ADC

Utiliser une adresse IP source spécifiée pour la communication back-end

Pour la communication avec les serveurs physiques ou d’autres périphériques homologues, l’appliance Citrix ADC utilise une adresse IP qui lui appartient comme adresse IP source. L’appliance Citrix ADC gère un pool de ses adresses IP et sélectionne dynamiquement une adresse IP lors de la connexion à un serveur. En fonction du sous-réseau dans lequel le serveur physique est placé, l’appliance décide de l’adresse IP à utiliser. Ce pool d’adresses est utilisé pour envoyer du trafic et surveiller les sondes.

Dans de nombreux cas, vous pouvez souhaiter que l’appliance utilise une adresse IP spécifique ou n’importe quelle adresse IP provenant d’un ensemble spécifique d’adresses IP pour les communications back-end. Voici quelques exemples :

  • Un serveur peut distinguer les sondes de surveillance du trafic si l’adresse IP source utilisée pour les sondes de surveillance appartient à un ensemble spécifique.
  • Pour améliorer la sécurité du serveur, un serveur peut être configuré pour répondre à des demandes provenant d’un ensemble spécifique d’adresses IP ou, parfois, d’une seule adresse IP spécifique. Dans ce cas, l’appliance peut utiliser uniquement les adresses IP acceptées par le serveur comme adresse IP source.
  • L’appliance peut gérer efficacement ses connexions internes si elle peut distribuer ses adresses IP en ensembles IP et utiliser une adresse d’un ensemble uniquement pour se connecter à un service spécifique.

Pour configurer l’appliance pour qu’elle utilise une adresse IP source spécifiée, créez des profils réseau (profils réseau) et configurez les entités de l’appliance pour qu’elles utilisent le profil. Un profil réseau peut être lié à des serveurs virtuels d’équilibrage de charge ou de commutation de contenu, aux serveurs virtuels Citrix Gateway VPN, aux services, aux groupes de services ou aux moniteurs. Un profil réseau possède des adresses IP appartenant à Citrix ADC (SNIP et VIP) qui peuvent être utilisées comme adresse IP source. Il peut s’agir d’une adresse IP unique ou d’un ensemble d’adresses IP, appelé ensemble d’adresses IP. Si un profil réseau possède un ensemble d’adresses IP, l’appliance sélectionne dynamiquement une adresse IP parmi l’ensemble d’adresses IP au moment de la connexion. Si un profil possède une seule adresse IP, la même adresse IP est utilisée comme adresse IP source.

Si un profil réseau est lié à un serveur virtuel d’équilibrage de charge ou de commutation de contenu, le profil est utilisé pour envoyer du trafic vers tous les services qui lui sont liés. Si un profil réseau est lié à un groupe de services, l’appliance utilise le profil pour tous les membres du groupe de services. Si un profil réseau est lié à un moniteur, l’appliance utilise le profil pour toutes les sondes envoyées à partir du moniteur.

Remarque :

  • Lorsqu’une appliance Citrix ADC utilise une adresse VIP pour communiquer avec un serveur, elle utilise des entrées de session pour déterminer si le trafic destiné à l’adresse VIP est une réponse d’un serveur ou une demande d’un client.

  • Vous pouvez lier un profil réseau à des serveurs virtuels Citrix Gateway VPN. Toutefois, vous devez noter certains points lorsque vous liez un profil net. Pour plus d’informations, voir Points à noter lors de la liaison d’un profil réseau à un serveur virtuel VPN.

  • Les adresses IP de profil réseau liées à un service ou à un groupe de services sont utilisées non seulement pour envoyer du trafic vers les serveurs principaux correspondants, mais également pour les demandes DNS qui sont déclenchées par tout nom de domaine complet principal non résolu.

Utilisation d’un profil net pour l’envoi de trafic

Si l’option Utiliser l’adresse IP source (USIP) est activée, l’appliance utilise l’adresse IP du client et ignore tous les profils réseau. Si l’option USIP n’est pas activée, l’appliance sélectionne l’adresse IP source de la manière suivante :

  • S’il n’existe aucun profil réseau sur le serveur virtuel ou le groupe de services/services, l’appliance utilise la méthode par défaut.
  • S’il existe un profil réseau uniquement sur le groupe de services/services, l’appliance utilise ce profil réseau.
  • S’il existe un profil réseau uniquement sur le serveur virtuel, l’appliance utilise le profil réseau.
  • S’il existe un profil réseau à la fois sur le serveur virtuel et sur le groupe de services/services, l’appliance utilise le profil réseau lié au service/groupe de services.

Utilisation d’un profil réseau pour l’envoi de sondes de moniteur :

Pour les sondes de surveillance, l’appliance sélectionne l’adresse IP source de la manière suivante :

  • Si un profil réseau est lié au moniteur, l’appliance utilise le profil net du moniteur. Il ignore les profils réseau liés au serveur virtuel ou au groupe de services/services.
  • Si aucun profil réseau n’est lié au moniteur,
    • S’il existe un profil réseau sur le groupe de services/services, l’appliance utilise le profil réseau du service/groupe de services.
    • S’il n’existe aucun profil réseau, même sur le groupe de service/service, l’appliance utilise la méthode par défaut de sélection d’une adresse IP source.

Remarque : S’il n’existe aucun profil réseau lié à un service, l’appliance recherche un profil réseau sur le groupe de services si le service est lié à un groupe de services.

Pour utiliser une adresse IP source spécifiée pour la communication, procédez comme suit :

  1. Créez des ensembles d’adresses IP à partir du pool de SNIP et de VIP appartenant à l’appliance Citrix ADC. Un jeu d’adresses IP peut être constitué à la fois d’adresses SNIP et VIP. Pour obtenir des instructions, voir Création de jeux d’adresses IP.
  2. Créez des profils réseau. Pour obtenir des instructions, reportez-vous à la section Création d’un profil réseau.
  3. Liez les profils réseau aux entités de l’appliance. Pour obtenir des instructions, reportez-vous à la section Liaison d’un profil Net à une entité Citrix ADC.

Remarque :

  • Un profil réseau ne peut avoir que les adresses IP spécifiées en tant que SNIP et VIP sur l’appliance Citrix ADC.

  • La persistance de l’adresse IP source n’est pas respectée pour les paquets initiés par Citrix ADC.

Gérer les profils de réseau

Un profil réseau (ou profil réseau) contient une adresse IP ou un ensemble d’adresses IP. Lors de la communication avec des serveurs physiques ou des homologues, l’appliance Citrix ADC utilise les adresses spécifiées dans le profil comme adresse IP source.

Créer un jeu d’adresses IP

Un ensemble d’adresses IP est un ensemble d’adresses IP configurées sur l’appliance Citrix ADC en tant qu’adresses IP de sous-réseau (SNIP) ou adresses IP virtuelles (VIP). Un ensemble d’adresses IP est identifié avec un nom significatif qui aide à identifier l’utilisation des adresses IP qu’il contient. Pour créer un ensemble d’adresses IP, ajoutez un ensemble d’adresses IP et liez des adresses IP appartenant à Citrix ADC. Les adresses SNIP et VIP peuvent être présentes dans le même ensemble d’adresses IP.

Pour créer un ensemble d’adresses IP à l’aide de la CLI

À l’invite de commandes, tapez les commandes suivantes :

add ipset <name>

bind ipset <name> <IPAddress>
<!--NeedCopy-->

Ou

bind ipset <name> <IPAddress>

show ipset [<name>]
<!--NeedCopy-->

La commande précédente affiche les noms de tous les ensembles d’adresses IP de l’appliance si vous ne transmettez aucun nom. Il affiche les adresses IP liées au jeu d’adresses IP spécifié si vous transmettez un nom.

Exemples

1.
> add ipset skpnwipset
 Done
> bind ipset skpnwipset 21.21.20.1
 Done

2.
 > add ipset testnwipset
 Done
> bind ipset testnwipset 21.21.21.[21-25]
 IPAddress "21.21.21.21" bound
 IPAddress "21.21.21.22" bound
 IPAddress "21.21.21.23" bound
 IPAddress "21.21.21.24" bound
 IPAddress "21.21.21.25" bound
 Done

3.
 > bind ipset skpipset 11.11.11.101
 ERROR: Invalid IP address
[This IP address could not be added because this is not an IP address owned by the Citrix ADC appliance]
 > add ns ip 11.11.11.101 255.255.255.0 -type SNIP
 ip "11.11.11.101" added
 Done
 > bind ipset skpipset 11.11.11.101
 IPAddress "11.11.11.101" bound
 Done
4.
> sh ipset
1) Name: ipset-1
2) Name: ipset-2
3) Name: ipset-3
4) Name: skpnewipset
 Done

5.
> sh ipset skpnewipset
IP:21.21.21.21
IP:21.21.21.22
IP:21.21.21.23
IP:21.21.21.24
IP:21.21.21.25
 Done
<!--NeedCopy-->

Pour créer un ensemble d’adresses IP à l’aide de l’interface graphique

Accédez à Système > Réseau > Jeux d’adresses IPet créez un ensemble d’adresses IP.

Créer un profil net

Un profil réseau (profil réseau) se compose d’une ou plusieurs adresses SNIP ou VIP de l’appliance Citrix ADC.

Pour créer un profil réseau à l’aide de la CLI

À l’invite de commandes, tapez :

add netprofile <name> [-srcIp <srcIpVal>]
<!--NeedCopy-->

Si le srcIpVal n’est pas fourni dans cette commande, il peut être fourni ultérieurement à l’aide de la commande set netprofile.

Exemples

add netprofile skpnetprofile1 -srcIp 21.21.20.1
Done

add netprofile baksnp -srcIp bakipset
Done

set netprofile yahnp -srcIp 12.12.23.1
Done

set netprofile citkbnp -srcIp citkbipset
Done
<!--NeedCopy-->

Lier un profil réseau à une entité Citrix ADC

Un profil réseau peut être lié à un serveur virtuel d’équilibrage de charge, un service, un groupe de services ou un moniteur.

Remarque : Vous pouvez lier un profil réseau au moment de la création d’une entité Citrix ADC ou le lier à une entité existante.

Pour lier un profil réseau à un serveur à l’aide de l’interface de ligne de commande

Vous pouvez lier un profil réseau à des serveurs virtuels d’équilibrage de charge et à des serveurs virtuels de commutation de contenu. Spécifiez le serveur virtuel approprié.

À l’invite de commandes, tapez :

set lb vserver <name> -netProfile <net_profile_name>
<!--NeedCopy-->

Ou

set cs vserver <name> -netProfile <net_profile_name>
<!--NeedCopy-->

Exemples

set lb vserver skpnwvs1 -netProfile gntnp
 Done
set cs vserver mmdcsv -netProfile mmdnp
 Done
<!--NeedCopy-->

Pour lier un profil réseau à un serveur virtuel à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuelset ouvrez le serveur virtuel.
  2. Dans Paramètres avancés, cliquez sur Profilset définissez un profil réseau.

Pour lier un profil réseau à un service à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set service <name> -netProfile <net_profile_name>
<!--NeedCopy-->

Exemple

set service brnssvc1 -netProfile brnsnp
 Done
<!--NeedCopy-->

Pour lier un profil réseau à un service à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serviceset ouvrez un service.
  2. Dans Paramètres avancés, cliquez sur Profilset définissez un profil réseau.

Pour lier un profil réseau à un groupe de services à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set servicegroup <serviceGroupName> -netProfile <net_profile_name>
<!--NeedCopy-->

Exemple

set servicegroup ndhsvcgrp -netProfile ndhnp
 Done
<!--NeedCopy-->

Pour lier un profil réseau à un groupe de services à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Groupes de serviceset ouvrez un groupe de services.
  2. Dans Paramètres avancés, cliquez sur Profilset définissez un profil réseau.

Pour lier un profil réseau à un moniteur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set monitor <monitor_name> -netProfile <net_profile_name>

Exemple

set monitor brnsecvmon1 -netProfile brnsmonnp
 Done
<!--NeedCopy-->

Pour lier un profil réseau à un moniteur à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Moniteurs.
  2. Ouvrez un moniteur et définissez le profil net.
Utiliser une adresse IP source spécifiée pour la communication back-end