Citrix ADC

Konfigurieren von Administratorpartitionen

Wichtig

  • Nur Superuser sind berechtigt, Admin-Partitionen zu erstellen und zu konfigurieren.
  • Sofern nicht anders angegeben, müssen Konfigurationen zum Einrichten einer Admin-Partition von der Standardpartition aus erfolgen.

Durch die Partitionierung einer Citrix ADC-Appliance erstellen Sie effektiv mehrere Instanzen einer einzelnen Citrix ADC-Appliance. Jede Instanz hat ihre eigenen Konfigurationen und der Datenverkehr jeder dieser Partitionen ist von der anderen isoliert. Dies geschieht, indem jeder Partition ein dediziertes VLAN oder ein freigegebenes VLAN zugewiesen wird.

Ein partitionierter Citrix ADC verfügt über eine Standardpartition und die erstellten Admin-Partitionen. Um eine Admin-Partition einzurichten, müssen Sie zuerst eine Partition mit den relevanten Ressourcen (Speicher, maximale Bandbreite und Verbindungen) erstellen. Geben Sie dann die Benutzer an, die auf die Partition zugreifen können, und die Berechtigungsstufe für jeden Benutzer auf der Partition.

Der Zugriff auf einen partitionierten Citrix ADC entspricht dem Zugriff auf einen nicht partitionierten Citrix ADC: über die NSIP-Adresse oder eine andere Verwaltungs-IP-Adresse. Nachdem Sie Ihre gültigen Anmeldeinformationen angegeben haben, werden Sie als Benutzer zu der Partition weitergeleitet, an die Sie gebunden sind. Alle von Ihnen erstellten Konfigurationen werden auf dieser Partition gespeichert. Wenn Sie mit mehr als einer Partition verknüpft sind, werden Sie zur ersten Partition weitergeleitet, mit der Sie verknüpft waren. Wenn Sie Entitäten auf einer Ihrer anderen Partitionen konfigurieren möchten, müssen Sie explizit zu dieser Partition wechseln.

Nach dem Zugriff auf die entsprechende Partition werden die von Ihnen durchführenden Konfigurationen auf dieser Partition gespeichert und sind spezifisch für diese Partition.

Hinweis:

  • Citrix ADC Superuser und andere Nicht-Partitionsbenutzer werden zur Standardpartition weitergeleitet.
  • Benutzer aller 512 Partitionen können sich gleichzeitig anmelden.

Tipp

Um mithilfe des SNIP (mit aktiviertem Verwaltungszugriff) über HTTPS auf eine partitionierte Citrix ADC-Appliance zuzugreifen, stellen Sie sicher, dass jede Partition über das Zertifikat ihres Partitionsadministrators verfügt. Innerhalb der Partition muss der Partitionsadministrator Folgendes tun:

  1. Fügen Sie das Zertifikat dem Citrix ADC hinzu.

    add ssl certKey ns-server-certificate -cert ns-server.cert-key ns-server.key

  2. Binden Sie es an einen Dienst mit dem Namen nshttps-<SNIP>-3009, der durch die SNIP-Adresse ersetzt werden <SNIP> muss, in diesem Fall 100.10.10.1.

    bind ssl service nshttps-100.10.10.1-3009 -certkeyName ns-server-certificate

Begrenzung der Partitionierung

In einer partitionierten Citrix ADC-Appliance kann ein Netzwerkadministrator eine Partition mit Partitionsressourcen wie Speicher, Bandbreite und Verbindungslimit erstellen, die als unbegrenzt konfiguriert sind. Dies geschieht, indem Null als Partitionsressourcenwert angegeben wird. Wobei Zero angibt, dass die Ressource auf der Partition unbegrenzt ist und bis zu Systemgrenzen verbraucht werden kann. Die Konfiguration von Partitionsressourcen ist nützlich, wenn Sie eine Datenverkehrsdomänenbereitstellung auf eine administrative Partition migrieren oder wenn Sie nichts über das Ressourcenzuweisungslimit für eine Partition in einer bestimmten Bereitstellung wissen.

Das Ressourcenlimit für eine administrative Partition ist wie folgt:

  1. Speicher partitionieren. Es ist der maximal zugewiesene Speicher für eine Partition. Sie stellen sicher, dass Sie die Werte beim Erstellen einer Partition angeben.

    Hinweis:

    Ab NetScaler 12.0 können Sie beim Erstellen einer Partition das Speicherlimit auf Null setzen. Wenn bereits eine Partition mit einem bestimmten Speicherlimit erstellt wurde, können Sie das Limit auf einen beliebigen Wert reduzieren oder das Limit auf Null setzen.

    Parameter: MaxMemLimit

    Maximaler Speicher wird in MB in einer Partition zugewiesen. Ein Nullwert gibt an, dass der Speicher auf der Partition unbegrenzt ist und bis zu den Systemgrenzen verbraucht werden kann.

    Standardwert: 10

  2. Partitionsbandbreite. Maximal zugewiesene Bandbreite für eine Partition. Wenn Sie ein Limit angeben, stellen Sie sicher, dass es sich innerhalb des lizenzierten Durchsatzes der Appliance befindet. Andernfalls beschränken Sie die Bandbreite, die von der Partition verwendet wird, nicht. Der angegebene Grenzwert ist für die Bandbreite verantwortlich, die die Anwendung benötigt. Wenn die Anwendungsbandbreite das angegebene Limit überschreitet, werden Pakete gelöscht.

    Hinweis:

    Wenn Sie ab NetScaler 12.0 eine Partition erstellen können, können Sie das Partitionsbandbreitenlimit auf Null setzen. Wenn bereits eine Partition mit einer bestimmten Bandbreite erstellt wurde, können Sie die Bandbreite reduzieren oder das Limit auf Null setzen.

    Parameter: MaxBandWidth

    Die maximale Bandbreite wird in Kbit/s in einer Partition zugewiesen. Ein Nullwert gibt an, dass die Bandbreite uneingeschränkt ist. Das heißt, die Partition kann bis zu den Systemgrenzen verbrauchen.

    Standardwert: 10240

    Maximaler Wert: 4294967295

  3. Partitions-Verbindung. Maximale Anzahl gleichzeitiger Verbindungen, die in einer Partition geöffnet sein können. Der Wert muss den maximalen gleichzeitigen Fluss berücksichtigen, der innerhalb der Partition erwartet wird. Die Partitionsverbindungen werden aus dem Partitionskontingentspeicher berücksichtigt. Zuvor wurden die Verbindungen aus dem Standardkontingentspeicher der Partition berücksichtigt. Es ist nur clientseitig konfiguriert, nicht für serverseitige Back-End-TCP-Verbindungen. Neue Verbindungen können nicht über diesen konfigurierten Wert hinaus hergestellt werden.

    Hinweis:

    Ab NetScaler 12.0 können Sie eine Partition erstellen, bei der die Anzahl der offenen Verbindungen auf Null festgelegt ist. Wenn Sie bereits eine Partition mit einer bestimmten Anzahl offener Verbindungen erstellt haben, können Sie das Verbindungslimit reduzieren oder das Limit auf Null setzen.

    Parameter: MaxConnections

    Maximale Anzahl gleichzeitiger Verbindungen, die in der Partition geöffnet sein können. Ein Nullwert gibt an, dass die Anzahl der offenen Verbindungen nicht begrenzt ist.

    Standardwert: 1024

    Mindestwert: 0

    Maximaler Wert: 4294967295

Konfigurieren Sie eine Administratorpartition

Um eine Admin-Partition zu konfigurieren, führen Sie die folgenden Aufgaben aus.

So greifen Sie mit der CLI auf eine Admin-Partition zu

  1. Melden Sie sich bei der Citrix ADC-Appliance an.
  2. Prüfen Sie, ob Sie sich in der richtigen Partition befinden. In der Eingabeaufforderung wird der Name der aktuell ausgewählten Partition angezeigt.
  3. Wenn ja, fahren Sie mit dem nächsten Schritt fort.
  4. Wenn nein, rufen Sie eine Liste der Partitionen auf, mit denen Sie verknüpft sind, und wechseln Sie zur entsprechenden Partition.

    • show system user <username>
    • switch ns partition <partitionName>
  5. Jetzt können Sie die erforderlichen Konfigurationen genauso wie ein nicht partitionierter Citrix ADC durchführen.

So greifen Sie mit der GUI auf eine Admin-Partition zu

  1. Melden Sie sich bei der Citrix ADC-Appliance an.

  2. Prüfen Sie, ob Sie sich in der richtigen Partition befinden. In der oberen Leiste der GUI wird der Name der aktuell ausgewählten Partition angezeigt.

    • Wenn ja, fahren Sie mit dem nächsten Schritt fort.

    • Wenn nein, navigieren Sie zu Konfiguration > System > Partitionsverwaltung > Partitionen, klicken Sie mit der rechten Maustaste auf die Partition, zu der Sie wechseln möchten, und wählen Sie Wechselnaus.

  3. Jetzt können Sie die erforderlichen Konfigurationen genauso wie ein nicht partitionierter Citrix ADC durchführen.

Eine Admin-Partition hinzufügen

Der Root-Administrator fügt eine Administratorpartition von der Standardpartition hinzu und bindet die Partition an VLAN 2.

So erstellen Sie eine Administratorpartition mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add partition <partitionname>

Wechseln des Benutzerzugriffs von der Standardpartition zu einer Admin-Partition

Jetzt können Sie den Benutzerzugriff von der Standardpartition auf die Partition Par1 umstellen.

So wechseln Sie ein Benutzerkonto mit der CLI von der Standardpartition zu einer Admin-Partition:

Geben Sie an der Eingabeaufforderung Folgendes ein:

Switch ns partition <pname>

Hinzufügen von SNIP-Adresse zu einem Partitions-Benutzerkonto mit aktiviertem Verwaltungszugriff

Erstellen Sie in der Partition eine SNIP-Adresse mit aktiviertem Verwaltungszugriff.

So fügen Sie dem Partitions-Benutzerkonto eine SNIP-Adresse hinzu, wobei der Verwaltungszugriff über die Befehlszeilenschnittstelle aktiviert ist:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add ns ip <ip address> <subnet mask> -mgmtAccess enabled

Erstellen und Binden eines Partitionsbenutzers mit Partitionsbefehlsrichtlinie

Erstellen Sie in der Partition einen Partitionssystembenutzer und binden Sie den Benutzer mit Partition-Admin-Befehlsrichtlinien.

So erstellen und binden Sie einen Partitionssystembenutzer mit der Partitionsbefehlerrichtlinie mithilfe der CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add system user <username> <password>

Done

Erstellen und Binden von Partitionsbenutzergruppen mit Partitionsbefehlsrichtlinie

Erstellen Sie in Partition Par1 eine Partitionssystem-Benutzergruppe und binden Sie die Gruppe mit Partitionsbefehlsrichtlinien wie Partitionsadministrator, Schreibgeschützt Partition, Partitionsoperator oder Partitionsnetzwerk.

So erstellen und binden Sie eine Partitionsbenutzergruppe mit der Befehlszeilenschnittstelle mit der Partitionsbefehlsrichtlinie:

> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)

Konfigurieren der externen Serverauthentifizierung für externe Benutzer

In der Partition Par1 können Sie eine externe Serverauthentifizierung konfigurieren, um externe TACACS-Benutzer zu authentifizieren, die über eine SNIP-Adresse auf die Partition zugreifen.

So konfigurieren Sie die externe Serverauthentifizierung für externe Benutzer mithilfe der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
> add authentication policy <policname> -rule true -action <name>
> bind system global <policyname> -priority <value>1

Konfigurieren Sie ein Partitionssystem-Benutzerkonto in einer Partition mit der GUI

Um ein Partitionsbenutzerkonto in einer Administratorpartition zu konfigurieren, müssen Sie einen Partitionsbenutzer oder eine Partitionsbenutzergruppe erstellen und diese Partitionsbefehlsrichtlinien binden. Sie können auch die externe Serverauthentifizierung für einen externen Benutzer konfigurieren.

So erstellen Sie ein Partitionsbenutzerkonto in einer Partition mit der GUI

Navigieren Sie zu System > Benutzerverwaltung, klicken Sie auf Benutzer, um einen Benutzer des Partitionssystems hinzuzufügen, und binden Sie den Benutzer an Befehlsrichtlinien (partitionadmin/partitionread-nur/Partitionoperator/Partitions-Netzwerk).

So erstellen Sie ein Partitions-Benutzergruppenkonto in einer Partition mithilfe der GUI

Navigieren Sie zu System > Benutzerverwaltung, klicken Sie auf Gruppen, um eine Partitionssystem-Benutzergruppe hinzuzufügen und die Benutzergruppe an Befehlsrichtlinien (partitionadmin/partitionread-nur/Partitionoperator/Partitions-Netzwerk) zu binden.

So konfigurieren Sie die externe Serverauthentifizierung für externe Benutzer mit der GUI

Navigieren Sie zu System > Authentifizierung > Basisaktionen und klicken Sie auf TACACS, um einen TACACS-Server für die Authentifizierung externer Benutzer zu konfigurieren, die auf die Partition zugreifen.

Beispielkonfiguration

Die folgende Konfiguration zeigt, wie Sie einen Partitionsbenutzer oder eine Partitionsbenutzergruppe erstellen und diese Partitionsbefehlsrichtlinien binden. Außerdem, wie Sie die externe Serverauthentifizierung für die Authentifizierung eines externen Benutzers konfigurieren.

> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1

Befehlsrichtlinien für eine Partitionsbenutzer und Partitionsbenutzergruppen in administrativer Partition

Befehle zum Autorisieren eines Benutzerkontos innerhalb der Administratorpartition Befehlsrichtlinien, die in einer Administratorpartition verfügbar sind (integrierte Richtlinien) Zugriffsart des Benutzerkontos
Systembenutzer hinzufügen Partition-Admin SNIP (mit aktiviertem Verwaltungszugriff)
Systemgruppe hinzufügen Partitions-Netzwerk SNIP (mit aktiviertem Verwaltungszugriff)
Authentifizierung hinzufügen <action, policy>, System global binden <policy name> Partition schreibgeschützt SNIP (mit aktiviertem Verwaltungszugriff)
Systembenutzer entfernen Partition-Admin SNIP (mit aktiviertem Verwaltungszugriff)
Systemgruppe entfernen Partition-Admin SNIP (mit aktiviertem Verwaltungszugriff)
bind system cmdpolicy an Systembenutzer; bind system cmdpolicy zur Systemgruppe Partition-Admin SNIP (mit aktiviertem Verwaltungszugriff)

Konfigurieren Sie einen LACP Ethernet-Kanal auf der Standard-Admin-Partition

Mit dem Link Aggregation Control Protocol (LACP) können Sie mehrere Ports zu einer einzigen Hochgeschwindigkeitsverbindung (auch Kanal genannt) kombinieren. Eine LACP-fähige Appliance tauscht LACP Data Units (LACPDU) über den Kanal aus.

Es gibt drei LACP-Konfigurationsmodi, die Sie in der Standardpartition einer Citrix ADC-Appliance aktivieren können:

  1. Aktiv. Ein Port im aktiven Modus sendet LACPDUs. Die Link-Aggregation wird gebildet, wenn sich das andere Ende der Ethernet-Verbindung im aktiven oder passiven LACP-Modus befindet.
  2. Passiv. Ein Port im passiven Modus sendet LACPDUs nur, wenn er LACPDUs empfängt. Die Link-Aggregation wird gebildet, wenn sich das andere Ende der Ethernet-Verbindung im aktiven LACP-Modus befindet.
  3. Deaktivieren: Link-Aggregation wird nicht gebildet.

Hinweis:

Standardmäßig ist die Link-Aggregation in der Standardpartition der Appliance deaktiviert.

LACP tauscht LACPDU zwischen Geräten aus, die über eine Ethernet-Verbindung verbunden sind. Diese Geräte werden normalerweise als Akteur oder Partner bezeichnet.

Eine LACPDU-Dateneinheit enthält die folgenden Parameter:

  • LACP-Modus. Aktiv, passiv oder deaktiviert.
  • LACP-Timeout. Die Wartezeit vor dem Timing des Partners oder Schauspielers. Mögliche Werte: Long und Short. Standardeinstellung: Long.
  • Port-Schlüssel. Um zwischen den verschiedenen Kanälen zu unterscheiden. Wenn der Schlüssel 1 ist, wird LA/1 erstellt. Wenn der Schlüssel 2 ist, wird LA/2 erstellt. Mögliche Werte: Integer von 1 bis 8. 4 bis 8 ist für Cluster CLAG.
  • Port-Priorität. Mindestwert: 1. Maximaler Wert: 65535 Standardwert: 32768.
  • Systempriorität. Verwendet diese Priorität zusammen mit dem System-MAC, um die System-ID zu bilden, um das System während der LACP-Verhandlungen mit dem Partner eindeutig zu identifizieren. Legt die Systempriorität von 1 und 65535 fest. Der Standardwert ist auf 32768 festgelegt.
  • Schnittstelle. Unterstützt 8 Schnittstellen pro Kanal auf NetScaler 10.1 Appliance und unterstützt 16 Schnittstellen pro Kanal auf NetScaler 10.5- und 11.0 Appliances.

Nach dem Austausch von LACPDUs verhandeln Akteur und Partner die Einstellungen und entscheiden, ob die Ports zur Aggregation hinzugefügt werden sollen.

Konfigurieren und überprüfen Sie LACP

Der folgende Abschnitt zeigt, wie LACP in der Admin-Partition konfiguriert und überprüft wird.

So konfigurieren und überprüfen Sie LACP auf einer Citrix ADC-Appliance mithilfe der CLI

  1. Aktivieren Sie LACP auf jeder Schnittstelle.

    set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1<!--NeedCopy-->

    Wenn Sie LACP auf einer Schnittstelle aktivieren, werden die Kanäle dynamisch erstellt. Wenn Sie LACP auf einer Schnittstelle aktivieren und LacpKey auf 1 setzen, wird die Schnittstelle automatisch an den Kanal LA/1 gebunden.

    Hinweis:

    Wenn Sie eine Schnittstelle an einen Kanal binden, haben die Kanalparameter Vorrang vor den Schnittstellenparametern, sodass die Interface-Parameter ignoriert werden. Wenn ein Kanal dynamisch von LACP erstellt wird, können Sie die Operationen zum Hinzufügen, Binden, Aufheben oder Entfernen auf dem Kanal nicht ausführen. Ein dynamisch von LACP erstellter Kanal wird automatisch gelöscht, wenn Sie LACP auf allen Schnittstellen des Kanals deaktivieren.

  2. Legen Sie die Systempriorität fest.

    set lacp -sysPriority <Positive_Integer><!--NeedCopy-->

  3. Stellen Sie sicher, dass LACP wie erwartet funktioniert.

    ```show interface

    
    ```show channel<!--NeedCopy-->
    

    show LACP<!--NeedCopy-->

    Hinweis:

    In einigen Versionen von Cisco Internetwork Operating System (iOS) führt das Ausführen des nativen <VLAN_ID>VLAN-Befehls Switchport trunk dazu, dass der Cisco-Switch LACP-PDUs taggt. Dies führt dazu, dass der LACP-Kanal zwischen dem Cisco-Switch und der Citrix ADC-Appliance ausfällt. Dieses Problem wirkt sich jedoch nicht auf die im vorherigen Verfahren konfigurierten statischen Link-Aggregationskanäle aus.

Speichern Sie die Konfiguration aller Admin-Partitionen von der Standardpartition

Administratoren können die Konfiguration aller Admin-Partitionen gleichzeitig von der Standardpartition aus speichern.

Speichern Sie alle Admin-Partitionen von der Standardpartition mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

save ns config -all

Unterstützung für partitions- und clusterbasierte benutzerdefinierte Berichte

Die Citrix ADC GUI zeigt nur die benutzerdefinierten Berichte an, die in der aktuellen Anzeigepartition oder im Cluster erstellt wurden.

Zuvor wurde die Citrix ADC GUI verwendet, um die Namen des benutzerdefinierten Berichts direkt in der Back-End-Datei zu speichern, ohne die zu differenzierende Partition oder den Clusternamen zu erwähnen.

So zeigen Sie die benutzerdefinierten Berichte der aktuellen Partition oder des aktuellen Clusters in der GUI an

  • Navigieren Sie zur Registerkarte Reporting .

  • Klicken Sie auf Benutzerdefinierte Berichte, um die Berichte anzuzeigen, die in der aktuellen Partition oder im Cluster erstellt wurden.

Unterstützung zum Binden globaler VPN-Zertifikate in einem partitionierten Setup für OAuth IdP

In einem partitionierten Setup können Sie die Zertifikate jetzt für OAuth-IdP-Bereitstellungen an VPN global binden.

So binden Sie die Zertifikate im Partitiontion-Setup mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]