 -usip YES
Done
<!--NeedCopy-->
Procédures GUI
Pour activer globalement le mode USIP à l’aide de l’interface graphique :
- Accédez à Système > Paramètres, dans le groupe Modes et fonctionnalités, cliquez sur Modifier les modes.
- Sélectionnez l’option Utiliser l’adresse IP source .
Pour activer le mode USIP pour un service à l’aide de l’interface graphique :
- Accédez à Gestion du trafic > Équilibrage de charge > Services et modifiez un service.
- Dans Paramètres avancés, sélectionnez Paramètres du serviceet sélectionnez Utiliser l’adresse IP source.