Citrix ADC

Konfigurieren von Adminpartitionen

Wichtig

  • Nur Superuser sind berechtigt, Adminpartitionen zu erstellen und zu konfigurieren.
  • Sofern nicht anders angegeben, müssen Konfigurationen zum Einrichten einer Admin-Partition von der Standardpartition vorgenommen werden.

Durch die Partitionierung einer Citrix ADC Appliance erstellen Sie mehrere Instanzen einer einzelnen Citrix ADC-Appliance. Jede Instanz hat ihre eigenen Konfigurationen und der Datenverkehr jeder dieser Partitionen wird von der anderen isoliert, indem jeder Partition ein dediziertes VLAN oder ein gemeinsam genutztes VLAN zugewiesen wird.

Ein partitionierter Citrix ADC verfügt über eine Standardpartition und die erstellten Administratorpartitionen. Um eine Admin-Partition einzurichten, müssen Sie zunächst eine Partition mit den relevanten Ressourcen (Arbeitsspeicher, maximale Bandbreite und Verbindungen) erstellen. Geben Sie dann die Benutzer an, die auf die Partition zugreifen können, und die Berechtigungsebene für jeden Benutzer auf der Partition an.

Der Zugriff auf einen partitionierten Citrix ADC entspricht dem Zugriff auf einen nicht partitionierten Citrix ADC: über die NSIP-Adresse oder eine andere Verwaltungs-IP-Adresse. Als Benutzer werden Sie, nachdem Sie Ihre gültigen Anmeldeinformationen angegeben haben, zu der Partition weitergeleitet, an die Sie gebunden sind. Alle von Ihnen erstellten Konfigurationen werden auf dieser Partition gespeichert. Wenn Sie mehr als einer Partition zugeordnet sind, werden Sie zur ersten Partition weitergeleitet, der Sie zugeordnet wurden. Wenn Sie Entitäten auf einer der anderen Partitionen konfigurieren möchten, müssen Sie explizit zu dieser Partition wechseln.

Nachdem Sie auf die entsprechende Partition zugegriffen haben, werden die von Ihnen vorgenommenen Konfigurationen auf dieser Partition gespeichert und sind spezifisch für diese Partition.

Hinweis:

  • Citrix ADC -Superuser und andere Benutzer ohne Partition werden zur Standardpartition weitergeleitet.
  • Benutzer aller 512 Partitionen können sich gleichzeitig anmelden.

Tipp

Um über HTTPS auf eine partitionierte Citrix ADC Appliance zuzugreifen (mit aktiviertem Verwaltungszugriff), stellen Sie sicher, dass jede Partition über das Zertifikat ihres Partitionsadministrators verfügt. Innerhalb der Partition muss der Partitionsadministrator folgende Schritte ausführen:

  1. Fügen Sie das Zertifikat dem Citrix ADC hinzu.

    add ssl certKey ns-server-certificate -cert ns-server.cert -key ns-server.key

  2. Binden Sie es an einen Dienst namens nskrpcs-<SNIP>-3009, wobei <SNIP> durch die SNIP-Adresse ersetzt werdenmuss, in diesem Fall 100.10.10.1.

    • bind ssl service nskrpcs-100.10.10.1-3009
    • certkeyName** ns-server-certificate

Begrenzung der Partitionsressource

In einer partitionierten Citrix ADC Appliance kann ein Netzwerkadministrator eine Partition mit Partitionsressourcen wie Speicher, Bandbreite und Verbindungslimit erstellen, die als unbegrenzt konfiguriert sind. Dies geschieht durch Angabe von Null als Partitionsressourcenwert, wobei Null angibt, dass die Ressource auf der Partition unbegrenzt ist und bis zu Systemgrenzen verbraucht werden kann. Die Konfiguration der Partitionsressource ist nützlich, wenn Sie eine Datenverkehrsdomänenbereitstellung auf eine administrative Partition migrieren oder wenn Sie keine Kenntnis von der Ressourcenzuweisungsgrenze für eine Partition in einer bestimmten Bereitstellung haben.

Ressourcenlimit für eine administrative Partition ist wie folgt:

  1. Partitionsspeicher. Dies ist der maximal zugewiesene Speicher für eine Partition. Beim Erstellen einer Partition müssen Sie sicherstellen, dass die Werte angegeben werden.

    Hinweis:

    Ab NetScaler 12.0 können Sie beim Erstellen einer Partition die Speichergrenze auf Null festlegen. Wenn bereits eine Partition mit einem bestimmten Speicherlimit erstellt wurde, können Sie den Grenzwert auf einen beliebigen Wert reduzieren oder den Grenzwert als Null festlegen.

    Parameter: MaxMemLimit

    Maximaler Speicher wird in Megabyte in einer Partition zugewiesen. Ein Nullwert gibt an, dass der Speicher auf der Partition unbegrenzt ist und bis zu den Systemgrenzen verbraucht werden kann.

    Standardwert: 10

  2. Partitionsbandbreite. Maximale zugewiesene Bandbreite für eine Partition. Wenn Sie ein Limit angeben, stellen Sie sicher, dass es sich innerhalb des lizenzierten Durchsatzes der Appliance befindet. Andernfalls beschränken Sie nicht die Bandbreite, die von der Partition verwendet werden kann. Der angegebene Grenzwert ist für die Bandbreite verantwortlich, die die Anwendung benötigt. Wenn die Anwendungsbandbreite den angegebenen Grenzwert überschreitet, werden Pakete gelöscht.

    Hinweis:

    Wenn Sie eine Partition erstellen können, können Sie ab NetScaler 12.0 die Partitionsbandbreitengrenze auf Null festlegen. Wenn bereits eine Partition mit einer bestimmten Bandbreite erstellt wurde, können Sie die Bandbreite reduzieren oder den Grenzwert auf Null festlegen.

    Parameter: MaxBandWidth

    Die maximale Bandbreite wird in Kbps in einer Partition zugewiesen. Ein Nullwert gibt an, dass die Bandbreite uneingeschränkt ist. Das heißt, die Partition kann bis zu den Systemgrenzen verbrauchen.

    Standardwert: 10240

    Maximalwert: 4294967295

  3. Partitionsverbindung. Maximale Anzahl gleichzeitiger Verbindungen, die in einer Partition geöffnet werden können. Der Wert muss den maximalen gleichzeitigen Ablauf innerhalb der Partition aufnehmen. Die Partitionsverbindungen werden aus dem Partitionskontingentspeicher berücksichtigt. Zuvor wurden die Verbindungen aus dem Standard-Partitionskontingentspeicher berücksichtigt. Es wird nur auf der clientseitigen, nicht auf den Back-End-serverseitigen TCP-Verbindungen konfiguriert. Neue Verbindungen können nicht über diesen konfigurierten Wert hinaus hergestellt werden.

    Hinweis:

    Ab NetScaler 12.0 können Sie eine Partition mit der Anzahl offener Verbindungen auf Null erstellen. Wenn Sie bereits eine Partition mit einer bestimmten Anzahl offener Verbindungen erstellt haben, können Sie das Verbindungslimit reduzieren oder den Grenzwert auf Null festlegen.

    Parameter: MaxConnections

    Maximale Anzahl gleichzeitiger Verbindungen, die in der Partition geöffnet werden können. Ein Nullwert gibt keine Begrenzung für die Anzahl der offenen Verbindungen an.

    Standardwert: 1024

    Mindestwert: 0

    Maximalwert: 4294967295

Konfigurieren einer Admin-Partition

Führen Sie die folgenden Aufgaben aus, um eine Admin-Partition zu konfigurieren.

Zugriff auf eine Admin-Partition

So greifen Sie mit der Befehlszeilenschnittstelle auf eine Admin-Partition zu

  1. Melden Sie sich bei der Citrix ADC Appliance an.
  2. Überprüfen Sie, ob Sie sich in der richtigen Partition befinden. Die Eingabeaufforderung zeigt den Namen der aktuell ausgewählten Partition an.
  3. Wenn ja, fahren Sie mit dem nächsten Schritt fort.
  4. Wenn nein, erhalten Sie eine Liste der Partitionen, denen Sie zugeordnet sind, und wechseln Sie zur entsprechenden Partition.

    • show system user <username>
    • switch ns partition <partitionName>
  5. Jetzt können Sie die erforderlichen Konfigurationen genauso wie ein nicht partitioniertes Citrix ADC durchführen.

So greifen Sie mit dem Konfigurationsdienstprogramm auf eine Admin-Partition zu

  1. Melden Sie sich bei der Citrix ADC Appliance an.

  2. Überprüfen Sie, ob Sie sich in der richtigen Partition befinden. In der oberen Leiste der grafischen Benutzeroberfläche wird der Name der aktuell ausgewählten Partition angezeigt.

    • Wenn ja, fahren Sie mit dem nächsten Schritt fort.

    • Wenn nein, navigieren Sie zu Konfiguration > System > Administrative Partitionen > Partitionen, klicken Sie mit der rechten Maustaste auf die Partition, zu der Sie wechseln möchten, und wählen Sie Wechselnaus.

  3. Jetzt können Sie die erforderlichen Konfigurationen genauso wie ein nicht partitioniertes Citrix ADC durchführen.

Hinzufügen einer Admin-Partition

Der Root-Administrator fügt eine administrative Partition von der Standardpartition hinzu und bindet die Partition mit VLAN 2.

So erstellen Sie eine administrative Partition mit der Befehlszeilenschnittstelle**

Geben Sie an der Eingabeaufforderung Folgendes ein:

<partitionname>Partition hinzufügen

Wechseln des Benutzerzugriffs von der Standardpartition zu einer Admin-Partition

Wechseln Sie nun den Benutzerzugriff von der Standardpartition auf Partition Par1.

So wechseln Sie mit der Befehlszeilenschnittstelle ein Benutzerkonto von der Standardpartition auf eine Admin-Partition:

Geben Sie an der Eingabeaufforderung Folgendes ein:

Switch ns partition <pname>

Hinzufügen von SNIP-Adresse zu einem Partitions-Benutzerkonto mit aktiviertem Verwaltungszugriff

Erstellen Sie in der Partition SNIP-Adresse mit aktiviertem Verwaltungszugriff.

So fügen Sie dem Partitionsbenutzerkonto SNIP-Adresse hinzu, bei dem der Verwaltungszugriff über die Befehlszeilenschnittstelle aktiviert ist:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add ns ip <ip address> <subnet mask> -mgmtAccess enabled

Erstellen und Binden eines Partitionsbenutzers mit Partitionsbefehlsrichtlinie

Erstellen Sie in der Partition einen Partitionssystembenutzer und binden Sie den Benutzer mit Partition-Admin-Befehlsrichtlinien.

So erstellen und binden Sie einen Partitionssystembenutzer mit der Befehlszeilenschnittstelle mit der Partitionsbefehlsrichtlinie:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add system user <username> <password> Fertig

Erstellen und Binden von Partitionsbenutzergruppen mit Partitionsbefehlsrichtlinie

Erstellen Sie in Partition Par1 eine Partitionssystembenutzergruppe, und binden Sie die Gruppe mit Partitionsbefehlsrichtlinie wie Partitionsadministrator, Partition schreibgeschützt, Partitions-Operator oder Partitionsnetzwerk.

So erstellen und binden Sie eine Partitionsbenutzergruppe mit der Befehlszeilenschnittstelle mit der Partitionsbefehlsrichtlinie:

> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)

Konfigurieren der externen Serverauthentifizierung für externe Benutzer

In Partition Par1 können Sie eine externe Serverauthentifizierung konfigurieren, um externe TACACS-Benutzer zu authentifizieren, die über SNIP-Adresse auf die Partition zugreifen.

So konfigurieren Sie die externe Serverauthentifizierung für externe Benutzer mit der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
<name>> Hinzufügen der Authentifizierungsrichtlinie <policname> -rule true -action
> bind system global <policyname> -priority <value>1

Konfigurieren eines Partitionssystem-Benutzerkontos in einer Partition mit der GUI

Um ein Partitionsbenutzerkonto in einer administrativen Partition zu konfigurieren, müssen Sie einen Partitionsbenutzer oder eine Partitionsbenutzergruppe erstellen und diese Partitionsbefehlsrichtlinien binden. Außerdem können Sie die externe Serverauthentifizierung für einen externen Benutzer konfigurieren.

So erstellen Sie ein Partitions-Benutzerkonto in einer Partition mit der GUI

Navigieren Sie zu System > Benutzerverwaltung, klicken Sie auf Benutzer, um einen Partitionssystembenutzer hinzuzufügen, und binden Sie den Benutzer an Befehlsrichtlinien (partitionadmin/partitionread-only/partition-operator/partition-network).

So erstellen Sie ein Partitions-Benutzergruppenkonto in einer Partition mit der GUI

Navigieren Sie zu System > Benutzerverwaltung, klicken Sie auf Gruppen, um eine Partitionssystembenutzergruppe hinzuzufügen, und binden Sie die Benutzergruppe an Befehlsrichtlinien (partitionadmin/partitionread-only/partition-operator/partition-network).

So konfigurieren Sie die externe Serverauthentifizierung für externe Benutzer mit der GUI

Navigieren Sie zu System > Authentifizierung > Grundlegende Aktionen, und klicken Sie auf TACACS, um den TACACS-Server für die Authentifizierung externer Benutzer zu konfigurieren, die auf die Partition zugreifen.

Beispielkonfiguration

Die folgende Konfiguration zeigt, wie Sie einen Partitionsbenutzer oder eine Partitionsbenutzergruppe erstellen und Partitionsbefehlsrichtlinien binden. Außerdem, wie Sie die externe Serverauthentifizierung für die Authentifizierung eines externen Benutzers konfigurieren.

> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1

Befehlsrichtlinien für eine Partition Benutzer und Partition Benutzergruppen in der administrativen Partition

Befehle zum Autorisieren eines Benutzerkontos innerhalb der administrativen Partition Befehlsrichtlinien in einer administrativen Partition verfügbar (integrierte Richtlinien) Zugriffstyp des Benutzerkontos
add system user Partition-admin SNIP (mit aktiviertem Verwaltungszugriff)
add system group Partition-network SNIP (mit aktiviertem Verwaltungszugriff)
add authentication <action, policy>, bind system global <policy name> Partition-read-only SNIP (mit aktiviertem Verwaltungszugriff)
remove system user Partition-admin SNIP (mit aktiviertem Verwaltungszugriff)
remove system group Partition-admin SNIP (mit aktiviertem Verwaltungszugriff)
bind system cmdpolicy to system user; bind system cmdpolicy to system group Partition-admin SNIP (mit aktiviertem Verwaltungszugriff)

Konfigurieren eines LACP-Ethernet-Kanals auf der standardmäßigen Admin-Partition

Mit dem Link Aggregation Control Protocol (LACP) können Sie mehrere Ports zu einer einzigen Hochgeschwindigkeits-Verbindung (auch Kanal genannt) kombinieren. Eine LACP-fähige Appliance tauscht LACP-Dateneinheiten (LACPDU) über den Kanal aus.

Es gibt drei LACP-Konfigurationsmodi, die Sie in der Standardpartition einer Citrix ADC Appliance aktivieren können:

  1. Aktiv. Ein Port im aktiven Modus sendet LACPDUs. Die Link-Aggregation wird gebildet, wenn sich das andere Ende der Ethernet-Verbindung im aktiven oder passiven LACP-Modus befindet.
  2. Passiv. Ein Port im passiven Modus sendet LACPDUs nur, wenn er LACPDUs empfängt. Die Link-Aggregation wird gebildet, wenn sich das andere Ende der Ethernet-Verbindung im aktiven LACP-Modus befindet.
  3. Deaktivieren: Die Linkaggregation wird nicht gebildet.

Hinweis:

Standardmäßig ist die Linkaggregation in der Standardpartition der Appliance deaktiviert.

LACP tauscht LACPDU zwischen Geräten aus, die über eine Ethernet-Verbindung verbunden sind. Diese Geräte werden in der Regel als Schauspieler oder Partner bezeichnet.

Eine LACPDU-Dateneinheit enthält die folgenden Parameter:

  • LACP-Modus. Aktiv, passiv oder deaktiviert.
  • LACP-Zeitüberschreitung. Die Wartezeit vor dem Timeout des Partners oder Schauspielers. Mögliche Werte: Long und Short. Standard: Long.
  • Anschlusstaste. Um zwischen den verschiedenen Kanälen zu unterscheiden. Wenn der Schlüssel 1 ist, wird LA/1 erstellt. Wenn der Schlüssel 2 ist, wird LA/2 erstellt. Mögliche Werte: Ganzzahl von 1 bis 8. 4 bis 8 ist für Cluster CLAG.
  • Port-Priorität. Mindestwert: 1. Maximalwert: 65535 Standard: 32768.
  • Systempriorität. Verwendet diese Priorität zusammen mit dem System-MAC, um die System-ID zu bilden, um das System während der LACP-Verhandlung mit dem Partner eindeutig zu identifizieren. Setzt die Systempriorität von 1 und 65535. Der Standardwert ist auf 32768 festgelegt.
  • Schnittstelle. Unterstützt 8 Schnittstellen pro Kanal auf NetScaler 10.1 Appliance und unterstützt 16 Schnittstellen pro Kanal auf NetScaler 10.5 und 11.0 Appliances.

Nach dem Austausch von LACPDUs verhandeln der Schauspieler und der Partner die Einstellungen und entscheiden, ob die Ports der Aggregation hinzugefügt werden sollen.

LACP konfigurieren und überprüfen

So konfigurieren und überprüfen Sie LACP auf einer Citrix ADC Appliance mit der Befehlszeile

  1. Aktivieren Sie LACP auf jeder Schnittstelle.

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1

    Wenn Sie LACP auf einer Schnittstelle aktivieren, werden die Kanäle dynamisch erstellt. Wenn Sie LACP auf einer Schnittstelle aktivieren und LACpKey auf 1 setzen, wird die Schnittstelle automatisch an Kanal LA/1 gebunden.

    Hinweis:

    Wenn Sie eine Schnittstelle an einen Kanal binden, haben die Kanalparameter Vorrang vor den Schnittstellenparametern, sodass die Schnittstellenparameter ignoriert werden. Wenn ein Kanal dynamisch von LACP erstellt wurde, können Sie keine Vorgänge zum Hinzufügen, Binden, Aufheben oder Entfernen des Kanals ausführen. Ein dynamisch von LACP erstellter Kanal wird automatisch gelöscht, wenn Sie LACP auf allen Schnittstellen des Kanals deaktivieren.

  2. Legen Sie die Systempriorität fest.

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    set lacp -sysPriority <Positive_Integer>

  3. Stellen Sie sicher, dass LACP wie erwartet funktioniert.

    show interface <Interface_ID>

    show channel

    show LACP

    Hinweis:

    In einigen Versionen von Cisco IOS <VLAN_ID> führt das Ausführen des nativen vlan-Befehls switchport trunk zu LACP-PDUs. Dies führt dazu, dass der LACP-Kanal zwischen dem Cisco-Switch und der Citrix ADC Appliance fehlschlägt. Dieses Problem wirkt sich jedoch nicht auf die in der obigen Prozedur konfigurierten statischen Link-Aggregationskanäle aus.

Speichern der Konfiguration aller Admin-Partitionen von der Standardpartition

Administratoren können jetzt die Konfiguration aller Administratorpartitionen auf einmal von der Standardpartition speichern.

So speichern Sie alle Admin-Partitionen von der Standardpartition mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

save ns config -all

Unterstützung für partitions- und clusterbasierte benutzerdefinierte Berichte

Citrix ADC GUI zeigt jetzt nur die benutzerdefinierten Berichte an, die in der aktuellen Anzeigepartition oder im Cluster erstellt wurden.

Zuvor wurde die Citrix ADC GUI verwendet, um die Namen des benutzerdefinierten Berichts direkt in der Back-End-Datei zu speichern, ohne den Partitions- oder Clusternamen zu unterscheiden.

So zeigen Sie die benutzerdefinierten Berichte der aktuellen Partition oder des Clusters in der GUI an

  • Navigieren Sie zur Registerkarte Berichterstattung .

  • Klicken Sie auf Benutzerdefinierte Berichte, um die Berichte anzuzeigen, die in der aktuellen Partition oder im Cluster erstellt wurden.

Unterstützung zum Binden globaler VPN-Zertifikate in einem partitionierten Setup für OAuth IdP

In einem partitionierten Setup können Sie die Zertifikate jetzt für OAuth-IdP-Bereitstellungen an VPN global binden.

So binden Sie die Zertifikate im partitionierten Setup über die Befehlszeile

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]