Configuraciones TCP

Las configuraciones TCP para un dispositivo Citrix ADC se pueden especificar en una entidad denominada perfil TCP, que es una colección de configuraciones TCP. El perfil TCP puede asociarse a servicios o servidores virtuales que deseen utilizar estas configuraciones TCP.

Se puede configurar un perfil TCP predeterminado para establecer las configuraciones TCP que se aplicarán de forma predeterminada, globalmente a todos los servicios y servidores virtuales.

Nota

Cuando un parámetro TCP tiene valores diferentes para el servicio, el servidor virtual y globalmente, el valor de la entidad más específica (el servicio) tiene la prioridad más alta. El dispositivo Citrix ADC también proporciona otros métodos para configurar TCP. Siga leyendo para obtener más información.

Configuración TCP admitida

El dispositivo Citrix ADC admite las siguientes capacidades TCP:

Defender TCP contra ataques de suplantación de identidad

La implementación de Citrix ADC de atenuación de ventanas cumple con RFC 4953.

Notificación explícita de congestión (ECN)

El dispositivo envía una notificación del estado de congestión de la red al remitente de los datos y adopta medidas correctivas en caso de congestión o corrupción de los datos. La implementación de Citrix ADC de ECN cumple con RFC 3168.

Medición del tiempo de ida y vuelta (RTTM) mediante la opción de marca de tiempo

Para que funcione la opción TimeStamp, al menos un lado de la conexión (cliente o servidor) debe admitirla. La opción de implementación de Citrix ADC de TimeStamp es compatible con RFC 1323.

Detección de retransmisiones falsas

Esto se puede hacer utilizando el reconocimiento selectivo duplicado TCP (D-SACK) y el reenvío RTO-Recovery (F-RTO). En caso de retransmisiones falsas, las configuraciones de control de congestión se revierten a su estado original. La implementación de Citrix ADC de D-SACK cumple con RFC 2883 y F-RTO cumple con RFC 5682.

Control de congestión

Esta funcionalidad utiliza algoritmos New-Reno, BIC, CUBIC, Nile y TCP Westwood.

Escalado de ventana

Esto aumenta el tamaño de la ventana de recepción TCP más allá de su valor máximo de 65.535 bytes.

Puntos a tener en cuenta antes de configurar la escala de ventanas

  • No se establece un valor alto para el factor de escala, ya que esto podría tener efectos adversos en el dispositivo y la red.
  • No se configura la escala de la ventana a menos que sepa claramente por qué desea cambiar el tamaño de la ventana.
  • Ambos hosts de la conexión TCP envían una opción de escala de ventana durante el establecimiento de la conexión. Si solo un lado de una conexión establece esta opción, no se utiliza la escala de la ventana para la conexión.
  • Cada conexión para la misma sesión es una sesión independiente de escalado de ventana. Por ejemplo, cuando la solicitud de un cliente y la respuesta del servidor fluyen a través del dispositivo, es posible tener escalado de ventana entre el cliente y el dispositivo sin escalarlo entre el dispositivo y el servidor.

Ventana de congestión máxima TCP

El tamaño de la ventana es configurable por el usuario. El valor predeterminado es 8190 bytes.

Reconocimiento selectivo (SACK)

Esto utiliza el receptor de datos (ya sea un dispositivo Citrix ADC o un cliente) notifica al remitente todos los segmentos que se han recibido correctamente.

Reconocimiento de reenvío (FACK)

Esta funcionalidad evita la congestión TCP midiendo explícitamente el número total de bytes de datos pendientes en la red y ayudando al remitente (ya sea un Citrix ADC o un cliente) a controlar la cantidad de datos inyectados en la red durante los tiempos de espera de retransmisión.

Multiplexación de conexión TCP

Esta funcionalidad permite la reutilización de conexiones TCP existentes. El dispositivo Citrix ADC almacena conexiones TCP establecidas al grupo de reutilización. Cada vez que se recibe una solicitud de cliente, el dispositivo comprueba si hay una conexión disponible en el grupo de reutilización y sirve al nuevo cliente si la conexión está disponible. Si no está disponible, el dispositivo crea una nueva conexión para la solicitud del cliente y almacena la conexión con el grupo de reutilización. Citrix ADC admite la multiplexación de conexiones para tipos de conexión HTTP, SSL y DataStream.

Almacenamiento en búfer de recepción dinámico

Esto permite que el búfer de recepción se ajuste dinámicamente en función de las condiciones de memoria y red.

Conexión MPTCP

Conexiones MPTCP entre el cliente y Citrix ADC. Las conexiones MPTCP no son compatibles entre Citrix ADC y el servidor back-end. La implementación de Citrix ADC de MPTCP cumple con RFC 6824.

Puede ver estadísticas MPTCP, como conexiones MPTCP activas y conexiones de subflujo activas mediante la interfaz de línea de comandos.

En el símbolo del sistema, escriba uno de los siguientes comandos para mostrar un resumen o un resumen detallado de las estadísticas MPTCP, o para borrar la visualización de estadísticas:

  1. Stat MPTCP

  2. Stat mptcp —detail

  3. Clearstats básico

Nota

Para establecer una conexión MPTCP, tanto el cliente como el dispositivo Citrix ADC deben admitir la misma versión MPTCP. Si utiliza el dispositivo Citrix ADC como Gateway MPTCP para sus servidores, los servidores no tienen que admitir MPTCP. Cuando el cliente inicia una nueva conexión MPTCP, el dispositivo identifica la versión MPTPC del cliente desde la opción MP_CAPABALE del paquete SYN. Si la versión del cliente es superior a la admitida en el dispositivo, el dispositivo indica su versión más alta en la opción MP_CAPABALE del paquete SYN-ACK. A continuación, el cliente vuelve a una versión inferior y envía el número de versión en la opción MP_CAPABALE del paquete ACK. Si esa versión es compatible, el dispositivo continúa con la conexión MPTCP. De lo contrario, el dispositivo se devuelve a un TCP normal. El dispositivo Citrix ADC no inicia subflujos (MP_JOIN). El dispositivo espera que el cliente inicie subflujos.

Extracción de la opción de superposición de ruta TCP/IP e inserción del encabezado HTTP Client-IP

Extracción de superposición de ruta TCP/IP e inserción de encabezado HTTP Client-IP. El transporte de datos a través de redes superpuestas a menudo utiliza la terminación de conexión o la traducción de direcciones de red (NAT), en la que se pierde la dirección IP del cliente de origen. Para evitar esto, el dispositivo Citrix ADC extrae la opción de superposición de ruta TCP/IP e inserta la dirección IP del cliente de origen en el encabezado HTTP. Con la dirección IP en el encabezado, el servidor web puede identificar el cliente de origen que realizó la conexión. Los datos extraídos son válidos durante la duración de la conexión TCP y, por lo tanto, esto evita que el host de salto siguiente tenga que interpretar la opción de nuevo. Esta opción solo se aplica a los servicios web que tienen habilitada la opción de inserción de IP de cliente. Para obtener más información, vea el tema Inserción de clientes en back-end.

Descarga de segmentación TCP

Sincronización de cookies para protocolo de enlace TCP con clientes

Aprendizaje de MSS para habilitar el aprendizaje de MSS para todos los servidores virtuales configurados en el dispositivo

Parámetros TCP admitidos

La tabla siguiente proporciona una lista de parámetros TCP y su valor predeterminado configurado en un dispositivo Citrix ADC.

Parámetro Valor predeterminado Descripción
Gestión de ventanas    
Temporizador TCP retrasado 100 milisegundos Tiempo de espera para TCP retrasado ACK, en milisegundos.
Tiempo de espera mínimo de restricción (RTO) TCP en milisegundos 1000 milisegundos Tiempo de espera mínimo de retransmisión, en milisegundos, especificado en incrementos de 10 milisegundos (el valor debe generar un número entero si se divide por 10)
Tiempo de inactividad de la conexión antes de iniciar sondeos keep-alive 900 segundos Suelte silenciosamente las conexiones establecidas tcp en tiempo de salida inactivocp conexiones establecidas en tiempo de espera inactivo
Opción de marca de hora TCP HABILITADO La opción de marca de tiempo permite una medición RTT precisa. Habilite o inhabilite la opción de marca de tiempo TCP.
Tiempo de espera de la sesión TCP de rutas múltiples 0 segundos Tiempo de espera de la sesión MPTCP en segundos. Si este valor no está establecido, inactivo. Las sesiones MPTCP se vacían después del tiempo de espera inactivo del cliente de vserver.
Suelte silenciosamente las conexiones semicerradas en tiempo de espera inactivo 0 segundos Suelte silenciosamente las conexiones semicerradas TCP en el tiempo de espera inactivo.
Dejar silenciosamente las conexiones establecidas en el tiempo de espera inactivo INHABILITADO Suelte silenciosamente las conexiones establecidas tcp en tiempo de espera inactivo
Administración de la memoria    
Tamaño del búfer TCP 131072 octetos El tamaño del búfer TCP es el tamaño del búfer de recepción en Citrix ADC. Este tamaño de búfer se anuncia a clientes y servidores desde Citrix ADC y controla su capacidad para enviar datos a Citrix ADC. El tamaño del búfer predeterminado es 8K y en la mayoría de los casos será seguro incrementarlo cuando se hable con granjas de servidores internos. El tamaño del búfer también se ve afectado por la capa de aplicación real en Citrix ADC, al igual que para los casos de extremo SSL se establece en 40K y para Compresión se establece en 96K. Nota: El argumento de tamaño de búfer debe establecerse para que se realicen ajustes dinámicos.
Tamaño del búfer de envío TCP 8190 octetos Tamaño del búfer de envío TCP
Almacenamiento en búfer de recepción dinámica TCP INHABILITADO Habilite o inhabilite el almacenamiento en búfer de recepción dinámico. Cuando está habilitado, permite que el búfer de recepción se ajuste dinámicamente en función de las condiciones de memoria y red. Nota: El argumento de tamaño de búfer debe establecerse para que se realicen ajustes dinámicos
Ventana de congestión máxima de TCP (CWND) 524288 octetos Ventana de congestión máxima TCP
Estado de escala de ventana ENALBED Habilite o inhabilite la escala de ventanas.
Factor de escala de ventana 8 Factor utilizado para calcular el nuevo tamaño de la ventana. Este argumento solo se necesita cuando se habilita la escala de la ventana.
Configuración de la conexión    
Sondas Keep Alive INHABILITADO Envíe sondeos TCP keep-alive (KA) periódicos para comprobar si el par sigue activo.
Tiempo de inactividad de la conexión antes de iniciar sondeos keep-alive 900 segundos Duración, en segundos, para que la conexión esté inactiva, antes de enviar un sondeo keep-alive (KA).
Intervalo de sonda Keep-Alive 75 segundos Intervalo de tiempo, en segundos, antes del siguiente sondeo keep-alive (KA), si el par no responde.
Número máximo de sondas keep-alive que se deben perder antes de soltar la conexión. 3 Número de sondeos keep-alive (KA) que se envían cuando no se reconocen, antes de asumir que el par está inactivo.
Atenuación de ventanas de RST (protección de spoof). INHABILITADO Habilite o inhabilite la atenuación de la ventana de RST para protegerse contra la suplantación de identidad. Cuando está habilitado, responderá con ACK correctivo cuando un número de secuencia no es válido.
Acepte RST con el último número de secuencia reconocido. HABILITADO  
Transferencia de datos    
ACK inmediato en el paquete PUSH HABILITADO Enviar acuse de recibo positivo inmediato (ACK) al recibir paquetes TCP con el indicador PUSH.
Máximo de paquetes por MSS 0 Número máximo de octetos para permitir en un segmento de datos TCP
Algoritmo de Nagle INHABILITADO El algoritmo de Nagle lucha con el problema de los paquetes pequeños en la transmisión TCP. Aplicaciones como Telnet y otros motores en tiempo real que requieren que cada pulsación de tecla se pase al otro lado a menudo crean paquetes muy pequeños. Con el algoritmo de Nagle, Citrix ADC puede almacenar en búfer esos paquetes pequeños y enviarlos juntos para aumentar la eficiencia de la conexión. Este algoritmo debe funcionar junto con otras técnicas de optimización TCP en Citrix ADC.
Máximo de segmentos TCP permitidos en una ráfaga 10 MSS Número máximo de segmentos TCP permitidos en una ráfaga
Máximo de paquetes fuera de pedido en cola 300 Tamaño máximo de la cola de paquetes fuera de pedido. Un valor de 0 significa que no hay límite
Control de congestión    
Sabor TCP CÚBICO  
Configuración de la ventana de congestión inicial (cwnd) 4 MS Límite superior máximo inicial en el número de paquetes TCP que pueden estar pendientes en el enlace TCP al servidor
Notificación explícita de congestión TCP (ECN) INHABILITADO Notificación explícita de congestión (ECN) proporciona notificación de extremo a extremo de la congestión de la red sin dejar caer paquetes.
Ventana de congestión máxima de TCP (CWND) 524288 octetos TCP mantiene una ventana de congestión (CWND), lo que limita el número total de paquetes no reconocidos que pueden estar en tránsito de extremo a extremo. En TCP, la ventana de congestión es uno de los factores que determinan el número de bytes que pueden estar pendientes en cualquier momento. La ventana de congestión es un medio para impedir que un vínculo entre el remitente y el receptor se sobrecargue con demasiado tráfico. Se calcula calculando cuánta congestión hay en el enlace.
Inicio híbrido TCP (HYSTART) 8 bytes  
Tiempo de espera mínimo de restricción (RTO) TCP en milisegundos 1000 Tiempo de espera mínimo de retransmisión, en milisegundos, especificado en incrementos de 10 milisegundos (el valor debe generar un número entero si se divide por 10).
Umbral de paquete TCP INHABILITADO  
Control de velocidad de ráfaga 3 TCP Burst Rate Control DISABLED/FIXED/DYNAMIC. FIJO requiere que se establezca una velocidad TCP
Velocidad TCP INHABILITADO Velocidad de envío de carga de conexión TCP en KB/s
Cola máxima de velocidad TCP 0 Tamaño máximo de la cola de conexión en bytes, cuando se utiliza BurstrateControl.
MPTCP    
TCP de múltiples rutas INHABILITADO TCP multiruta (MPTCP) es un conjunto de extensiones a TCP normal para proporcionar un servicio TCP multiruta, que permite que una conexión de transporte funcione a través de múltiples rutas simultáneamente.
Datos de caída TCP de rutas múltiples en subflujo preestablecido INHABILITADO Habilite o inhabilite la eliminación silenciosa de los datos en el subflujo Preestablecido. Cuando se habilita, los paquetes de datos DSS se descartan silenciosamente en lugar de dejar caer la conexión cuando se reciben datos en el subflujo previamente establecido.
TCP multiruta de apertura rápida INHABILITADO Habilite o inhabilite Multipath TCP fastopen. Cuando está habilitado, los paquetes de datos DSS se aceptan antes de recibir el tercer ack de protocolo de enlace SYN.
Tiempo de espera de la sesión TCP de rutas múltiples 0 segundos Tiempo de espera de la sesión MPTCP en segundos. Si no se establece este valor, las sesiones MPTCP inactivas se vacían después del tiempo de espera inactivo del cliente vserver.
Seguridad    
Protección contra spoof SYN INHABILITADO Habilite o inhabilite la caída de paquetes SYN no válidos para protegerse contra la suplantación de identidad. Cuando se inhabilita, las conexiones establecidas se restablecerán cuando se reciba un paquete SYN.
Cookie de sincronización TCP INHABILITADO Esto se utiliza para resistir ataques de inundación SYN. Habilite o inhabilite el mecanismo SYNCOOKIE para el enlace TCP con los clientes. Al inhabilitar SYNCOOKIE se evita la protección contra ataques SYN en el dispositivo Citrix ADC.
Detección y recuperación de pérdidas    
Reconocimiento selectivo duplicado (DSACK) HABILITADO Un dispositivo Citrix ADC utiliza el reconocimiento selectivo duplicado (DSACK) para determinar si se ha enviado una retransmisión por error.
Recuperación directa de RTO (FRTO) HABILITADO Detecta tiempos de espera de retransmisión TCP falsos. Después de retransmitir el primer segmento no reconocido desencadenado por un tiempo de espera, el algoritmo del remitente TCP supervisa las confirmaciones entrantes para determinar si el tiempo de espera era falso. A continuación, decide si desea enviar nuevos segmentos o retransmitir segmentos no reconocidos. El algoritmo ayuda eficazmente a evitar retransmisiones innecesarias adicionales y, por lo tanto, mejora el rendimiento TCP en el caso de un tiempo de espera demasiado largo.
Reconocimiento de reenvío TCP (FACK) HABILITADO Habilite o inhabilite FACK (Forward ACK).
Estado de reconocimiento selectivo (SACK) HABILITADO TCP SACK aborda el problema de la pérdida de múltiples paquetes que reduce la capacidad de rendimiento general. Con el acuse de recibo selectivo, el receptor puede informar al remitente sobre todos los segmentos que se reciben correctamente, permitiendo al remitente solo retransmitir los segmentos que se perdieron. Esta técnica ayuda a Citrix ADC a mejorar el rendimiento general y reducir la latencia de conexión.
Máximo de paquetes por retransmisión 1 Permite a Citrix ADC controlar el número de paquetes que se retransmiten en un solo intento. Cuando Citrix ADC recibe una ACK parcial y tiene que realizar retransmisión, se considera esta configuración. Esto no afecta a las retransmisiones basadas en RTO.
Temporizador TCP retrasado 100 milisegundos Tiempo de espera para TCP retrasado ACK, en milisegundos
Optimización del TCO    
Modo de optimización TCP TRANSPARENTE Modos de optimización TCP TRANSPARENT/ENDPOINT
Aplicar optimizaciones TCP adaptativas INHABILITADO Aplicar optimizaciones TCP adaptativas
Descarga de segmentación TCP AUTOMÁTICO Descarga la segmentación TCP a la NIC. Si se establece en AUTOMÁTICO, la segmentación TCP se descargará en la NIC, si la NIC lo admite.
Agregación ACK INHABILITADO Habilitar o inhabilitar la agregación ACK
Tiempo de espera TCP (o Time_wait) 40 segundos Tiempo que transcurre antes de liberar una conexión TCP cerrada

Configuración de parámetros TCP globales

El dispositivo Citrix ADC permite especificar valores para los parámetros TCP aplicables a todos los servicios Citrix ADC y servidores virtuales. Esto se puede hacer mediante:

  • Perfil TCP predeterminado
  • Comando TCP global
  • Función de almacenamiento en búfer TCP

Nota:

El parámetro RecvBuffSize del comando set ns TcpParam está obsoleto a partir de la versión 9.2. En versiones posteriores, establezca el tamaño del búfer mediante el parámetro BufferSize del comando set ns TcpProfile. Si actualiza a una versión en la que el parámetro RecvBuffSize está obsoleto, el parámetro BufferSize se establece en su valor predeterminado.

Perfil TCP predeterminado

Un perfil TCP, denominado nstcp_default_profile, se utiliza para especificar las configuraciones TCP que se utilizarán si no se proporcionan configuraciones TCP en el nivel de servicio o servidor virtual.

Notas:

  • No todos los parámetros TCP se pueden configurar a través del perfil TCP predeterminado. Algunas configuraciones deben realizarse mediante el comando TCP global (consulte la sección siguiente).

  • El perfil predeterminado no tiene que estar vinculado explícitamente a un servicio o servidor virtual.

Para configurar el perfil TCP predeterminado

  • Utilizando la interfaz de línea de comando, en la solicitud de comando escriba:

    set ns tcpProfile nstcp_default_profile…

  • En la GUI, vaya a Sistema > Perfiles, haga clic en Perfiles TCP y actualice nstcp_default_profile.

Comando TCP global

Otro enfoque que puede utilizar para configurar parámetros TCP globales es el comando TCP global. Además de algunos parámetros únicos, este comando duplica algunos parámetros que se pueden establecer mediante un perfil TCP. Cualquier actualización realizada a estos parámetros duplicados se refleja en el parámetro correspondiente en el perfil TCP predeterminado.

Por ejemplo, si el parámetro SACK se actualiza con este enfoque, el valor se refleja en el parámetro SACK del perfil TCP predeterminado (nstcp_default_profile).

Nota:

Citrix recomienda utilizar este enfoque solo para parámetros TCP que no están disponibles en el perfil TCP predeterminado.

Para configurar el comando TCP global

  • Utilizando la interfaz de línea de comando, en la solicitud de comando escriba:

    set ns tcpParam …

  • En la GUI, vaya a Sistema > Configuración, haga clic en Cambiar parámetros TCP y actualice los parámetros TCP requeridos.

Función de almacenamiento en búfer TCP

Citrix ADC proporciona una función denominada búfer TCP que puede utilizar para especificar el tamaño del búfer TCP. La función se puede habilitar globalmente o a nivel de servicio.

Nota El tamaño del búfer también se puede configurar en el perfil TCP predeterminado. Si el tamaño del búfer tiene valores diferentes en la función de búfer TCP y en el perfil TCP predeterminado, se aplica el valor mayor.

Para configurar globalmente la función de almacenamiento en búfer TCP

  • En la solicitud de comando, escriba:

    habilitar el modo ns TCPB

    set ns tcpbufParam -size <positiveInteger> -memLimit <positiveInteger>

  • En la GUI, vaya a Sistema > Configuración, haga clic en Configurar modos y seleccione TCP Buffering.

    Y, vaya a Sistema > Configuración, haga clic en Cambiar parámetros TCP y especifique los valores para Tamaño del búfer y Límite de uso de memoria.

Configuración de parámetros TCP específicos del servicio o del servidor virtual

Mediante los perfiles TCP, puede especificar parámetros TCP para servicios y servidores virtuales. Debe definir un perfil TCP (o utilizar un perfil TCP incorporado) y asociar el perfil con el servicio adecuado y el servidor virtual.

Nota:

También puede modificar los parámetros TCP de los perfiles predeterminados según sus requisitos.

Puede especificar el tamaño del búfer TCP a nivel de servicio utilizando los parámetros especificados por la función de búfer TCP.

Para especificar configuraciones TCP de nivel de servidor virtual o de servicio mediante la interfaz de línea de comandos

En el símbolo del sistema, realice lo siguiente:

  1. Configure el perfil TCP.

    set ns tcpProfile <profile-name>...

  2. Enlace el perfil TCP al servicio o servidor virtual.

set service <name> ....

**Ejemplo**:

`> establecer servicio de servicio1 -TCPProfileName profile1`

Para enlazar el perfil TCP al servidor virtual:

`set lb vserver <name> ....`

**Ejemplo**:

`> set lb vserver lbvserver1 -tcpProfileName profile1`

Para especificar configuraciones TCP de nivel de servidor virtual o de servicio mediante la interfaz gráfica de usuario

En la GUI, realice lo siguiente:

  1. Configure el perfil TCP.

    Vaya a Sistema > Perfiles > Perfiles TCP y cree el perfil TCP.

  2. Enlace el perfil TCP al servicio o servidor virtual.

    Vaya a Administración del tráfico > Equilibrio de carga > Servicios/Servidores virtuales y cree el perfil TCP, que debe estar enlazado al servicio o servidor virtual.

Perfiles TCP integrados

Para facilitar la configuración, Citrix ADC proporciona algunos perfiles TCP integrados. Revise los perfiles integrados que se enumeran a continuación y seleccione un perfil y úselo tal y como está o modifique para satisfacer sus necesidades. Puede vincular estos perfiles a los servicios o servidores virtuales requeridos.

Perfil integrado Descripción
nstcp_default_profile Representa la configuración TCP global predeterminada del dispositivo.
nstcp_default_tcp_lan Útil para conexiones de servidor back-end, donde estos servidores residen en la misma LAN que el dispositivo.
nstcp_default_tcp_lan_thin_stream Similar al perfil nstcp_default_tcp_lan; sin embargo, la configuración se ajusta a flujos de paquetes de tamaño pequeño.
nstcp_default_tcp_interactive_stream Similar al perfil nstcp_default_tcp_lan; sin embargo, tiene un temporizador ACK retardado reducido y ACK en la configuración de paquetes PUSH.
nstcp_default_tcp_lfp Útil para redes de tuberías largas (WAN) en el lado del cliente. Las redes de tuberías de grasa largas tienen líneas de largo retraso y ancho de banda alto con caídas mínimas de paquetes.
nstcp_default_tcp_lfp_thin_stream Similar al perfil nstcp_default_tcp_lfp; sin embargo, la configuración se ajusta para flujos de paquetes de tamaño pequeño.
nstcp_default_tcp_lnp Útil para redes de tuberías estrechas largas (WAN) en el lado del cliente. Las redes de tuberías largas y estrechas tienen una pérdida considerable de paquetes de vez en cuando.
nstcp_default_tcp_lnp_thin_stream Similar al perfil nstcp_default_tcp_lnp; sin embargo, la configuración se ajusta para flujos de paquetes de tamaño pequeño.
nstcp_internal_apps Útil para aplicaciones internas en el dispositivo (por ejemplo, sitio GSLB). Contiene escalado de ventana ajustado y opciones SACK para las aplicaciones deseadas. Este perfil no debe vincularse a aplicaciones que no sean aplicaciones internas.
nstcp_default_mobile_profile Útil para dispositivos móviles.
nstcp_default_XA_XD_profile Útil para una implementación de XenApp o XenDesktop.

Configuraciones TCP de ejemplo

Ejemplos de interfaz de línea de comandos de ejemplo para configurar lo siguiente:

Defender TCP contra ataques de suplantación de identidad

Habilite Citrix ADC para defender TCP contra ataques de suplantación. De forma predeterminada, el parámetro “rstWindowAttenuation” está inhabilitado. Este parámetro está habilitado para proteger el dispositivo contra la suplantación de identidad. Si habilita, responderá con acuse de recibo correctivo (ACK) para un número de secuencia no válido. Los valores posibles son habilitado o inhabilitado.

Donde el parámetro de atenuación de la ventana RST protege el dispositivo contra suplantación de identidad. Cuando está habilitado, responderá con ACK correctivo cuando un número de secuencia no es válido.

```
> set ns tcpProfile profile1 -rstWindowAttenUate ENABLED -SpoofSynDrop ENABLED
Completado
> establecer lb vserver lbvserver1 -tcpProfileprofile1
Completado
```

Notificación explícita de congestión (ECN)

Enable ECN on the required TCP profile

```
> establecer ns perfil TCPProfile 1 -ECN ENABITADO
Completado
> establecer lb vserver lbvserver1 -tcpProfileprofile1
Completado
```

Reconocimiento selectivo (SACK)

Habilite SACK en el perfil TCP requerido.

```
> set ns perfil TCPProfile 1 -SACK ENABLED
Completado
> establecer lb vserver lbvserver1 -tcpProfileprofile1
Completado
```

Reconocimiento de reenvío (FACK)

Habilite FACK en el perfil TCP requerido.

> set ns tcpProfile profile1 -FACK ENABLED > set lb vserver lbvserver1 -tcpProfileName profile1

Escala de ventana (WS)

Habilite la escala de la ventana y establezca el factor de escala de la ventana en el perfil TCP requerido.

set ns tcpProfile profile1 –WS ENABLED –WSVal 9 Done set lb vserver lbvserver1 -tcpProfileName profile1 Done

Tamaño máximo de segmento (MSS)

Actualice las configuraciones relacionadas con MSS.

> set ns tcpProfile profile1 –mss 1460 - maxPktPerMss 512 Done > set lb vserver lbvserver1 -tcpProfileName profile1 Done

Citrix ADC para aprender el MSS de un servidor virtual

Habilite Citrix ADC para aprender el VSS y actualizar otras configuraciones relacionadas.

> set ns tcpParam -learnVsvrMSS ENABLED –mssLearnInterval 180 -mssLearnDelay 3600 Done

TCP keep-alive

Habilite TCP keep-alive y actualice otras configuraciones relacionadas.

> set ns tcpProfile profile1 –KA ENABLED –KaprobeUpdateLastactivity ENABLED -KAconnIdleTime 900 -KAmaxProbes 3 -KaprobeInterval 75 Done > set lb vserver lbvserver1 -tcpProfileName profile1 Done

Tamaño del búfer: Mediante el perfil TCP

Especifique el tamaño del búfer.

> set ns tcpProfile profile1 –bufferSize 8190 Done > set lb vserver lbvserver1 -tcpProfileName profile1 Done

Tamaño del búfer: Mediante la función de búfer TCP

Habilite la función de almacenamiento en búfer TCP (globalmente o para un servicio) y, a continuación, especifique el tamaño del búfer y el límite de memoria.

> enable ns feature TCPB Done > set ns tcpbufParam -size 64 -memLimit 64 Done

MPTCP

Habilite MPTCP y, a continuación, establezca las configuraciones MPTCP opcionales.

> set ns tcpProfile profile1 -mptcp ENABLED Done > set ns tcpProfile profile1 -mptcpDropDataOnPreEstSF ENABLED -mptcpFastOpen ENABLED -mptcpSessionTimeout 7200 Done > set ns tcpparam -mptcpConCloseOnPassiveSF ENABLED -mptcpChecksum ENABLED -mptcpSFtimeout 0 -mptcpSFReplaceTimeout 10 -mptcpMaxSF 4 -mptcpMaxPendingSF 4 -mptcpPendingJoinThreshold 0 -mptcpRTOsToSwitchSF 2 -mptcpUseBackupOnDSS ENABLED Done

Control de congestión

Establezca el algoritmo de control de congestión TCP requerido.

set ns tcpProfile profile1 -flavor Westwood Done > set lb vserver lbvserver1 -tcpProfileName profile1 Done

Almacenamiento en búfer de recepción dinámico

Habilite el almacenamiento en búfer de recepción dinámica en el perfil TCP requerido.

> set ns tcpProfile profile1 -dynamicReceiveBuffering ENABLED Done > set lb vserver lbvserver1 -tcpProfileName profile1 Done

Soporte para TCP Fast Open (TFO) en TCP Multipath (MPTCP)

Un dispositivo Citrix ADC ahora admite el mecanismo TCP Fast Open (TFO) para establecer conexiones TCP Multipath (MPTCP) y acelerar las transferencias de datos. El mecanismo permite que los datos de subflujo se transportan durante el enlace inicial de conexión MPTCP en paquetes SYN y SYN-ACK y también permite que los datos sean consumidos por el nodo receptor durante el establecimiento de la conexión MPTCP.

Para obtener más información, consulte el tema Apertura rápida TCP.

Un dispositivo Citrix ADC ahora le permite configurar una cookie TCP Fast Open (TFO) de longitud variable de un tamaño mínimo de 4 bytes y un tamaño máximo de 16 bytes en un perfil TCP. Al hacerlo, el dispositivo puede responder al cliente con el tamaño de cookie TFO configurado en el paquete SYN-ACK.

Para configurar la cookie TCP Fast Open (TFO) en un perfil TCP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set tcpProfile nstcp_default_profile -tcpFastOpenCookieSize <positive_integer>

Ejemplo

set tcpProfile nstcp_default_profile -tcpFastOpenCookieSize 8

Para configurar la cookie TCP Fast Open (TFO) en un perfil TCP mediante GUI

  1. Vaya a Configuración > Sistema > Perfiles.
  2. En el panel de detalles, vaya a la pestaña Perfiles TCP y seleccione un perfil TCP.
  3. En la página Configurar perfil TCP, establezca el tamaño de cookie TCP Fast Open.
  4. Haga clic en Aceptar y Listo.

En un dispositivo Citrix ADC, de forma predeterminada, el parámetro de cookie SYN del perfil TCP está habilitado para resistir los ataques SYN. Si prefiere detectar un ataque para un servidor virtual y comprobar la velocidad de retransmisión SYN-ACK, el valor de la cookie SYN cambia del estado habilitado al inhabilitado. Sin embargo, el efecto de alternar de la cookie del estado habilitado al inhabilitado y viceversa provoca una incoherencia de configuración entre nodos en una implementación de clúster. Para superar esto, puede utilizar el segundo parámetro de cookie SYN mantenido en cada servidor virtual del dispositivo. Cuando se detecta un ataque SYN, la cookie SYN en el perfil TCP se inhabilita y el segundo valor de cookie SYN en el servidor cambia del estado inhabilitado al estado habilitado. La cookie permanece en estado Activado para un intervalo de autosyncookietimeout que puede especificar. Durante el intervalo de tiempo de espera, el servidor virtual combate el ataque SYN en el modo SYN Cookie. Después de que el intervalo se agota, el valor de Cookie SYN vuelve al estado inhabilitado si la velocidad de retransmisión SYN-ACK del servidor virtual está por debajo del umbral. De lo contrario, si la tasa aún está por encima del umbral, implica que se trata de un ataque SYN y la cookie vuelve a conmutar al estado Habilitado durante el período de tiempo de espera especificado.

Para configurar el umbral máximo de retransmisión SYN ACK mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set ns tcpparam [-maxSynAckRetx <positive_integer>]
Set ns tcpparam [-maxSynAckRetx 150]

Para configurar el intervalo de tiempo de espera automático de cookies SYN mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

set ns tcpparam [-autosyncookietimeout <positive_integer>]

Set ns tcpparam [-autosyncookietimeout 90]