SNIP アドレスからCitrix ADC FreeBSDデータトラフィックをソースするように構成する
一部のCitrix ADC データ機能は、Citrix ADC OS ではなく、基盤となる FreeBSD OS 上で実行されます。このため、これらの機能は、SNIPアドレスからではなく、NetScaler IP(NSIP)アドレスから送信されるトラフィックを送信します。設定にすべての管理トラフィックとデータトラフィックを分離する構成がある場合は、NSIP アドレスからデータトラフィックを調達することは望ましくありません。
以下の NetScaler データ機能は、基盤となる FreeBSD OS 上で動作し、NetScaler IP (NSIP) アドレスからトラフィックを送信します。
- 負荷分散スクリプタブルモニター
- GSLB 自動同期
この問題を解決するには、グローバル Layer-2 パラメータを使用できます。 useNetprofileBSDtraffic このパラメーターを有効にすると、NetScalerの機能は、機能に関連付けられたネットプロファイル内のSNIPアドレスのいずれかからトラフィックを送信します。
はじめに
SNIPアドレスからNetScaler機能関連のトラフィックを送信するようにNetScalerアプライアンスを構成する前に、次の点に注意してください。
-
現在、グローバルレイヤー2パラメーター
useNetprofileBSDtrafficは、負荷分散スクリプタブルモニターでのみサポートされています。SNIPアドレスからGSLB自動同期トラフィックを送信するようにNetScalerアプライアンスを構成する場合、回避策として拡張ACLルールとRNATルールを使用できます。
-
useNetprofileBSDtraffic負荷分散スクリプタブルモニターのサポートは、関連サービスにバインドされたネットプロファイルにのみ適用されます。useNetprofileBSDtrafficこのサポートは、関連するサービスグループにバインドされたネットプロファイルには適用されません。つまり、Citrix ADCアプライアンスは、サービスグループにバインドされたネットプロファイルのSNIPアドレスを使用して、負荷分散のスクリプト可能なモニタートラフィックを調達しません。
-
useNetprofileBSDtrafficこのサポートは SSL サービスには適用されません。つまり、Citrix ADCアプライアンスは、負荷分散スクリプト可能なモニタトラフィックをソースするために、SSLサービスにバインドされたネットプロファイルからのSNIPアドレスを使用しません。
SNIPアドレスからスクリプト可能なモニタートラフィックを送信するようにCitrix ADCアプライアンスを構成する
SNIPアドレスからスクリプタブルモニタートラフィックを送信するようにNetScalerアプライアンスを構成するには、次のタスクで構成されます。
- グローバル Layer-2 パラメータを有効にします。
useNetprofileBSDtraffic - ネットプロファイルを作成し、少なくとも 1 つの SNIP アドレスをそれにバインドします。
- ネットプロファイルを、スクリプタブルモニターを使用している負荷分散サービスにバインドします。
レイヤ 2 パラメータを有効にするには、CLI を使用して NetProfileBSDTraffic を使用してください。
コマンドプロンプトで入力します。
- set l2param -useNetprofileBSDtraffic (ENABLED / DISABLED)
- show l2param
CLIを使用してネットプロファイルを作成し、SNIPアドレスをそれにバインドするには:
コマンドプロンプトで入力します。
- add netProfile <name> -srcIP <string>
- show netProfile
CLIを使用してネットプロファイルを負荷分散サービスにバインドするには:
コマンドプロンプトで入力します。
- set service <name> -netProfile <string>
- show service <name>
設定例
次の構成例により、NetScalerアプライアンスはSNIPアドレスからスクリプタブルモニタートラフィックを送信できるようになります。ネットプロファイル NETPROFILE-1 には SNIP アドレス 198.51.100.20 がバインドされて設定されています。ユーザー/スクリプタブルモニター USER-MONITOR-1 が作成され、負荷分散サービス SERVICE-1 にバインドされます。NETPROFILE-1 is bound to SERVICE-1. NetScalerアプライアンスは、USER-MONITOR-1のすべてのスクリプト可能なモニターパケットをSNIPアドレス198.51.100.20から送信します。
set l2param -useNetprofileBSDtraffic ENABLED
set netprofile NETPROFILE-1 -srcip 198.51.100.20
add lb monitor USER-MONITOR-1 USER -scriptName nsftp.pl -scriptArgs "file=Index.gif;user=nsroot;password=nsroot" -dispatcherIP 127.0.0.1 -dispatcherPort 3013 -destIP 203.0.113.90 -destPort 21
bind service SERVICE-1 -monitorName USER-MONITOR-1
set service SERVICE-1 -netProfile NETPROFILE-1
SNIPアドレスからGSLB自動同期トラフィックを送信するようにNetScalerアプライアンスを構成する
SNIPアドレスからGSLB自動同期トラフィックを送信するようにNetScalerアプライアンスを構成するには、次の回避タスクが必要です。
- 拡張 ACL ルールを作成します。拡張 ACL ルールは GSLB 自動同期パケットを識別します。この識別は、送信元 IP アドレスと宛先 IP アドレスに基づいています。
- ACL を適用します。ACL を適用すると、新しく作成された ACL ルールがアクティブになります。
- ACL ベースの RNAT ルールを作成します。RNAT ルールは、これらのパケットの送信元 IP アドレスを NSIP アドレスから SNIP アドレスに変更します。
注:
高可用性またはクラスタ設定では、セットアップのすべての NSIP アドレスに ACL および RNAT ルールを追加する必要があります。
CLI を使用して拡張 ACL を作成するには:
コマンドプロンプトで入力します。
- add acl <aclname> ALLOW -srcIP = <NSIP address> -destIP = <destination IP address of the packets>
- show acl <aclName>
CLI を使用して拡張 ACL を適用するには:
コマンドプロンプトで入力します。
- apply acls
CLI を使用して ACL ベースの RNAT ルールを作成するには:
コマンドプロンプトで入力します。
- add rnat <name> <aclname>
- bind rnat <name> -natIP <SNIP address - source IP address for the packets>
- show rnat <name>
設定例
次の構成例により、NetScalerアプライアンスはSNIPアドレスからGSLB自動同期トラフィックを送信できるようになります。ACL-2 は、NSIP アドレス 192.0.1.20 から送信され、GSLB サイトの IP アドレス 203.0.113.20 を宛先とする GSLB 自動同期パケットを識別します。RNAT-2 は、これらの識別されたパケットの送信元 IP アドレスを SNIP アドレス 198.51.100.20 に変更します。
add acl ACL-2 ALLOW -srcIP = 192.0.1.20 -destIP = 203.0.113.20
apply acls
add rnat RNAT-2 ACL-2
bind rnat RNAT-2 -natIP 198.51.100.20