ADC

Unternehmens-Umgebung

Im Unternehmens-Setup wird der NetScaler zwischen den Firewalls platziert, die mit dem öffentlichen Internet und dem internen privaten Netzwerk verbunden sind, und verarbeitet den ausgehenden Datenverkehr. Der NetScaler wählt die beste Firewall basierend auf der konfigurierten Load Balancing-Richtlinie aus.

Das folgende Diagramm zeigt die Unternehmens-Firewall-Lastausgleichsumgebung

Abbildung 1. Firewall-Lastenausgleich (Enterprise)

Firewall-Lastausgleich

Der Diensttyp ANY konfiguriert den NetScaler so, dass er den gesamten Datenverkehr akzeptiert.

Um die Vorteile im Zusammenhang mit HTTP und TCP in Anspruch zu nehmen, konfigurieren Sie den Dienst und den vserver mit dem Typ HTTP oder TCP. Damit FTP funktioniert, konfigurieren Sie den Dienst mit dem Typ FTP.

Konfiguration des NetScaler in einer Unternehmensumgebung

Führen Sie die folgenden Aufgaben aus, um einen NetScaler in einer Unternehmensumgebung zu konfigurieren.

Für Datenverkehr vom Server (Egress)

  • Aktivieren Sie die Lastausgleichsfunktion.
  • Konfigurieren Sie einen Platzhalterdienst für jede Firewall.
  • Konfigurieren Sie einen Monitor für jeden Wildcard-Dienst.
  • Konfigurieren Sie einen virtuellen Platzhalterserver, um den an die Firewalls gesendeten Datenverkehr auszugleichen.
  • Konfigurieren Sie den virtuellen Server im MAC-Rewrite-Modus.
  • Binden Sie Firewalldienste an den virtuellen Platzhalterserver.

Für Datenverkehr über private Netzwerkserver

  • Konfigurieren Sie einen Dienst für jeden virtuellen Server.
  • Konfigurieren Sie für jeden Dienst einen Monitor.
  • Konfigurieren Sie einen virtuellen HTTP-Server, um den an die Server gesendeten Datenverkehr auszugleichen.
  • Binden Sie HTTP-Dienste an den virtuellen HTTP-Server.
  • Speichern und überprüfen Sie die Konfiguration.

Im folgenden Konfigurationsbeispiel wird einer der Firewall-Server im Netzwerk-Topologie-Diagramm (Abbildung 1) betrachtet.

Aktivieren der Load Balancing-Funktion

Sie können Load Balancing-Entitäten wie Dienste und virtuelle Server konfigurieren, wenn die Load Balancing-Funktion deaktiviert ist. Sie funktionieren jedoch erst, wenn Sie die Funktion aktivieren.

So aktivieren Sie Load Balancing mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um den Lastausgleich zu aktivieren und die Konfiguration zu überprüfen

  • enable ns feature LB
  • show ns feature

Beispiel:

> enable ns feature LoadBalancing
 Done
> show ns feature

        Feature                        Acronym              Status
        -------                        -------              ------
 1)     Web Logging                    WL                   OFF
 2)     Surge Protection               SP                   ON
 3)     Load Balancing                 LB                   ON
 .
 .
 .
 24)    NetScaler Push                 push                 OFF
 Done
<!--NeedCopy-->

So aktivieren Sie Load Balancing mit dem Konfigurationsdienstprogramm

Navigieren Sie zu System > Einstellungen und wählen Sie unter Configure Basic Featuresdie Option Load Balancingaus.

Einen Platzhalterdienst für jede Firewall konfigurieren

So konfigurieren Sie einen Platzhalterdienst für jede Firewall mithilfe der Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

add service <name> <serverName> ANY *
<!--NeedCopy-->

Beispiel:

add service Service-HTTP-1 192.168.100.10 ANY *
<!--NeedCopy-->

So konfigurieren Sie einen Platzhalterdienst für jede Firewall mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Service erstellen Werte für die folgenden Parameter an, wie hier gezeigt:
    • Dienstname — Name
    • Server — ServerName
  4. Wählen Sie unter Protokoll ANY und unter Port die Option * aus.
  5. Klicken Sie auf Erstellenund dann auf Schließen. Der von Ihnen erstellte Dienst wird im Bereich Dienste angezeigt.

Einen Monitor für jeden Wildcard-Dienst konfigurieren

Ein PING-Monitor ist standardmäßig an den Dienst gebunden. Sie müssen einen transparenten Monitor konfigurieren, um Hosts auf der vertrauenswürdigen Seite durch einzelne Firewalls zu überwachen. Anschließend können Sie den transparenten Monitor an Dienste binden. Der standardmäßige PING-Monitor überwacht die Konnektivität nur zwischen der NetScaler-Appliance und dem Upstream-Gerät. Der transparente Monitor überwacht alle Geräte, die im Pfad von der Appliance zu dem Gerät vorhanden sind, das die im Monitor angegebene Ziel-IP-Adresse besitzt. Wenn kein transparenter Monitor konfiguriert ist und der Status der Firewall UP ist, aber eines der Geräte mit dem nächsten Hop von dieser Firewall ausgefallen ist, schließt die Appliance die Firewall beim Load Balancing ein und leitet das Paket an die Firewall weiter. Das Paket wird jedoch nicht an das endgültige Ziel geliefert, da eines der Geräte für den nächsten Hop ausgefallen ist. Durch das Binden eines transparenten Monitors wird der Dienst als DOWN markiert, wenn eines der Geräte (einschließlich der Firewall) ausgefallen ist, und die Firewall wird nicht einbezogen, wenn die Appliance den Firewall-Lastausgleich durchführt.

Das Binden eines transparenten Monitors überschreibt den PING-Monitor. Um einen PING-Monitor zusätzlich zu einem transparenten Monitor zu konfigurieren, müssen Sie nach dem Erstellen und Binden eines transparenten Monitors einen PING-Monitor an den Dienst binden.

So konfigurieren Sie einen transparenten Monitor mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen transparenten Monitor zu konfigurieren und die Konfiguration zu überprüfen:

add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr|*>] [-transparent (YES | NO )]
bind lb monitor <monitorName> <serviceName>
<!--NeedCopy-->

Beispiel:

add monitor monitor-HTTP-1 HTTP -destip 10.10.10.11 -destport 80 -transparent YES
bind monitor monitor-HTTP-1 fw-svc1
<!--NeedCopy-->

So erstellen und binden Sie einen transparenten Monitor mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Traffic Management > Load Balancing > Monitore.

  2. Klicken Sie im Detailbereich auf “Hinzufügen”.

  3. Geben Sie im Dialogfeld Monitor erstellen die Werte wie folgt an:

    • Vorname*
    • Typ*—Typ
    • Ziel-IP
    • Transparente

    -* Ein erforderlicher Parameter

  4. Klicken Sie auf Erstellenund dann auf Schließen. Wählen Sie im Bereich Monitore den Monitor aus, den Sie gerade konfiguriert haben, und stellen Sie sicher, dass die am unteren Bildschirmrand angezeigten Einstellungen korrekt sind.

Konfigurieren Sie einen virtuellen Platzhalterserver, um den an die Firewalls gesendeten Datenverkehr auszugleichen

Der Datenverkehr, der durch Firewalls fließt, ist für verschiedene Proxys oder Server gedacht, die sich hinter den Firewalls befinden. Diese Proxys oder Server können unterschiedliche IP-Adressen und Ports haben. Damit der Datenverkehr transparent durch die Firewalls geleitet wird, müssen die IP-Adresse und der Port des virtuellen Servers Load Balancing der Firewalls auf * gesetzt werden, um Datenverkehr für jede IP-Adresse und jeden Port zu akzeptieren.

So konfigurieren Sie einen virtuellen Platzhalterserver für den Lastausgleich des an die Firewalls gesendeten Datenverkehrs mithilfe der Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

add lb vserver <name> ANY * *
<!--NeedCopy-->

Beispiel:

add lb vserver Vserver-LB-1 ANY * *
<!--NeedCopy-->

So konfigurieren Sie einen virtuellen Platzhalterserver für den Lastausgleich des an die Firewalls gesendeten Datenverkehrs mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Virtuellen Server erstellen (Load Balancing) Werte für die folgenden Parameter an, wie hier gezeigt:
    • Name—Name
  4. Wählen Sie unter Protokoll BELIEBIG und unter IP-Adresse und Port die Option * aus.
  5. Klicken Sie auf Erstellenund dann auf Schließen. Der virtuelle Server, den Sie erstellt haben, wird im Bereich Load Balancing Virtual Servers angezeigt.

Konfigurieren Sie den virtuellen Server im MAC-Rewrite-Modus

So konfigurieren Sie den virtuellen Server im MAC-Rewrite-Modus mithilfe der Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

set lb vserver <name>@ -m <RedirectionMode>
<!--NeedCopy-->

Beispiel:

set lb vserver Vserver-LB-1 -m MAC
<!--NeedCopy-->

So konfigurieren Sie den virtuellen Server im MAC-Rewrite-Modus mithilfe des Konfigurationsdienstprogramms

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server aus, für den Sie den Umleitungsmodus konfigurieren möchten (z. B. vServer-LB-1), und klicken Sie dann auf Öffnen.
  3. Klicken Sie auf der Registerkarte Erweitert unter Umleitungsmodus auf MAC-basiert.
  4. Klicken Sie auf OK.

Binden Sie Firewalldienste an den virtuellen Platzhalterserver

So binden Sie Firewalldienste mithilfe der Befehlszeilenschnittstelle an den virtuellen Platzhalterserver

Geben Sie in der Befehlszeile Folgendes ein:

bind lb vserver <name> <serviceName>
<!--NeedCopy-->

Beispiel:

bind lb vserver Vserver-LB-1 Service-HTTP-1
<!--NeedCopy-->

So binden Sie Firewalldienste mithilfe des Konfigurationsdienstprogramms an den virtuellen Platzhalterserver

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Serverund wählen Sie einen virtuellen Server aus.
  2. Klicken Sie in den Abschnitt Service und wählen Sie einen Dienst aus, den Sie binden möchten.

Hinweis: Sie können einen Dienst an mehrere virtuelle Server binden.

Einen Dienst für jeden virtuellen Server konfigurieren

So konfigurieren Sie einen Dienst für jeden virtuellen Server mithilfe der Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

add service <name> <serverName> HTTP <port>
<!--NeedCopy-->

Beispiel:

add service Service-HTTP-1 192.168.100.10 HTTP 80
<!--NeedCopy-->

So konfigurieren Sie einen Dienst für jeden virtuellen Server mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Service erstellen Werte für die folgenden Parameter an, wie hier gezeigt:
    • Dienstname — Name
    • Server — ServerName
    • Port-Anschluss
  4. Geben Sie unter Protokoll den Wert HTTP an. Wählen Sie unter Verfügbare Monitore die Option HTTP aus.
  5. Klicken Sie auf Erstellenund dann auf Schließen. Der von Ihnen erstellte Dienst wird im Bereich Dienste angezeigt.

Einen Monitor für jeden Dienst konfigurieren

So binden Sie einen Monitor mithilfe der Befehlszeilenschnittstelle an einen Dienst

Geben Sie in der Befehlszeile Folgendes ein:

bind lb monitor <monitorName> <ServiceName>
<!--NeedCopy-->

Beispiel:

bind mon monitor-HTTP-1 Service-HTTP-1
<!--NeedCopy-->

So binden Sie einen Monitor mithilfe des Konfigurationsdienstprogramms an einen Dienst

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  2. Öffnen Sie den Dienst, und fügen Sie einen Monitor hinzu.

Konfigurieren Sie einen virtuellen HTTP-Server, um den an die Server gesendeten Datenverkehr auszugleichen

So konfigurieren Sie einen virtuellen HTTP-Server für den Ausgleich des Datenverkehrs, der über die Befehlszeilenschnittstelle an die Server gesendet wird

Geben Sie in der Befehlszeile Folgendes ein:

add lb vserver <name> HTTP <ip> <port>
<!--NeedCopy-->

Beispiel:

add lb vserver Vserver-LB-1 HTTP 10.102.29.60 80
<!--NeedCopy-->

So konfigurieren Sie einen virtuellen HTTP-Server so, dass er den mit dem Konfigurationsdienstprogramm an die Server gesendeten Datenverkehr ausgleicht

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld Virtuellen Server erstellen (Load Balancing) Werte für die folgenden Parameter an, wie hier gezeigt:
    • Name—Name
    • IP-Adresse — IPAddress Hinweis: Wenn der virtuelle Server IPv6 verwendet, aktivieren Sie das Kontrollkästchen IPv6, und geben Sie die Adresse im IPv6-Format ein (z. B. 1000:0000:0000:0000:0005:0600:700a:888b).
    • Port-Anschluss
  4. Wählen Sie unter Protokoll die Option HTTP aus.
  5. Klicken Sie auf Erstellenund dann auf Schließen. Der virtuelle Server, den Sie erstellt haben, wird im Bereich Load Balancing Virtual Servers angezeigt.

Binden Sie HTTP-Dienste an den virtuellen HTTP-Server

So binden Sie HTTP-Dienste mithilfe der Befehlszeilenschnittstelle an den virtuellen Platzhalterserver

Geben Sie in der Befehlszeile Folgendes ein:

bind lb vserver <name> <serviceName>
<!--NeedCopy-->

Beispiel:

bind lb vserver Vserver-LB-1 Service-HTTP-1
<!--NeedCopy-->

So binden Sie HTTP-Dienste mithilfe des Konfigurationsdienstprogramms an den virtuellen Platzhalterserver

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Serverund wählen Sie einen virtuellen Server aus.
  2. Klicken Sie in den Abschnitt Service und wählen Sie einen Dienst aus, den Sie binden möchten.

Hinweis: Sie können einen Dienst an mehrere virtuelle Server binden.

Speichern und überprüfen Sie die Konfiguration

Speichern Sie die Konfiguration, wenn Sie die Konfigurationsaufgaben abgeschlossen haben. Sie sollten auch überprüfen, ob die Einstellungen korrekt sind.

So speichern und überprüfen Sie die Konfiguration mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen transparenten Monitor zu konfigurieren und die Konfiguration zu überprüfen:

  • Speichern Sie ns Config
  • vserver anzeigen

Beispiel:

save config
show lb vserver FWLBVIP2
        FWLBVIP2 (\*:\*) - ANY    Type: ADDRESS
        State: UP
        Last state change was at Mon Jun 14 07:22:54 2010
        Time since last state change: 0 days, 00:00:32.760
        Effective State: UP
        Client Idle Timeout: 120 sec
        Down state flush: ENABLED
        Disable Primary Vserver On Down : DISABLED
        No. of Bound Services :  2 (Total)       2 (Active)
        Configured Method: LEASTCONNECTION
        Current Method: Round Robin, Reason: A new service is bound
        Mode: MAC
        Persistence: NONE
        Connection Failover: DISABLED

1) fw-int-svc1 (192.168.100.10: \*) - ANY State: UP Weight: 1
 Done
show service fw-int-svc1
        fw-int-svc1 (192.168.100.10:\*) - ANY
        State: UP
        Last state change was at Thu Jul  8 14:44:51 2010
        Time since last state change: 0 days, 00:01:50.240
        Server Name: 192.168.100.10
        Server ID : 0   Monitor Threshold : 0
        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits
        Use Source IP: NO
        Client Keepalive(CKA): NO
        Access Down Service: NO
        TCP Buffering(TCPB): NO
        HTTP Compression(CMP): NO
        Idle timeout: Client: 120 sec   Server: 120 sec
        Client IP: DISABLED
        Cacheable: NO
        SC: OFF
        SP: OFF
        Down state flush: ENABLED

1)      Monitor Name: monitor-HTTP-1
                State: UP     Weight: 1
                Probes: 9       Failed [Total: 0 Current: 0]
                Last response: Success - HTTP response code 200 received
                Response Time: 100.0 millisec
2)      Monitor Name: ping
                State: UP       Weight: 1
                Probes: 3       Failed [Total: 0 Current: 0]
                Last response: Success - ICMP echo reply received.
                Response Time: 1.275 millisec
 Done
<!--NeedCopy-->

So speichern und überprüfen Sie die Konfiguration mit dem Konfigurationsdienstprogramm

  1. Klicken Sie im Detailbereich auf Speichern.
  2. Klicken Sie im Dialogfeld Konfiguration speichern auf Ja.
  3. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  4. Wählen Sie im Detailbereich den virtuellen Server aus, den Sie in Schritt 5 erstellt haben, und stellen Sie sicher, dass die im Detailbereich angezeigten Einstellungen korrekt sind.
  5. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  6. Wählen Sie im Detailbereich den Dienst aus, den Sie in Schritt 5 erstellt haben, und stellen Sie sicher, dass die im Bereich Details angezeigten Einstellungen korrekt sind.

Überwachen einer Firewall-Lastausgleichseinrichtung in einer Unternehmensumgebung

Nachdem die Konfiguration ausgeführt wurde, sollten Sie die Statistiken für jeden Dienst und virtuellen Server anzeigen, um nach möglichen Problemen zu suchen.

Anzeigen der Statistiken eines virtuellen Servers

Um die Leistung virtueller Server zu bewerten oder Probleme zu beheben, können Sie Details der virtuellen Server anzeigen, die auf der NetScaler-Appliance konfiguriert sind. Sie können eine Zusammenfassung der Statistiken für alle virtuellen Server anzeigen, oder Sie können den Namen eines virtuellen Servers angeben, um die Statistiken nur für diesen virtuellen Server anzuzeigen. Sie können die folgenden Details anzeigen:

  • Name
  • IP-Adresse
  • Port
  • Protokoll
  • Status des virtuellen Servers
  • Rate der eingegangenen Anfragen
  • Rate der Treffer

So zeigen Sie Statistiken zu virtuellen Servern mit der Befehlszeilenschnittstelle an

Geben Sie an der Eingabeaufforderung Folgendes ein, um eine Zusammenfassung der Statistiken für alle virtuellen Server anzuzeigen, die derzeit auf der NetScaler-Appliance konfiguriert sind, oder für einen einzelnen virtuellen Server:

stat lb vserver [-detail] [<name>]
<!--NeedCopy-->

Beispiel:

>stat lb vserver -detail
Virtual Server(s) Summary
                      vsvrIP  port     Protocol        State    Req/s   Hits/s
One                        *    80         HTTP           UP      5/s      0/s
Two                        *     0          TCP         DOWN      0/s      0/s
Three                      *  2598          TCP         DOWN      0/s      0/s
dnsVirtualNS    10.102.29.90    53          DNS         DOWN      0/s      0/s
BRVSERV            10.10.1.1    80         HTTP         DOWN      0/s      0/s
LBVIP           10.102.29.66    80         HTTP           UP      0/s      0/s
 Done


<!--NeedCopy-->

So zeigen Sie Statistiken zu virtuellen Servern mit dem Konfigurationsdienstprogramm an

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server > Statistik.
  2. Wenn Sie die Statistiken für nur einen virtuellen Server anzeigen möchten, wählen Sie im Detailbereich den virtuellen Server aus und klicken Sie auf Statistik.

Statistiken eines Dienstes anzeigen

Aktualisiert: 2013-08-28

Sie können die Rate von Anfragen, Antworten, Anforderungsbytes, Antwortbytes, aktuellen Clientverbindungen, Anforderungen in Surge-Warteschlange, aktuellen Serververbindungen usw. mithilfe der Dienststatistik anzeigen.

So zeigen Sie die Statistiken eines Dienstes mit der Befehlszeilenschnittstelle an

Geben Sie in der Befehlszeile Folgendes ein:

stat service <name>
<!--NeedCopy-->

Beispiel:

stat service Service-HTTP-1
<!--NeedCopy-->

So zeigen Sie die Statistiken eines Dienstes mit dem Konfigurationsdienstprogramm an

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services > Statistik.
  2. Wenn Sie die Statistiken nur für einen Dienst anzeigen möchten, wählen Sie den Dienst aus und klicken Sie auf Statistiken.
Unternehmens-Umgebung