ADC

送信元 IP モードの使用を有効にする

NetScaler ADCアプライアンスが物理サーバーまたはピアデバイスと通信する場合、デフォルトでは、独自のIPアドレスの1つをソースIPとして使用します。 アプライアンスはサブネットIPアドレス(SNIP)のプールを管理し、このプールからIPアドレスを選択して、物理サーバーへの接続の送信元IPアドレスとして使用します。SNIP アドレスを選択するかどうかは、物理サーバーが置かれているサブネットによって異なります。

必要に応じて、クライアントのIPアドレスをソースIPとして使用するようにNetScaler ADCアプライアンスを構成できます。アプリケーションによっては、クライアントの実際の IP アドレスが必要です。以下のユースケースはその一例です。

  • Web アクセスログ内のクライアントの IP アドレスは、請求または使用状況分析に使用されます。
  • クライアントのIPアドレスは、クライアントの出身国またはクライアントの発信元ISPを決定するために使用されます。たとえば、Googleなどの多くの検索エンジンは、ユーザーが属する場所に関連するコンテンツを提供しています。
  • アプリケーションは、リクエストが信頼できる送信元からのものであることを確認するために、クライアントの IP アドレスを知っている必要があります。
  • アプリケーションサーバーがクライアントのIPアドレスを必要としない場合でも、アプリケーションサーバーとNetScaler ADCの間に配置されたファイアウォールは、トラフィックをフィルタリングするためにクライアントのIPアドレスを必要とする場合があります。

NetScaler ADCがサーバーの通信にクライアントのIPアドレスを使用するようにするには、「送信元IPモード(USIP)モードを使用する」を有効にします。

次の図は、アプライアンスが USIP モードで IP アドレスをどのように使用するかを示しています。

USIP が有効な場合の IP アドレッシング

はじめに

USIP モードを有効にする前に、次の点に注意してください。

  • 次の状況では USIP を有効にします。
    • 侵入検知システム (IDS) サーバーの負荷分散
    • SMTP ロードバランシング
    • ステートレス接続フェイルオーバー
    • セッションレスロードバランシング
    • ダイレクトサーバーリターン (DSR) モードを使用する場合
  • USIP グローバル設定は、USIP グローバル設定が行われた後に作成されたサービスにのみ適用されます。つまり、USIP グローバル設定を行うと、USIP グローバル設定は既存のサービスには適用されません。たとえば、USIP をグローバルに無効にしても、既存のサービスの USIP は無効になりません。ただし、それ以降に作成されるサービスでは USIP が自動的に有効化されなくなります。

    既存のサービスのセットで USIP を有効または無効にするには、これらの各サービスで USIP を有効または無効にする必要があります。

  • USIPが有効になっている場合は、サーバーの応答が常にNetScaler ADCアプライアンスを経由するように、サーバーのゲートウェイをNetScaler ADCが所有するIPアドレス(サブネットIP(SNIP)タイプ)のいずれかに設定する必要があります。
  • USIP を有効にする場合は、サーバー接続のアイドルタイムアウトをデフォルト値よりも低い値に設定して、アイドル接続がサーバー側ですぐにクリアされるようにします。
  • 透過的なキャッシュリダイレクトを行うには、USIP を有効にする場合は L2CONN も有効にします。
  • USIP が有効になっていると HTTP 接続は再利用されないため、サーバー側接続が大量に蓄積される可能性があります。アイドル状態のサーバー接続は、他のクライアントの接続をブロックする可能性があります。そのため、サービスへの最大接続数に制限を設定してください。また、Citrixでは、USIPが有効になっているサービスのHTTPサーバーのタイムアウト値をデフォルトよりも低い値に設定することを推奨しています。これにより、アイドル状態の接続がサーバー側ですぐにクリアされます。
  • USIP モードの代わりに、クライアントの IP アドレスを必要とするアプリケーションサーバーのサーバー側接続のリクエストヘッダーにクライアントの IP アドレス (CIP) を挿入することもできます。
  • 以前のNetScaler ADCリリースでは、USIPモードにはサーバー側接続用の次のソースポートオプションがありました。

    • クライアントのポートを使用してください。このオプションでは、接続を再利用することはできません。クライアントからのリクエストごとに、物理サーバーとの新しい接続が確立されます。
    • プロキシポートを使用してください。このオプションを使用すると、同じクライアントからのすべてのリクエストで接続を再利用できます。

    それ以降のNetScaler ADCリリースでは、USIPが有効になっている場合、デフォルトではサーバー側の接続にはプロキシポートを使用し、接続を再利用しません。接続を再利用しなくても、接続の確立速度には影響しない場合があります。

    デフォルトでは、USIP モードが有効になっている場合、「プロキシポートを使用する」オプションは有効になります。

    注: USIP モードを有効にする場合は、[プロキシポートを使用] オプションを有効にすることをお勧めします。

    [プロキシポートを使用] オプションの詳細については、「 サーバー側接続の送信元ポートを構成する」を参照してください。

構成の手順

NetScaler ADCがクライアントのIPアドレスを使用してサーバーと通信できるようにするには、「送信元IPモード(USIP)モードを使用する」を有効にします。デフォルトでは、USIP モードは無効になっています。USIPモードは、NetScaler または特定のサービスでグローバルに有効にできます。グローバルに有効にすると、その後作成されるすべてのサービスで USIP がデフォルトで有効になります。特定のサービスで USIP を有効にすると、クライアントの IP アドレスはそのサービスに向けられたトラフィックにのみ使用されます。

CLI のプロシージャ

CLI を使用して USIP モードをグローバルに有効または無効にするには:

コマンドプロンプトで、次のコマンドのいずれかを入力します。

  • NS モード USIP を有効にする

  • NS モード USIP を無効にする

CLI を使用してサービスの USIP モードを有効にするには:

コマンドプロンプトで入力します。

**サービス @ を設定** <name>-**usip** (**はい**) | **NO**)

例:

> set service Service-HTTP-1 -usip YES
Done
<!--NeedCopy-->

GUIのプロシージャ

GUI を使用して USIP モードをグローバルに有効にするには

  1. [ システム ] > [ 設定]に移動し、[ モードと機能 ] グループで [ モードの変更] をクリックします。
  2. 送信元 IP を使用 」オプションを選択します。

GUI を使用してサービスの USIP モードを有効にするには

  1. [トラフィック管理] > [負荷分散] > [サービス] に移動し、サービスを編集します。
  2. [ 詳細設定] で [ サービス設定] を選択し、[ ソース IP アドレスを使用] を選択します。
送信元 IP モードの使用を有効にする