Netscaler做负载均衡器跟踪到源IP配置方法(NSIP,VIP,Maped IP,Subnet IP).docxVIP

Netscaler 做负载均衡器跟踪到源 IP 配置方法 【问题描述】 Netscaler 主要应用在R3\R2 及以下版本桌面云接入场景，使用LB 及 AG 功能，但在实际应用中，客户也希望把它的 LB 功能应用在其他业务中，而其中就有一些业务需要能够跟踪到访问源IP 【根本原因】 在 Netscaler 中涉及到 4 种 IP，技术特性导致Netscaler 配置完成后无法直接跟踪到源IP，在后台只能看到内部转换后的 IP。 1、NSIP：是NetScaler 的管理IP，用于对NetScaler 本身进行一般的系统配置和管理访问的IP 地 址。 2、VIP：虚拟 IP，是直接暴露给客户端直接访问的负载均衡IP 地址，真正响应请求的是其后端的众多 real server。 3、MIP (Maped ip): 映射 IP，MIP 用于 NetScaler 本身访问后端服务器使用。因为NetScaler 的工作模式通常是部署在服务器群的前面，做为客户端和后端服务器之间的透明 TCP 代理，这个操作模式称为 请求交换技术，是 NetScaler 功能的核心。当 NetScaler 做为TCP 代理的时候，它会把客户机发过来的请求切断，然后自己建立一个 TCP 连接到后端的 Real Server，当后端 Real Server 处理完毕以后再返回给 NetScaler，然后 NetScaler 再返回结果给用户。这个过程中，NetScaler 会使用 MIP 做为向后端 Real Server 请求的源地址。 4、SNIP (Subnet IP)：当 NetScaler 连接至多个子网，如果NetScaler MIP 和后端服务器处于同一个子网的时候，则NetScaler 使用 MIP 访问后端的 10.2.1.0/24 这个子网的 Real Server。但是，当再增加一个子网 10.2.2.0/24 的时候，NetScaler 与后端的 10.2.2.0/24 子网没有路由，MIP 就无法与新增的子网通讯，这时就需要在 NetScaler 上增加一个与新增子网同一段的 Subnet IP- 10.2.2.1,系统会自动将这个路由添加到路由表中，每增加一个子网都需要增加一个 SNIP，这样 NetScaler 就可以使用 SNIP 来访问后端服务器了。 补充：在新版本的Netsacler 中，MIP 已经被SNIP 取代，是在netscaler 上配置的内外网的子网（vlan）的 IP 地址（如下图所示），该地址分别作为外部网络和内部的直连 IP 地址（100.1.1.2 是外部网络 snip， 而 192.168.195.1 是内部网络 snip）。对于内网的SNIP 这个地址（如192.168.195.1）用于在netscaler 工作于代理模式时，作为于 NetScaler 本身访问后端统一 vlan 中的服务器使用。 【影响和风险】 影响用户对现有资源的的综合利用，影响平台有限资源下满足用户的业务需求，影响客户对我司解决方案配套设施可用性感知 【措施和方案】 处理办法： 如果采用常规配置，业务后台只能看到MIP 的地址，原因就是因为在MIP 这个地方，所有的源地址被替换成了 MIP 地址，如果能避免 MIP 地址转换这个环境，是可以实现后台服务器直接跟到源 IP 的。 将后台服务器的网关地址改为 MIP 的地址，这样能够改变服务响应的回程路由。（这里原来服务器是可以不设置默认网关的，因为原来收到包的源地址是一个段的 MIP 地址） 在 netscaler 中选择需要跟踪源 IP 的服务组，在高级选项里,勾选 use source IP，即可完成配 置 注：如果是现网环境，请勿随意勾选 注：如果是现网环境，请勿随意勾选 use source IP 这个选项，将会影响现网网络！