Citrix ADC

Unternehmensumgebung

Im Enterprise-Setup wird der Citrix ADC zwischen den Firewalls platziert, die eine Verbindung mit dem öffentlichen Internet herstellen, und dem internen privaten Netzwerk herstellen und den Datenausgang verarbeiten. Citrix ADC wählt basierend auf der konfigurierten Lastausgleichsrichtlinie die beste Firewall aus.

Das folgende Diagramm zeigt die Enterprise-Firewall-Load Balancing-Umgebung

Abbildung 1. Firewall-Lastenausgleich (Enterprise)

Firewall-Lastausgleich

Der Diensttyp ANY konfiguriert den Citrix ADC so, dass er den gesamten Datenverkehr akzeptiert.

Um Vorteile im Zusammenhang mit HTTP und TCP zu nutzen, konfigurieren Sie den Dienst und den vserver mit dem Typ HTTP oder TCP. Damit FTP funktioniert, konfigurieren Sie den Dienst mit dem Typ FTP.

Konfigurieren des Citrix ADC in einer Unternehmensumgebung

Führen Sie die folgenden Aufgaben aus, um einen Citrix ADC in einer Unternehmensumgebung zu konfigurieren.

Für den Datenverkehr vom Server (ausgehend)

  • Aktivieren Sie die Funktion Lastausgleich.
  • Konfigurieren Sie einen Platzhalterdienst für jede Firewall.
  • Konfigurieren Sie einen Monitor für jeden Platzhalterdienst.
  • Konfigurieren Sie einen virtuellen Wildcard-Server, um den Lastenausgleich des an die Firewalls gesendeten Datenverkehrs zu erhalten.
  • Konfigurieren Sie den virtuellen Server im MAC-Umschreibmodus.
  • Binden Sie Firewall-Dienste an den virtuellen Wildcard-Server.

Für Datenverkehr über private Netzwerkserver

  • Konfigurieren Sie einen Dienst für jeden virtuellen Server.
  • Konfigurieren Sie einen Monitor für jeden Dienst.
  • Konfigurieren Sie einen virtuellen HTTP-Server, um den an die Server gesendeten Datenverkehr auszugleichen.
  • Binden Sie HTTP-Dienste an den virtuellen HTTP-Server.
  • Speichern und Überprüfen der Konfiguration.

Lastenausgleichs-Funktion aktivieren

Sie können Lastausgleichs-Entitäten wie Dienste und virtuelle Server konfigurieren, wenn die Lastenausgleichsfunktion deaktiviert ist, aber sie funktionieren erst, wenn Sie das Feature aktivieren.

So aktivieren Sie den Lastausgleich mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um den Lastausgleich zu aktivieren und die Konfiguration zu überprüfen:

  • enable ns feature LB
  • show ns feature

Beispiel:

> enable ns feature LoadBalancing
 Done
> show ns feature

        Feature                        Acronym              Status
        -------                        -------              ------
 1)     Web Logging                    WL                   OFF
 2)     Surge Protection               SP                   ON
 3)     Load Balancing                 LB                   ON
 .
 .
 .
 24)    NetScaler Push                 push                 OFF
 Done

So aktivieren Sie den Lastenausgleich mit dem Konfigurationsdienstprogramm

Navigieren Sie zu System > Einstellungen, und wählen Sie unter Grundfunktionen konfigurierendie Option Lastenausgleichaus.

Konfigurieren eines Platzhalterdiensts für jede Firewall

So konfigurieren Sie einen Platzhalterdienst für jede Firewall mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

add service <name> <serverName> ANY *

Beispiel:

add service Service-HTTP-1 10.102.29.5 ANY *

So konfigurieren Sie einen Platzhalterdienst für jede Firewall mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Dienst erstellen Werte für die folgenden Parameter an, wie gezeigt:
    • Dienstname — Name
    • Server — Servername
  4. Wählen Sie unter Protokoll die Option ANY, und wählen Sie in Port die Option * aus.
  5. Klicken Sie auf Erstellen und dann auf Schließen. Der erstellte Dienst wird im Bereich Dienste angezeigt.

Konfigurieren eines Monitors für jeden Platzhalterdienst

Ein PING-Monitor ist standardmäßig an den Dienst gebunden. Sie müssen einen transparenten Monitor konfigurieren, um Hosts auf der vertrauenswürdigen Seite über einzelne Firewalls zu überwachen. Anschließend können Sie den transparenten Monitor an Dienste binden. Der standardmäßige PING-Monitor überwacht nur die Konnektivität zwischen der Citrix ADC Appliance und dem Upstream-Gerät. Der transparente Monitor überwacht alle Geräte, die im Pfad von der Appliance zu dem Gerät vorhanden sind, dem die im Monitor angegebene Ziel-IP-Adresse gehört. Wenn kein transparenter Monitor konfiguriert ist und der Status der Firewall UP ist, aber eines der nächsten Hop-Geräte dieser Firewall ausgefallen ist, schließt die Appliance die Firewall während des Lastenausgleichs ein und leitet das Paket an die Firewall weiter. Das Paket wird jedoch nicht an das endgültige Ziel geliefert, da eines der nächsten Hop-Geräte ausgefallen ist. Wenn eines der Geräte (einschließlich der Firewall) ausgefallen ist, wird der Dienst durch Bindung eines transparenten Monitors als DOWN gekennzeichnet, und die Firewall ist nicht enthalten, wenn die Appliance den Lastausgleich der Firewall durchführt.

Das Binden eines transparenten Monitors überschreibt den PING-Monitor. Um einen PING-Monitor zusätzlich zu einem transparenten Monitor zu konfigurieren, müssen Sie nach dem Erstellen und Binden eines transparenten Monitors einen PING-Monitor an den Dienst binden.

So konfigurieren Sie einen transparenten Monitor mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen transparenten Monitor zu konfigurieren und die Konfiguration zu überprüfen:

add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr|*>] [-transparent (YES | NO )]
bind lb monitor <monitorName> <serviceName>

Beispiel:

add monitor monitor-HTTP-1 HTTP -destip 10.10.10.11 -transparent YES
bind monitor monitor-HTTP-1 fw-svc1

So erstellen und binden Sie einen transparenten Monitor mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Traffic Management > Load Balancing > Monitore.

  2. Klicken Sie im Detailbereich auf “Hinzufügen”.

  3. Geben Sie im Dialogfeld Monitor erstellen folgende Werte an:

    • Name*
    • Typ*—Typ
    • Ziel-IP
    • Folie

    -* Ein erforderlicher Parameter

  4. Klicken Sie auf Erstellen und dann auf Schließen. Wählen Sie im Bereich Monitore den Monitor aus, den Sie gerade konfiguriert haben, und stellen Sie sicher, dass die am unteren Bildschirmrand angezeigten Einstellungen korrekt sind.

Konfigurieren eines virtuellen Wildcard-Servers zum Lastenausgleich des an die Firewalls gesendeten Datenverkehrs

So konfigurieren Sie einen virtuellen Platzhalterserver für den Lastausgleich des an die Firewalls gesendeten Datenverkehrs mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lb vserver <name> ANY * *

Beispiel:

add lb vserver Vserver-LB-1 ANY * *

So konfigurieren Sie einen virtuellen Platzhalterserver für den Lastausgleich des an die Firewalls gesendeten Datenverkehrs mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Virtuellen Server erstellen (Load Balancing) Werte für die folgenden Parameter an:
    • Name — Name
  4. Wählen Sie unter Protokoll die Option ANY, und wählen Sie unter IP-Adresse und Port die Option * aus.
  5. Klicken Sie auf Erstellen und dann auf Schließen. Der erstellte virtuelle Server wird im Bereich Virtuelle Server für Lastenausgleich angezeigt.

Konfigurieren des virtuellen Servers im MAC-Umschreibmodus

So konfigurieren Sie den virtuellen Server im MAC-Umschreibmodus mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

set lb vserver <name>@ -m <RedirectionMode>

Beispiel:

set lb vserver Vserver-LB-1 -m MAC

So konfigurieren Sie den virtuellen Server im MAC-Umschreibmodus mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server aus, für den Sie den Umleitungsmodus konfigurieren möchten (z. B. vServer-LB-1), und klicken Sie dann auf Öffnen.
  3. Klicken Sie auf der Registerkarte Erweitert unter Umleitungsmodus auf MAC-basiert.
  4. Klicken Sie auf OK.

Binden von Firewalldiensten an den virtuellen Wildcard-Server

So binden Sie Firewalldienste mit der Befehlszeilenschnittstelle an den virtuellen Wildcard-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lb vserver <name> <serviceName>

Beispiel:

bind lb vserver Vserver-LB-1 Service-HTTP-1

So binden Sie Firewalldienste mit dem Konfigurationsdienstprogramm an den virtuellen Platzhalterserver

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und wählen Sie einen virtuellen Server aus.
  2. Klicken Sie auf den Abschnitt Service, und wählen Sie einen zu bindenden Dienst aus.

Hinweis: Sie können einen Dienst an mehrere virtuelle Server binden.

Konfigurieren eines Dienstes für jeden virtuellen Server

So konfigurieren Sie einen Dienst für jeden virtuellen Server mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

add service <name> <serverName> HTTP <port>

Beispiel:

add service Service-HTTP-1 10.102.29.5 HTTP 80

So konfigurieren Sie einen Dienst für jeden virtuellen Server mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Dienst erstellen Werte für die folgenden Parameter an, wie gezeigt:
    • Dienstname — Name
    • Server — Servername
    • Port — Port
  4. Geben Sie unter Protokoll HTTP an. Wählen Sie unter Verfügbare Monitore die Option HTTP aus.
  5. Klicken Sie auf Erstellen und dann auf Schließen. Der erstellte Dienst wird im Bereich Dienste angezeigt.

Konfigurieren eines Monitors für jeden Dienst

So binden Sie einen Monitor mit der Befehlszeilenschnittstelle an einen Dienst

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lb monitor <monitorName> <ServiceName>

Beispiel:

bind mon monitor-HTTP-1 Service-HTTP-1

So binden Sie einen Monitor mit dem Konfigurationsdienstprogramm an einen Dienst

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  2. Öffnen Sie den Dienst, und fügen Sie einen Monitor hinzu.

Konfigurieren eines virtuellen HTTP-Servers zum Ausgleich des an die Server gesendeten Datenverkehrs

So konfigurieren Sie einen virtuellen HTTP-Server für den Ausgleich des Datenverkehrs, der über die Befehlszeilenschnittstelle an die Server gesendet wird

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lb vserver <name> HTTP <ip> <port>

Beispiel:

add lb vserver Vserver-LB-1 HTTP 10.102.29.60 80

So konfigurieren Sie einen virtuellen HTTP-Server für den Ausgleich des Datenverkehrs, der an die Server gesendet wird, mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Virtuellen Server erstellen (Load Balancing) Werte für die folgenden Parameter an:
    • Name — Name
    • IP-Adresse — IPAddress Hinweis: Wenn der virtuelle Server IPv6 verwendet, aktivieren Sie das Kontrollkästchen IPv6, und geben Sie die Adresse im IPv6-Format ein (z. B. 1000:0000:0000:0000:0005:0600:700 a:888b).
    • Port — Port
  4. Wählen Sie unter Protokoll die Option HTTP aus.
  5. Klicken Sie auf Erstellen und dann auf Schließen. Der erstellte virtuelle Server wird im Bereich Virtuelle Server für Lastenausgleich angezeigt.

Binden von HTTP-Diensten an den virtuellen HTTP-Server

So binden Sie HTTP-Dienste mit der Befehlszeilenschnittstelle an den virtuellen Wildcard-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lb vserver <name> <serviceName>

Beispiel:

bind lb vserver Vserver-LB-1 Service-HTTP-1

So binden Sie HTTP-Dienste mit dem Konfigurationsdienstprogramm an den virtuellen Platzhalterserver

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und wählen Sie einen virtuellen Server aus.
  2. Klicken Sie auf den Abschnitt Service, und wählen Sie einen zu bindenden Dienst aus.

Hinweis: Sie können einen Dienst an mehrere virtuelle Server binden.

Speichern und Überprüfen der Konfiguration

Wenn Sie die Konfigurationsaufgaben abgeschlossen haben, speichern Sie die Konfiguration. Sie sollten auch überprüfen, ob die Einstellungen korrekt sind.

So speichern und überprüfen Sie die Konfiguration mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen transparenten Monitor zu konfigurieren und die Konfiguration zu überprüfen:

  • save ns config
  • show vserver

Beispiel:

save config
show lb vserver FWLBVIP2
        FWLBVIP2 (\*:\*) - ANY    Type: ADDRESS
        State: UP
        Last state change was at Mon Jun 14 07:22:54 2010
        Time since last state change: 0 days, 00:00:32.760
        Effective State: UP
        Client Idle Timeout: 120 sec
        Down state flush: ENABLED
        Disable Primary Vserver On Down : DISABLED
        No. of Bound Services :  2 (Total)       2 (Active)
        Configured Method: LEASTCONNECTION
        Current Method: Round Robin, Reason: A new service is bound
        Mode: MAC
        Persistence: NONE
        Connection Failover: DISABLED

1) fw-int-svc1 (10.102.29.5: *) - ANY State: UP Weight: 1
2) fw-int-svc2 (10.102.29.9: \*) - ANY State: UP Weight: 1
 Done
show service fw-int-svc1
        fw-int-svc1 (10.102.29.5:\*) - ANY
        State: DOWN
        Last state change was at Thu Jul  8 14:44:51 2010
        Time since last state change: 0 days, 00:01:50.240
        Server Name: 10.102.29.5
        Server ID : 0   Monitor Threshold : 0
        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits
        Use Source IP: NO
        Client Keepalive(CKA): NO
        Access Down Service: NO
        TCP Buffering(TCPB): NO
        HTTP Compression(CMP): NO
        Idle timeout: Client: 120 sec   Server: 120 sec
        Client IP: DISABLED
        Cacheable: NO
        SC: OFF
        SP: OFF
        Down state flush: ENABLED

1)      Monitor Name: monitor-HTTP-1
                State: DOWN     Weight: 1
                Probes: 9       Failed [Total: 9 Current: 9]
                Last response: Failure - Time out during TCP connection establishment stage
                Response Time: 2000.0 millisec
2)      Monitor Name: ping
                State: UP       Weight: 1
                Probes: 3       Failed [Total: 0 Current: 0]
                Last response: Success - ICMP echo reply received.
                Response Time: 1.275 millisec
 Done

So speichern und überprüfen Sie die Konfiguration mit dem Konfigurationsdienstprogramm

  1. Klicken Sie im Detailbereich auf Speichern.
  2. Klicken Sie im Dialogfeld Konfiguration speichern auf Ja.
  3. Navigieren Sie zu Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Server.
  4. Wählen Sie im Detailbereich den virtuellen Server aus, den Sie in Schritt 5 erstellt haben, und überprüfen Sie, ob die im Detailbereich angezeigten Einstellungen korrekt sind.
  5. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  6. Wählen Sie im Detailbereich den Dienst aus, den Sie in Schritt 5 erstellt haben, und überprüfen Sie, ob die im Detailbereich angezeigten Einstellungen korrekt sind.

Überwachung eines Firewall-Load Balancing-Setups in einer Unternehmensumgebung

Nachdem die Konfiguration ausgeführt wurde und ausgeführt wurde, sollten Sie die Statistiken für jeden Dienst und jeden virtuellen Server anzeigen, um auf mögliche Probleme zu überprüfen.

Anzeigen der Statistiken eines virtuellen Servers

Um die Leistung virtueller Server zu bewerten oder Probleme zu beheben, können Sie Details der virtuellen Server anzeigen, die auf der Citrix ADC Appliance konfiguriert sind. Sie können eine Zusammenfassung der Statistiken für alle virtuellen Server anzeigen, oder Sie können den Namen eines virtuellen Servers angeben, um die Statistiken nur für diesen virtuellen Server anzuzeigen. Sie können die folgenden Details anzeigen:

  • Name
  • IP-Adresse
  • Port
  • Protokoll
  • Status des virtuellen Servers
  • Rate der empfangenen Anfragen
  • Trefferrate

So zeigen Sie Statistiken über virtuelle Server mit der Befehlszeilenschnittstelle an

Um eine Zusammenfassung der Statistiken für alle virtuellen Server anzuzeigen, die derzeit auf der Citrix ADC Appliance oder für einen einzelnen virtuellen Server konfiguriert sind, geben Sie an der Eingabeaufforderung Folgendes ein:

stat lb vserver [-detail] [<name>]

Beispiel:

>stat lb vserver -detail
Virtual Server(s) Summary
                      vsvrIP  port     Protocol        State    Req/s   Hits/s
One                        *    80         HTTP           UP      5/s      0/s
Two                        *     0          TCP         DOWN      0/s      0/s
Three                      *  2598          TCP         DOWN      0/s      0/s
dnsVirtualNS    10.102.29.90    53          DNS         DOWN      0/s      0/s
BRVSERV            10.10.1.1    80         HTTP         DOWN      0/s      0/s
LBVIP           10.102.29.66    80         HTTP           UP      0/s      0/s
 Done


So zeigen Sie Statistiken über virtuelle Server mit dem Konfigurationsdienstprogramm an

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server > Statistik.
  2. Wenn Sie die Statistiken nur für einen virtuellen Server anzeigen möchten, wählen Sie im Detailbereich den virtuellen Server aus, und klicken Sie auf Statistiken.

Statistiken eines Dienstes anzeigen

Aktualisierung: 28.08.2013

Mithilfe der Dienststatistiken können Sie die Rate von Anforderungen, Antworten, Anforderungsbytes, Antwortbytes, aktuelle Clientverbindungen, Anforderungen in Überspannungswarteschlange, aktuelle Serververbindungen usw. anzeigen.

So zeigen Sie die Statistiken eines Dienstes mit der Befehlszeilenschnittstelle an

Geben Sie an der Eingabeaufforderung Folgendes ein:

stat service <name>

Beispiel:

stat service Service-HTTP-1

So zeigen Sie die Statistiken eines Dienstes mit dem Konfigurationsdienstprogramm an

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services > Statistik.
  2. Wenn Sie die Statistiken nur für einen Dienst anzeigen möchten, wählen Sie den Dienst aus, und klicken Sie auf Statistiken.

Unternehmensumgebung