ADC

Preguntas frecuentes

Tiempos de espera

Importante

Antes de utilizar cualquier mando nsapimgr, consulte con el servicio de atención al cliente de Citrix.

A continuación se muestra una lista de diferentes tiempos de espera de conexión inactiva que se pueden establecer en servidores y servicios virtuales Citrix ADC T1. El tiempo de espera inactivo establecido para las conexiones de cliente o servidor en el nivel de servidor o servicio son aplicables solo para las conexiones en el estado TCP ESTABLISHED y están inactivas.

  • El parámetro CLTTimeout del servidor virtual de Equilibrio de carga especifica el tiempo en segundos que una conexión de un cliente a un servidor virtual de Equilibrio de carga debe estar inactiva, antes de que el dispositivo cierre la conexión.
  • El parámetro Service SvrTimeout especifica el tiempo en segundos que una conexión desde el dispositivo a un servicio o servidor debe estar inactiva antes de que el dispositivo cierre la conexión.
  • El parámetro Service CLTTimeout especifica el tiempo en segundos que una conexión de un cliente a un servicio debe estar inactiva antes de que el dispositivo cierre la conexión.

Cuando un servicio está enlazado a un servidor virtual de equilibrio de carga, el CLTTimeout para el servidor virtual de equilibrio de carga tiene prioridad y se omite el servicio CLTTimeout para el servicio.

En caso de que no haya servicio vinculado al servidor virtual de equilibrio de carga, el tiempo de espera inactivo global, es decir, TCPServer, se utiliza para las conexiones del lado del servidor. Se puede configurar de la siguiente manera:

Comando:

set ns timeout –tcpServer 9000
<!--NeedCopy-->

Las conexiones en otro estado tienen valores de tiempo de espera diferentes:

  • Tiempo de espera de inactividad de conexiones medio abiertas: 120 segundos (valor codificado)
  • Time_WAIT conexiones inactivas: 40 segundos (valor codificado)
  • Tiempo de espera inactivo de conexiones medio cierre. Por defecto es 10s y se puede configurar entre 1s y 600s mediante el fragmento

Comando:

 set ns timeout –halfclose 10
<!--NeedCopy-->

Cuando se activa el tiempo de espera de medio cierre, la conexión se mueve al estado zombie. Cuando caduca el tiempo de espera zombie, la limpieza zombie se inicia y T1 envía RST tanto en el cliente como en el servidor para la conexión dada de forma predeterminada.

  • Tiempo de espera zombi: Intervalo en el que debe ejecutarse el proceso de limpieza zombie para limpiar las conexiones TCP inactivas. El valor de tiempo de espera predeterminado es 120s y se puede configurar entre 1s y 600s.

Comando:

set ns timeout –zombie 120
<!--NeedCopy-->

Tabla de tamaño máximo de segmento

Un dispositivo Citrix ADC T1 se defiende contra ataques de inundación SYN mediante el uso de cookies SYN en lugar de mantener conexiones semiabiertas en la pila de memoria del sistema. El dispositivo envía una cookie a cada cliente que solicita una conexión TCP, pero no mantiene los estados de conexiones semiabiertas. En su lugar, el dispositivo asigna memoria del sistema para una conexión solo al recibir el paquete ACK final o, para el tráfico HTTP, al recibir una solicitud HTTP. Esto evita los ataques SYN y permite que las comunicaciones TCP normales con clientes legítimos continúen ininterrumpidas. La función específica está habilitada por defecto sin opción de inhabilitar.

Sin embargo, hay una advertencia ya que las cookies SYN estándar limitan las conexiones al uso de solo ocho valores de tamaño máximo de segmento (MSS). Si la conexión MMS no coincide con ningún valor predefinido, recogerá el siguiente valor inferior disponible tanto para el cliente como para el servidor.

Los valores predefinidos TCP Maximum Segment Size (MSS) son los siguientes y se pueden configurar a través de una nueva perilla nsapimgr.

               
1460 1440 1330 1220 956 536 384 128

La nueva tabla MSS:

  • No es necesario contener compatibilidad con Jumbo-Frame. Aunque de forma predeterminada 8 valores están reservados en la tabla MSS para tramas jumbo, la configuración de la tabla se puede modificar para incluir solo fotogramas estándar de tamaño Ethernet.
  • Debe tener 16 valores
  • Debería tener valores en orden descendente
  • Debe incluir 128 como último valor

Si la nueva tabla MSS es válida, la tabla se almacena y los valores antiguos se cambian en el tiempo de rotación SYN Cookie. De lo contrario, la nueva tabla devuelve un error. Los cambios se aplican a las nuevas conexiones, mientras que las conexiones existentes conservan la tabla MSS anterior hasta que las conexiones caduquen o terminen.

Para mostrar la tabla MSS actual en un dispositivo Citrix ADC, escriba el comando siguiente.

Comando:

>shell

#nsapimgr -d mss_table

Ejemplo:

#nsapimgr -d mss_table

MSS table

{9176,9156,8192,7168,6144,4196,3072,2048,1460,1440,1330,1212,956,536,384,128}

Done.

Para cambiar la tabla mss, escriba el siguiente comando:

Comando:

>shell

#nsapimgr -s mss_table=<16 comma seperated values>

Ejemplo:

#nsapimgr -ys mss_table=9176,9156,8192,7168,6144,4196,3072,2048,1460,1400,1330,1212,956,536,384,128

# nsapimgr -d mss_table

MSS table

{9176,9156,8192,7168,6144,4196,3072,2048,1460,1400,1330,1212,956,536,384,128}

Done.

A continuación se muestra un ejemplo que utiliza valores estándar de tamaño Ethernet:

Ejemplo:

#nsapimgr -ys mss_table=1460,1440,1420,1400,1380,1360,1340,1320,1300,1280,1260,1212,956,536,384,128

# nsapimgr -d mss_table

MSS table

{1460,1440,1420,1400,1380,1360,1340,1320,1300,1280,1260,1212,956,536,384,128}

Done.

Para que este cambio sea permanente incluso después de que se reinicie el dispositivo Citrix ADC, incluya el comando#nsapimgr -ys mss_table=<16 comma seperated values> en el archivo “/nsconfig/rc.netscaler”. Si el archivo “rc.netscaler” no existe, créelo en la carpeta “/nsconfig” y, a continuación, agregue el comando.

Protección contra sobrecarga de memoria

Un motor de procesamiento de paquetes (PPE) de Citrix ADC comienza a omitir las conexiones de la optimización TCP si la memoria utilizada por ese PPE es superior a un valor de marca de agua alto especificado. Si una utilización de memoria PPE supera los ~ 2,6 GB, entonces comienza a omitir cualquier conexión nueva de la optimización. Las conexiones existentes (las admitidas anteriormente para la optimización) continúan obteniendo optimización. Este valor de marca de agua se ha seleccionado a propósito y no se recomienda para afinar.

Nota

Si crees que hay una buena razón para cambiar ese valor de marca de agua, ponte en contacto con Atención al cliente.

Soporte para clientes de Happy Eyeballs

Si el dispositivo Citrix ADC recibe un SYN para un destino cuyo estado es desconocido, el dispositivo comprueba primero la accesibilidad del servidor y, a continuación, reconoce el cliente. Este mecanismo de sondeo permite a los clientes con pilas IP duales descubrir la accesibilidad de servidores de Internet de doble pila. Si el cliente descubre que tanto el acceso IPv6 como IPv4 están disponibles, establece una conexión con el servidor que responde más rápidamente y restablece la otra. Para que la conexión para el dispositivo Citrix ADC reciba un restablecimiento, restablecerá la conexión del lado del servidor correspondiente.

Nota: Esta función no tiene configuraciones TCP configurables por el usuario para inhabilitarlas o habilitarlas en el dispositivo Citrix ADC.

Para obtener más información sobre el soporte de Happy Eyeballs, consulte RFC 6555.

Preguntas frecuentes