启用使用源IP模式
当Citrix ADC设备与物理服务器或对等设备通信时,默认情况下,它使用自己的一个IP地址作为源IP。设备维护子网IP地址池(SNIPs),并从这个池中选择一个IP地址作为连接到物理服务器的源IP地址。选择SNIP地址的决定取决于物理服务器所在的子网。
如果需要,您可以配置Citrix ADC设备以使用客户端的IP地址作为源IP。有些应用需要客户端的实际IP地址。下面是一些例子:
- web访问日志中的客户端IP地址用于计费或使用分析。
- 客户端IP地址用于确定客户端的原产国或客户端的原始ISP。例如,许多搜索引擎(如谷歌)提供与用户所属位置相关的内容。
- 应用程序必须知道客户机的IP地址,以验证请求来自可靠的来源。
- 有时,即使应用服务器不需要客户机的IP地址,在应用服务器和Citrix ADC之间设置的防火墙也可能需要客户机的IP地址来过滤流量。
如果您希望Citrix ADC使用客户端IP地址与服务器通信,请启用USIP模式。
下图显示了设备如何在USIP模式下使用IP地址。
在你开始之前
开启USIP模式前,请注意以下几点:
- 在以下情况下启用USIP:
- IDS服务器负载均衡
- SMTP负载平衡
- 无状态连接故障转移
- Sessionless负载平衡
- 如果您使用DSR (Direct Server Return)模式
USIP全局设置只对通过USIP全局设置创建的服务生效。换句话说,当进行USIP全局设置时,USIP全局设置不会应用于现有服务。例如,全局禁用USIP并不会在现有服务上禁用USIP。但是它会阻止随后创建的服务自动启用USIP。
要在一组现有服务上启用或禁用USIP,您需要在每个服务上启用或禁用USIP。
- 启用USIP时,必须将服务器网关设置为Citrix ADC拥有的IP地址之一(类型为子网IP (SNIP)),以便服务器的响应始终通过Citrix ADC设备。
- 如果启用了USIP,请将服务器连接的空闲超时时间设置为低于默认值的值,以便服务器端快速清除空闲连接。
- 对于透明缓存重定向,如果启用了USIP,也要启用L2CONN。
- 由于启用USIP时不会重用HTTP连接,因此可能会积累大量的服务器端连接。空闲的服务器连接会阻塞其他客户端的连接。因此,对服务的最大连接数进行限制。Citrix还建议将启用USIP的服务的HTTP服务器超时值设置为低于默认值的值,以便在服务器端快速清除空闲连接。
- 作为USIP模式的另一种选择,您可以选择将客户机的IP地址(CIP)插入到需要客户机IP地址的应用服务器的服务器端连接的请求头中。
在早期的Citrix ADC版本中,USIP模式对服务器端连接有以下源端口选项:
- 使用客户端端口.使用此选项,连接将无法重用。对于来自客户机的每一个请求,都会与物理服务器建立一个新的连接。
- 使用代理端口.使用此选项,可以对来自同一客户机的所有请求进行连接重用。
在后续的Citrix ADC版本中,如果启用了USIP,默认情况下将使用代理端口用于服务器端连接,而不重用连接。不重用连接可能不会影响建立连接的速度。
默认情况下,如果启用USIP模式,则启用“使用代理端口”选项。
注意:如果启用了USIP模式,建议启用“使用代理端口”选项。
有关“使用代理端口”选项的详细信息,请参见配置服务器端连接的源端口.
配置步骤
如果您希望Citrix ADC使用客户端IP地址与服务器通信,请启用“使用源IP模式”模式。缺省情况下,USIP模式处于关闭状态。USIP模式可以在Citrix ADC或特定服务上全局启用。如果全局启用,则后续创建的所有服务默认都启用USIP。如果为特定服务启用USIP,则客户端的IP地址仅用于指向该服务的流量。
CLI程序
通过命令行,全局启用或禁用USIP模式。
在命令提示符处,输入以下命令之一:
enable ns mode USIP
禁用ns模式USIP
使用CLI命令开启某个服务的USIP模式。
在命令提示符处,输入:
设置服务<名称> @ -切实(是的|没有)
例子:
> set service service - http -1 -usip YES Done GUI程序
通过GUI全局启用或禁用USIP模式:
- 导航到系统>设置,在模式和特性组中,单击改变模式.
- 选择或清除使用源IP选择。
通过GUI方式开启某项服务的USIP模式。
- 导航到交通管理>负载平衡>服务,并编辑服务。
- 在高级设置中,选择服务设置,并选择使用源IP地址.