Citrix ADC

Konfigurieren von Adminpartitionen

Wichtig

  • Nur Superuser sind berechtigt, Adminpartitionen zu erstellen und zu konfigurieren.
  • Sofern nicht anders angegeben, müssen Konfigurationen zum Einrichten einer Admin-Partition von der Standardpartition vorgenommen werden.

Durch die Partitionierung einer Citrix ADC Appliance erstellen Sie mehrere Instanzen einer einzelnen Citrix ADC-Appliance. Jede Instanz hat ihre eigenen Konfigurationen und der Datenverkehr jeder dieser Partitionen ist von der anderen isoliert. Dies geschieht, indem jeder Partition ein dediziertes VLAN oder ein gemeinsam genutztes VLAN zugewiesen wird.

Ein partitionierter Citrix ADC verfügt über eine Standardpartition und die erstellten Administratorpartitionen. Um eine Admin-Partition einzurichten, müssen Sie zunächst eine Partition mit den relevanten Ressourcen (Arbeitsspeicher, maximale Bandbreite und Verbindungen) erstellen. Geben Sie dann die Benutzer an, die auf die Partition zugreifen können, und die Berechtigungsebene für jeden Benutzer auf der Partition an.

Der Zugriff auf einen partitionierten Citrix ADC entspricht dem Zugriff auf einen nicht partitionierten Citrix ADC: über die NSIP-Adresse oder eine andere Verwaltungs-IP-Adresse. Als Benutzer werden Sie, nachdem Sie Ihre gültigen Anmeldeinformationen angegeben haben, zu der Partition weitergeleitet, an die Sie gebunden sind. Alle von Ihnen erstellten Konfigurationen werden auf dieser Partition gespeichert. Wenn Sie mehr als einer Partition zugeordnet sind, werden Sie zur ersten Partition weitergeleitet, der Sie zugeordnet wurden. Wenn Sie Entitäten auf einer der anderen Partitionen konfigurieren möchten, müssen Sie explizit zu dieser Partition wechseln.

Nach dem Zugriff auf die entsprechende Partition werden die von Ihnen durchgeführten Konfigurationen auf dieser Partition gespeichert und sind spezifisch für diese Partition.

Hinweis:

  • Citrix ADC -Superuser und andere Benutzer ohne Partition werden zur Standardpartition weitergeleitet.
  • Benutzer aller 512 Partitionen können sich gleichzeitig anmelden.

Tip

Um über HTTPS auf eine partitionierte Citrix ADC Appliance zuzugreifen (mit aktiviertem Verwaltungszugriff), stellen Sie sicher, dass jede Partition über das Zertifikat ihres Partitionsadministrators verfügt. Innerhalb der Partition muss der Partitionsadministrator folgende Schritte ausführen:

  1. Fügen Sie das Zertifikat dem Citrix ADC hinzu.

    add ssl CertKey ns-Server-Zertifikat -cert ns-server.cert-key** ns-server.key

  2. Binden Sie es an einen Dienst namens nskrpcs-<SNIP>-3009, wobei <SNIP> durch die SNIP-Adresse ersetzt werden muss, in diesem Fall 100.10.10.1.

    • bind ssl service nskrpcs-100.10.10.1-3009
    • certkeyName** ns-server-certificate

Begrenzung der Partitionsressource

In einer partitionierten Citrix ADC Appliance kann ein Netzwerkadministrator eine Partition mit Partitionsressourcen wie Speicher, Bandbreite und Verbindungslimit erstellen, die als unbegrenzt konfiguriert sind. Dies geschieht durch die Angabe von Null als Partitionsressourcenwert. Wo Null angibt, dass die Ressource auf der Partition unbegrenzt ist und bis zu Systemgrenzen verbraucht werden kann. Die Konfiguration der Partitionsressourcen ist nützlich, wenn Sie eine Verkehrsdomänenbereitstellung auf eine administrative Partition migrieren oder wenn Sie das Ressourcenzuweisungslimit für eine Partition in einer bestimmten Bereitstellung nicht kennen.

Ressourcenlimit für eine administrative Partition ist wie folgt:

  1. Partitionieren Sie Speicher Es ist der maximal zugewiesene Speicher für eine Partition. Sie stellen sicher, dass Sie die Werte beim Erstellen einer Partition angeben.

    Hinweis:

    Ab NetScaler 12.0 können Sie beim Erstellen einer Partition die Speichergrenze auf Null festlegen. Wenn bereits eine Partition mit einem bestimmten Speicherlimit erstellt wurde, können Sie den Grenzwert auf einen beliebigen Wert reduzieren oder den Grenzwert als Null festlegen.

    Parameter: MaxMemLimit

    Der maximale Arbeitsspeicher wird in MB in einer Partition zugewiesen. Ein Nullwert gibt an, dass der Speicher auf der Partition unbegrenzt ist und bis zu den Systemgrenzen verbraucht werden kann.

    Standardwert: 10

  2. Bandbreite der Partition Maximale zugewiesene Bandbreite für eine Partition. Wenn Sie ein Limit angeben, stellen Sie sicher, dass es sich innerhalb des lizenzierten Durchsatzes der Appliance befindet. Andernfalls beschränken Sie nicht die Bandbreite, die von der Partition verwendet wird. Der angegebene Grenzwert ist für die Bandbreite verantwortlich, die die Anwendung benötigt. Wenn die Anwendungsbandbreite den angegebenen Grenzwert überschreitet, werden Pakete gelöscht.

    Hinweis:

    Wenn Sie eine Partition erstellen können, können Sie ab NetScaler 12.0 die Partitionsbandbreitengrenze auf Null festlegen. Wenn bereits eine Partition mit einer bestimmten Bandbreite erstellt wurde, können Sie die Bandbreite reduzieren oder den Grenzwert auf Null festlegen.

    Parameter: MaxBandWidth

    Die maximale Bandbreite wird in Kbps in einer Partition zugewiesen. Ein Nullwert gibt an, dass die Bandbreite uneingeschränkt ist. Das heißt, die Partition kann bis zu den Systemgrenzen verbrauchen.

    Standardwert: 10240

    Maximalwert: 4294967295

  3. Partitions-Verbindung Maximale Anzahl gleichzeitiger Verbindungen, die in einer Partition geöffnet werden können. Der Wert muss den maximalen gleichzeitigen Ablauf innerhalb der Partition aufnehmen. Die Partitionsverbindungen werden aus dem Partitionskontingentspeicher berücksichtigt. Zuvor wurden die Verbindungen aus dem Standard-Partitionskontingentspeicher berücksichtigt. Es wird nur auf der clientseitigen, nicht auf den Back-End-serverseitigen TCP-Verbindungen konfiguriert. Neue Verbindungen können nicht über diesen konfigurierten Wert hinaus hergestellt werden.

    Hinweis:

    Ab NetScaler 12.0 können Sie eine Partition erstellen, auf der die Anzahl der offenen Verbindungen auf Null festgelegt ist. Wenn Sie bereits eine Partition mit einer bestimmten Anzahl offener Verbindungen erstellt haben, können Sie das Verbindungslimit reduzieren oder den Grenzwert auf Null festlegen.

    Parameter: MaxConnections

    Maximale Anzahl gleichzeitiger Verbindungen, die in der Partition geöffnet werden können. Ein Nullwert gibt an, dass die Anzahl der offenen Verbindungen nicht begrenzt ist.

    Standardwert: 1024

    Mindestwert: 0

    Maximalwert: 4294967295

Konfigurieren einer Admin-Partition

Führen Sie die folgenden Aufgaben aus, um eine Admin-Partition zu konfigurieren.

So greifen Sie mit der CLI auf eine Admin-Partition zu

  1. Melden Sie sich bei der Citrix ADC Appliance an.
  2. Überprüfen Sie, ob Sie sich in der richtigen Partition befinden. Die Eingabeaufforderung zeigt den Namen der aktuell ausgewählten Partition an.
  3. Wenn ja, fahren Sie mit dem nächsten Schritt fort.
  4. Wenn nein, erhalten Sie eine Liste der Partitionen, denen Sie zugeordnet sind, und wechseln Sie zur entsprechenden Partition.

    • show system user <username>
    • switch ns partition <partitionName>
  5. Jetzt können Sie die erforderlichen Konfigurationen genauso wie ein nicht partitioniertes Citrix ADC durchführen.

So greifen Sie mit der GUI auf eine Admin-Partition zu

  1. Melden Sie sich bei der Citrix ADC Appliance an.

  2. Überprüfen Sie, ob Sie sich in der richtigen Partition befinden. In der oberen Leiste der GUI wird der Name der aktuell ausgewählten Partition angezeigt.

    • Wenn ja, fahren Sie mit dem nächsten Schritt fort.

    • Wenn nein, navigieren Sie zu Konfiguration > System > Administrative Partitionen > Partitionen, klicken Sie mit der rechten Maustaste auf die Partition, zu der Sie wechseln möchten, und wählen Sie Wechselnaus.

  3. Jetzt können Sie die erforderlichen Konfigurationen genauso wie ein nicht partitioniertes Citrix ADC durchführen.

Hinzufügen einer Admin-Partition

Der Root-Administrator fügt eine administrative Partition von der Standardpartition hinzu und bindet die Partition mit VLAN 2.

So erstellen Sie eine administrative Partition mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

<partitionname>Partition hinzufügen

Wechseln des Benutzerzugriffs von der Standardpartition zu einer Admin-Partition

Jetzt können Sie den Benutzerzugriff von der Standardpartition auf Partition Par1 umstellen.

So wechseln Sie ein Benutzerkonto mit der CLI von der Standardpartition auf eine Admin-Partition:

Geben Sie an der Eingabeaufforderung Folgendes ein:

Switch ns partition <pname>

Hinzufügen von SNIP-Adresse zu einem Partitions-Benutzerkonto mit aktiviertem Verwaltungszugriff

Erstellen Sie in der Partition eine SNIP-Adresse mit aktiviertem Verwaltungszugriff.

So fügen Sie dem Partitionsbenutzerkonto SNIP-Adresse hinzu, bei dem der Verwaltungszugriff über die Befehlszeilenschnittstelle aktiviert ist:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add ns ip <ip address> <subnet mask> -mgmtAccess enabled

Erstellen und Binden eines Partitionsbenutzers mit Partitionsbefehlsrichtlinie

Erstellen Sie in der Partition einen Partitionssystembenutzer und binden Sie den Benutzer mit Partition-Admin-Befehlsrichtlinien.

So erstellen und binden Sie einen Partitionssystembenutzer mit einer Partitionsbefehlsrichtlinie mit der CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add system user <username> <password>

Done

Erstellen und Binden von Partitionsbenutzergruppen mit Partitionsbefehlsrichtlinie

Erstellen Sie in Partition Par1 eine Partitionssystembenutzergruppe, und binden Sie die Gruppe mit Partitionsbefehlsrichtlinie wie Partitionsadministrator, Partition schreibgeschützt, Partitions-Operator oder Partitionsnetzwerk.

So erstellen und binden Sie eine Partitionsbenutzergruppe mit der Befehlszeilenschnittstelle mit der Partitionsbefehlsrichtlinie:

> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)

Konfigurieren der externen Serverauthentifizierung für externe Benutzer

In Partition Par1 können Sie eine externe Serverauthentifizierung konfigurieren, um externe TACACS-Benutzer zu authentifizieren, die über eine SNIP-Adresse auf die Partition zugreifen.

So konfigurieren Sie die externe Serverauthentifizierung für externe Benutzer mit der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
<name>> Hinzufügen der Authentifizierungsrichtlinie <policname> -rule true -action
> bind system global <policyname> -priority <value>1

Konfigurieren Sie ein Partitionssystem-Benutzerkonto in einer Partition mit der GUI

Um ein Partitionsbenutzerkonto in einer administrativen Partition zu konfigurieren, müssen Sie einen Partitionsbenutzer oder eine Partitionsbenutzergruppe erstellen und diese Partitionsbefehlsrichtlinien binden. Außerdem können Sie die externe Serverauthentifizierung für einen externen Benutzer konfigurieren.

So erstellen Sie ein Partitions-Benutzerkonto in einer Partition mit der GUI

Navigieren Sie zu System > User Administration, klicken Sie auf Users, um einen Partitionssystembenutzer hinzuzufügen, und binden Sie den Benutzer an Befehlsrichtlinien (Partitionadmin/Partitionread-only/Partitionsoperator/Partitionsnetzwerk).

So erstellen Sie ein Partitions-Benutzergruppenkonto in einer Partition mit der GUI

Navigieren Sie zu System > Benutzerverwaltung, klicken Sie auf Gruppen, um eine Partitionssystembenutzergruppe hinzuzufügen, und binden Sie die Benutzergruppe an Befehlsrichtlinien (partitionadmin/partitionread-only/partition-operator/partition-network).

So konfigurieren Sie die externe Serverauthentifizierung für externe Benutzer mit der GUI

Navigieren Sie zu System > Authentication > Basic Actions und klicken Sie auf TACACS, um einen TACACS-Server für die Authentifizierung externer Benutzer zu konfigurieren, die auf die Partition zugreifen.

Beispielkonfiguration

Die folgende Konfiguration zeigt, wie Sie einen Partitionsbenutzer oder eine Partitionsbenutzergruppe erstellen und Partitionsbefehlsrichtlinien binden. Außerdem, wie Sie die externe Serverauthentifizierung für die Authentifizierung eines externen Benutzers konfigurieren.

> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1

Befehlsrichtlinien für eine Partitionsbenutzer und Partitionsbenutzergruppen in administrativer Partition

Befehle zur Autorisierung eines Benutzerkontos innerhalb der administrativen Partition Befehlsrichtlinien in einer administrativen Partition verfügbar (integrierte Richtlinien) Zugriffstyp des Benutzerkontos
add system user Partition-admin SNIP (mit aktiviertem Verwaltungszugriff)
add system group Partition-network SNIP (mit aktiviertem Verwaltungszugriff)
add authentication <action, policy>, bind system global <policy name> Partition-read-only SNIP (mit aktiviertem Verwaltungszugriff)
remove system user Partition-admin SNIP (mit aktiviertem Verwaltungszugriff)
remove system group Partition-admin SNIP (mit aktiviertem Verwaltungszugriff)
bind system cmdpolicy an Systembenutzer; bind system cmdpolicy zur Systemgruppe Partition-admin SNIP (mit aktiviertem Verwaltungszugriff)

Konfigurieren Sie einen LACP-Ethernet-Kanal auf der Standard-Admin-Partition

Mit dem Link Aggregation Control Protocol (LACP) können Sie mehrere Ports zu einer einzigen Hochgeschwindigkeitsverbindung (auch als Kanal bezeichnet) kombinieren. Eine LACP-fähige Appliance tauscht LACP-Dateneinheiten (LACPDU) über den Kanal aus.

Es gibt drei LACP-Konfigurationsmodi, die Sie in der Standardpartition einer Citrix ADC Appliance aktivieren können:

  1. Aktiv. Ein Port im aktiven Modus sendet LACPDUs. Die Link-Aggregation wird gebildet, wenn sich das andere Ende der Ethernet-Verbindung im aktiven oder passiven LACP-Modus befindet.
  2. Passiv. Ein Port im passiven Modus sendet LACPDUs nur, wenn er LACPDUs empfängt. Die Link-Aggregation wird gebildet, wenn sich das andere Ende der Ethernet-Verbindung im aktiven LACP-Modus befindet.
  3. Deaktivieren: Die Linkaggregation wird nicht gebildet.

Hinweis:

Standardmäßig ist die Linkaggregation in der Standardpartition der Appliance deaktiviert.

LACP tauscht LACPDU zwischen Geräten aus, die über eine Ethernet-Verbindung verbunden sind. Diese Geräte werden in der Regel als Schauspieler oder Partner bezeichnet.

Eine LACPDU-Dateneinheit enthält die folgenden Parameter:

  • LACP-Modus. Aktiv, passiv oder deaktivieren.
  • LACP-Zeitüberschreitung. Die Wartezeit vor dem Timeout des Partners oder Schauspielers. Mögliche Werte: Long und Short. Standard: Long.
  • Anschlusstaste. Um zwischen den verschiedenen Kanälen zu unterscheiden. Wenn der Schlüssel 1 ist, wird LA/1 erstellt. Wenn der Schlüssel 2 ist, wird LA/2 erstellt. Mögliche Werte: Ganzzahl von 1 bis 8. 4 bis 8 ist für Cluster CLAG.
  • Port-Priorität. Mindestwert: 1. Maximalwert: 65535 Standard: 32768.
  • Systempriorität. Verwendet diese Priorität zusammen mit dem System-MAC, um die System-ID zu bilden, um das System während der LACP-Verhandlung mit dem Partner eindeutig zu identifizieren. Setzt die Systempriorität von 1 und 65535. Der Standardwert ist auf 32768 festgelegt.
  • Schnittstelle. Unterstützt 8 Schnittstellen pro Kanal auf NetScaler 10.1 Appliance und unterstützt 16 Schnittstellen pro Kanal auf NetScaler 10.5 und 11.0 Appliances.

Nach dem Austausch von LACPDUs verhandeln der Schauspieler und der Partner die Einstellungen und entscheiden, ob die Ports der Aggregation hinzugefügt werden sollen.

LACP konfigurieren und überprüfen

Der folgende Abschnitt zeigt, wie Sie LACP in der Admin-Partition konfigurieren und verifizieren.

So konfigurieren und verifizieren Sie LACP auf einer Citrix ADC Appliance mit der CLI

  1. Aktivieren Sie LACP auf jeder Schnittstelle.

    set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1

    Wenn Sie LACP auf einer Schnittstelle aktivieren, werden die Kanäle dynamisch erstellt. Wenn Sie LACP auf einer Schnittstelle aktivieren und den LACPKey auf 1 setzen, wird das Interface automatisch an den Kanal LA/1 gebunden.

    Hinweis:

    Wenn Sie eine Schnittstelle an einen Kanal binden, haben die Kanalparameter Vorrang vor den Schnittstellenparametern, sodass die Schnittstellenparameter ignoriert werden. Wenn ein Kanal dynamisch von LACP erstellt wird, können Sie die Vorgänge zum Hinzufügen, Binden, Aufheben oder Entfernen des Kanals nicht ausführen. Ein dynamisch von LACP erstellter Kanal wird automatisch gelöscht, wenn Sie LACP auf allen Schnittstellen des Kanals deaktivieren.

  2. Legen Sie die Systempriorität fest.

    set lacp -sysPriority <Positive_Integer>

  3. Stellen Sie sicher, dass LACP wie erwartet funktioniert.

    show interface <Interface_ID>

    show channel

    show LACP

    Hinweis:

    In einigen Versionen von Cisco Internetwork Operating System (iOS) <VLAN_ID> bewirkt das Ausführen des nativen VLAN-Befehls switchport Trunk dazu, dass der Cisco-Switch LACP-PDUs kennzeichnet. Dadurch fällt der LACP-Kanal zwischen dem Cisco-Switch und der Citrix ADC Appliance aus. Dieses Problem wirkt sich jedoch nicht auf die im vorherigen Verfahren konfigurierten Kanäle zur statischen Linkaggregation aus.

Speichern der Konfiguration aller Admin-Partitionen von der Standardpartition

Administratoren können die Konfiguration aller Administratorpartitionen auf einmal von der Standardpartition aus speichern.

Speichern Sie alle Admin-Partitionen von der Standardpartition mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

save ns config -all

Unterstützung für partitions- und clusterbasierte benutzerdefinierte Berichte

Citrix ADC GUI zeigt nur die benutzerdefinierten Berichte an, die in der aktuellen Anzeigepartition oder im Cluster erstellt wurden.

Zuvor speicherte die Citrix ADC GUI die Namen des benutzerdefinierten Berichts direkt in der Backend-Datei, ohne den zu unterscheidenden Partitions- oder Clusternamen zu erwähnen.

So zeigen Sie die benutzerdefinierten Berichte der aktuellen Partition oder des Clusters in der GUI an

  • Navigieren Sie zur Registerkarte Berichterstattung .

  • Klicken Sie auf Benutzerdefinierte Berichte, um die Berichte anzuzeigen, die in der aktuellen Partition oder im Cluster erstellt wurden.

Unterstützung zum Binden globaler VPN-Zertifikate in einem partitionierten Setup für OAuth IdP

In einem partitionierten Setup können Sie die Zertifikate jetzt für OAuth-IdP-Bereitstellungen an VPN global binden.

So binden Sie die Zertifikate im partitionierten Setup über die Befehlszeile

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]