公司有NetScaler设备,所以研究了下,把官方的文档都翻译下,方便查看。文档翻译很幸苦,希望大家支持。
该部分针对安装和配置复杂网络设备的系统和网络管理员,描述NetScaler的初始设置和基本配置,包括以下主题。
Citrix NetScaler产品是一种应用交换机,可执行特定的应用程序的流量分析,为Web应用程序提供智能分发,优化和保护第4层第7层(L4-L7)网络流量。例如,NetScaler基于单个HTTP请求而不是长期TCP连接来确定负载平衡决策,这样由于服务器发生故障或者速度变慢管理起来更快捷,并减少对客户端造成的中断。 NetScaler功能集可以大致分为由交换功能,安全和保护功能以及服务器场优化功能组成。
当部署在应用服务器前面时,NetScaler通过指导客户端请求的方式确保流量的最佳分配。管理员可以根据HTTP或TCP请求正文中的信息,以及基于L4-L7头信息(如URL,应用程序数据类型或cookie)来分段应用程序流量。大量的负载平衡算法和广泛的服务器运行状态检查通过确保客户端请求定向到相应的服务器来提高应用程序可用性。
NetScaler安全和保护功能保护Web应用程序免受应用层攻击。 NetScaler允许合法的客户端请求,并可以阻止恶意请求。它提供了针对拒绝服务(DoS)攻击的内置防御,并支持防止应用程序流量中合法浪涌的功能,否则这些应用程序会阻塞服务器。可用的内置防火墙保护Web应用程序免受应用层攻击,包括缓冲区溢出攻击,SQL注入尝试,跨站点脚本攻击等。此外,防火墙通过保护机密公司信息和敏感客户数据提供身份盗窃保护。
优化功能分流资源密集型操作,例如安全套接字层(SSL)处理,数据压缩,客户端保持活动,TCP缓冲以及来自服务器的静态和动态内容的缓存。这提高了服务器场中的服务器的性能,从而加快了应用程序的速度。 NetScaler支持多种透明TCP优化,可缓解由高延迟和拥塞的网络链路引起的问题,加速应用程序的交付,同时不需要对客户端或服务器进行任何配置更改。
策略定义NetScaler上的流量过滤和管理的特定详细信息。它由两部分组成:表达式和动作。表达式定义策略匹配的请求类型。该操作告诉NetScaler当请求与表达式匹配时该做什么。例如,表达式可能是将特定的URL模式与一种类型的安全攻击相匹配,操作是删除或重置连接。每个策略具有优先级,并且优先级确定策略被评估的顺序。
当NetScaler接收流量时,相应的策略列表确定如何处理流量。列表中的每个策略都包含一个或多个表达式,这些表达式一起定义连接必须满足的条件才能匹配策略。
对于除了重写策略之外的所有策略类型,NetScaler仅实现请求匹配的第一个策略,而不是其可能匹配的任何其他策略。对于重写策略,NetScaler按顺序评估策略,并且在多个匹配的情况下,按照该顺序执行关联的操作。策略优先级对于获得所需的结果很重要。
处理特征的顺序
根据需要,您可以选择配置多个功能。例如,您可以选择同时配置压缩和SSL分流。结果,输出的包可能被压缩,然后在被发送到客户端之前被加密。
下图显示了NetScaler中的L7数据包流
下面的图显示了NetScaler DataStream数据的数据包流。DataStream数据支持MySQL和MS SQL数据库。DataStream数据特性的信息,请参阅”数据流”。
数据流数据包流程图
NetScaler设备驻留在客户端和服务器之间,以便客户端请求和服务器响应通过它。在典型安装中,设备上配置的虚拟服务器提供客户端用于访问设备后面的应用程序的连接点。在这种情况下,设备拥有与其虚拟服务器相关联的公共IP地址,而真实服务器在专用网络中隔离。还可以以透明模式操作设备作为L2网桥或L3路由器,或者甚至组合这些和其他模式的方面。
逻辑上驻留在客户端和服务器之间的NetScaler设备可以以两种物理模式中的一种部署:内联和单臂。在内联模式下,多个网络接口连接到不同的以太网段,设备放置在客户端和服务器之间。设备具有到每个客户端网络的单独的网络接口和到每个服务器网络的单独的网络接口。在此配置中,设备和服务器可以位于不同的子网上。服务器可以位于公共网络中,客户端可以通过设备直接访问服务器,设备透明地应用L4-L7功能。通常,虚拟服务器(稍后描述)被配置为提供真实服务器的抽象服务。下图显示了典型的内联部署。
图1.内联部署
在单臂模式下,设备的仅一个网络接口连接到以太网段。 在这种情况下,设备不会隔离网络的客户端和服务器端,但通过配置的虚拟服务器提供对应用程序的访问。 单臂模式可以简化在某些环境中安装NetScaler所需的网络更改。
有关内联(双臂)和单臂部署的示例,请参见”了解常见网络拓扑”。
用作L2设备的NetScaler被称为L2模式。在L2模式下,当满足以下所有条件时,NetScaler在网络接口之间转发数据包:
默认情况下,所有网络接口都是预定义VLAN(VLAN 1)的成员。地址解析协议(ARP)请求和响应将转发到属于同一VLAN的所有网络接口。为了避免桥接环路,如果另一个L2设备与NetScaler并行工作,则必须禁用L2模式。
有关L2和L3模式如何交互的信息,请参见”配置数据包转发模式”。
有关配置L2模式的信息,请参见”启用和禁用第2层模式”。
NetScaler设备可以充当数据包转发设备,并且此操作模式称为L3模式。启用L3模式后,如果存在到目的地的路由,设备将转发任何接收到的目的地为不属于设备的IP地址的单播数据包。设备还可以在VLAN之间路由数据包。
在L2和L3两种模式下的操作,设备通常丢弃的包:
有关L2和L3模式如何交互的信息,请参见”配置数据包转发模式”。
有关配置L3模式的信息,请参见”启用和禁用第3层模式”。
NetScaler设备通常部署在服务器场的前面,用作客户端和服务器之间的透明TCP代理,而不需要任何客户端配置。这种基本操作模式称为请求交换技术,是NetScaler功能的核心。请求切换使设备能够复用和分流TCP连接,保持持久连接并在请求(应用层)级别管理流量。这是可能的,因为设备可以将HTTP请求与传递请求的TCP连接分离。
根据配置,设备可能会在将请求转发到服务器之前处理流量。例如,如果客户端尝试访问服务器上的安全应用程序,则设备可能会在向服务器发送流量之前执行必要的SSL处理。
为了促进对服务器资源的有效和安全访问,设备使用一组称为NetScaler-owned IP的IP地址。要管理网络流量,请将NetScaler-owned IP的IP地址分配给成为配置基础的虚拟实体。例如,要配置负载平衡,请创建虚拟服务器以接收客户端请求,并将其分发到服务,这些服务是表示服务器上应用程序的实体。
要作为代理,NetScaler设备使用各种IP地址。NetScaler-owned IP地址是:
NetScaler IP(NSIP)地址
NSIP地址是用于管理和一般系统访问设备本身的IP地址,以及用于高可用性配置中设备之间的通信的IP地址。
虚拟服务器的IP(VIP)地址
VIP地址是与虚拟服务器关联的IP地址。它是客户端连接的公共IP地址。管理大范围流量的设备可能配置了许多VIP。
子网IP(SNIP)地址
SNIP地址用于连接管理和服务器监视。您可以为每个子网指定多个SNIP地址。 SNIP地址可以绑定到VLAN。
IP集
IP集是一组IP地址,在设备上配置为SNIP。IP集合被识别为具有有意义的名称,其有助于识别其中包含使用的IP地址。
网络配置文件
网络配置文件(或网络配置文件)包含IP地址或IP集。网络配置文件可以绑定到负载平衡或内容交换虚拟服务器,服务,服务组或监视器。在与物理服务器或对等体通信期间,设备使用配置文件中指定的地址作为源IP地址。
由于NetScaler设备作为TCP代理,它会在将数据包发送到服务器之前转换IP地址。配置虚拟服务器时,客户端连接到NetScaler上的VIP地址,而不是直接连接到服务器。由虚拟服务器上的设置确定,设备选择适当的服务器并将客户端的请求发送到该服务器。默认情况下,设备使用SNIP地址与服务器建立连接,如下图所示。
图1.基于虚拟服务器的连接
在没有虚拟服务器的情况下,当设备接收到请求时,它会透明地将请求转发到服务器。这被称为透明操作模式。当在透明模式下操作时,设备将传入客户端请求的源IP地址转换为SNIP地址,但不更改目标IP地址。要使此模式工作,必须适当地配置L2或L3模式。
对于服务器需要实际客户端IP地址的情况,设备可以配置为通过将客户端IP地址插入为附加字段来修改HTTP头,或者配置为使用客户端IP地址而不是SNIP地址来连接服务器。
NetScaler设备的配置通常由一系列虚拟实体构成,这些虚拟实体用作流量管理的构建块。构建块方法有助于分离业务流。虚拟实体是抽象,通常表示用于处理流量的IP地址,端口和协议处理程序。客户端通过这些虚拟实体访问应用程序和资源。最常用的实体是虚拟服务器和服务。虚拟服务器表示服务器场或远程网络中的服务器组,并且服务表示每个服务器上的特定应用程序。
大多数功能和流量设置都是通过虚拟实体启用的。例如,您可以将设备配置为将所有服务器响应压缩到通过特定虚拟服务器连接到服务器场的客户端。要为特定环境配置设备,您需要确定适当的功能,然后选择正确的虚拟实体组合来交付。大多数功能通过彼此绑定的级联的虚拟实体传递。在这种情况下,虚拟实体像被组装到所传送的应用的最终结构中的块。您可以添加,删除,修改,绑定,启用和禁用虚拟实体来配置功能。下图显示了本节中介绍的概念。
图2.流量管理模块如何工作
在下图所示的示例中,NetScaler设备被配置为充当负载平衡器。对于此配置,您需要配置特定于负载平衡的虚拟实体,并按特定顺序绑定它们。作为负载平衡器,设备在多个服务器上分发客户端请求,从而优化资源的利用率。
典型负载平衡配置的基本构建块是服务和负载平衡虚拟服务器。服务表示服务器上的应用程序。虚拟服务器通过提供客户端连接的单个IP地址来抽象服务器。要确保将客户端请求发送到服务器,您需要将每个服务绑定到虚拟服务器。也就是说,您必须为每个服务器创建服务并将服务绑定到虚拟服务器。客户端使用VIP地址连接到NetScaler设备。当设备接收到发送到VIP地址的客户端请求时,它将它们发送到由负载平衡算法确定的服务器。负载平衡使用称为监视器的虚拟实体来跟踪特定配置的服务(服务器加应用程序)是否可用于接收请求。
图3.负载平衡虚拟服务器,服务和监视器
除了配置负载平衡算法之外,您还可以配置影响负载平衡配置的行为和性能的多个参数。例如,您可以配置虚拟服务器以根据源IP地址维护持久性。设备然后会将来自任何特定IP地址的所有请求定向到同一服务器。
虚拟服务器是一个名为NetScaler的实体,外部客户端可以使用它来访问托管在服务器上的应用程序。它由字母数字名称,虚拟IP(VIP)地址,端口和协议表示。虚拟服务器的名称仅具有本地意义,并且旨在使虚拟服务器更容易识别。当客户端尝试访问服务器上的应用程序时,它会向VIP发送请求,而不是物理服务器的IP地址。当设备在VIP地址处接收到请求时,它会终止虚拟服务器上的连接,并代表客户端使用自己与服务器的连接。虚拟服务器的端口和协议设置确定虚拟服务器表示的应用程序。例如,web服务器可以由虚拟服务器和其端口和协议分别设置为80和HTTP的服务表示。多个虚拟服务器可以使用相同的VIP地址,但使用不同的协议和端口。
虚拟服务器是提供功能的点。大多数功能(如压缩,缓存和SSL卸载)通常在虚拟服务器上启用。当设备在VIP地址处接收到请求时,它通过接收请求的端口及其协议选择适当的虚拟服务器。然后,设备会根据虚拟服务器上配置的功能处理请求。
在大多数情况下,虚拟服务器与服务一起工作。您可以将多个服务绑定到虚拟服务器。这些服务表示在服务器场中的物理服务器上运行的应用程序。在设备处理在VIP地址处接收的请求之后,它将它们转发到由虚拟服务器上配置的负载均衡算法所确定的服务器。下图说明了这些概念。
图4.具有单个VIP地址的多个虚拟服务器
上图显示了由两个虚拟服务器组成的配置,这两个虚拟服务器具有公共VIP地址,但具有不同的端口和协议。每个虚拟服务器都有两个绑定到它的服务。服务s1和s2被绑定到VS_HTTP并且表示服务器1和服务器2上的HTTP应用。服务s3和s4被绑定到VS_SSL并且表示服务器2和服务器3上的SSL应用(服务器2提供HTTP和SSL应用)。当设备在VIP地址收到HTTP请求时,它会按照VS_HTTP的设置处理请求,并将其发送到服务器1或服务器2.同样,当设备在VIP地址收到HTTPS请求时,它会由VS_SSL的设置处理它,并将其发送到服务器2或服务器3。
虚拟服务器不总是由特定的IP地址,端口号或协议表示。它们可以由通配符表示,在这种情况下,它们被称为通配符虚拟服务器。例如,当您使用通配符(而不是VIP)配置虚拟服务器,但使用特定端口号时,设备会拦截并处理符合该协议并且发往预定义端口的所有流量。对于具有通配符而不是VIP和端口号的虚拟服务器,设备会拦截和处理符合协议的所有流量。
虚拟服务器可以分为以下类别:
负载平衡虚拟服务器
接收请求并将请求重定向到相应的服务器。适当的服务器的选择基于用户配置的各种负载平衡方法中的哪一种。
缓存重定向虚拟服务器
将动态内容的客户端请求重定向到源服务器,并向缓存服务器请求静态内容。缓存重定向虚拟服务器通常与负载平衡虚拟服务器配合使用。
内容交换虚拟服务器
基于客户端请求的内容将流量定向到服务器。例如,您可以创建内容切换虚拟服务器,将所有客户端图像请求定向到仅提供图像的服务器。内容交换虚拟服务器通常与负载平衡虚拟服务器结合使用。
虚拟专用网(VPN)虚拟服务器
解密隧道流量并将其发送到Intranet应用程序。
SSL虚拟服务器
接收和解密SSL流量,然后重定向到相应的服务器。选择适当的服务器类似于选择负载平衡虚拟服务器。
服务表示服务器上的应用程序。虽然服务通常与虚拟服务器相结合,但在没有虚拟服务器的情况下,服务仍然可以管理特定于应用程序的流量。例如,您可以在NetScaler设备上创建HTTP服务以表示Web服务器应用程序。当客户端尝试访问托管在Web服务器上的网站时,设备拦截HTTP请求并创建与Web服务器的透明连接。
在仅服务模式下,设备充当代理。它终止客户端连接,使用SNIP地址建立与服务器的连接,并将传入客户端请求的源IP地址转换为SNIP地址。尽管客户端直接向服务器的IP地址发送请求,但服务器将它们视为来自SNIP地址。设备转换IP地址,端口号和序列号。
服务也是应用功能的一个点。考虑SSL加速的例子。要使用此功能,您必须创建SSL服务并将SSL证书绑定到服务。当设备接收到HTTPS请求时,它将解密流量并以明文形式将其发送到服务器。在仅服务的情况下,只能配置一组有限的功能。
服务使用称为监视器的实体来跟踪应用程序的运行状况。每个服务都有一个默认监视器,它基于服务类型,绑定到它。根据监视器上配置的设置指定,设备定期向应用程序发送探针以确定其状态。如果探针失败,设备会将服务标记为关闭。在这种情况下,设备会使用适当的错误消息响应客户端请求,或重新路由由配置的负载平衡策略确定的请求。
Citrix NetScaler产品线通过交付优化互联网和专用网络的应用程序,将应用程序级安全性,优化和流量管理结合到单个集成设备中。您在服务器机房中安装NetScaler设备,并通过它将所有连接路由到您的托管服务器。您启用的NetScaler功能,然后您设置的策略将应用于传入和传出流量。
NetScaler可以集成到任何网络中,作为对现有负载均衡器,服务器,缓存和防火墙的补充。它不需要其他客户端或服务器端软件,并且可以使用基于Web的NetScaler基于GUI的GUI和CLI配置实用程序进行配置。
NetScaler设备有各种规格的硬件平台,包括多核处理器。
NetScaler操作系统是所有NetScaler硬件平台的基本操作系统。 NetScaler操作系统有三个版本:Standard,Enterprise和Platinum。
NetScaler硬件提供各种具有一系列硬件规格的平台,包括多核处理器。所有硬件平台支持快速以太网,千兆以太网和10千兆以太网接口的某些组合。
以下平台适用于NetScaler。
Citrix NetScaler MPX 5500
Citrix NetScaler MPX 5550/5650
Citrix NetScaler MPX 7500/9500
Citrix NetScaler MPX 8200/8400/8600
Citrix NetScaler MPX 9700/10500/12500/15500
Citrix NetScaler MPX 11500/13500/14500/16500/18500/20500
Citrix NetScaler MPX 15000
Citrix NetScaler MPX 17000
Citrix NetScaler MPX 17500/19500/21500
Citrix NetScaler MPX 17550/19550/20550/21550
有关硬件平台规格的更多信息,请参见”硬件平台简介”。
下表列出了NetScaler及其可用的硬件平台的不同版本。
表1.产品版本和MPX硬件平台
| Hardware | MPX 5500 | MPX 5550/5650 | MPX 7500/9500 | MPX 8200/8400/8600 | MPX 15000 | MPX 17000 |
| Platinum Edition | Yes | Yes | Yes | Yes | Yes | Yes |
| Enterprise Edition | Yes | Yes | Yes | Yes | Yes | Yes |
| Standard Edition | Yes | Yes | Yes | Yes | Yes | Yes |
表2.产品版本和MPX硬件平台(续)
| Hardware | MPX 9700/10500/12500/15500 | MPX 11500/13500/14500/16500/18500/20500 | MPX 17500/19500/21500 | MPX 17550/19550/20550/21550 | MPX 22040/22060/22080/22100/22120 |
| Platinum Edition | Yes | Yes | Yes | Yes | Yes |
| Enterprise Edition | Yes | Yes | Yes | Yes | Yes |
| Standard Edition | Yes | Yes | Yes | Yes | Yes |
NetScaler操作系统有标准版,企业版和白金版。企业版和标准版的功能受限。所有版本都需要功能许可证。
有关如何获取和安装许可证的说明,请参见”http://support.citrix.com/article/ctx121062″。
Citrix NetScaler版本描述如下:
Citrix NetScaler,标准版。为中小型企业提供全面的第4层第7层(L4-L7)流量管理,从而提高Web应用程序的可用性。
Citrix NetScaler,企业版。提供Web应用程序加速和高级L4-L7流量管理,使企业能够提高Web应用程序性能和可用性,并降低数据中心成本。
Citrix NetScaler,白金版。提供Web应用程序交付解决方案,降低数据中心成本,加快应用程序性能,实现应用程序性能的端到端可见性,并提供高级应用程序安全性。
下表总结了Citrix NetScaler产品系列中每个版本支持的功能:
表3. Citrix NetScaler应用交付产品线功能
| 主要特点 | 白金版 | 企业版 | 标准版 |
| 应用程序可用性 |
|
|
|
| 第4层负载平衡 | Yes | Yes | Yes |
| 第7层内容切换 | Yes | Yes | Yes |
| AppExpert速率控制 | Yes | Yes | Yes |
| IPv6支持 | Yes | Yes | Yes |
| 全局服务器负载平衡(GSLB) | Yes | Yes | 可选 |
| 动态路由协议 | Yes | Yes | No |
| 浪涌保护 | Yes | Yes | No |
| 优先级排队 | Yes | Yes | No |
| 应用程序加速 |
|
|
|
| 客户端和服务器TCP优化 | Yes | Yes | Yes |
| Citrix App压缩 for HTTP | Yes | Yes | 可选 |
| Citrix App缓存 | Yes | 可选 | No |
| Citrix Branch中继客户端 | Yes | No | No |
| 应用程序安全 |
|
|
|
| 第4层DoS防御 | Yes | Yes | Yes |
| 第7层内容过滤 | Yes | Yes | Yes |
| HTTP / URL重写 | Yes | Yes | Yes |
| NetScaler Gateway, EE SSL VPN | Yes | Yes | Yes |
| 第7层DoS防御 | Yes | Yes | No |
| AAA安全 | Yes | Yes | No |
| 具有XML安全性的应用程序防火墙 | Yes | 可选 | No |
| 简单的可管理性 |
|
|
|
| AppExpert可视化策略构建器 | Yes | Yes | Yes |
| AppExpert服务标注 | Yes | Yes | Yes |
| AppExpert模板 | Yes | Yes | Yes |
| 基于角色的管理 | Yes | Yes | Yes |
| 配置向导 | Yes | Yes | Yes |
| Citrix命令中心 | Yes | Yes | No |
| Citrix 性能监控 for NetScaler | Yes | 可选 | No |
| Web 2.0 优化 |
|
|
|
| 丰富的互联网应用程序支持 | Yes | Yes | Yes |
| 高级服务器分流 | Yes | Yes | No |
| 降低总体拥有成本(TCO) |
|
|
|
| TCP 缓冲 | Yes | Yes | Yes |
| TCP 复用 | Yes | Yes | Yes |
| SSL分流和加速 | Yes | Yes | Yes |
| 缓存重定向 | Yes | Yes | No |
| Citrix EasyCall | Yes | No | No |
注意:虽然我们在编译此信息时已注意确保绝对精确度,但它可能会更改。 有关最新信息,请参阅Citrix支持网站”http://www.citrix.com”。
下表列出了NetScaler MPX平台上支持的最早版本的NetScaler版本。
| Hardware | 软件版本 | Software Build # |
| MPX 5500 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 5550/5650 | 10.5 | All |
| 10.1 | All | |
| 10.0 | 71.6.nc and later | |
| 9.3 | 59.5.nc and later | |
| MPX 7500/9500 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 8005/8015 | 10.5 | All |
| 10.1 | 122.17.nc and later | |
| 9.3 | 65.8.nc and later | |
| MPX 8200/8400/8600 | 10.5 | All |
| 10.1 | All | |
| 10.0 | 70.7.nc and later | |
| 9.3 | 58.5.nc and later | |
| MPX 9700/10500/12500 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 9700/10500/12500 10G | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 15500 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 15500 10G | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 11500/13500/14500/16500/18500/20500 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | 52.3.nc and later | |
| MPX 11515/11520/11530/11540/11542 | 10.5 | All |
| 10.1 | 123.11.nc and later | |
| 9.3 | 65.8.nc and later | |
| MPX 15000 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 17000 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 17500/19500/21500 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | All | |
| MPX 17550/19550/20550/21550 | 10.5 | All |
| 10.1 | All | |
| 10.0 | All | |
| 9.3 | 53.5.nc and later | |
| MPX 22040/22060/22080/22100/22120 | 10.5 | 51.10.nc and later |
| 10.1 | 123.11.nc and later | |
| 9.3 | 65.8.nc and later | |
| MPX 24100/24150 | 10.5 | 51.10.nc and later |
| 10.1 | 129.11.nc and later |
要访问配置实用程序和仪表板,工作站必须安装受支持的Web浏览器和版本1.6或更高版本的Java Applet插件。
| Operating System | Browser | Versions |
| Windows 7 | Internet Explorer | 8, 9, 10, and 11 |
| Mozilla Firefox | 3.6.25 and above | |
| Google Chrome | Latest | |
| Windows 64 bit | Internet Explorer | 8, 9, 10, and 11 |
| Google Chrome | Latest | |
| MAC | Mozilla Firefox | 3.6.25 and above |
| Safari | 5.1.3 and above | |
| Google Chrome | Latest |
在安装NetScaler设备之前,请查看预安装清单。 NetScaler通常安装在机架中,所有型号都随机架式硬件一起提供。 除7000以外的所有型号支持小型可插拔SFP,XFP或SFP+ 收发器。 安装设备并安装收发器后,将NetScaler连接到网络。 使用控制台电缆将NetScaler连接到个人计算机,以便可以执行初始配置。 连接其他设备后,将NetScaler连接到电源。
本文档包括以下内容:
注意:本节适用于MPX 8005/8015/8200/8400/8600/8800,MPX 9700/10500/12500/15500,MPX 11500/13500/14500/16500/18500/20500,MPX 11515/11520/11530/11540 / 11542,MPX 22040/22060/22080/22100/22120和MPX 24100/24150器具。
小型可插拔(SFP)是一种紧凑型收发器,可以以高达每秒1千兆比特的速度工作,并且可提供铜缆和光纤类型。插入1G SFP铜缆收发器将1G SFP端口转换为1000BASE-T端口。插入1G SFP光纤收发器将1G SFP端口转换为1000BASE-X端口。默认情况下,在插入1G SFP收发器的1G SFP端口上启用自动协商。一旦端口和网络之间的链路建立,速度和模式在电缆的两端匹配。
注意:1G SFP收发器可从版本9.3 build 47.5和更高版本在使用e1k接口的NetScaler设备上热插拔。
以下平台支持1G SPF收发器:
注意:NetScaler设备不支持来自Citrix Systems以外的供应商的1G SFP收发器。尝试在NetScaler设备上安装第三方1G SFP收发器将导致保修失效。
将1G SFP收发器插入设备前面板上的1G SFP端口。频繁安装和拆卸收发器会缩短其使用寿命。请小心遵守拆卸程序,以免损坏1G SFP收发器或设备。
注意:不要在连接电缆的情况下安装收发器。否则可能会损坏电缆,连接器或收发器的光接口。
危险:请勿直视光纤收发器或电缆。他们发射激光束,可以损害你的眼睛。
注意:下图中的图示可能不代表您的实际设备。
图1.安装1G SFP收发器
危险:请勿直视光纤收发器或电缆。他们发射激光束,可以损害你的眼睛。
注意:本节适用于MPX 8005/8015/8200/8400/8600/8800,MPX 9700/10500/12500/15500,MPX 15000,MPX 17000,MPX 11500/13500/14500/16500/18500/20500,MPX 11515 / 11520/11530/11540/11542,MPX 14000,MPX 17500/19500/21500,MPX 17550/19550/20550/21550,MPX 22040/22060/22080/22100/22120,MPX 24100/24150和MPX 25100T / 25160T设备。
10千兆小型可插拔(XFP或SFP +)是一种紧凑型光收发器,可以以高达每秒10千兆位的速度工作。 MPX 15000和MPX 17000设备使用XFP收发器和MPX 8005/8015/8200/8400/8600/8800,MPX 9700/10500/12500/15500,MPX 11500/13500/14500/16500/18500/20500,MPX 17500 / 19500/21500,MPX 17550/19550/20550/21550,MPX 22040/22060/22080/22100/22120和MPX 24100/24150设备使用10G SFP +收发器。默认情况下,在插入XFP / 10G SFP +收发器的XFP / 10G SFP +端口上启用自动协商。一旦端口和网络之间的链路建立,模式在电缆的两端匹配,并且对于10G SFP +收发器,速度也被自动协商。
注意:XFP收发器不能在NetScaler设备上热插拔。插入XFP收发器后,必须重新启动NetScaler设备。
但是,10G SFP +收发器可从版本9.3 build 57.5和更高版本在使用ixgbe(ix)接口的NetScaler设备上热插拔。
以下平台支持10G SPF +收发器:
以下平台支持XFP收发器:
注意:NetScaler设备不支持Citrix Systems以外的供应商提供的XFP / 10G SFP +收发器。尝试在NetScaler设备上安装第三方XFP / 10G SFP +收发器将导致保修失效。
将XFP / 10G SFP +收发器插入设备前面板上的XFP / 10G SFP +端口。频繁安装和拆卸收发器会缩短其使用寿命。请小心遵守拆卸程序,以免损坏收发器或本产品。
注意:不要在连接电缆的情况下安装收发器。否则可能会损坏电缆,连接器或收发器的光接口。
危险:请勿直视光纤收发器和电缆。他们发射激光束,可以损害你的眼睛。
图1.锁定XFP收发器
危险:请勿直视光纤收发器或电缆。 他们发射激光束,可以损害你的眼睛。
4.将收发器上的防尘盖放回原位。
5. 将XFP / 10G SFP +收发器放入原来的盒子或另一个适当的容器。
当设备牢固安装在机架上时,您可以准备连接电缆。以太网电缆和可选的控制台电缆首先连接。最后连接电源线。
危险:在安装或维修设备之前,请清除可能与电源或电线接触的所有首饰和其他金属物体。当您触摸带电电源或电线和接地时,任何金属物体都会迅速升温,引起灼伤,将衣服灼伤或将金属物体熔接到暴露的终端。
以太网电缆将设备连接到网络。所需的电缆类型取决于用于连接到网络的端口类型。在10/100 / 1000BASE-T端口或1G SFP铜缆收发器上使用带有标准RJ-45连接器的5e类或6类以太网电缆。使用带有1G SFP光纤收发器,10G SFP +或XFP收发器的LC双工连接器的光纤电缆。光纤电缆另一端的连接器类型取决于要连接的设备的端口。
图1.插入以太网电缆
您可以使用控制台电缆将设备连接到计算机或终端,从中可以配置设备。或者,您可以使用连接到网络的计算机。在连接控制台电缆之前,将计算机或终端配置为支持VT100终端仿真,9600波特,8个数据位,1个停止位,奇偶校验和流控制设置为NONE。然后将控制台电缆的一端连接到设备上的RS232串行端口,另一端连接到计算机或终端。
图2.插入控制台电缆
注意:要使用带RJ-45转换器的电缆,请将提供的可选转换器插入控制台端口,并将电缆连接到控制台端口。
MPX 5500,MPX 5550/5650,MPX 7500/9500,MPX 8005/8015/8200/8400/8600/8800设备具有一根电源线。 所有其他设备都带有两根电源线,但如果只连接一根电源线,它们也可以工作,但MPX 22040/22060/22080/22100/22120和MPX 24100/24150平台除外,它们带有四根电源线,并且需要两根 电源线正常工作。 不需要单独的接地电缆,因为三插头提供接地。
图3.插入电源线
注意:MPX 9700/10500/12500/15500,MPX 11500/13500/14500/16500/18500/20500,MPX 11515/11520/11530/11540/11542,MPX 17500/19500/21500和MPX 17550/19550/20550 / 21550设备会在一个电源出现故障或仅将一根电源线连接到设备时发出高音警报。 要使警报静音,您可以按设备后面板上的小红色按钮。
NetScaler设备具有命令行界面(CLI)和图形用户界面(GUI)。 GUI包括用于配置设备的配置实用程序和称为Dashboard的统计实用程序。 对于初始访问,所有设备都附带默认NetScaler IP地址(NSIP)192.168.100.1和默认子网掩码255.255.0.0。 您可以在初始配置期间分配新的NSIP和关联的子网掩码。
NSIP在所有物理端口上均可访问。 NetScaler上的端口是主机端口,而不是交换机端口。
下表总结了可用的访问方法。
表1.用于访问NetScaler设备的方法
| 访问方法 | 端口 | 默认IP地址是否必需? |
| CLI | Console | N |
| CLI and GUI | Ethernet | Y |
您可以在本地访问CLI,通过将工作站连接到控制台端口,或通过从同一网络上的任何工作站通过安全shell(SSH)远程访问。
设备具有用于连接到计算机工作站的控制台端口。 要登录到设备,需要串行交叉电缆和带有终端仿真程序的工作站。
SSH协议是从同一网络上的任何工作站远程访问设备的首选远程访问方法。您可以使用SSH版本1(SSH1)或SSH版本2(SSH2)。
如果您没有可用的SSH客户端,则可以下载并安装以下任何SSH客户端程序:
多平台支持的开源软件。访问:
“http://www.chiark.greenend.org.uk/~sgtatham/putty/”
在Windows平台上支持的商业软件。访问:
http://www.vandyke.com/products/securecrt/
这些程序已经过Citrix NetScaler团队的测试,已验证它们能够与NetScaler设备正常工作。其他程序也可能正常工作,但尚未测试。
要验证SSH客户端是否正确安装,请使用它连接到网络上接受SSH连接的任何设备。
login as: nsroot
Using keyboard-interactive authentication.
Password:
Last login: Tue Jun 16 10:37:28 2009 from 10.102.29.9
Done
>
要点:HTTPS访问NetScaler配置实用程序需要证书 – 密钥对。在NetScaler ADC上,证书/密钥对自动绑定到内部服务。在MPX或SDX设备上,默认密钥大小为1024字节,在VPX实例上,默认密钥大小为512字节。但是,目前大多数浏览器不接受小于1024字节的密钥。因此,HTTPS会阻止对VPX配置实用程序的访问。
此外,如果许可证在MPX设备启动时不存在,并且稍后添加许可证并重新启动设备,则可能会丢失绑定的证书。
Citrix建议您在NetScaler ADC上安装至少1024字节的证书密钥对,以便HTTPS访问配置实用程序,并在启动ADC之前安装相应的许可证。
图形用户界面包括配置实用程序和称为Dashboard的统计实用程序,您可以通过连接到设备上以太网端口的工作站访问这些实用程序。如果计算机未安装受支持的Java插件,则该实用程序会在首次登录时提示您下载并安装该插件。如果自动安装失败,您可以在尝试登录配置实用程序或仪表板之前单独安装该插件。
运行GUI的工作站的系统要求如下:
您的工作站必须安装支持的Web浏览器和1.6或更高版本的Java Applet插件才能访问配置实用程序和仪表板。
支持以下浏览器
| Operating System | Browser | Versions |
| Windows 7 | Internet Explorer | 8, 9, 10, and 11 |
| Mozilla Firefox | 3.6.25 and above | |
| Google Chrome | Latest | |
| Windows 64 bit | Internet Explorer | 8, 9, 10, and 11 |
| Google Chrome | Latest | |
| MAC | Mozilla Firefox | 3.6.25 and above |
| Safari | 5.1.3 and above | |
| Google Chrome | Latest |
登录配置实用程序后,可以通过包含上下文相关帮助的图形界面配置设备。
如果计算机未安装受支持的Java插件,则首次登录设备时,配置实用程序将提示您下载并安装该插件。
注意:在安装Java 2 Runtime Environment之前,请确保已安装当前Java版本所需的所有必需的操作系统修补程序。
注意:如果在高可用性设置中有两个NetScaler设备,请确保不通过输入辅助NetScaler的IP地址访问GUI。如果这样做,并使用GUI配置辅助NetScaler,您的配置更改将不会应用于主NetScaler。
注意:如果工作站尚未安装支持的Java运行时插件版本,则NetScaler会提示您下载Java插件。下载完成后,将显示配置实用程序页面。
仪表板(统计实用程序)是一个基于浏览器的应用程序,它显示可在其上监视NetScaler性能的图表和表。
如果Java插件的自动安装失败,则可以在尝试登录到配置实用程序之前单独安装该插件。
注意:在安装Java 2 Runtime Environment之前,请确保已安装当前Java版本所需的全套所需操作系统修补程序。
多功能Citrix NetScaler,专用NetScaler Gateway企业版和专用Citrix NetScaler应用程序防火墙设备的初始配置相同。您可以使用以下任何接口来初始配置设备:
对于初始配置,请使用nsroot作为管理用户名和密码。要进行后续访问,请使用初始配置期间分配的密码。
如果要将两个NetScaler设备设置为高可用性对,请将一个设置为主要设备,另一个设置为辅助设备。
FIPS设备的配置过程与NetScaler MPX设备或NetScaler虚拟设备的过程略有不同。
要首次配置NetScaler设备(或NetScaler虚拟设备),您需要在与设备相同的网络上配置的管理计算机。
您必须将NetScaler IP(NSIP)地址分配为NetScaler设备的管理IP地址。 这是您访问NetScaler以进行配置,监视和其他管理任务的地址。 为NetScaler分配子网IP(SNIP)地址,以便与后端服务器通信。 指定用于标识NetScaler的主机名,DNS服务器解析域名的IP地址以及NetScaler所在的时区。
如果满足以下任何条件,向导将自动显示:
注意:NetScaler软件预配置有默认IP地址。 如果已分配为NSIP地址,请在Web浏览器中键入该地址。
首次安装设备时,可以使用设备前面板上的LCD键盘配置初始设置。 键盘与LCD显示模块交互,LCD显示模块也位于这些设备的前面板上。
注意:您可以使用LCD键盘在具有默认配置的新设备上进行初始配置。 配置文件(ns.conf)应包含以下命令和默认值。
set ns config –IPAddress 192.168.100.1 -netmask 255.255.0.0
下表说明了不同键的功能。
表1. LCD键功能
| Key | Function |
| < | 将光标向左移动一位数字。 |
| > | 将光标向右移动一位数。 |
| ^ | 增加光标下的数字。 |
| v | 减少光标下的数字。 |
| . | 如果没有更改值,则处理信息或终止配置。 |
要使用LCD键盘执行初始配置,请按”<“键。
系统将提示您按照该顺序输入子网掩码,NetScaler IP地址(NSIP)和网关。 子网掩码与NSIP和默认网关IP地址相关联。 NSIP是NetScaler设备的IPv4地址。 默认网关是路由器的IPv4地址,它将处理NetScaler无法路由的外部IP流量。 NSIP和默认网关应位于同一子网上。
如果输入子网掩码的有效值(例如255.255.255.224),系统将提示您输入IP地址。 同样,如果为IP地址输入有效的值,系统将提示您输入网关地址。 如果您输入的值无效,则会出现以下错误消息三秒钟,其中xxx.xxx.xxx.xxx是您输入的IP地址,后面是重新输入值的请求。
Invalid addr!
xxx.xxx.xxx.xxx
如果按ENTER(.)键而不更改任何数字,则软件认为用户退出请求。 以下信息将显示三秒钟。
Exiting menu...
xxx.xxx.xxx.xxx
如果输入的所有值都有效,则当按ENTER键时,将显示以下消息。
Values accepted,
Rebooting...
子网掩码,NSIP和网关值保存在配置文件中。
注意:有关部署高可用性(HA)的信息,请参见”http://support.citrix.com/proddocs/topic/ns-system-10-5-map/ns-nw-ha-cnfgrng-ha- con.html”。
首次安装设备时,可以使用串行控制台配置初始设置。使用串行控制台,您可以更改系统IP地址,创建子网或映射的IP地址,配置高级网络设置和更改时区。
注意:要查找设备上的串行控制台端口,请参阅”端口”中的”RS232串行控制台端口”。
注意:您可能必须按ENTER两次或三次,具体取决于您使用的终端程序。
注意:要防止攻击者破坏你将数据包发送到设备的能力,请选择企业网络上的不可路由IP地址作为设备IP地址。
您可以使用以下NetScaler命令替换步骤5和6。在NetScaler命令提示符下,键入:
set ns config -ipaddress<IPAddress> -netmask<subnetMask>
add ns ip<IPAddress> <subnetMask> -type<type>
add route<network> <netmask> <gateway>
set system user <userName> -password
save ns config
reboot
举例
set ns config -ipaddress 10.102.29.60 -netmask 255.255.255.0
add ns ip 10.102.29.61 255.255.255.0 -type snip
add route 0.0.0.0 0.0.0.0 10.102.29.1
set system user nsroot -password
Enter password: *****
Confirm password: *****
save ns config
reboot
您现在已完成设备的初始配置。要继续配置设备,请选择以下选项之一:
Citrix NetScaler.
如果要将设备配置为具有其他许可功能的标准NetScaler,请参阅”负载平衡”。
Citrix NetScaler应用程序防火墙.
如果要将设备配置为独立应用程序防火墙,请参阅”应用程序防火墙”。
NetScaler网关.
如果要将设备配置为NetScaler Gateway,请参阅”NetScaler Gateway 10.5″。
注意:有关部署高可用性(HA)的信息,请参阅”配置高可用性”。
您可以使用NITRO API配置NetScaler设备。 NITRO通过表示状态传输(REST)接口显示其功能。因此,NITRO应用程序可以用任何编程语言开发。此外,对于必须用Java或.NET或Python开发的应用程序,NITRO API通过作为公开的单独的软件开发工具包(SDK)来打包相关库。有关详细信息,请参阅NITRO API。
您可以在高可用性配置中部署两个NetScaler设备,其中一个单元主动接受连接并管理服务器,而辅助单元监视第一个NetScaler设备。主动接受连接和管理服务器的NetScaler称为主单元,而另一个称为高可用性配置中的辅助单元。如果主单元中存在故障,则辅助单元变为主单元并开始主动接受连接。
高可用性设备中的每个NetScaler通过发送周期性消息(称为心跳消息或运行状况检查)来监视对方,以确定对等节点的运行状况或状态。如果主单元的运行状况检查失败,则辅助单元将在特定时间段内重试连接。有关高可用性的详细信息,请参阅”高可用性”。如果重试在指定时间段结束时未成功,则辅助设备在称为故障切换的进程中接管主设备。下图显示了两种高可用性配置,一个处于单臂模式,另一个处于双臂模式。
图1.单臂模式下的高可用性
图2. 双臂模式下的高可用性
在单臂配置中,NS1和NS2以及服务器S1,S2和S3都连接到交换机。
在双臂配置中,NS1和NS2都连接到两个交换机。 服务器S1,S2和S3连接到第二交换机。 客户端和服务器之间的流量通过NS1或NS2。
要设置高可用性环境,请将一个NetScaler配置为主要,另一个配置为辅助。 在每个NetScalers上执行以下任务:
一个节点是一个对等NetScaler设备的逻辑表示。 它通过ID和NSIP来标识对等单元。 设备使用这些参数与对等体通信并跟踪其状态。 添加节点时,主要和辅助单元异步交换心跳消息。 节点ID是一个不能大于64的整数。
在命令提示符下,键入以下命令以添加节点并验证是否已添加节点:
举例
add HA node 0 10.102.29.170
Done
> show HA node 0
1) Node ID: 0
IP: 10.102.29.200 (NS200)
Node State: UP
Master State: Primary
SSL Card Status: UP
Hello Interval: 200 msecs
Dead Interval: 3 secs
Node in this Master State for: 1:0:41:50 (days:hrs:min:sec)
高可用性监视器是监视接口的虚拟实体。 您必须禁用未连接或用于流量的接口的监视器。 当在状态为DOWN的接口上启用监视器时,节点的状态变为NOT UP。 在高可用性配置中,进入NOT UP状态的主节点可能会导致高可用性故障转移。
在以下条件下,接口标记为DOWN:
在命令提示符下,键入以下命令以禁用未使用接口的高可用性监视器,并验证其是否已禁用:
举例
> set interface 1/8 -haMonitor OFF
Done
> show interface 1/8
Interface 1/8 (Gig Ethernet 10/100/1000 MBits) #2
flags=0x4000 <ENABLED, DOWN, down, autoneg, 802.1q>
MTU=1514, native vlan=1, MAC=00:d0:68:15:fd:3d, downtime 238h55m44s
Requested: media AUTO, speed AUTO, duplex AUTO, fctl OFF,
throughput 0
RX: Pkts(0) Bytes(0) Errs(0) Drops(0) Stalls(0)
TX: Pkts(0) Bytes(0) Errs(0) Drops(0) Stalls(0)
NIC: InDisc(0) OutDisc(0) Fctls(0) Stalls(0) Hangs(0) Muted(0)
Bandwidth thresholds are not set.
当为未使用的接口禁用高可用性监视器时,该接口的show interface命令的输出不包括”HAMON”。
HTTPS访问配置实用程序和安全远程过程调用需要证书 – 密钥对。 RPC节点是用于配置和会话信息的系统到系统通信的内部系统实体。每个设备上都存在一个RPC节点。此节点存储密码,根据联系设备提供的密码进行检查。要与其他NetScaler设备通信,每个设备都需要了解其他设备,包括如何在其他设备上进行身份验证。 RPC节点维护此信息,其中包括其他NetScaler设备的IP地址和用于在每个设备上进行身份验证的密码。
在NetScaler MPX设备和NetScaler虚拟设备上,证书/密钥对自动绑定到内部服务。在FIPS设备上,必须将证书/密钥对导入FIPS卡的硬件安全模块(HSM)中。为此,您必须配置FIPS卡,创建证书/密钥对,并将其绑定到内部服务。
import ssl fipskey serverkey –key ns-server.key –inform PEM
add certkey server –cert ns-server.cert –fipskey serverkey
bind ssl service nshttps-127.0.0.1-443 –certkeyname server
bind ssl service nshttps-::11-443 –certkeyname server
import ssl fipskey serverkey –key ns-server.key –inform PEM
add certkey server –cert ns-server.cert –fipskey serverkey
bind ssl service nsrpcs-127.0.0.1-3008 –certkeyname server
bind ssl service nskrpcs-127.0.0.1-3009 –certkeyname server
bind ssl service nsrpcs-::1l-3008 –certkeyname server
set ns rpcnode <IP address> –secure YES
如”物理部署模式”中所述,您可以在客户端和服务器之间内联部署Citrix NetScaler设备,也可以在单臂模式下部署。内联模式使用双臂拓扑,这是最常见的部署类型。
本文档包括以下内容:
在双臂拓扑中,一个网络接口连接到客户端网络,另一个网络接口连接到服务器网络,确保所有流量通过设备。此拓扑可能需要您重新连接硬件,并可能导致短暂的停机时间。双臂拓扑的基本变体是多个子网,通常具有在公共子网上的设备和在私有子网上的服务器,以及透明模式,其中设备和服务器在公共网络上。
最常用的拓扑之一是NetScaler设备在客户端和服务器之间内联,其中一个虚拟服务器配置为处理客户端请求。当客户端和服务器驻留在不同的子网上时,使用此配置。在大多数情况下,客户端和服务器分别驻留在公共子网和私有子网上。
例如,考虑以双臂模式部署的设备,用于管理服务器S1,S2和S3,在设备上配置类型为HTTP的虚拟服务器,以及在服务器上运行HTTP服务。服务器位于专用子网上,并且设备上配置了SNIP以与服务器通信。必须在设备上启用使用SNIP(USNIP)选项,以使其使用SNIP而不是MIP。
如下图所示,VIP位于公有子网217.60.10.0上,NSIP,服务器和SNIP位于私有子网192.168.100.0/24上。
图1.双臂模式,多子网的拓扑图
任务概述:以双臂模式部署具有多个子网的NetScaler设备
如果客户端需要直接访问服务器,而不使用中间虚拟服务器,请使用透明模式。服务器IP地址必须为公用,因为客户端需要能够访问它们。在下图所示的示例中,NetScaler设备放置在客户端和服务器之间,因此流量必须通过设备。您必须启用L2模式用于桥接数据包。 NSIP和MIP位于同一个公有子网,217.60.10.0/24。
图2.双臂,透明模式的拓扑图
任务概述:以双臂,透明模式部署NetScaler
单臂拓扑的两个基本变体是具有单个子网和具有多个子网。
当客户端和服务器位于同一子网时,您可以使用单臂拓扑与单个子网。例如,考虑以单臂模式部署以管理服务器S1,S2和S3的NetScaler。在NetScaler上配置HTTP类型的虚拟服务器,并且在服务器上运行HTTP服务。如下图所示,NetScaler IP地址(NSIP),映射IP地址(MIP)和服务器IP地址位于同一个公有子网217.60.10.0/24上。
图3.单臂模式,单子网的拓扑图
任务概述:在单臂模式下使用单个子网部署NetScaler
当客户端和服务器驻留在不同的子网上时,可以使用具有多个子网的单臂拓扑。例如,考虑以单臂模式部署以管理服务器S1,S2和S3的NetScaler设备,其中服务器连接到网络上的交换机SW1。在设备上配置类型为HTTP的虚拟服务器,并且HTTP服务在服务器上运行。这三个服务器在私有子网上,因此配置子网IP地址(SNIP)以与它们进行通信。必须启用使用子网IP地址(USNIP)选项,以使设备使用SNIP而不是MIP。如下图所示,虚拟IP地址(VIP)在公有子网217.60.10.0/24上; NSIP,SNIP和服务器IP地址位于专用子网192.168.100.0/24上。
图4.单臂模式,多子网的拓扑图
任务概述:以单臂模式部署具有多个子网的NetScaler设备
完成初始配置后,您可以配置设置以定义Citrix NetScaler设备的行为,并便于连接管理。您有多个选项可用于处理HTTP请求和响应。基于路由,桥接和基于MAC的转发模式可用于处理不寻址到NetScaler的数据包。您可以定义网络接口的特性,并可以聚合接口。为了防止定时问题,您可以将NetScaler时钟与网络时间协议(NTP)服务器同步。 NetScaler可以在各种DNS模式下运行,包括作为权威域名服务器(ADNS)。您可以为系统管理设置SNMP,并自定义系统事件的系统日志记录。部署前,请验证您的配置是否完整和正确。
本文档包括以下内容:
注意:除了上面列出的任务之外,您还可以配置Syslog日志记录。有关说明,请参阅”审核日志记录”。
系统设置的配置包括基本任务,例如配置HTTP端口以启用连接保持活动和服务器分流,设置每个服务器的最大连接数,以及设置每个连接的最大请求数。您可以在代理IP地址不合适的情况下启用客户端IP地址插入,并且可以更改HTTP cookie版本。
您还可以将NetScaler设备配置为在受控范围的端口上打开FTP连接,而不是临时端口进行数据连接。这提高了安全性,因为打开防火墙上的所有端口是不安全的。您可以将范围设置为1,024到64,000之间。
在部署之前,请通过验证检查表验证您的配置。要配置HTTP参数和FTP端口范围,请使用NetScaler配置实用程序。
您可以修改下表中描述的HTTP参数的类型。
表1. HTTP参数
| 参数类型 | 说明 |
| HTTP Port Information HTTP端口信息 | 受管服务器使用的Web服务器HTTP端口。如果指定端口,则设备会对目标端口与指定端口匹配的任何客户端请求执行请求切换。
注意:如果传入客户端请求不是发送到设备上特别配置的服务或虚拟服务器,则请求中的目标端口必须与其中一个全局配置的HTTP端口匹配。这允许设备执行连接保持活动和服务器分流。 |
| Limits 限制 | 每个受管服务器的最大连接数,以及通过每个连接发送的最大请求数。例如,如果将”Max Connections“设置为500,并且设备正在管理三台服务器,则它最多可以为三个服务器中的每一个打开最多500个连接。默认情况下,设备可以创建与其管理的任何服务器的无限数量的连接。要为每个连接指定无限数量的请求,请将最大请求数设置为0。
注意:如果使用Apache HTTP服务器,则必须将Max Connections设置为等于Apache httpd.conf文件中MaxClients参数的值。设置此参数对于其他Web服务器是可选的。 |
| Client IP Insertion 客户端IP插入 | 启用/禁用将客户端的IP地址插入HTTP请求标头。您可以在相邻文本框中为标题字段指定名称。当设备管理的Web服务器接收映射的IP地址或子网IP地址时,服务器将其标识为客户端的IP地址。一些应用程序需要客户端的IP地址用于记录目的或动态确定由Web服务器提供的内容。
您可以启用将实际客户端IP地址插入到从客户端发送到设备管理的一个,一些或所有服务器的HTTP头请求中。然后,您可以通过对服务器的一个小修改(使用Apache模块,ISAPI接口或NSAPI接口)访问插入的地址。 |
| Cookie Version Cookie版本 | 在虚拟服务器上配置COOKIEINSERT持久性时要使用的HTTP cookie版本。默认值,版本0,是Internet上最常见的类型。或者,您可以指定版本1。 |
| Requests/Responses 请求/响应 | 用于处理某些类型的请求的选项,以及启用/禁用HTTP错误响应的日志记录。 |
| Server Header Insertion 服务器标头插入 | 在NetScaler生成的HTTP响应中插入服务器头。 |
NetScaler设备可以路由或桥接不是设备拥有的IP地址的数据包(即IP地址不是NSIP,MIP,SNIP,配置的服务或配置的虚拟服务器)。 默认情况下,L3模式(路由)已启用,L2模式(桥接)已禁用,但您可以更改配置。 以下流程图显示设备如何评估数据包以及进程,路由,桥接或丢弃它们。
图1.第2层和第3层模式之间的交互
设备可以使用以下模式转发其接收的数据包:
第2层模式控制第2层转发(桥接)功能。您可以使用此模式将NetScaler设备配置为充当第2层设备,并桥接不是发往它的数据包。当启用此模式时,数据包不会转发到任何MAC地址,因为数据包可以到达设备的任何接口,每个接口都有自己的MAC地址。
禁用第2层模式(这是默认值)后,设备将丢弃未发往其MAC地址之一的数据包。如果另一个第2层设备与设备并行安装,则必须禁用第2层模式以防止桥接(第2层)环路。您可以使用配置实用程序或命令行启用第2层模式。
注意:设备不支持生成树协议。为了避免环路,如果启用L2模式,请勿将设备上的两个接口连接到同一广播域。
在命令提示符下,键入以下命令以启用/禁用第2层模式并验证其已启用/禁用:
举例
> enable ns mode l2
Done
> show ns mode
Mode Acronym Status
——- ——- ——
1) Fast Ramp FR ON
2) Layer 2 mode L2 ON
.
.
.
Done
>
> disable ns mode l2
Done
> show ns mode
Mode Acronym Status
——- ——- ——
1) Fast Ramp FR ON
2) Layer 2 mode L2 OFF
.
.
.
Done
>
三层模式控制三层转发功能。您可以使用此模式配置NetScaler设备,以查看其路由表并转发未发往它的数据包。启用了第3层模式(这是默认值)后,设备会执行路由表查找,并转发所有未指定给任何设备拥有的IP地址的数据包。如果禁用第3层模式,设备将删除这些数据包。
在命令提示符下,键入以下命令以启用/禁用第3层模式并验证其已启用/禁用:
举例
> enable ns mode l3
Done
> show ns mode
Mode Acronym Status
——- ——- ——
1) Fast Ramp FR ON
2) Layer 2 mode L2 OFF
.
.
.
9) Layer 3 mode (ip forwarding) L3 ON
.
.
.
Done
>
> disable ns mode l3
Done
> show ns mode
Mode Acronym Status
——- ——- ——
1) Fast Ramp FR ON
2) Layer 2 mode L2 OFF
.
.
.
9) Layer 3 mode (ip forwarding) L3 OFF
.
.
.
Done
>
您可以使用基于MAC的转发更有效地处理流量,并在转发数据包时避免多路由或ARP查找,因为NetScaler设备会记住源的MAC地址。为了避免多次查找,设备缓存执行ARP查找的每个连接的源MAC地址,并将数据返回到同一个MAC地址。
当您使用VPN设备时,基于MAC的转发非常有用,因为设备可以确保流经特定VPN的所有流量通过相同的VPN设备。
下图显示了基于MAC的转发过程。
图2.基于MAC的转发过程
当启用基于MAC的转发时,设备会缓存以下MAC地址:
当服务器通过设备响应时,设备将响应数据包的目标MAC地址设置为缓存的地址,以确保流量以对称方式流动,然后将响应转发到客户端。该过程绕过路由表查找和ARP查找功能。但是,当设备启动连接时,它将使用路由和ARP表进行查找功能。要启用基于MAC的转发,请使用配置实用程序或命令行。
一些部署要求传入和传出路径流经不同的路由器。在这些情况下,基于MAC的转发打破了拓扑设计。对于要求传入和传出路径流经不同路由器的全局服务器负载平衡(GSLB)站点,必须禁用基于MAC的转发,并将设备的默认路由器用作出局路由器。
禁用基于MAC的转发,并启用第2层或第3层连接,路由表可以为出站和入站连接指定单独的路由器。要禁用基于MAC的转发,请使用配置实用程序或命令行。
在命令提示符下,键入以下命令以启用/禁用基于MAC的转发模式,并验证其已启用/禁用:
举例
> enable ns mode mbf
Done
> show ns mode
Mode Acronym Status
——- ——- ——
1) Fast Ramp FR ON
2) Layer 2 mode L2 OFF
.
.
.
6) MAC-based forwarding MBF ON
.
.
.
Done
>
> disable ns mode mbf
Done
> show ns mode
Mode Acronym Status
——- ——- ——
1) Fast Ramp FR ON
2) Layer 2 mode L2 OFF
.
.
.
6) MAC-based forwarding MBF OFF
.
.
.
Done
>
NetScaler接口按插槽/端口符号编号。除了修改单个接口的特性外,还可以配置虚拟LAN,以限制流量到特定的主机组。您也可以将链接聚合到高速频道。
NetScaler支持(第2层)端口和IEEE802.1Q标记的虚拟LAN(VLAN)。当您需要限制流量到某些组站时,VLAN配置很有用。您可以使用IEEE 802.1q标记将网络接口配置为属于多个VLAN。
您可以将配置的VLAN绑定到IP子网。 NetScaler(如果它被配置为子网上的主机的默认路由器)然后在这些VLAN之间执行IP转发。 NetScaler支持以下类型的VLAN。
默认VLAN
默认情况下,NetScaler上的网络接口包括在单个基于端口的VLAN中作为未标记的网络接口。此默认VLAN的VID为1,并永久存在。它不能被删除,它的VID不能被改变。
基于端口的VLAN
共享公共,独占,第2层广播域的一组网络接口定义基于端口的VLAN的成员资格。可以配置多个基于端口的VLAN。将接口作为未标记成员添加到新VLAN时,会自动从默认VLAN中删除。
标记VLAN
网络接口可以是VLAN的已标记或未标记的成员。每个网络接口是仅一个VLAN(其本地VLAN)的未标记成员。未标记的网络接口将本地VLAN的帧转发为未标记的帧。标记的网络接口可以是多个VLAN的一部分。配置标记时,请确保链接的两端都具有匹配的VLAN设置。您可以使用配置实用程序定义标记VLAN(nsvlan),可以将任何端口绑定为VLAN的已标记成员。配置此VLAN需要重新启动NetScaler,因此必须在初始网络配置期间完成。
链路聚合将来自多个端口的传入数据组合成单个高速链路。配置链路聚合通道可提高NetScaler与其他连接设备之间的通信通道的容量和可用性。聚合链路也被称为信道。
当网络接口绑定到通道时,通道参数优先于网络接口参数。网络接口只能绑定到一个通道。将网络接口绑定到链路聚合通道会更改VLAN配置。也就是说,将网络接口绑定到通道会将它们从原来属于的VLAN中删除,并将它们添加到默认VLAN。但是,您可以将该通道绑定到旧VLAN或新的VLAN。例如,如果已将网络接口1/2和1/3绑定到ID为2的VLAN,然后将它们绑定到链路聚合信道LA / 1,则网络接口将移动到默认VLAN,但您可以绑定他们到VLAN 2。
注意:您还可以使用链路聚合控制协议(LACP)配置链路聚合。有关详细信息,请参见”使用链路聚合控制协议配置链路聚合”。
您可以配置NetScaler设备以使其本地时钟与网络时间协议(NTP)服务器同步。这确保其时钟具有与网络上其他服务器相同的日期和时间设置。 NTP使用用户数据报协议(UDP)端口123作为其传输层。您必须在NTP配置文件中添加NTP服务器,以便设备定期从这些服务器获取更新。
如果您没有本地NTP服务器,您可以在官方NTP网站(http://www.ntp.org)找到公开,开放访问的NTP服务器的列表。
restrict localhost
restrict 127.0.0.2
仅当您要将设备作为时间服务器运行时,才需要这些条目。但是,NetScaler不支持此功能。
此条目启动ntpd服务,检查ntp.conf文件,并在/ var / log目录中记录消息。
注意:如果NetScaler和时间服务器之间的时间差大于1000秒,则ntpd服务将终止并向NetScaler日志发送消息。要避免这种情况,您需要使用-g选项启动ntpd,这会强制同步时间。在/nsconfig/rc.netscaler中添加以下条目:
/usr/sbin/ntpd -g -c /nsconfig/ntp.conf -l /var/log/ntpd.log &
如果你不想强制同步时间,当有很大的差异,你可以手动设置日期,然后再次启动ntpd。您可以通过在shell中运行以下命令来检查设备和时间服务器之间的时间差:
ntpdate -q <IP address or domain name of the NTP server>
注意:如果要在重新启动设备之前开始时间同步,请在shell提示符处输入以下命令(您在步骤5中添加到rc.netscaler文件中):
/usr/sbin/ntpd -c /nsconfig/ntp.conf -l /var/log/ ntpd.log &
您可以将NetScaler设备配置为充当授权域名服务器(ADNS),DNS代理服务器,结束解析器或转发器。您可以添加DNS资源记录,例如SRV记录,AAAA记录,A记录,MX记录,NS记录,CNAME记录,PTR记录和SOA记录。此外,设备可以平衡外部DNS服务器上的负载。
通常的做法是将设备配置为转发器。对于此配置,您需要添加外部名称服务器。添加外部服务器后,应验证配置是否正确。
您可以添加,删除,启用和禁用外部名称服务器。您可以通过指定其IP地址来创建名称服务器,也可以将现有的虚拟服务器配置为名称服务器。
添加名称服务器时,您可以指定IP地址或虚拟IP地址(VIP)。如果使用IP地址,设备将按循环方式将请求负载平衡到已配置的名称服务器。如果使用VIP,您可以指定任何负载平衡方法。
在命令提示符下,键入以下命令以添加名称服务器并验证配置:
举例
> add dns nameServer 10.102.29.10
Done
> show dns nameServer 10.102.29.10
1) 10.102.29.10 - State: DOWN
Done
>
在外部计算机上运行的简单网络管理协议(SNMP)网络管理应用程序在NetScaler上查询SNMP代理。 代理在管理信息库(MIB)中搜索网络管理应用请求的数据,并将数据发送到应用。
SNMP监视使用陷阱消息和警报。 SNMP陷阱消息是代理生成的异步事件,用于指示由报警指示的异常情况。 例如,如果要在CPU利用率高于90%时通知您,可以为该条件设置警报。 下图显示了具有启用和配置了SNMP的NetScaler的网络。
图1. NetScaler上的SNMP
NetScaler上的SNMP代理支持SNMP版本1(SNMPv1),SNMP版本2(SNMPv2)和SNMP版本3(SNMPv3)。因为它在双语模式下运行,代理可以处理SNMPv2查询,例如Get-Bulk和SNMPv1查询。 SNMP代理还发送符合SNMPv2的陷阱,并支持SNMPv2数据类型,例如counter64。 SNMPv1管理器(在从NetScaler请求SNMP信息的其他服务器上的程序)在处理SNMP查询时使用NS-MIB-smiv1.mib文件。 SNMPv2管理器使用NS-MIB-smiv2.mib文件。
NetScaler支持以下企业特定的MIB:
标准MIB-2组的子集
提供MIB-2组SYSTEM,IF,ICMP,UDP和SNMP。
系统企业MIB
提供系统特定的配置和统计信息。
要配置SNMP,请指定哪些管理器可以查询SNMP代理,添加将接收SNMP陷阱消息的SNMP陷阱侦听器,以及配置SNMP警报。
您可以配置运行符合SNMP版本1,2或3的管理应用程序的工作站以访问设备。这样的工作站称为SNMP管理器。如果未在设备上指定SNMP管理器,则设备会接受并响应网络上所有IP地址的SNMP查询。如果配置一个或多个SNMP管理器,则设备仅接受并响应来自这些特定IP地址的SNMP查询。指定SNMP管理器的IP地址时,可以使用netmask参数授予来自整个子网的访问权限。最多可以添加100个SNMP管理器或网络。
在命令提示符下,键入以下命令以添加SNMP管理器并验证配置:
举例
> add snmp manager 10.102.29.5 -netmask 255.255.255.255
Done
> show snmp manager 10.102.29.5
1) 10.102.29.5 255.255.255.255
Done
>
配置警报后,需要指定设备将发送陷阱消息的陷阱侦听器。除了指定参数,如IP地址和陷阱侦听器的目标端口,您可以指定陷阱的类型(通用或特定)和SNMP版本。
您可以配置最多20个陷阱侦听器以接收通用或特定陷阱。
在命令提示符下,键入以下命令以添加SNMP陷阱并验证是否已添加:
举例
> add snmp trap specific 10.102.29.3
Done
> show snmp trap
Type DestinationIP DestinationPort Version SourceIP Min-Severity Community
---- ------------- --------------- ------- -------- ------------ ---------
generic 10.102.29.9 162 V2 NetScaler IP N/A public
generic 10.102.29.5 162 V2 NetScaler IP N/A public
generic 10.102.120.101 162 V2 NetScaler IP N/A public
.
.
.
specific 10.102.29.3 162 V2 NetScaler IP - public
Done
>
您可以配置警报,以便在发生与其中一个警报相对应的事件时设备生成陷阱消息。配置告警包括启用告警和设置生成陷阱的严重性级别。有五个严重性级别:关键,主要,次要,警告和信息。只有当警报的严重性与为陷阱指定的严重性匹配时,才会发送陷阱。
默认情况下启用某些报警。如果禁用SNMP警报,则设备在发生相应事件时不会生成陷阱消息。例如,如果禁用登录失败SNMP警报,则设备在登录失败时不会生成陷阱消息。
在命令提示符下,键入以下命令以启用或禁用警报,并验证其是否已启用或禁用:
举例
> set snmp alarm LOGIN-FAILURE -state ENABLED
Done
> show snmp alarm LOGIN-FAILURE
Alarm Alarm Threshold Normal Threshold Time State Severity Logging
----- --------------- ---------------- ---- -------- --------- --------
1) LOGIN-FAILURE N/A N/A N/A ENABLED - ENABLED
Done
>
在命令提示符下,键入以下命令以设置警报的严重性,并验证严重性已正确设置:
举例
> set snmp alarm LOGIN-FAILURE -severity Major
Done
> show snmp alarm LOGIN-FAILURE
Alarm Alarm Threshold Normal Threshold Time State Severity Logging
----- --------------- ---------------- ---- -------- --------- --------
1) LOGIN-FAILURE N/A N/A N/A ENABLED Major ENABLED
Done
>
完成系统配置后,请完成以下检查列表以验证您的配置。
[] 62,000 [] 124,000 []
输入的路线为:
_________________________________________
如果NetScaler处于公共 – 专用拓扑中,则已配置反向NAT。
_________________________________________
_________________________________________
注意:NetScaler设备上的TCP空闲连接超时为360秒。如果防火墙上的超时也设置为300秒或更长,则设备可以有效地执行TCP连接复用,因为连接不会提前关闭。
为会话超时配置的值为:___________________
为保持活动超时配置的值为:___________________
_________________________________________
_________________________________________
已设置的MaxConn(最大连接数)值为:
_________________________________________
_________________________________________
启用或禁用的原因:
_________________________________________
启用或禁用的原因:
_________________________________________
启用或禁用的原因:
_________________________________________
更改或不更改的原因:
_________________________________________
注意:使用ping实用程序时,请确保ping服务器启用了ICMP ECHO,否则ping将无法成功。
已满足以下防火墙要求:
负载平衡功能通过多个服务器分配客户端请求,以优化资源利用率。在具有有限数量的服务器向大量客户端提供服务的现实世界场景中,服务器可能变得过载并且降低服务器场的性能。 Citrix NetScaler设备使用负载平衡标准,通过将每个客户端请求转发到最适合处理请求的服务器,以防止瓶颈到达时阻止瓶颈。
要配置负载平衡,请定义虚拟服务器以代理服务器场中的多个服务器,并在它们之间平衡负载。
当客户端发起到服务器的连接时,虚拟服务器终止客户端连接并发起与所选服务器的新连接,或重新使用与服务器的现有连接,以执行负载平衡。负载均衡功能提供从第4层(TCP和UDP)到第7层(FTP,HTTP和HTTPS)的流量管理。
NetScaler设备使用一些称为负载平衡方法的算法来确定如何在服务器之间分配负载。默认负载平衡方法是Least Connections方法。
典型的负载平衡部署包括下图中描述的实体。
图1.负载平衡架构
实体的功能如下:
要配置负载平衡,必须首先创建服务。然后,创建虚拟服务器并将服务绑定到虚拟服务器。默认情况下,NetScaler设备将监视器绑定到每个服务。绑定服务后,通过验证您的配置来确保所有的设置正确。
注意:部署配置后,您可以在统计中查看显示的实体如何执行的信息。使用统计实用程序或stat lb vserver <vserverName>命令。
(可选)您可以为服务分配权重。然后,负载平衡算法使用分配的权重来选择服务。但是,您可以限制可选任务配置一些基本持久性设置,对于必须保持与特定服务器的连接的会话以及一些基本配置保护设置。
以下流程图给出了配置任务的顺序。
图1.配置负载平衡的任务顺序
配置负载均衡功能之前,请确保负载均衡功能已使能。
在命令提示符下,键入以下命令以启用负载平衡并验证它是否已启用:
举例
> enable feature lb
Done
> show feature
Feature Acronym Status
——- ——- ——
1) Web Logging WL OFF
2) Surge Protection SP OFF
3) Load Balancing LB ON
.
.
.
9) SSL Offloading SSL ON
.
.
.
Done
识别要进行负载平衡的服务后,可以通过创建服务对象,创建负载平衡虚拟服务器并将服务对象绑定到虚拟服务器来实施初始负载平衡配置。
在命令提示符下,键入以下命令以实现和验证初始配置:
举例
> add service service-HTTP-1 10.102.29.5 HTTP 80
Done
> add lb vserver vserver-LB-1 HTTP 10.102.29.60 80
Done
> bind lb vserver vserver-LB-1 service-HTTP-1
Done
> show service bindings service-HTTP-1
service-HTTP-1 (10.102.29.5:80) – State : DOWN
1) vserver-LB-1 (10.102.29.60:80) – State : DOWN
Done
如果要保持由该虚拟服务器表示的服务器上的连接状态(例如,在电子商务中使用的连接),则必须在虚拟服务器上配置持久性。设备然后使用配置的负载平衡算法初始选择服务器,但将来自同一客户端的所有后续请求转发到该服务器。
如果配置了持久性,一旦选择了服务器,它将使用负载平衡算法。如果配置的持久性应用到了个于已关闭的服务,则设备将使用负载平衡算法来选择新服务,并且新服务来持久来自客户端的后续请求。如果所选服务处于”服务中止状态”状态,则它将继续为未完成的请求提供服务,但不接受新的请求或连接。在关闭周期过后,现有连接将关闭。下表列出了您可以配置的持久性类型。
表1.对同时持久连接数的限制
| 持久性类型 | 持久连接 |
| 源IP,SSL会话ID,规则,目的地址,源地址 | 250K |
| CookieInsert,URL被动,自定义服务器ID | 内存限制。 |
如果由于设备上缺少资源而无法保持配置的持久性,则负载平衡算法将用于服务器选择。 根据持久性类型,在配置的时间段内维持持久性。 某些持久性类型特定于某些虚拟服务器。 下表显示了关系。
表2.可用于每个虚拟服务器类型的持久性类型
| Persistence TypeHeader 1 | HTTP | HTTPS | TCP | UDP/IP | SSL_Bridge |
| Source IP | YES | YES | YES | YES | YES |
| CookieInsert | YES | YES | NO | NO | NO |
| SSL Session ID | NO | YES | NO | NO | YES |
| URL Passive | YES | YES | NO | NO | NO |
| Custom Server ID | YES | YES | NO | NO | NO |
| Rule | YES | YES | NO | NO | NO |
| SRCIPDESTIP | N/A | N/A | YES | YES | N/A |
| DESTIP | N/A | N/A | YES | YES | N/A |
您还可以为一组虚拟服务器指定持久性。在组上启用持久性时,无论组中的哪个虚拟服务器接收到客户端请求,客户端请求都会定向到同一个选定的服务器。当配置的持久性时间过去时,可以为传入客户机请求选择组中的任何虚拟服务器。
两种常用的持久性类型是基于Cookie的持久性和基于URL中的服务器ID的持久性。
当您根据Cookie启用持久性时,NetScaler会将HTTP Cookie添加到HTTP响应的Set-Cookie头字段中。 Cookie包含有关必须发送HTTP请求的服务的信息。客户端存储cookie并将其包括在所有后续请求中,NetScaler使用它为这些请求选择服务。您可以在类型为HTTP或HTTPS的虚拟服务器上使用此类型的持久性。
NetScaler插入cookie <NSC_XXXX>= <ServiceIP> <ServicePort>
NetScaler在插入Cookie时对ServiceIP和ServicePort进行加密,并在收到Cookie时对其进行解密。
注意:如果客户端不允许存储HTTP cookie,则后续请求没有HTTP cookie,并且不会保留持久性。
默认情况下,NetScaler发送HTTP cookie版本0,符合Netscape规范。它也可以发送版本1,符合RFC 2109。
您可以为基于HTTP Cookie的持久性配置超时值。请注意以下事项:
注意:目前安装的大多数客户端软件(Microsoft Internet Explorer和Netscape浏览器)都了解HTTP cookie版本0;然而,一些HTTP代理理解HTTP cookie版本1。
如果将超时值设置为0,则NetScaler不指定过期时间,而不考虑使用的HTTP cookie版本。过期时间取决于客户端软件,如果该软件关闭,这些cookie无效。此持久性类型不消耗任何系统资源。因此,它可以容纳无限数量的持久性客户端。
管理员可以使用下表中的过程更改HTTP cookie版本。
注意:有关参数的信息,请参阅”配置基于Cookie的持久性”。
在命令提示符下,键入以下命令以基于cookie配置持久性并验证配置:
举例
> set lb vserver vserver-LB-1 -persistenceType COOKIEINSERT
Done
> show lb vserver vserver-LB-1
vserver-LB-1 (10.102.29.60:80) – HTTP Type: ADDRESS
.
.
.
Persistence: COOKIEINSERT (version 0) Persistence Timeout: 2 min
.
.
.
Done
>
NetScaler可以基于URL中的服务器ID保持持久性。在称为URL被动持久性的技术中,NetScaler从服务器响应中提取服务器ID,并将其嵌入到客户端请求的URL查询中。服务器ID是指定为十六进制数的IP地址和端口。 NetScaler从后续客户端请求中提取服务器ID,并使用它来选择服务器。
URL被动持久性需要配置负载表达式或策略基础结构表达式,以指定客户端请求中服务器ID的位置。有关表达式的详细信息,请参阅”策略配置和参考”。
注意:如果无法从客户端请求中提取服务器ID,则服务器选择基于负载平衡算法。
示例:有效载荷表达式
表达式,URLQUERY包含sid =配置系统从客户机请求的URL查询中提取服务器ID,匹配后标记sid =。因此,具有URL http://www.citrix.com/index.asp?&sid;=c0a864100050的请求被定向到具有IP地址10.102.29.10和端口80的服务器。
超时值不会影响此类型的持久性,只要可以从客户端请求中提取服务器ID,就会保持此持久性。此持久性类型不消耗任何系统资源,因此它可以容纳无限数量的持久性客户端。
注意:有关参数的信息,请参阅”负载平衡”。
在命令提示符下,键入以下命令以基于URL中的服务器ID配置持久性,并验证配置:
举例
> set lb vserver vserver-LB-1 -persistenceType URLPASSIVE
Done
> show lb vserver vserver-LB-1
vserver-LB-1 (10.102.29.60:80) – HTTP Type: ADDRESS
.
.
.
Persistence: URLPASSIVE Persistence Timeout: 2 min
.
.
.
Done
>
您可以配置URL重定向以提供虚拟服务器故障的通知,如果主虚拟服务器不可用,您可以配置备份虚拟服务器以接管。
您可以配置重定向URL,以在HTTP或HTTPS类型的虚拟服务器关闭或禁用时通知设备的状态。此URL可以是本地链接或远程链接。设备使用HTTP 302重定向。
重定向可以是绝对URL或相对URL。如果配置的重定向网址包含绝对网址,则无论在传入HTTP请求中指定的网址如何,HTTP重定向都会发送到配置的位置。如果配置的重定向网址只包含域名(相对URL),则在将传入URL附加到重定向网址中配置的域后,HTTP重定向会发送到某个位置。
注意:如果负载平衡虚拟服务器配置了备份虚拟服务器和重定向URL,则备份虚拟服务器优先于重定向URL。在这种情况下,当主虚拟服务器和备份虚拟服务器都关闭时,将使用重定向。
配置虚拟服务器以使用命令行界面将客户端请求重定向到URL
在命令提示符下,键入以下命令以配置虚拟服务器将客户端请求重定向到URL并验证配置:
举例
> set lb vserver vserver-LB-1 -redirectURL http://www.newdomain.com/mysite/maintenance
Done
> show lb vserver vserver-LB-1
vserver-LB-1 (10.102.29.60:80) – HTTP Type: ADDRESS
State: DOWN
Last state change was at Wed Jun 17 08:56:34 2009 (+666 ms)
.
.
.
Redirect URL: http://www.newdomain.com/mysite/maintenance
.
.
.
Done
>
如果主虚拟服务器关闭或禁用,该设备可以直接连接或客户端请求转发该客户端流量到服务的备份虚拟服务器。设备还可以向站点发送关于站点中断或维护的通知消息。备份虚拟服务器是一个代理,对客户端是透明的。
您可以在创建虚拟服务器时或在更改现有虚拟服务器的可选参数时配置备份虚拟服务器。您还可以为现有备份虚拟服务器配置备份虚拟服务器,从而创建级联备份虚拟服务器。级联备份虚拟服务器的最大深度为10。设备是随访问虚拟服务器提供的内容来搜索备份服务器的。
您可以在主节点上配置URL重定向,以便在主虚拟服务器和备份虚拟服务器关闭或达到处理请求的阈值时使用。
注意:如果不存在备份虚拟服务器,则会显示错误消息,除非虚拟服务器配置了重定向URL。如果配置了备份虚拟服务器和重定向URL,则备份虚拟服务器优先。
在命令提示符下,键入以下命令以配置备份服务器并验证配置:
举例
> set lb vserver vserver-LB-1 -backupVserver vserver-LB-2
Done
> show lb vserver vserver-LB-1
vserver-LB-1 (10.102.29.60:80) – HTTP Type: ADDRESS
State: DOWN
Last state change was at Wed Jun 17 08:56:34 2009 (+661 ms)
.
.
.
Backup: vserver-LB-2
.
.
.
Done
>
注意:如果主服务器关闭并重新启动,并且希望备份虚拟服务器充当主服务器,直到您显式地重新建立主虚拟服务器,请选中”Disable Primary When Down “复选框。
在负载平衡设置中,NetScaler设备在逻辑上位于客户端和服务器场之间,它们管理到服务器的流量。
下图显示了基本负载平衡配置的拓扑。
图1.基本负载平衡拓扑
虚拟服务器选择服务并将其分配以提供客户端请求。 考虑上图中的场景,其中创建服务service-HTTP-1和service-HTTP-2并绑定到名为virtual server-LB-1的虚拟服务器。 虚拟服务器LB-1将客户端请求转发到service-HTTP-1或service-HTTP-2。 系统使用最小连接负载平衡算法为每个请求选择服务。 下表列出了必须在系统上配置的基本实体的名称和值。
表1. LB配置参数值
| 实体类型 | 必需的参数和样本值 | |||
| Name | IP Address | Port | Protocol | |
| Virtual Server | vserver-LB-1 | 10.102.29.60 | 80 | HTTP |
| Services | service-HTTP-1 | 10.102.29.5 | 8083 | HTTP |
| service-HTTP-2 | 10.102.29.6 | 80 | HTTP | |
| Monitors | Default | None | None | None |
下图显示了上表中描述的负载平衡示例值和必需参数。
图2.负载平衡实体模型
下表列出了用于通过使用命令行界面配置此负载平衡设置的命令。
表2.初始配置任务
| Task | Command |
| 启用负载平衡 | enable feature lb |
| 创建名为service-HTTP-1的服务 | add service service-HTTP-1 10.102.29.5 HTTP 80 |
| 创建名为service-HTTP-2的服务 | add service service-HTTP-2 10.102.29.6 HTTP 80 |
| 创建名为vserver-LB-1的虚拟服务器 | add lb vserver vserver-LB-1 HTTP 10.102.29.60 80 |
| 要将名为service-HTTP-1的服务绑定到名为vserver-LB-1的虚拟服务器 | bind lb vserver vserver-LB-1 service-HTTP-1 |
| 将名为service-HTTP-2的服务绑定到名为vserver-LB-1的虚拟服务器 | bind lb vserver vserver-LB-1 service-HTTP-2 |
有关初始配置任务的详细信息,请参阅”启用负载平衡”和”配置服务和Vserver”。
表3.验证任务
| Task | Command |
| 查看名为vserver-LB-1的虚拟服务器的属性 | show lb vserver vserver-LB-1 |
| 查看名为vserver-LB-1的虚拟服务器的统计信息 | stat lb vserver vserver-LB-1 |
| 要查看名为service-HTTP-1的服务的属性 | show service service-HTTP-1 |
| 查看名为service-HTTP-1的服务的统计信息 | stat service service-HTTP-1 |
| 查看名为service-HTTP-1的服务的绑定 | show service bindings service-HTTP-1 |
表4.自定义任务
| Task | Command |
| 在名为vserver-LB-1的虚拟服务器上配置持久性 | set lb vserver vserver-LB-1 -persistenceType SOURCEIP -persistenceMask 255.255.255.255 -timeout 2 |
| 在名为vserver-LB-1的虚拟服务器上配置COOKIEINSERT持久性 | set lb vserver vserver-LB-1 -persistenceType COOKIEINSERT |
| 在名为vserver-LB-1的虚拟服务器上配置URLPassive持久性 | set lb vserver vserver-LB-1 -persistenceType URLPASSIVE |
| 配置虚拟服务器以将客户机请求重定向到名为vserver-LB-1的虚拟服务器上的URL | set lb vserver vserver-LB-1 -redirectURL http://www.newdomain.com/mysite/maintenance |
| 在名为vserver-LB-1的虚拟服务器上设置备份虚拟服务器 | set lb vserver vserver-LB-1 -backupVserver vserver-LB-2 |
有关配置持久性的更多信息,请参阅”选择和配置持久性设置”。 有关配置虚拟服务器以将客户端请求重定向到URL和设置备份虚拟服务器的信息,请参阅”配置功能以保护负载平衡配置”。
压缩是优化带宽使用的流行手段,并且大多数web浏览器支持压缩数据。如果启用压缩功能,NetScaler设备拦截来自客户端的请求,并确定客户端是否可以接受压缩内容。在从服务器接收到HTTP响应之后,设备检查内容以确定其是否是可压缩的。如果内容是可压缩的,设备会压缩它,修改响应头以指示执行的压缩类型,并将压缩内容转发到客户端。
NetScaler压缩是基于策略的功能。策略过滤请求和响应以标识要压缩的响应,并指定要应用于每个响应的压缩类型。设备提供几种内置策略来压缩常见的MIME类型,如text / html,text / plain,text / xml,text / css,text / rtf,application / msword,application / vnd.ms-excel和application / vnd.ms-powerpoint。您还可以创建自定义策略。设备不会压缩压缩的MIME类型,例如应用程序/八位字节流,二进制,字节和压缩图像格式(如GIF和JPEG)。
要配置压缩,您必须在全局和每个将提供您想要压缩的响应的服务上启用它。如果已配置虚拟服务器以进行负载平衡或内容交换,则应将策略绑定到虚拟服务器。否则,策略将应用于通过设备的所有流量。
以下流程图显示了在负载平衡设置中配置基本压缩的任务顺序。
图1.配置压缩的任务序列
注意:上图中的步骤假设已经配置了负载平衡。
默认情况下,不启用压缩。 您必须启用压缩功能才能允许压缩发送到客户端的HTTP响应。
在命令提示符下,键入以下命令以启用压缩并验证配置:
> enable ns feature CMP
Done
> show ns feature
Feature Acronym Status
——- ——- ——
1) Web Logging WL ON
2) Surge Protection SP OFF
.
7) Compression Control CMP ON
8) Priority Queuing PQ OFF
.
Done
除了在全局启用压缩之外,还必须在将提供要压缩的文件的每个服务上启用压缩。
在命令提示符下,键入以下命令以启用服务上的压缩并验证配置:
举例
> show service SVC_HTTP1
SVC_HTTP1 (10.102.29.18:80) – HTTP
State: UP
Last state change was at Tue Jun 16 06:19:14 2009 (+737 ms)
Time since last state change: 0 days, 03:03:37.200
Server Name: 10.102.29.18
Server ID : 0 Monitor Threshold : 0
Max Conn: 0 Max Req: 0 Max Bandwidth: 0 kbits
Use Source IP: NO
Client Keepalive(CKA): NO
Access Down Service: NO
TCP Buffering(TCPB): NO
HTTP Compression(CMP): YES
Idle timeout: Client: 180 sec Server: 360 sec
Client IP: DISABLED
Cacheable: NO
SC: OFF
SP: OFF
Down state flush: ENABLED
1) Monitor Name: tcp-default
State: DOWN Weight: 1
Probes: 1095 Failed [Total: 1095 Current: 1095]
Last response: Failure – TCP syn sent, reset received.
Response Time: N/A
Done
如果将策略绑定到虚拟服务器,则该策略仅由与该虚拟服务器关联的服务评估。您可以从Configure Virtual Server (Load Balancing) 对话框或从 Compression Policy Manager对话框将压缩策略绑定到虚拟服务器。本主题包括通过使用Configure Virtual Server (Load Balancing) 对话框将压缩策略绑定到负载平衡虚拟服务器的说明。有关如何使用”Compression Policy Manager”对话框将压缩策略绑定到负载平衡虚拟服务器的信息,请参阅”使用策略管理器配置和绑定策略”。
在命令提示符下,键入以下命令以将压缩策略绑定或解除绑定到负载平衡虚拟服务器,并验证配置:
> bind lb vserver lbvip -policyName ns_cmp_msapp
Done
> show lb vserver lbvip
lbvip (8.7.6.6:80) – HTTP Type: ADDRESS
State: UP
Last state change was at Thu May 28 05:37:21 2009 (+685 ms)
Time since last state change: 19 days, 04:26:50.470
Effective State: UP
Client Idle Timeout: 180 sec
Down state flush: ENABLED
Disable Primary Vserver On Down : DISABLED
Port Rewrite : DISABLED
No. of Bound Services : 1 (Total) 1 (Active)
Configured Method: LEASTCONNECTION
Current Method: Round Robin, Reason: Bound service’s state changed to UP
Mode: IP
Persistence: NONE
Vserver IP and Port insertion: OFF
Push: DISABLED Push VServer:
Push Multi Clients: NO
Push Label Rule:
Bound Service Groups:
1) Group Name: Service-Group-1
1) Service-Group-1 (10.102.29.252: 80) – HTTP State: UP Weight: 1
1) Policy : ns_cmp_msapp Priority:0
Done
Citrix NetScaler SSL分流功能可透明地提高执行SSL事务的网站的性能。通过将CPU密集型SSL加密和解密任务从本地Web服务器分流到设备,SSL分流可确保Web应用程序的安全传送,而不会在服务器处理SSL数据时产生性能损失。一旦SSL流量被解密,它可以由所有标准服务处理。 SSL协议与各种类型的HTTP和TCP数据无缝地工作,并为使用这种数据的事务提供安全通道。
要配置SSL,您必须首先启用它。然后,在设备上配置HTTP或TCP服务和SSL虚拟服务器,并将服务绑定到虚拟服务器。您还必须添加证书/密钥对并将其绑定到SSL虚拟服务器。如果使用Outlook Web Access服务器,则必须创建操作以启用SSL支持和策略应用该操作。 SSL虚拟服务器拦截传入的加密流量,并使用协商的算法对其进行解密。然后,SSL虚拟服务器将解密的数据转发到设备上的其他实体以进行适当处理。
本文档包括以下内容:
要配置SSL,您必须首先启用它。 然后,您必须在NetScaler上创建SSL虚拟服务器和HTTP或TCP服务。 最后,您必须将有效的SSL证书和配置的服务绑定到SSL虚拟服务器。
SSL虚拟服务器拦截传入的加密流量,并使用协商的算法对其进行解密。 然后,SSL虚拟服务器将解密的数据转发到NetScaler上的其他实体以进行适当处理。
以下流程图显示了配置基本SSL分流设置的任务顺序。
图1.配置SSL卸载的任务序列
您应在配置SSL分流之前启用SSL功能。 您可以在设备上配置基于SSL的实体,但不启用SSL功能,但它们不会工作,直到您启用SSL。
在命令提示符下,键入以下命令以启用SSL分流并验证配置:
> enable ns feature ssl
Done
> show ns feature
Feature Acronym Status
——- ——- ——
1) Web Logging WL ON
2) SurgeProtection SP OFF
3) Load Balancing LB ON . . .
9) SSL Offloading SSL ON
10) Global Server Load Balancing GSLB ON . .
Done >
设备上的服务表示服务器上的应用程序。 配置后,服务处于禁用状态,直到设备可以到达网络上的服务器并监视其状态。 本主题介绍了创建HTTP服务的步骤。
注意:对于TCP流量,请执行此主题和以下主题中的过程,但创建的是TCP服务而不是HTTP服务。
在命令提示符下,键入以下命令以添加HTTP服务并验证配置:
> add service SVC_HTTP1 10.102.29.18 HTTP 80
Done
> show service SVC_HTTP1
SVC_HTTP1 (10.102.29.18:80) - HTTP
State: UP
Last state change was at Wed Jul 15 06:13:05 2009
Time since last state change: 0 days, 00:00:15.350
Server Name: 10.102.29.18
Server ID : 0 Monitor Threshold : 0
Max Conn: 0 Max Req: 0 Max Bandwidth: 0 kbits
Use Source IP: NO
Client Keepalive(CKA): NO
Access Down Service: NO
TCP Buffering(TCPB): NO
HTTP Compression(CMP): YES
Idle timeout: Client: 180 sec Server: 360 sec
Client IP: DISABLED
Cacheable: NO
SC: OFF
SP: OFF
Down state flush: ENABLED
1) Monitor Name: tcp-default
State: UP Weight: 1
Probes: 4 Failed [Total: 0 Current: 0]
Last response: Success - TCP syn+ack received.
Response Time: N/A
Done
在基本的SSL分流设置中,SSL虚拟服务器拦截加密的流量,对其进行解密,并将明文消息发送到绑定到虚拟服务器的服务。将CPU密集型SSL处理分流到设备允许后端服务器处理更多数量的请求。
在命令提示符下,键入以下命令以创建基于SSL的虚拟服务器并验证配置:
> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443
Done
> show lb vserver vserver-SSL-1
vserver-SSL-1 (10.102.29.50:443) – SSL Type: ADDRESS
State: DOWN[Certkey not bound] Last state change was at Tue Jun 16 06:33:08 2009 (+176 ms)
Time since last state change: 0 days, 00:03:44.120
Effective State: DOWN Client Idle Timeout: 180 sec
Down state flush: ENABLED
Disable Primary Vserver On Down : DISABLED
No. of Bound Services : 0 (Total) 0 (Active)
Configured Method: LEASTCONNECTION Mode: IP
Persistence: NONE
Vserver IP and Port insertion: OFF
Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule: Done
警告:要确保安全连接,必须先将有效的SSL证书绑定到基于SSL的虚拟服务器,然后再启用它。
警告:要确保安全连接,必须先将有效的SSL证书绑定到基于SSL的虚拟服务器,然后再启用它。
在解密传入数据后,SSL虚拟服务器将数据转发到您绑定到虚拟服务器的服务。
设备和服务器之间的数据传输可以加密或以明文形式进行。 如果设备和服务器之间的数据传输被加密,则整个事务从头到尾是安全的。 有关为端到端安全性配置系统的详细信息,请参阅”SSL分流和加速”。
在命令提示符下,键入以下命令将服务绑定到SSL虚拟服务器并验证配置:
> bind lb vserver vserver-SSL-1 SVC_HTTP1
Done
> show lb vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) – SSL Type:
ADDRESS State: DOWN[Certkey not bound]
Last state change was at Tue Jun 16 06:33:08 2009 (+174 ms)
Time since last state change: 0 days, 00:31:53.70
Effective State: DOWN Client Idle
Timeout: 180 sec
Down state flush: ENABLED Disable Primary Vserver On Down :
DISABLED No. of Bound Services : 1 (Total) 0 (Active)
Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP and
Port insertion: OFF Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule:
1) SVC_HTTP1 (10.102.29.18: 80) – HTTP
State: DOWN Weight: 1
Done
SSL证书是SSL密钥交换和加密/解密过程的一个组成部分。在SSL握手期间使用证书来建立SSL服务器的身份。您可以使用NetScaler设备上有效的现有SSL证书,也可以创建自己的SSL证书。设备支持高达4096位的RSA / DSA证书。
注意:Citrix建议您使用由受信任的证书颁发机构颁发的有效SSL证书。无效的证书和自创建的证书与所有SSL客户端不兼容。
在证书可用于SSL处理之前,必须将其与其相应的密钥配对。然后,证书密钥对将绑定到虚拟服务器,并用于SSL处理。
在命令提示符下,键入以下命令以创建证书密钥对并验证配置:
举例
> add ssl certKey CertKey-SSL-1 -cert ns-root.cert -key ns-root.key
Done
> show sslcertkey CertKey-SSL-1
Name: CertKey-SSL-1 Status: Valid,
Days to expiration:4811 Version: 3
Serial Number: 00 Signature Algorithm: md5WithRSAEncryption Issuer: C=US,ST=California,L=San
Jose,O=Citrix ANG,OU=NS Internal,CN=de fault
Validity Not Before: Oct 6 06:52:07 2006 GMT Not After : Aug 17 21:26:47 2022 GMT
Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault Public Key
Algorithm: rsaEncryption Public Key
size: 1024
Done
在将SSL证书与其对应的密钥配对之后,必须将证书密钥对绑定到SSL虚拟服务器,以便它可以用于SSL处理。 安全会话需要在客户端计算机和设备上基于SSL的虚拟服务器之间建立连接。 然后对虚拟服务器上的传入流量执行SSL处理。 因此,在设备上启用SSL虚拟服务器之前,需要将有效的SSL证书绑定到SSL虚拟服务器。
在命令提示符下,键入以下命令将SSL证书密钥对绑定到虚拟服务器并验证配置:
举例
> bind ssl vserver Vserver-SSL-1 -certkeyName CertKey-SSL-1
Done
> show ssl vserver Vserver-SSL-1
Advanced SSL configuration for VServer Vserver-SSL-1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: ENABLED
SSLv2 Redirect: ENABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: CertKey-SSL-1 Server Certificate
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
如果在NetScaler设备上使用Outlook Web Access(OWA)服务器,则必须将设备配置为在定向到OWA服务器的HTTP请求中插入特殊的头字段FRONT-END-HTTPS:ON,以便服务器生成URL链接为https://,而不是http://。
注意:您可以仅对基于HTTP的SSL虚拟服务器和服务启用OWA支持。您不能将其应用于基于TCP的SSL虚拟服务器和服务。
要配置OWA支持,请执行以下操作:
在启用Outlook Web Access(OWA)支持之前,必须创建SSL操作。 SSL操作绑定到SSL策略,并在传入数据与策略指定的规则匹配时触发。
在命令提示符下,键入以下命令以创建SSL操作以启用OWA支持并验证配置:
> add ssl action Action-SSL-OWA -OWASupport enabled
Done
> show SSL action Action-SSL-OWA
Name: Action-SSL-OWA
Data Insertion Action: OWA
Support: ENABLED
Done
通过使用策略基础结构创建SSL策略。 每个SSL策略都有一个绑定到它的SSL操作,并且当传入流量匹配策略中配置的规则时执行操作。
在命令提示符下,键入以下命令以配置SSL策略并验证配置:
> add ssl policy Policy-SSL-1 -rule ns_true -reqaction Action-SSL-OWA
Done
> show ssl policy Policy-SSL-1
Name: Policy-SSL-1 Rule: ns_true
Action: Action-SSL-OWA Hits: 0
Policy is bound to following entities
1) PRIORITY : 0
Done
为Outlook Web Access配置SSL策略后,将该策略绑定到将拦截传入Outlook流量的虚拟服务器。如果传入数据与SSL策略中配置的任何规则匹配,则触发策略并执行与其关联的操作。
在命令提示符下,键入以下命令将SSL策略绑定到SSL虚拟服务器并验证配置:
> bind ssl vserver Vserver-SSL-1 -policyName Policy-SSL-1
Done
> show ssl vserver Vserver-SSL-1
Advanced SSL configuration for VServer Vserver-SSL-1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: ENABLED
SSLv2 Redirect: ENABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: CertKey-SSL-1 Server Certificate
1) Policy Name: Policy-SSL-1
Priority: 0
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
>
Citrix NetScaler功能可以单独配置或组合配置以满足特定需求。 虽然一些功能适合多个类别,但是大量的NetScaler功能通常可以分为应用程序切换和流量管理功能,应用程序加速功能,应用程序安全和防火墙功能以及应用程序可见性功能。
要了解要素执行处理的顺序,请参阅”处理要素的顺序”。
本文档包括以下内容:
透明地从Web服务器分流SSL加密和解密,将服务器资源释放到服务内容请求。 SSL对应用程序的性能造成沉重的负担,并且可能导致许多优化措施无效。 SSL分流和加速功能可将Citrix请求交换技术的所有优势应用于SSL流量,确保Web应用程序的安全传送,而不会降低最终用户的性能。
有关详细信息,请参阅”SSL分流和加速”。
将传入数据包与访问控制列表(ACL)进行比较。如果报文与ACL规则匹配,则该规则中指定的动作将应用于该报文。否则,将应用默认操作(ALLOW),并正常处理数据包。要使设备将传入数据包与ACL进行比较,必须应用ACL。默认情况下启用所有ACL,但是必须应用它们才能使NetScaler对比输入数据包。如果不需要ACL查找一部分的数据表,但仍需要保留在配置中,则应在应用ACL之前禁用ACL。 NetScaler不会将传入数据包与禁用的ACL进行比较。
有关详细信息,请参阅”访问控制列表”。
负载平衡策略基于各种算法,包括循环,最小连接,加权最小带宽,加权最小分组,最小响应时间,以及基于URL,域源IP或目标IP的散列。支持TCP和UDP协议,因此NetScaler可以负载平衡使用这些协议作为底层运营商的所有流量(例如,HTTP,HTTPS,UDP,DNS,NNTP和一般防火墙流量)。此外,NetScaler可以基于源IP,cookie,服务器,组或SSL会话维持会话持久性。它允许用户将自定义扩展内容验证(ECV)应用于服务器,缓存,防火墙和其他基础设施设备,以确保这些系统正常运行,并为用户提供正确的内容。它还可以使用ping,TCP或HTTP URL执行运行状况检查,用户可以基于Perl脚本创建监视器。为了提供大规模WAN优化,部署在数据中心的CloudBridge设备可以通过NetScaler设备进行负载平衡。可以显着提高并发会话的带宽和数量。
有关详细信息,请参阅”负载平衡”。
流量域提供了在单个NetScaler设备中创建逻辑ADC分区的方法。它们使您能够为不同的应用程序分段网络流量。您可以使用流量域创建多个隔离环境,其资源不会相互交互。属于特定业务域的应用程序仅与实体通信,并处理该域内的流量。属于一个流量域的流量不能跨越另一个流量域的边界。因此,只要地址在同一域中不重复,您就可以在设备上使用重复的IP地址。
有关详细信息,请参阅”流量域”。
网络地址转换(NAT)涉及修改通过NetScaler设备的IP分组的源和/或目的地IP地址和/或TCP / UDP端口号。在设备上启用NAT可增强专用网络的安全性,并在数据通过NetScaler时通过修改网络的源IP地址来保护其免受公共网络(如Internet)的影响。
NetScaler设备支持以下类型的网络地址转换:
INAT-In入站NAT(INAT)中,NetScaler设备上配置的IP地址(通常为公用)代表服务器侦听连接请求。对于设备在公共IP地址上接收的请求数据包,NetScaler将目标IP地址替换为服务器的专用IP地址。换句话说,设备充当客户端和服务器之间的代理。 INAT配置包括INAT规则,它们定义NetScaler设备上的IP地址与服务器的IP地址之间的1:1关系。
RNAT-在反向网络地址转换(RNAT)中,对于由服务器启动的会话,NetScaler设备将服务器生成的数据包中的源IP地址替换为设备上配置的IP地址(类型SNIP)。设备从而防止服务器的IP地址暴露在由服务器生成的任何分组中。 RNAT配置涉及指定条件的RNAT规则。设备对符合条件的那些数据包执行RNAT处理。
无状态NAT46翻译(Stateless NAT46 Translation)-无状态NAT46通过IPv4到IPv6数据包转换(反之亦然)实现IPv4和IPv6网络之间的通信,而无需在NetScaler设备上维护任何会话信息。无状态NAT46配置涉及IPv4-IPv6 INAT规则和NAT46 IPv6前缀。
状态NAT64转换(Stateful NAT64 Translation)– 有状态NAT64功能通过IPv6到IPv4数据包转换(反之亦然),实现IPv4客户端和IPv6服务器之间的通信,同时保持NetScaler设备上的会话信息。有状态NAT64配置涉及NAT64规则和NAT64 IPv6前缀。
有关详细信息,请参阅”配置网络地址转换”。
NetScaler设备支持多路径TCP(MPTCP)。 MPTCP是一种TCP / IP协议扩展,它标识并使用主机之间可用的多个路径来维护TCP会话。您必须在TCP配置文件上启用MPTCP并将其绑定到虚拟服务器。启用MPTCP时,虚拟服务器用作MPTCP网关,并将与客户端的MPTCP连接转换为与服务器维护的TCP连接。
有关详细信息,请参见”MPTCP(多路径TCP)”。
根据配置的内容切换策略确定要向其发送请求的服务器。策略规则可以基于IP地址,URL和HTTP头。这允许基于用户和设备特性(例如,用户是谁,使用什么类型的代理以及用户请求什么内容)来进行切换决定。
有关详细信息,请参阅”内容切换”。
扩展NetScaler的流量管理功能,以包括分布式互联网站点和全球企业。无论安装是跨多个网络位置还是分布在单个位置的多个集群,NetScaler都会保持可用性并在其间分配流量。它做出智能DNS决策,以防止用户被发送到已关闭或过载的站点。当启用基于邻近的GSLB方法时,NetScaler可以根据客户端的本地DNS服务器(LDNS)与不同站点的邻近程度来做出负载平衡决策。基于邻近度的GSLB方法的主要益处是由于选择最接近的可用位点而产生的更快的响应时间。
有关详细信息,请参阅”全局服务器负载平衡”。
使路由器能够自动从邻居路由器获取拓扑信息,路由和IP地址。当启用动态路由时,相应的路由进程侦听路由更新并发布路由。路由过程也可以置于被动模式。路由协议使上游路由器能够使用等成本多路径技术将流量负载平衡到位于两个独立NetScaler单元上的相同虚拟服务器。
有关详细信息,请参阅”配置动态路由”。
负载平衡多个WAN链路并提供链路故障转移,进一步优化网络性能并确保业务连续性。通过应用智能流量控制和运行状况检查,在上游路由器上高效地分配流量,确保网络连接保持高度可用。根据策略和网络条件识别用于路由入站和出站流量的最佳WAN链路,并通过提供快速故障检测和故障转移来保护应用程序免受WAN或Internet链路故障的影响。
有关详细信息,请参阅”链路负载平衡”。
您可以使用TCP配置文件优化TCP流量。 TCP配置文件定义NetScaler虚拟服务器处理TCP流量的方式。管理员可以使用内置的TCP配置文件或配置自定义配置文件。定义TCP配置文件后,可以将其绑定到单个虚拟服务器或多个虚拟服务器。
TCP配置文件可以启用的一些关键优化功能包括:
有关TCP配置文件的详细信息,请参阅”配置TCP配置文件”。
提供对XenApp和XenDesktop资源(包括应用程序,内容和桌面)的访问。用户通过标准Web浏览器或使用Citrix XenApp插件访问资源。 Web Interface作为NetScaler设备上端口8080上的服务运行。要创建Web Interface站点,在NetScaler设备上的Apache Tomcat Web服务器版本6.0.26上执行Java。
注意:Web Interface仅在NetScaler nCore版本上受支持。
有关详细信息,请参阅”Web Interface”。
Citrix NetScaler CloudBridge连接器功能是Citrix OpenCloud框架的基本组成部分,是用于构建云扩展数据中心的工具。通过OpenCloud Bridge,您可以将云上的一个或多个NetScaler设备或NetScaler虚拟设备连接到网络,而无需重新配置网络。云托管应用程序显示为在一个连续的企业网络上运行。 OpenCloud Bridge的主要目的是使公司能够将其应用程序移动到云,同时降低成本和应用程序故障的风险。此外,OpenCloud Bridge增加了云环境中的网络安全性。 OpenCloud Bridge是将云实例上的NetScaler设备或NetScaler虚拟设备连接到LAN上的NetScaler设备或NetScaler虚拟设备的第2层网络桥接器。通过使用通用路由封装(GRE)协议的隧道进行连接。 GRE协议提供了用于封装来自各种网络协议的分组以通过另一协议转发的机制。然后,Internet协议安全(IPsec)协议组用于保护OpenCloud Bridge中的对等体之间的通信。
有关详细信息,请参阅”CloudBridge”。
NetScaler DataStream功能通过基于正在发送的SQL查询分发请求,为数据库层的请求切换提供了一种智能机制。
当部署在数据库服务器前面时,NetScaler确保来自应用程序服务器和Web服务器的流量的最佳分配。管理员可以根据SQL查询中的信息并基于数据库名称,用户名,字符集和数据包大小来划分流量。
您可以配置负载均衡以根据负载均衡算法切换请求,也可以通过配置内容切换以根据SQL查询参数(例如用户名,数据库名称和命令参数)做出决策来制定切换条件。您可以进一步配置监视器以跟踪数据库服务器的状态。
NetScaler设备上的高级策略基础结构包括可用于评估和处理请求的表达式。高级表达式评估与MySQL数据库服务器相关联的流量。您可以在高级策略中使用基于请求的表达式(以MYSQL.CLIENT和MYSQL.REQ开头的表达式),以在内容切换虚拟服务器绑定点和基于响应的表达式(以MYSQL.RES开头的表达式)上做出请求切换决策,以评估服务器对用户配置的运行状况监视器的响应。
注意:MySQL和MS SQL数据库支持DataStream。
有关详细信息,请参见”DataStream”。
使用gzip压缩协议为HTML和文本文件提供透明压缩。典型的4:1压缩比可使数据中心的带宽需求减少50%。它还显著提高最终用户响应时间,因为它减少了必须递送到用户的浏览器的数据量。
有关详细信息,请参阅”压缩”。
管理到逆向代理,透明代理或转发代理缓存场的流量流。检查所有请求,并标识不可缓存的请求,并通过持久连接将它们直接发送到源服务器。通过将不可缓存的请求智能地重定向回原始Web服务器,NetScaler设备释放缓存资源并增加缓存命中率,同时减少这些请求的总体带宽消耗和响应延迟。
有关详细信息,请参见”缓存重定向”。
通过为静态和动态内容提供快速的内存中HTTP / 1.1和HTTP / 1.0兼容的Web缓存,帮助优化Web内容和应用程序数据传输。即使在传入请求被保护或数据被压缩时,这个板载缓存也存储传入应用请求的结果,然后重新使用该数据以满足对相同信息的后续请求。通过直接从板载缓存提供数据,设备可以减少页面重新生成时间,无需向服务器提供静态和动态内容请求。
有关详细信息,请参阅”集成缓存”。
缓冲服务器的响应,并以客户端的速度将其传递到客户端,从而更快地分流服务器,从而提高网站的性能。
有关详细信息,请参阅”TCP缓冲”。
检测和阻止恶意分布式拒绝服务(DDoS)攻击和其他类型的恶意攻击,直到它们到达您的服务器,防止它们影响网络和应用程序性能。 NetScaler设备识别合法客户端并提高其优先级,使可疑客户端无法消耗不成比例的资源百分比,并使您的站点瘫痪。
该设备为以下类型的恶意攻击提供应用级保护:
设备通过防止为这些连接分配服务器资源,积极防御这些类型的攻击。这使服务器与与这些事件相关联的大量数据包隔离。
该设备还通过使用ICMP速率限制和积极的ICMP数据包检查来保护网络资源免受基于ICMP的攻击。它执行强IP重组,丢弃各种可疑和畸形的数据包,并对站点流量应用访问控制列表(ACL)以进一步保护。
有关详细信息,请参阅”HTTP拒绝服务保护”。
提供针对网站在第7层级的恶意攻击的保护。设备根据基于HTTP头的用户配置规则检查每个传入请求,并执行用户配置的操作。操作可以包括重置连接,删除请求或向用户的浏览器发送错误消息。这允许设备筛选不需要的请求,并减少服务器的攻击。
此功能还可以分析HTTP GET和POST请求并过滤掉已知的坏签名,从而允许它防御您的服务器基于HTTP的攻击。
有关详细信息,请参阅”内容过滤”。
功能类似高级过滤器,可用于生成从设备到客户端的响应。此功能的一些常见用途是生成重定向响应,用户定义的响应和重置。
有关详细信息,请参阅”响应程序”。
修改HTTP标头和正文文字。您可以使用重写功能将HTTP标头添加到HTTP请求或响应,修改单个HTTP标头或删除HTTP标头。它还允许您修改请求和响应中的HTTP主体。
当设备接收到请求或发送响应时,它会检查重写规则,如果存在适用的规则,它会将它们应用于请求或响应,然后再将其传递到Web服务器或客户端计算机。
有关详细信息,请参见”重写”。
优先化用户请求以确保在请求量浪涌期间首先服务最重要的流量。您可以根据请求网址,Cookie或其他各种因素确定优先级。设备根据其配置的优先级将请求放置在三层队列中,从而使关键业务事务即使在浪涌或站点攻击期间也能顺利流动。
有关详细信息,请参阅”优先级排队”。
调整用户对服务器请求的流量,并控制可以同时访问服务器上资源的用户数,一旦您的服务器达到其容量,就排队任何其他请求。通过控制可以建立连接的速率,设备阻止请求的浪涌传递到您的服务器,从而防止站点超载。
有关详细信息,请参阅”浪涌保护”。
NetScaler Gateway是一种安全的应用程序访问解决方案,为管理员提供精细的应用程序级策略和操作控制,以安全地访问应用程序和数据,同时允许用户从任何地方工作。它为IT管理员提供单点控制和工具,以帮助确保遵守法规和企业内外的最高级别的信息安全。与此同时,它还为用户提供了一个针对角色,设备和网络的优化的单点访问权限,以及他们所需要的企业应用程序和数据。这种独特的功能组合有助于最大限度地提高当今移动办公人员的工作效率。
有关详细信息,请参阅”NetScaler Gateway”。
通过过滤每个受保护的Web服务器和连接到该Web服务器上的任何网站的用户之间的流量,保护应用程序免受黑客和恶意软件的滥用,例如跨站点脚本攻击,缓冲区溢出攻击,SQL注入攻击和强制浏览。应用程序防火墙会检查所有流量,以获取对Web服务器安全性或Web服务器资源滥用的攻击的证据,并采取适当的措施防止这些攻击成功。
有关详细信息,请参阅”应用程序防火墙”。
NetScaler Insight Center是一种高性能收集器,可提供跨Web和HDX(ICA)流量的端到端用户体验可视性。它收集NetScaler ADC设备生成的HTTP和ICA AppFlow记录,并填充涵盖第3层到第7层统计信息的分析报告。 NetScaler Insight Center提供对最近五分钟的实时数据以及对最后一小时,一天,一周和一个月收集的历史数据的深入分析。
HDX(ICA)分析仪表板,使您能够深入HDX用户,应用,桌面,甚至网关级信息。类似地,HTTP分析提供了Web应用程序,访问的URL,客户端IP地址和服务器IP地址以及其他仪表板的鸟瞰图。管理员可以根据用例向下深入并识别任何这些仪表板的痛点。
支持基于最终用户体验的应用性能监控。此解决方案利用HTML注入功能获取各种时间值,由EdgeSight服务器用于分析和生成报告。 EdgeSight for NetScaler提供了一种监视NetScaler的性能优势并确定网络中潜在瓶颈的方法。
有关详细信息,请参见”EdgeSight Monitoring for NetScaler”。
Citrix NetScaler设备是数据中心中所有应用程序流量的中心控制点。它收集对于应用程序性能监视,分析和商业智能应用程序有价值的流和用户会话级信息。 AppFlow通过使用互联网协议流信息eXport(IPFIX)格式传输此信息,IPFIX格式是RFC 5101中定义的开放因特网工程任务组(IETF)标准.IPFIX(思科的NetFlow的标准版本)被广泛用于监视网络流信息。 AppFlow定义了新的信息元素来表示应用程序级信息。
使用UDP作为传输协议,AppFlow将收集的数据(称为流记录)传输到一个或多个IPv4收集器。收集器聚合流记录并生成实时或历史报告。
AppFlow在事务级别为HTTP,SSL,TCP和SSL_TCP流提供可见性。您可以对要监视的流类型进行抽样和过滤。
要限制要监视的流的类型,通过抽样和过滤应用程序流量,您可以为虚拟服务器启用AppFlow。 AppFlow还可以为虚拟服务器提供统计信息。
您还可以为表示应用程序服务器的特定服务启用AppFlow,并监控到该应用程序服务器的流量。
有关详细信息,请参阅”AppFlow”。
您的网站或应用程序的性能取决于您如何优化最常请求的内容的交付。诸如缓存和压缩等技术有助于加速向客户端提供服务,但您需要能够识别最频繁请求的资源,然后缓存或压缩这些资源。您可以通过聚合关于网站或应用程序流量的实时统计信息来识别最常用的资源。统计信息(例如资源相对于其他资源的访问频率以及这些资源消耗的带宽)有助于您确定是否需要缓存或压缩这些资源以提高服务器性能和网络利用率。响应时间和与应用程序的并发连接数等统计信息可帮助您确定是否必须增强服务器端资源。
如果网站或应用程序不频繁更改,您可以使用收集统计数据的产品,然后手动分析统计信息并优化内容的交付。但是,如果您不想执行手动优化,或者您的网站或应用程序本质上是动态的,您需要的基础设施不仅可以收集统计数据,还可以根据统计信息自动优化资源的传送。在NetScaler设备上,此功能由Stream Analytics功能提供。此功能在单个NetScaler设备上运行,并根据您定义的条件收集运行时统计信息。与NetScaler策略配合使用时,此功能还为您提供自动实时流量优化所需的基础架构。
有关详情,请参阅”流媒体分析”。
所有应用程序都有包含波峰和波谷的特定使用模式。这些负载变化在本质上可以是动态的,并且难以预测,因为它们取决于几个因素,固有的实例。云用户必须不断监控其应用程序群上的负载,并确保这些变化对最终用户的影响最小。在峰值使用期间,当应用程序组过载并且最终用户体验到显着的延迟时,他们必须部署额外的应用程序实例。在低谷期间,扩大的实例得不到充分利用。因此,他们可能需要删除其他实例或承担不必要的成本开销。在大多数情况下,他们必须手动执行这些任务。
如果您的组织使用Citrix CloudPlatform部署和管理云环境,用户可以使用CloudPlatform中的AutoScale功能与Citrix NetScaler设备结合,根据需要自动扩展其应用程序。 AutoScale功能是CloudPlatform中弹性负载平衡功能的一部分。 CloudPlatform用户可以使用AutoScale功能来指定用于向上和向下自动缩放应用程序组的各种条件的阈值。 CloudPlatform反过来配置NetScaler设备(通过使用NetScaler NITRO API)对应用程序虚拟机(VM)进行负载平衡流量,监控应用程序阈值和性能,并触发向上扩展和向下扩展操作以添加或删除VM到或从应用程序组。
作为NetScaler管理员,您不必执行任何在NetScaler设备上配置AutoScale的任务。但是,您可能必须了解某些先决条件,如果AutoScale配置中出现问题,您可能必须对配置进行故障排除。要对配置进行故障排除,您必须了解CloudPlatform如何工作以及CloudPlatform将何种配置推送到NetScaler设备。您还需要有关如何解决NetScaler设备上的问题的工作知识。
有关AutoScale的详细信息,请参阅”AutoScale:Citrix CloudPlatform环境中的自动缩放”。