配置以从 SNIP 地址获取 Citrix ADC FreeBSD 数据流量
一些 Citrix ADC 数据功能在底层 FreeBSD 操作系统上运行,而不是在 Citrix ADC 操作系统上运行。出于这个原因,这些功能发送来自 Citrix ADC IP (NSIP) 地址的流量,而不是来自 SNIP 地址。如果您的设置具有分离所有管理流量和数据流量的配置,则不希望从 NSIP 地址获取数据流量。
以下 Citrix ADC 数据功能在底层 FreeBSD 操作系统上运行,并发送来自 Citrix ADC IP (NSIP) 地址的流量:
- 负载平衡可脚本监视器
- GSLB 自动同步
要解决此问题,你可以使用全局 Layer-2 参数: useNetprofileBSDtraffic。启用此参数时,Citrix ADC 功能将发送来自与该功能关联的网络配置文件中的 SNIP 地址之一的流量。
开始之前的准备工作
在将 Citrix ADC 设备配置为源自 SNIP 地址的 Citrix ADC 功能相关流量之前,请注意以下几点:
-
目前,全局第 2 层参数
useNetprofileBSDtraffic仅适用于负载平衡脚本监视器。要将 Citrix ADC 设备配置为从 SNIP 地址获取 GSLB 自动同步流量,可以使用扩展 ACL 规则和 RNAT 规则作为解决方法。
-
对负载平衡脚本监视器的
useNetprofileBSDtraffic支持仅适用于绑定到相关服务的网络配置文件。该useNetprofileBSDtraffic支持不适用于绑定到相关服务组的网络配置文件。换句话说,Citrix ADC 设备不使用绑定到服务组的网络配置文件中的任何 SNIP 地址来寻找负载平衡可脚本监视器流量。
-
该
useNetprofileBSDtraffic支持不适用于 SSL 服务。换句话说,Citrix ADC 设备不会使用绑定到 SSL 服务的网络配置文件中的任何 SNIP 地址来获取负载平衡脚本可监视流量。
将 Citrix ADC 设备配置为源自 SNIP 地址的可脚本监视器流量
将 Citrix ADC 设备配置为源脚本可监视来自 SNIP 地址的流量包括以下任务:
- 启用全局第 2 层参数
useNetprofileBSDtraffic。 - 创建网络配置文件并将至少一个 SNIP 地址绑定到该配置文件。
- 将网络配置文件绑定到使用脚本化监视器的负载平衡服务。
要使用 CLI 启用第 2 层参数 USenetProfilebsdTraffic,请执行以下操作:
在命令提示符下,键入:
- 设置 l2param -USenetProfilebsdTraffic (启用 / 禁用)
- 显示 l2param
要使用 CLI 创建网络配置文件并将 SNIP 地址绑定到它,请执行以下操作:
在命令提示符下,键入:
- 添加 NetProfile <name>-srCIP <string>
- 显示 NetProfile
要使用 CLI 将网络配置文件绑定到负载平衡服务,请执行以下操作:
在命令提示符下,键入:
- 套装服务 <name>-NetProfile <string>
- show service <name>
示例配置
以下示例配置使 Citrix ADC 设备能够从 SNIP 地址获取可脚本的监视器流量。网络配置文件 NETPROFILE-1 使用绑定到它的 SNIP 地址 198.51.100.20 进行配置。用户/可编写脚本的监视器 USER-MONITOR-1 已创建并绑定到负载平衡服务 SERVICE-1。NETPROFILE-1 必然是 SERVICE-1。Citrix ADC 设备从 SNIP 地址 198.51.100.20 获取所有可脚本监视器的 USER-MONITOR-1 数据包。
set l2param -useNetprofileBSDtraffic ENABLED
set netprofile NETPROFILE-1 -srcip 198.51.100.20
add lb monitor USER-MONITOR-1 USER -scriptName nsftp.pl -scriptArgs "file=Index.gif;user=nsroot;password=nsroot" -dispatcherIP 127.0.0.1 -dispatcherPort 3013 -destIP 203.0.113.90 -destPort 21
bind service SERVICE-1 -monitorName USER-MONITOR-1
set service SERVICE-1 -netProfile NETPROFILE-1
将 Citrix ADC 设备配置为从 SNIP 地址获取 GSLB 自动同步流量
将 Citrix ADC 设备配置为从 SNIP 地址获取 GSLB 自动同步流量包括以下解决方法任务:
- 创建扩展 ACL 规则。扩展 ACL 规则标识 GSLB 自动同步数据包。此标识基于源 IP 和目标 IP 地址。
- 应用 ACL。应用 ACL 将激活新创建的 ACL 规则。
- 创建基于 ACL 的 RNAT 规则。RNAT 规则将这些数据包的源 IP 地址从 NSIP 地址更改为 SNIP 地址。
注意 : 在高可用性或群集设置中,必须为安装程序的所有 NSIP 地址添加 ACL 和 RNAT 规则。
要使用 CLI 创建扩展 ACL,请执行以下操作:
在命令提示符下,键入:
- add acl <aclname> ALLOW -srcIP = <NSIP address> -destIP = <destination IP address of the packets>
- show acl <aclName>
要使用 CLI 应用扩展 ACL,请执行以下操作:
在命令提示符下,键入:
- apply acls
要使用 CLI 创建基于 ACL 的 RNAT 规则,请执行以下操作:
在命令提示符下,键入:
- add rnat <name> <aclname>
- bind rnat <name> -natIP <SNIP address - source IP address for the packets>
- show rnat <name>
示例配置
以下示例配置使 Citrix ADC 设备能够从 SNIP 地址获取 GSLB 自动同步流量。ACL-2 识别 GSLB 自动同步数据包,这些数据包来自 NSIP 地址 192.0.1.20 并发往 GSLB 站点 IP 地址 203.0.113.20。对于这些已识别的数据包,RNAT-2 将源 IP 地址更改为 SNIP 地址 198.51.100.20。
add acl ACL-2 ALLOW -srcIP = 192.0.1.20 -destIP = 203.0.113.20
apply acls
add rnat RNAT-2 ACL-2
bind rnat RNAT-2 -natIP 198.51.100.20