Skip to content

IP-Adressen des NetScalers

by Natanael Mignon on November 4th, 2011

Der NetScaler hat verschiedene Arten von IP-Adressen für unterschiedliche Aufgaben. Die erste Adresse ist die NSIP (NetScaler IP), die als Management IP immer statisch existieren muss. In einem High Availability Paar aus zwei NetScalern ist die NSIP die einzige fixe IP, die jedes einzelne System individuell besitzt. Über diese Adresse wird der NetScaler administriert und von ihr gehen administrative Verbindungen wie DNS Requests, NTP Zeitsynchronisation, Authentifizierungsanfragen und die HA Synchronisation aus.

Bei der Erstinstallation muss weiterhin mindestens eine MIP (Mapped IP) oder eine SNIP (Subnet IP) konfiguriert werden, die als Ausgangspunkt der Kommunikation zu den Backend Servern verwendet wird. Per Default verwendet der NetScaler eine SNIP, sofern verfügbar, oder fällt sonst auf die MIP zurück („Default SNIP“). Es sollte in jedem IP-Netz, in das der NetScaler direkt kommunizieren kann oder soll, eine SNIP angelegt werden, die für diese Verbindungen genutzt werden kann. Der Weg in andere Netze wird über die Routingtabelle gefunden.

Der Dritte Typ von IP-Adressen sind die VIPs (Virtual IPs), die den Clients als Gegenstelle zur Verfügung stehen. Eine VIP wird typischerweise durch das Anlegen eines Virtual Servers erzeugt, der unter dieser IP ansprechbar ist.

Clients verbinden sich also zu VIPs, wo der NetScaler die Verbindung terminiert. Dann baut er eine eigene Verbindung zu dem Backend Service auf, ausgehend von der entsprechenden SNIP (Default: USNIP Modus) oder MIP, über die er die Client-Anfrage weiterleitet. Sollen die Server stattdessen die Client IP selbst als Quelle der Verbindung sehen, muss der USIP Modus (Use Source IP) aktiviert werden, was sowohl global als auch pro Virtual Server möglich ist.

Bei Verwendung des USIP Modus ist zu bedenken, dass die Antwortpakete der Server direkt an die Client IP adressiert werden, was unter Umständen den NetScaler umgeht, wenn Client und Server sich im selben Subnetz befinden oder der Server eine andere Route in das Client Netz hat als über den NetScaler (asymmetrisches Routing).

Administrative Verbindungen auf SNIP verlagern

Da der NetScaler im Normalfall Verbindungen zu Servern sowohl von seiner NSIP (administrativ) als auch einer oder mehrerer SNIPs/MIPs aufbaut, tauchen in ggf. erforderlichen Firewall Policies unterschiedliche Quelladressen für ein und dasselbe System auf. Um das zu vereinfachen, kann der Administrator dafür sorgen, dass auch administrative Verbindungen wie etwa DNS und LDAP (Authentifizierung) von einer SNIP ausgehen. Dazu werden für alle betroffenen Dienste Load Balancing VServer auf dem NetScaler angelegt, die die eigentlich zu adressierenden Server als load balanced Services ansprechen. Diese Backend Kommunikation geht dann von der entsprechenden SNIP aus, von der auch die sonstigen Verbindungen in das entsprechende Netz initiiert werden.

IP-Adressen im HA Modus

In einem HA Paar ist es sinnvoll, den administrativen Zugriff auf einer SNIP oder MIP zu aktivieren. Da alle Adressen abgesehen von der NSIP im HA Paar „floating“, d.h. immer auf dem primären NetScaler aktiv sind, erreicht man darüber immer das System, auf dem die Konfiguration geändert werden kann.

Sind die an einem HA Setup beteiligten Systeme in unterschiedlichen Subnetzen untergebracht, muss der INC Modus (Independent Networking Configuration) aktiviert werden. Mit INC ist es möglich (und erforderlich), dass die NetScaler eines HA Paares nicht nur unterschiedliche NSIPs, sondern auch individuelle MIPs und SNIPs besitzen. Die VIPs können identisch sein, jedoch unterscheiden sich die IP-Adressen für die Backend Kommunikation entsprechend der unterschiedlichen Subnetze.

No comments yet

Leave a Reply

You must be logged in to post a comment.