启用“使用源IP方式”
当Citrix ADC设备与物理服务器或对等设备通信时,默认情况下,它使用自己的一个IP地址作为源IP。设备维护一个子网IP地址池(SNIPs),并从该池中选择一个IP地址作为连接到物理服务器的源IP地址。选择SNIP地址取决于物理服务器所在的子网。
如果需要,您可以将Citrix ADC设备配置为使用客户端的IP地址作为源IP。有些应用需要客户端的实际IP地址。以下是一些用例示例:
- web访问日志中的客户端IP地址用于计费或使用分析。
- 客户端IP地址用于确定客户端的原产国或客户端的原始ISP。例如,谷歌等许多搜索引擎提供与用户所属位置相关的内容。
- 应用程序必须知道客户端的IP地址,以验证请求来自可信的来源。
- 有时,即使应用服务器不需要客户机的IP地址,放置在应用服务器和Citrix ADC之间的防火墙可能需要客户机的IP地址来过滤流量。
当Citrix ADC使用客户端IP地址与服务器通信时,需要开启USIP模式。
下图显示了设备如何以USIP模式使用IP地址。
在开始之前
启用USIP模式前,需要注意以下事项:
- 在以下情况下启用USIP:
- IDS (Intrusion Detection System)服务器负载均衡
- SMTP负载均衡
- 无状态连接故障转移
- 无会话负载均衡
- 如果您使用DSR (Direct Server Return)模式
USIP全局设置仅适用于USIP全局设置后创建的服务。换句话说,当进行USIP全局设置时,USIP全局设置不适用于现有服务。例如,全局禁用USIP不会禁用现有服务上的USIP。但是它会阻止随后创建的服务自动启用USIP。
要在一组现有服务上启用或禁用USIP,您需要在每个服务上启用或禁用USIP。
- 当启用USIP时,必须将服务器的网关设置为Citrix ADC拥有的IP地址之一(子网IP (SNIP)类型),以便服务器的响应始终通过Citrix ADC设备。
- 如果启用了USIP,请将服务器连接的空闲超时时间设置为低于缺省值的值,以便在服务器端快速清除空闲连接。
- 对于透明缓存重定向,如果启用了USIP,也要启用L2CONN。
- 由于启用USIP时不重用HTTP连接,可能会积累大量的服务器端连接。空闲的服务器连接会阻塞其他客户端的连接。因此,要对服务的最大连接数进行限制。Citrix还建议将启用了USIP的服务的HTTP服务器超时值设置为低于默认值的值,以便在服务器端快速清除空闲连接。
- 作为USIP模式的另一种选择,您可以选择在需要客户端IP地址的应用服务器的服务器端连接的请求头中插入客户端IP地址(CIP)。
在早期的Citrix ADC版本中,USIP模式为服务器端连接提供了以下源端口选项:
- 使用客户端端口.使用此选项,连接不能被重用。对于来自客户机的每个请求,都会与物理服务器建立一个新的连接。
- 使用代理端口.有了这个选项,来自同一客户端的所有请求都可以重用连接。
在后续的Citrix ADC版本中,如果启用了USIP,则默认为服务器端连接使用代理端口,而不重用连接。不重用连接可能不会影响建立连接的速度。
缺省情况下,如果启用USIP模式,则启用“使用代理端口”选项。
注意:如果启用USIP模式,建议启用“使用代理端口”选项。
有关“使用代理端口”选项的详细信息,请参见配置服务器端连接的源端口.
配置步骤
当Citrix ADC使用客户端IP地址与服务器通信时,需要开启USIP模式。缺省情况下,禁用USIP模式。USIP模式可以在Citrix ADC或特定服务上全局启用。如果全局启用USIP,则默认情况下所有随后创建的服务都启用USIP。如果对特定服务启用USIP,则客户端的IP地址仅用于定向到该服务的流量。
CLI程序
使用CLI命令,全局开启或关闭USIP模式。
在命令提示符下,键入以下命令之一:
启用ns模式USIP
禁用ns模式USIP
使用实例通过CLI开启服务的USIP模式。
在命令提示符下,输入:
设置服务<名称> @ -切实(是的|没有)
例子:
> set service service - http -1 -usip YES Done GUI程序
通过GUI界面,全局开启或关闭USIP模式。
- 导航到系统>设置,在模式和特点组中,单击改变模式.
- 选择或清除使用源IP选择。
使用实例GUI方式开启某项服务的USIP模式。
- 导航到交通管理>负载平衡>服务,并编辑服务。
- 在高级设置中,选择服务设置,并选择使用源IP地址.