Utilizar una IP de origen especificada para la comunicación back-end
Para la comunicación con los servidores físicos u otros dispositivos del mismo nivel, el dispositivo NetScaler utiliza una dirección IP de su propiedad como dirección IP de origen. El dispositivo NetScaler mantiene un conjunto de sus direcciones IP y selecciona dinámicamente una dirección IP mientras se conecta con un servidor. En función de la subred en la que se coloque el servidor físico, el dispositivo decide qué dirección IP se va a utilizar. Este grupo de direcciones se utiliza para enviar sondeos de tráfico y monitorizar.
En muchas situaciones, es posible que desee que el dispositivo utilice una dirección IP específica o cualquier dirección IP de un conjunto específico de direcciones IP para comunicaciones de back-end. A continuación se presentan algunos ejemplos:
- Un servidor puede distinguir sondeos de monitor del tráfico si la dirección IP de origen utilizada para sondeos de monitor pertenece a un conjunto específico.
- Para mejorar la seguridad del servidor, se puede configurar un servidor para responder a las solicitudes de un conjunto específico de direcciones IP o, en ocasiones, de una única dirección IP específica. En tal caso, el dispositivo solo puede utilizar las direcciones IP aceptadas por el servidor como dirección IP de origen.
- El dispositivo puede administrar sus conexiones internas de manera eficiente si puede distribuir sus direcciones IP en conjuntos de IP y usar una dirección de un conjunto solo para conectarse a un servicio específico.
Para configurar el dispositivo para que utilice una dirección IP de origen especificada, cree perfiles de red (perfiles de red) y configure las entidades del dispositivo para que utilicen el perfil. Un perfil de red se puede enlazar a servidores virtuales de equilibrio de carga o conmutación de contenido, servidores virtuales VPN de NetScaler Gateway, servicios, grupos de servicios o monitores. Un perfil de red tiene direcciones IP propiedad de NetScaler (SNIP y VIP) que se pueden utilizar como dirección IP de origen. Puede ser una única dirección IP o un conjunto de direcciones IP, denominadas conjunto de IP. Si un perfil de red tiene una IP establecida, el dispositivo selecciona dinámicamente una dirección IP del conjunto de IP en el momento de la conexión. Si un perfil tiene una sola dirección IP, se utiliza la misma dirección IP que la IP de origen.
Si un perfil de red está enlazado a un servidor virtual de equilibrio de carga o conmutación de contenido, el perfil se usa para enviar tráfico a todos los servicios vinculados a él. Si un perfil de red está enlazado a un grupo de servicios, el dispositivo utiliza el perfil para todos los miembros del grupo de servicio. Si un perfil de red está enlazado a un monitor, el dispositivo utiliza el perfil para todos los sondeos enviados desde el monitor.
Nota:
Cuando un dispositivo NetScaler utiliza una dirección VIP para comunicarse con un servidor, utiliza entradas de sesión para identificar si el tráfico destinado a la dirección VIP es una respuesta de un servidor o una solicitud de un cliente.
Puede vincular un perfil de red a servidores virtuales VPN de NetScaler Gateway. Sin embargo, debe tener en cuenta algunos puntos al vincular un perfil de red. Para obtener más información, consultePuntos a tener en cuenta al vincular un perfil de red al servidor virtual VPN.
Las IP del perfil de red enlazadas a un servicio o grupo de servicios no solo se utilizan para enviar tráfico hacia los servidores back-end correspondientes, sino también para las solicitudes DNS que se activan por cualquier FQDN back-end sin resolver.
Uso de un perfil de red para enviar tráfico
Si la opción Usar dirección IP de origen (USIP) está habilitada, el dispositivo utiliza la dirección IP del cliente e ignora todos los perfiles de red. Si la opción USIP no está habilitada, el dispositivo selecciona la IP de origen de la siguiente manera:
- Si no hay un perfil de red en el servidor virtual ni en el grupo de servicios/servicios, el dispositivo utiliza el método predeterminado.
- Si hay un perfil de red solo en el grupo de servicios/servicios, el dispositivo utiliza ese perfil de red.
- Si hay un perfil de red solo en el servidor virtual, el dispositivo utiliza el perfil de red.
- Si hay un perfil de red tanto en el servidor virtual como en el grupo de servicios/servicios, el dispositivo utiliza el perfil de red enlazado al grupo de servicios/servicios.
Uso de un perfil de red para enviar sondeos de monitor:
Para los sondeos de monitor, el dispositivo selecciona la IP de origen de la siguiente manera:
- Si hay un perfil de red enlazado al monitor, el dispositivo utiliza el perfil de red del monitor. Ignora los perfiles de red vinculados al servidor virtual o al grupo de servicios/servicios.
- Si no hay un perfil de red vinculado al monitor,
- Si hay un perfil de red en el grupo de servicios/servicios, el dispositivo utiliza el perfil de red del grupo de servicios/servicios.
- Si no hay un perfil de red ni siquiera en el grupo de servicios/servicios, el dispositivo utiliza el método predeterminado para seleccionar una IP de origen.
Nota: Si no hay un perfil de red vinculado a un servicio, el dispositivo busca un perfil de red en el grupo de servicios si el servicio está enlazado a un grupo de servicios.
Para usar una dirección IP de origen especificada para la comunicación, siga los siguientes pasos:
- Cree conjuntos de IP a partir del grupo de SNIP y VIP propiedad del dispositivo NetScaler. Un conjunto de IP puede constar de direcciones SNIP y VIP. Para obtener instrucciones, consulteCreación de conjuntos de IP.
- Crear perfiles de red. Para obtener instrucciones, consulteCreación de un perfil de red.
- Enlazar los perfiles de red a las entidades del dispositivo. Para obtener instrucciones, consulteVinculación de un perfil de red a una entidad NetScaler.
Nota:
Un perfil de red solo puede tener las direcciones IP especificadas como SNIP y VIP en el dispositivo NetScaler.
La persistencia de IP de origen no se respeta para los paquetes iniciados por NetScaler.
Administrar perfiles de red
联合国perfil de红(o perfil de红色)" una dirección IP o un conjunto de IP. Durante la comunicación con servidores físicos o pares, el dispositivo NetScaler utiliza las direcciones especificadas en el perfil como dirección IP de origen.
- Para obtener instrucciones sobre cómo crear un perfil de red, consulteCreación de un perfil de red.
- Para obtener instrucciones sobre cómo vincular un perfil de red a una entidad NetScaler, consulteVinculación de un perfil de red a una entidad NetScaler.
Crear un conjunto de IP
Un conjunto de IP es un conjunto de direcciones IP, que se configuran en el dispositivo NetScaler como direcciones IP de subred (SNIP) o direcciones IP virtuales (VIP). Un conjunto de IP se identifica con un nombre significativo que ayuda a identificar el uso de las direcciones IP contenidas en él. Para crear un conjunto de IP, agregue un conjunto de IP y vincule direcciones IP propiedad de NetScaler a él. Las direcciones SNIP y las direcciones VIP pueden estar presentes en el mismo conjunto de IP.
Para crear un conjunto de direcciones IP mediante la CLI
En el símbolo del sistema, escriba los comandos siguientes:
add ipset bind ipset O bien:
bind ipset show ipset [] El comando anterior muestra los nombres de todos los conjuntos de IP del dispositivo si no pasa ningún nombre. Muestra las direcciones IP enlazadas al conjunto IP especificado si pasa un nombre.
Ejemplos
1. > add ipset skpnwipset Done > bind ipset skpnwipset 21.21.20.1 Done 2. > add ipset testnwipset Done > bind ipset testnwipset 21.21.21.[21-25] IPAddress "21.21.21.21" bound IPAddress "21.21.21.22" bound IPAddress "21.21.21.23" bound IPAddress "21.21.21.24" bound IPAddress "21.21.21.25" bound Done 3. > bind ipset skpipset 11.11.11.101 ERROR: Invalid IP address [This IP address could not be added because this is not an IP address owned by the NetScaler appliance] > add ns ip 11.11.11.101 255.255.255.0 -type SNIP ip "11.11.11.101" added Done > bind ipset skpipset 11.11.11.101 IPAddress "11.11.11.101" bound Done 4. > sh ipset 1) Name: ipset-1 2) Name: ipset-2 3) Name: ipset-3 4) Name: skpnewipset Done 5. > sh ipset skpnewipset IP:21.21.21.21 IP:21.21.21.22 IP:21.21.21.23 IP:21.21.21.24 IP:21.21.21.25 Done Para crear un conjunto de direcciones IP mediante la interfaz gráfica de usuario
Vaya aSistema > Red > Conjuntos de IPy cree un conjunto de IP.
Crear un perfil de red
Un perfil de red (perfil de red) consta de una o más direcciones SNIP o VIP del dispositivo NetScaler.
Para crear un perfil de red mediante la CLI
En la línea de comandos, escriba:
add netprofile [-srcIp ] Si el srciPval no se proporciona en este comando, se puede proporcionar más adelante mediante el comandoset netprofile.
Ejemplos
add netprofile skpnetprofile1 -srcIp 21.21.20.1 Done add netprofile baksnp -srcIp bakipset Done set netprofile yahnp -srcIp 12.12.23.1 Done set netprofile citkbnp -srcIp citkbipset Done Enlace un perfil de red a una entidad NetScaler
Un perfil de red se puede enlazar a un servidor virtual, servicio, grupo de servicios o monitor de equilibrio de carga.
Nota: Puede enlazar un perfil de red en el momento de crear una entidad NetScaler o enlazarlo a una entidad existente.
Para enlazar un perfil de red a un servidor mediante la interfaz de línea de comandos
Puede vincular un perfil de red a los servidores virtuales de equilibrio de carga y a los servidores virtuales de conmutación de contenido. Especifique el servidor virtual apropiado.
En la línea de comandos, escriba:
set lb vserver -netProfile O bien:
set cs vserver -netProfile Ejemplos
set lb vserver skpnwvs1 -netProfile gntnp Done set cs vserver mmdcsv -netProfile mmdnp Done Para enlazar un perfil de red a un servidor virtual mediante la interfaz gráfica de usuario
- Vaya aAdministración del tráfico > Equilibrio de carga > Servidores virtualesy abra el servidor virtual.
- En Configuración avanzada, haga clic enPerfilesy establezca un perfil de red.
Para enlazar un perfil de red a un servicio mediante la CLI
En la línea de comandos, escriba:
set service -netProfile Ejemplo
设置服务brnssvc1 -netProfile brnsnp做< !——NeedCopy-->Para enlazar un perfil de red a un servicio mediante la interfaz gráfica de usuario
- Vaya aAdministración del tráfico > Equilibrio de carga > Serviciosy abra un servicio.
- En Configuración avanzada, haga clic enPerfilesy establezca un perfil de red.
Para enlazar un perfil de red a un grupo de servicios mediante la CLI
En la línea de comandos, escriba:
set servicegroup -netProfile Ejemplo
set servicegroup ndhsvcgrp -netProfile ndhnp Done Para enlazar un perfil de red a un grupo de servicios mediante la interfaz gráfica de usuario
- Vaya aAdministración del tráfico > Equilibrio de carga > Grupos de serviciosy abra un grupo de servicios.
- En Configuración avanzada, haga clic enPerfilesy establezca un perfil de red.
Para enlazar un perfil de red a un monitor mediante la CLI
En la línea de comandos, escriba:
set monitor
Ejemplo
set monitor brnsecvmon1 -netProfile brnsmonnp Done Para enlazar un perfil de red a un monitor mediante la interfaz gráfica de usuario
- Vaya aAdministración del tráfico > Equilibrio de carga > Monitores.
- Abra un monitor y configure el perfil de red.