Skip to content

NetScaler Integrationsvarianten

by Natanael Mignon on Oktober 30th, 2011

Der Citrix NetScaler steht als Service Delivery Controller der neusten Generation zwischen Clients und Servern. Er bietet in Form von Virtual Servern (VServern) Services für Clients an, die er in Richtung der Server intelligent verteilt und dazwischen inhaltlich eingreifen kann.

Für die Einbindung des NetScalers in die eigene Infrastruktur stehen unterschiedliche Herangehensweisen zur Verfügung. Angefangen bei der physikalischen Anbindung an die umgebenden Netze bis zur logischen Integration auf  Ebene IP-Adressen und Routing.

Soll der NetScaler etwa als Reverse Proxy für öffentlich bereitgestellte Services dienen, wird er in einer Demilitarisierten Zone (DMZ) platziert, in der ihn sowohl in Richtung Internet (public) als auch Servernetz (private) eine oder mehrere Firewalls umgeben. Da es sich um einen aus Netzwerksicht sicherheitskritischen Bereich handelt, wird es in der Regel abgelehnt, dass der NetScaler selbst an mehrere Netze mit unterschiedlichen Sicherheitsniveaus angeschlossen wird. Daher findet hier der „One-Arm Mode“ Einsatz, in dem der NetScaler nur an ein Segment angeschlossen ist und daher typischerweise auch nur IP-Adressen aus einem einzigen Subnetz besitzt. Natürlich können davon unabhängig mehrere physikalische Interfaces genutzt werden (Link Aggregation, Channels…).

Diese Integration kann auch in Umgebungen eingesetzt werden, in denen sich Clients und Server intern in unterschiedlichen oder sogar im selben Netz befinden. Im ersten Fall (Clients und Server in unterschiedlichen Netzen) ist allerdings die Integration „Inline“ meist besser geeignet. Dabei stellt der NetScaler den einzigen Weg für die Clients dar, die Server zu erreichen, d.h. er verbindet die Netzsegmente entweder durch die Virtual Server, die er bereitstellt, oder auch komplett als Layer 3 Router. Diese „Two-Arm“ Topologie ist wünschenswert und wird daher oft herbeigeführt, auch wenn sich zunächst Clients und Server im selben Netz befinden.

Der Vorteil des Inline Mode ist, dass eine Umgehung des NetScalers und der dort implementierten Optimierungs- und vor allem Schutzmaßnahmen verhindert wird. Durch den „Transparent Mode“ kann das sogar erreicht werden, ohne eine Segmentierung auf IP-Ebene zu erzwingen. Auch dabei wird der NetScaler physikalisch als einziger Weg zwischen der Client- und der Server-Infrastruktur implementiert. Durch die Aktivierung des „Layer 2 Mode“ agiert der NetScaler als Bridge und Clients können die Server direkt adressieren. Der Netzwerkverkehr aber läuft dennoch durch den NetScaler, wo weiterhin alle Eingriffe in den Traffic möglich sind.

No comments yet

Leave a Reply

You must be logged in to post a comment.