ADC

Routes basées sur des règles (PBR) pour le trafic IPv4

La configuration des PBR implique les tâches suivantes :

  • Créez un PBR.
  • Appliquez des PBR.
  • (Facultatif) Désactivez ou activez un PBR.
  • (Facultatif) Renuméroter la priorité du PBR.

Création ou modification d’un PBR

Vous ne pouvez pas créer deux PBR avec les mêmes paramètres. Si vous tentez de créer un doublon, un message d’erreur s’affiche.

Vous pouvez configurer la priorité d’un PBR. La priorité (une valeur entière) définit l’ordre dans lequel l’appliance NetScaler évalue les PBR. Lorsque vous créez un PBR sans spécifier de priorité, NetScaler attribue automatiquement une priorité multiple de 10.

Si un paquet correspond à la condition définie par le PBR, NetScaler exécute une action. Si le paquet ne correspond pas à la condition définie par le PBR, NetScaler compare le paquet avec le PBR ayant la priorité la plus élevée.

Au lieu d’envoyer les paquets sélectionnés à un routeur à saut suivant, vous pouvez configurer le PBR pour qu’il les envoie à un serveur virtuel d’équilibrage de charge de liaison auquel vous avez lié plusieurs sauts suivants. Cette configuration peut fournir une sauvegarde en cas d’échec d’un lien de saut suivant.

Prenons l’exemple suivant. Deux PBR, p1 et p2, sont configurés sur NetScaler et les priorités 20 et 30 leur sont automatiquement attribuées. Vous devez ajouter un troisième PBR, p3, à évaluer immédiatement après le premier PBR, p1. Le nouveau PBR, p3, doit avoir une priorité comprise entre 20 et 30. Dans ce cas, vous pouvez définir la priorité sur 25.

Procédures CLI

Pour créer un PBR à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • <interface_name><positive_integer><string>add ns pbr <name><action>[-SrcIP [\]] [<operator><srcIPVal>-SrcPort [\]] [<operator><srcPortVal><operator><destIPVal>-DestIP [\]] [-DestPort [\]] [<operator><interface_name>0 -NextHop \] [<interface_name>1 -SrcMac \] [-protocole \ <interface_name>2 <interface_name>3 |-Numéro de protocole \] [<positive_integer>-vlan \] [<positive_integer>-interface \] [-priorité \] [-msr (ACTIVÉ | DÉSACTIVÉ) [-moniteur \]] [-state (ACTIVÉ | DÉSACTIVÉ)]
  • show ns pbr

Exemple :

> add ns pbr pbr1  allow -srcip 10.102.37.252 -destip 10.10.10.2 -nexthop 10.102.29.77
 Done
<!--NeedCopy-->

Pour modifier la priorité d’un PBR à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez les commandes suivantes pour modifier la priorité et vérifier la configuration :

  • <interface_name><positive_integer><string>set ns pbr <name>[-action (AUTORISER | REFUSER)] [-SrcIP [\]] [-SrcPort [\<operator>]<srcIPVal>] [<operator><srcPortVal><operator><destIPVal>-DestIP [\]] [-DestPort [\]] [<operator><destPortVal>-NextHop \] [<interface_name>0 -SrcMac \] [-protocole \ | <interface_name>1 <interface_name>2 -Numéro de protocole \] [<positive_integer>-vlan \] [<positive_integer>-interface \] [-priorité \] [-msr (ACTIVÉ | DÉSACTIVÉ) [-monitor \]] [-state (ACTIVÉ | DÉSACTIVÉ)]
  • <name>Afficher le fichier pbr [\]

Exemple :

> set ns pbr pbr1 -priority 23
 Done
<!--NeedCopy-->

Pour supprimer un ou tous les PBR à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • rm ns pbr <name>
  • Clear NS PBRS

Exemple :

> rm ns pbr pbr1
 Done

> clear ns PBRs
 Done
<!--NeedCopy-->

Procédures GUI

Pour créer un PBR à l’aide de l’interface graphique :

Accédez à Système > Réseau > PBR, dans l’onglet PBR, ajoutez un nouveau PBR ou modifiez un PBR existant.

Pour supprimer un ou tous les PBR à l’aide de l’interface graphique :

Accédez à Système > Réseau > PBR, dans l’onglet PBR, supprimez le PBR.

Appliquer un PBR

Vous devez appliquer un PBR pour l’activer. La procédure suivante réapplique tous les PBR que vous n’avez pas désactivés. Les PBR constituent un arbre de mémoire (table de recherche). Par exemple, si vous créez 10 PBR (p1 - p10), puis que vous créez un autre PBR (p11) et que vous l’appliquez, tous les PBR (p1 - p11) sont récemment appliqués et une nouvelle table de recherche est créée. Si un PBR DENY est associé à une session, la session est détruite.

Vous devez appliquer cette procédure après chaque modification apportée à un PBR. Par exemple, vous devez suivre cette procédure après avoir désactivé un PBR.

Remarque : Les PBR créés sur l’appliance NetScaler ne fonctionnent pas tant qu’ils ne sont pas appliqués.

Pour appliquer un PBR à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

appliquer ns PBR

Pour appliquer un PBR à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > PBR.
  2. Dans l’onglet PBR, sélectionnez le PBR, dans la liste Actions, sélectionnez Appliquer.

Activation ou désactivation des PBR

Par défaut, les PBR sont activés. Cela signifie que lorsque des PBR sont appliqués, l’appliance NetScaler compare automatiquement les paquets entrants aux PBR configurés. Si aucun PBR n’est requis dans la table de recherche, mais qu’il doit être conservé dans la configuration, il doit être désactivé avant que les PBR ne soient appliqués. Une fois les PBR appliqués, NetScaler ne compare pas les paquets entrants aux PBR désactivés.

Pour activer ou désactiver un PBR à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • activer ns pbr <name>
  • disable ns pbr <name>

Exemple :

> enable ns PBR pbr1
 Done
> show ns PBR pbr1
1)      Name: pbr1
        Action: ALLOW                          Hits: 0
        srcIP = 10.102.37.252
        destIP = 10.10.10.2
        srcMac:                                Protocol:
        Vlan:                                  Interface:
        Active Status: ENABLED                 Applied Status: APPLIED
        Priority: 10
        NextHop: 10.102.29.77

 Done

> disable ns PBR pbr1
Warning: PBR modified, use 'apply pbrs' to commit this operation

> apply pbrs
 Done

> show ns PBR pbr1
1)      Name: pbr1
        Action: ALLOW                          Hits: 0
        srcIP = 10.102.37.252
        destIP = 10.10.10.2
        srcMac:                                Protocol:
        Vlan:                                  Interface:
        Active Status: DISABLED                Applied Status: NOTAPPLIED
        Priority: 10
        NextHop: 10.102.29.77
Done
<!--NeedCopy-->

Pour activer ou désactiver un PBR à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > PBR.
  2. Dans l’onglet PBR, sélectionnez le PBR, dans la liste des actions, sélectionnez Activer ou Désactiver.

Renumérotation des PBR

Vous pouvez renuméroter automatiquement les PBR pour définir leurs priorités sur des multiples de 10.

Pour renuméroter les PBR à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • renuméroter ns pbrs

Pour renuméroter les PBR à l’aide de l’interface graphique :

Accédez à Système > Réseau > PBR, sous l’onglet PBR, dans la liste des actions, sélectionnez Renuméroter les priorités.

Cas d’utilisation : PBR avec sauts multiples

Imaginons un scénario dans lequel deux PBR, PBR1 et PBR2, sont configurés sur l’appliance NetScaler NS1. PBR1 achemine tous les paquets sortants, avec l’adresse IP source 10.102.29.30, vers le routeur de saut suivant R1. PBR2 achemine tous les paquets sortants, avec l’adresse IP source 10.102.29.90, vers le routeur R2 du saut suivant. R3 est un autre routeur à saut suivant connecté à NS1.

Si le routeur R1 tombe en panne, tous les paquets sortants correspondant à PBR1 sont supprimés. Pour éviter cette situation, vous pouvez spécifier un serveur virtuel d’équilibrage de charge de liaison (LLB) dans le champ du saut suivant lors de la création ou de la modification d’un PBR. Les multiples sauts suivants sont liés au serveur virtuel LLB en tant que services (par exemple R1, R2 et R3). Désormais, si R1 échoue, tous les paquets qui correspondent à PBR1 sont routés vers R2 ou R3 selon la méthode LB configurée sur le serveur virtuel LLB.

L’appliance NetScaler génère une erreur si vous tentez de créer un PBR avec un serveur virtuel LLB comme saut suivant dans les cas suivants :

  • Ajouter un autre PBR avec le même serveur virtuel LLB.
  • Spécification d’un serveur virtuel LLB inexistant.
  • Spécifier un serveur virtuel LLB pour lequel les services liés ne sont pas les sauts suivants.
  • Spécification d’un serveur virtuel LLB pour lequel la méthode LB n’est pas définie sur l’une des options suivantes :
    • ROUNDROBIN
    • DESTINATIONIPHASH
    • SOURCEIPHASH
    • SRCIPDESTIPHASH
    • LEASTPACKETS
    • LEASTBANDWIDTH
    • LTRM
    • CALLIDHASH
    • CUSTOM LOAD
  • Spécification d’un serveur virtuel LLB pour lequel le type de persistance LB n’est pas défini sur l’un des suivants :
    • DESTIP
    • SOURCEIP
    • SRCDSTIP

Le tableau suivant répertorie les noms et les valeurs des entités configurées sur l’appliance NetScaler :

Type d’entité Nom Adresse IP
Serveur virtuel d’équilibrage de charge des liens LLB1 SO
Services (prochains arrêts) Router1 1.1.1.254
  Router2 2.2.2.254
  Router3 3.3.3.254
PBR PBR1 SO
  PBR2 SO

Tableau 1. Exemples de valeurs pour la création d’entités

Pour implémenter la configuration décrite ci-dessus, vous devez :

  1. Créez les services Router1, Router2 et Router3 qui représentent les routeurs à saut suivant R1, R2 et R3.
  2. Créez le serveur virtuel d’équilibrage de charge des liens LLB1 et liez-y les services Router1, Router2 et Router3.
  3. Créez les PBR PBR1 et PBR2, avec les champs du saut suivant définis respectivement comme LLB1 et 2.2.2.254 (adresse IP du routeur R2).

Pour créer un service à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • ajouter un service <name><IP><serviceType><port>
  • show service <name>

Exemple :

> add service Router1 1.1.1.254 ANY *
 Done
> add service Router2 2.2.2.254 ANY *
 Done
> add service Router3 3.3.3.254 ANY *
 Done
<!--NeedCopy-->

Pour créer un service à l’aide de l’interface graphique :

Accédez à Gestion du trafic > Équilibrage de charge > Services, puis créez un service.

Pour créer un serveur virtuel d’équilibrage de charge des liens et lier un service à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • ajouter lb vserver <name><serviceType>
  • serveur vserver bind lb < name> <serviceName>
  • afficher lb vserver < name>

Exemple :

> add lb vserver LLB1 ANY
 Done
> bind lb vserver LLB1 Router1 Router2 Router3
 Done
<!--NeedCopy-->

Pour créer un serveur virtuel d’équilibrage de charge des liens et lier un service à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis créez un serveur virtuel pour l’équilibrage de charge des liens. Spécifiez ANY dans le champ Protocole . Remarque : Assurez-vous que la case Directly Addressable n’est pas cochée.
  2. Sous l’onglet Services, dans la colonne Actif, cochez la case correspondant au service que vous souhaitez lier au serveur virtuel.

Pour créer un PBR à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez :

  • <nextHopVal>ajouter ns pbr <name><action>[-SrCip [\]] [-NextHop \ <operator><srcIPVal>]
  • show ns pbr

Exemple :

> add pbr PBR1 ALLOW -srcIP 10.102.29.30 -nextHop LLB1
 Done
> add pbr PBR2 ALLOW -srcIP 10.102.29.90 -nextHop 2.2.2.254
 Done
<!--NeedCopy-->

Pour créer un PBR à l’aide de l’interface graphique :

Accédez à Système > Réseau > PBR, sous l’onglet PBR, ajoutez un nouveau PBR.

Routes basées sur des règles (PBR) pour le trafic IPv4