Multiple-Firewall-Umgebung

In einer Umgebung mit mehreren Firewalls befindet sich die Citrix ADC Appliance zwischen zwei Gruppen von Firewalls, dem externen Satz, der eine Verbindung mit dem öffentlichen Internet herstellt, und dem internen Satz, der eine Verbindung mit dem internen privaten Netzwerk herstellt. Der externe Satz behandelt in der Regel den Egress-Datenverkehr. Diese Firewalls implementieren hauptsächlich Zugriffssteuerungslisten, um den Zugriff auf externe Ressourcen zu erlauben oder zu verweigern. Der interne Satz behandelt normalerweise den eingehenden Datenverkehr. Diese Firewalls implementieren Sicherheit, um das Intranet vor bösartigen Angriffen abgesehen vom Lastenausgleich des eingehenden Datenverkehrs zu schützen. In der Umgebung mit mehreren Firewalls können Sie den Lastenausgleich von einem anderen Firewall ausgehenden Datenverkehr ausgleichen. Standardmäßig wird der von einer Firewall ausgehende Datenverkehr auf der anderen Firewall über eine Citrix ADC Appliance nicht Lastausgleich ausgeführt. Die Aktivierung des Firewall-Lastausgleichs auf beiden Seiten von Citrix ADC verbessert den Datenverkehr sowohl in der Aus- als auch in der Einlaufrichtung und sorgt für eine schnellere Verarbeitung des Datenverkehrs.

Die folgende Abbildung zeigt eine Lastausgleichsumgebung mit mehreren Firewalls

Abbildung 1. Firewall-Lastenausgleich (Multiple-Firewall)

Multiple-Firewall-Umgebung

Mit einer Konfiguration wie in Abbildung 1 können Sie Citrix ADC so konfigurieren, dass der Datenverkehr über die interne Firewall Lastverteilung erfolgt, auch wenn er von einer externen Firewall ausgeglichen wird. Wenn diese Funktion konfiguriert ist, wird beispielsweise der Datenverkehr, der von den externen Firewalls (Firewalls 1, 2 und 3) kommt, auf den internen Firewalls (Firewalls 4, 5 und 6) Lastausgleich und umgekehrt.

Der Firewall-Lastausgleich wird nur für den virtuellen MAC-Modus LB Server unterstützt.

Der Diensttyp ANY konfiguriert den Citrix ADC so, dass er den gesamten Datenverkehr akzeptiert.

Um Vorteile im Zusammenhang mit HTTP und TCP zu nutzen, konfigurieren Sie den Dienst und den virtuellen Server mit dem Typ HTTP oder TCP. Damit FTP funktioniert, konfigurieren Sie den Dienst mit dem Typ FTP.

Konfigurieren des Citrix ADC in einer Umgebung mit mehreren Firewalls

Um eine Citrix ADC Appliance in einer Umgebung mit mehreren Firewalls zu konfigurieren, müssen Sie die Lastenausgleichsfunktion aktivieren, einen virtuellen Server für den Lastausgleich des ausgehenden Datenverkehrs über die externen Firewalls konfigurieren, einen virtuellen Server für den Lastausgleich des eingehenden Datenverkehrs über die internen Firewalls konfigurieren und aktivieren Sie den Firewall-Lastausgleich auf der Citrix ADC Appliance. Um einen virtuellen Server für den Lastenausgleich über eine Firewall in der Umgebung mit mehreren Firewalls zu konfigurieren, müssen Sie:

  1. Konfigurieren eines Platzhalterdiensts für jede Firewall
  2. Konfigurieren eines Monitors für jeden Platzhalterdienst
  3. Konfigurieren eines virtuellen Wildcard-Servers zum Lastenausgleich des an die Firewalls gesendeten Datenverkehrs
  4. Konfigurieren des virtuellen Servers im MAC-Umschreibmodus
  5. Binden von Firewalldiensten an den virtuellen Wildcard-Server

Aktivieren der Lastausgleichs-Funktion

Um Lastausgleichseinheiten wie Dienste und virtuelle Server zu konfigurieren und zu implementieren, müssen Sie die Lastenausgleichsfunktion auf dem Citrix ADC Gerät aktivieren.

So aktivieren Sie den Lastenausgleich mit der CLI:

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um den Lastausgleich zu aktivieren und die Konfiguration zu überprüfen:

enable ns feature <featureName>
show ns feature

Beispiel:

enable ns feature LoadBalancing
Done
show ns feature
Feature Acronym Status
------- ------- ------
1) Web Logging WL OFF
2) Surge Protection SP ON
3) Load Balancing LB ON
.
.
.
24) NetScaler Push push OFF
Done

So aktivieren Sie den Lastausgleich mit der GUI:

  1. Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Einstellungen.
  2. Klicken Sie im Bereich Einstellungen unter Modi und Features auf Grundfunktionen ändern.
  3. Aktivieren Sie im Dialogfeld Grundfunktionen konfigurieren das Kontrollkästchen Lastenausgleich, und klicken Sie dann auf OK.

Konfigurieren eines Platzhalterdiensts für jede Firewall

Um Datenverkehr aus allen Protokollen zu akzeptieren, müssen Sie den Platzhalterdienst für jede Firewall konfigurieren, indem Sie die Unterstützung für alle Protokolle und Ports angeben.

So konfigurieren Sie einen Platzhalterdienst für jede Firewall mit der CLI:

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Unterstützung für alle Protokolle und Ports zu konfigurieren:

add service <name>@ <serverName> <serviceType> <port_number>

Beispiel:

add service fw-svc1 10.102.29.5 ANY *

So konfigurieren Sie einen Platzhalterdienst für jede Firewall mit der GUI:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services.

  2. Klicken Sie im Detailbereich auf “Hinzufügen”.

  3. Geben Sie im Dialogfeld Dienste erstellen Werte für die folgenden Parameter an:

    • Dienstname — name
    • Server — serverName

    -* Ein erforderlicher Parameter

  4. Wählen Sie unter Protokoll die Option Beliebig und in Port die Option * aus.

  5. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen. Der erstellte Dienst wird im Bereich Dienste angezeigt.

Konfigurieren eines Monitors für jeden Dienst

Ein PING-Monitor ist standardmäßig an den Dienst gebunden. Sie müssen einen transparenten Monitor konfigurieren, um Hosts auf der vertrauenswürdigen Seite über einzelne Firewalls zu überwachen. Anschließend können Sie den transparenten Monitor an Dienste binden. Der standardmäßige PING-Monitor überwacht nur die Konnektivität zwischen der Citrix ADC Appliance und dem Upstream-Gerät. Der transparente Monitor überwacht alle Geräte, die im Pfad von der Appliance zu dem Gerät vorhanden sind, dem die im Monitor angegebene Ziel-IP-Adresse gehört. Wenn kein transparenter Monitor konfiguriert ist und der Status der Firewall UP ist, aber eines der nächsten Hop-Geräte dieser Firewall ausgefallen ist, schließt die Appliance die Firewall während des Lastenausgleichs ein und leitet das Paket an die Firewall weiter. Das Paket wird jedoch nicht an das endgültige Ziel geliefert, da eines der nächsten Hop-Geräte ausgefallen ist. Wenn eines der Geräte (einschließlich der Firewall) ausgefallen ist, wird der Dienst durch Bindung eines transparenten Monitors als DOWN gekennzeichnet, und die Firewall ist nicht enthalten, wenn die Appliance den Lastausgleich der Firewall durchführt.

Das Binden eines transparenten Monitors überschreibt den PING-Monitor. Um einen PING-Monitor zusätzlich zu einem transparenten Monitor zu konfigurieren, müssen Sie nach dem Erstellen und Binden eines transparenten Monitors einen PING-Monitor an den Dienst binden.

So konfigurieren Sie einen transparenten Monitor mit der CLI:

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen transparenten Monitor zu konfigurieren und die Konfiguration zu überprüfen:

add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr|*>] [-transparent (YES | NO )]
bind lb monitor <monitorName> <serviceName>

Beispiel:

add monitor monitor-HTTP-1 HTTP -destip 10.10.10.11 -transparent YES
bind monitor monitor-HTTP-1 fw-svc1

Die Citrix ADC Appliance lernt die Server-L2-Parameter vom Monitor, der an den Dienst gebunden ist. Konfigurieren Sie für UDP-ECV-Monitore eine Empfangszeichenfolge, damit die Appliance die L2-Parameter des Servers erlernen kann. Wenn die Empfangszeichenfolge nicht konfiguriert ist und der Server nicht antwortet, lernt die Appliance die L2-Parameter nicht, aber der Dienst ist auf UP festgelegt. Der Verkehr für diesen Dienst ist Schwarzholze.

So konfigurieren Sie eine Empfangszeichenfolge mit der CLI:

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr|*>] [-transparent (YES | NO )] [-send <string>] [-recv <string>]

Beispiel:

add lb monitor monitor-udp-1 udp-ecv -destip 10.10.10.11 -transparent YES –send "test message" –recv "site_is_up"

So erstellen und binden Sie einen transparenten Monitor mit der GUI:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Monitore.

  2. Klicken Sie im Detailbereich auf “Hinzufügen”.

  3. Geben Sie im Dialogfeld Monitor erstellen Werte für die folgenden Parameter an:

    • Name*
    • Typ*—Typ
    • Ziel-IP
    • Transparent

    -* Ein erforderlicher Parameter

  4. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen. Wählen Sie im Bereich Monitore den Monitor aus, den Sie gerade konfiguriert haben, und stellen Sie sicher, dass die am unteren Bildschirmrand angezeigten Einstellungen korrekt sind.

Konfigurieren eines virtuellen Servers zum Lastenausgleich des an die Firewalls gesendeten Datenverkehrs

Um den Lastausgleich jeder Art von Datenverkehr auszugleichen, müssen Sie einen virtuellen Platzhalterserver konfigurieren, der das Protokoll und den Port als beliebigen Wert angibt.

So konfigurieren Sie einen virtuellen Server für den Lastenausgleich des an die Firewalls gesendeten Datenverkehrs mit der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

add lb vserver <name>@ <serviceType> <IPAddress> <port_number>

Beispiel:

add lb vserver Vserver-LB-1 ANY * *

So konfigurieren Sie einen virtuellen Server für den Lastausgleich des Datenverkehrs, der über die GUI an die Firewalls gesendet wird:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Wählen Sie unter Protokoll die Option Beliebig aus, und wählen Sie unter IP-Adresse und Port die Option * aus.
  4. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen. Der erstellte virtuelle Server wird im Bereich Virtuelle Server für Lastenausgleich angezeigt.

Konfigurieren des virtuellen Servers für den MAC-Umschreibmodus

Um den virtuellen Server so zu konfigurieren, dass die MAC-Adresse für die Weiterleitung des eingehenden Datenverkehrs verwendet wird, müssen Sie den MAC-Umschreibmodus aktivieren.

So konfigurieren Sie den virtuellen Server im MAC-Umschreibmodus mithilfe der Befehlsschnittstelle:

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set lb vserver <name>@ -m <RedirectionMode>

Beispiel:

set lb vserver Vserver-LB-1 -m MAC

So konfigurieren Sie den virtuellen Server im MAC-Umschreibmodus mit der GUI:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server aus, für den Sie den Umleitungsmodus konfigurieren möchten (z. B. vServer-LB1), und klicken Sie dann auf Öffnen.
  3. Klicken Sie auf der Registerkarte Erweitert unter Umleitungsmodus auf Öffnen.
  4. Klicken Sie auf OK.

Binden von Firewalldiensten an den virtuellen Server

Um auf einen Dienst auf der Citrix ADC Appliance zuzugreifen, müssen Sie ihn an einen virtuellen Platzhalterserver binden.

So binden Sie Firewalldienste mit der CLI an den virtuellen Server:

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

bind lb vserver <name>@ <serviceName>

Beispiel:

bind lb vserver Vserver-LB-1 Service-HTTP-1

So binden Sie Firewall-Dienste mit der GUI an den virtuellen Server:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server aus, für den Sie den Umleitungsmodus konfigurieren möchten (z. B. vServer-LB1), und klicken Sie dann auf Öffnen.
  3. Aktivieren Sie im Dialogfeld Virtuellen Server konfigurieren (Load Balancing) auf der Registerkarte Dienste das Kontrollkästchen Aktiv neben dem Dienst, den Sie an den virtuellen Server binden möchten (z. B. Service-HTTP-1).
  4. Klicken Sie auf OK.

Konfigurieren des Lastenausgleichs mit mehreren Firewalls auf der Citrix ADC Appliance

Um den Lastenausgleich auf beiden Seiten eines Citrix ADC über den Firewall-Lastenausgleichs zu verwenden, müssen Sie den Lastenausgleich Mulit-Firewall-Firewall-Parameter mit dem vServerSpecificMac-Parameters aktivieren.

So konfigurieren Sie den Lastenausgleich mit mehreren Firewalls mit der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set lb parameter -vServerSpecificMac <status>

Beispiel:

set lb parameter -vServerSpecificMac ENABLED

So konfigurieren Sie den Lastenausgleich mit mehreren Firewalls mit der GUI:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server aus, für den Sie den Umleitungsmodus konfigurieren möchten (z. B. Load Balancing Parameter konfigurieren).
  3. Aktivieren Sie im Dialogfeld Lastausgleichsparameter festlegen das Kontrollkästchen Virtual Server Specific MAC.
  4. Klicken Sie auf OK.

Speichern und Überprüfen der Konfiguration

Wenn Sie die Konfigurationsaufgaben abgeschlossen haben, speichern Sie die Konfiguration. Sie sollten auch überprüfen, ob die Einstellungen korrekt sind.

So speichern und überprüfen Sie die Konfiguration mit der CLI:

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen transparenten Monitor zu konfigurieren und die Konfiguration zu überprüfen:

  • save ns config
  • show vserver

Beispiel:

save config
show lb vserver FWLBVIP2
        FWLBVIP2 (\*:\*) - ANY    Type: ADDRESS
        State: UP
        Last state change was at Mon Jun 14 07:22:54 2010
        Time since last state change: 0 days, 00:00:32.760
        Effective State: UP
        Client Idle Timeout: 120 sec
        Down state flush: ENABLED
        Disable Primary Vserver On Down : DISABLED
        No. of Bound Services :  2 (Total)       2 (Active)
        Configured Method: LEASTCONNECTION
        Current Method: Round Robin, Reason: A new service is bound
        Mode: MAC
        Persistence: NONE
        Connection Failover: DISABLED

1) fw-int-svc1 (10.102.29.5: *) - ANY State: UP Weight: 1
2) fw-int-svc2 (10.102.29.9: \*) - ANY State: UP Weight: 1
 Done
show service fw-int-svc1
        fw-int-svc1 (10.102.29.5:\*) - ANY
        State: DOWN
        Last state change was at Thu Jul  8 14:44:51 2010
        Time since last state change: 0 days, 00:01:50.240
        Server Name: 10.102.29.5
        Server ID : 0   Monitor Threshold : 0
        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits
        Use Source IP: NO
        Client Keepalive(CKA): NO
        Access Down Service: NO
        TCP Buffering(TCPB): NO
        HTTP Compression(CMP): NO
        Idle timeout: Client: 120 sec   Server: 120 sec
        Client IP: DISABLED
        Cacheable: NO
        SC: OFF
        SP: OFF
        Down state flush: ENABLED

1)      Monitor Name: monitor-HTTP-1
                State: DOWN     Weight: 1
                Probes: 9       Failed [Total: 9 Current: 9]
                Last response: Failure - Time out during TCP connection establishment stage
                Response Time: 2000.0 millisec
2)      Monitor Name: ping
                State: UP       Weight: 1
                Probes: 3       Failed [Total: 0 Current: 0]
                Last response: Success - ICMP echo reply received.
                Response Time: 1.275 millisec
 Done

So speichern und überprüfen Sie die Konfiguration mit der GUI:

  1. Klicken Sie im Detailbereich auf Speichern.
  2. Klicken Sie im Dialogfeld Konfiguration speichern auf Ja.
  3. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  4. Wählen Sie im Detailbereich den virtuellen Server aus, den Sie in Schritt 5 erstellt haben, und überprüfen Sie, ob die im Detailbereich angezeigten Einstellungen korrekt sind.
  5. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  6. Wählen Sie im Detailbereich den Dienst aus, den Sie in Schritt 5 erstellt haben, und überprüfen Sie, ob die im Detailbereich angezeigten Einstellungen korrekt sind.

Überwachen eines Firewall-Load Balancing-Setups in einer Umgebung mit mehreren Firewall

Nachdem die Konfiguration ausgeführt wurde und ausgeführt wurde, sollten Sie die Statistiken für jeden Dienst und jeden virtuellen Server anzeigen, um auf mögliche Probleme zu überprüfen.

Anzeigen der Statistiken eines virtuellen Servers

Um die Leistung virtueller Server zu bewerten oder Probleme zu beheben, können Sie Details der virtuellen Server anzeigen, die auf der Citrix ADC Appliance konfiguriert sind. Sie können eine Zusammenfassung der Statistiken für alle virtuellen Server anzeigen, oder Sie können den Namen eines virtuellen Servers angeben, um die Statistiken nur für diesen virtuellen Server anzuzeigen. Sie können die folgenden Details anzeigen:

  • Name
  • IP-Adresse
  • Port
  • Protokoll
  • Status des virtuellen Servers
  • Rate der empfangenen Anfragen
  • Trefferrate

So zeigen Sie Statistiken über virtuelle Server mit der Befehlszeilenschnittstelle an

Um eine Zusammenfassung der Statistiken für alle virtuellen Server anzuzeigen, die derzeit auf der Citrix ADC Appliance oder für einen einzelnen virtuellen Server konfiguriert sind, geben Sie an der Eingabeaufforderung Folgendes ein:

stat lb vserver [-detail] [<name>]

Beispiel:

>stat lb vserver -detail
Virtual Server(s) Summary
                      vsvrIP  port     Protocol        State    Req/s   Hits/s
One                        *    80         HTTP           UP      5/s      0/s
Two                        *     0          TCP         DOWN      0/s      0/s
Three                      *  2598          TCP         DOWN      0/s      0/s
dnsVirtualNS    10.102.29.90    53          DNS         DOWN      0/s      0/s
BRVSERV            10.10.1.1    80         HTTP         DOWN      0/s      0/s
LBVIP           10.102.29.66    80         HTTP           UP      0/s      0/s
 Done


So zeigen Sie virtuelle Serverstatistiken mit der GUI an:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server > Statistik.
  2. Wenn Sie die Statistiken nur für einen virtuellen Server anzeigen möchten, wählen Sie im Detailbereich den virtuellen Server aus, und klicken Sie auf Statistiken.

Statistiken eines Dienstes anzeigen

Mithilfe der Dienststatistiken können Sie die Rate von Anforderungen, Antworten, Anforderungsbytes, Antwortbytes, aktuelle Clientverbindungen, Anforderungen in Überspannungswarteschlange, aktuelle Serververbindungen usw. anzeigen.

So zeigen Sie die Statistiken eines Dienstes mithilfe der Befehlsschnittstelle an:

Geben Sie an der Eingabeaufforderung Folgendes ein:

stat service <name>

Beispiel:

stat service Service-HTTP-1

So zeigen Sie die Statistiken eines Dienstes mit der GUI an:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services > Statistik.
  2. Wenn Sie die Statistiken nur für einen Dienst anzeigen möchten, wählen Sie den Dienst aus, und klicken Sie auf Statistiken.