Citrix ADC

Configuración de HTTP/3 y resumen de estadísticas

Para configurar un protocolo HTTP/3 para enviar varios flujos de datos HTTP/3 mediante QUIC, debe completar los siguientes pasos:

  1. Habilite las funciones SSL y de equilibrio de carga.
  2. Agregue equilibrio de carga y conmutación de contenido (opcionales) servidores virtuales de tipo HTTP_QUIC.
  3. Asocie los parámetros del protocolo QUIC con el servidor virtual HTTP_QUIC.
  4. Habilite HTTP/3 en el servidor virtual HTTP_QUIC.
  5. Enlazar el par de claves de certificado SSL con el servidor virtual HTTP_QUIC.
  6. Asocie los parámetros de protocolo SSL/TLS con el servidor virtual HTTP_QUIC.

Habilitar SSL y equilibrio de carga

Antes de empezar, asegúrese de que las funciones SSL y Equilibrio de carga están habilitadas en el dispositivo. En el símbolo del sistema, escriba:

enable ns feature ssl lb
<!--NeedCopy-->

Agregar equilibrio de carga y conmutación de contenido (opcionales) servidores virtuales de tipo HTTP_QUIC para el servicio HTTP/3

Agregue un servidor virtual de equilibrio de carga para aceptar tráfico HTTP/3 a través de QUIC. Nota: El servidor virtual de equilibrio de carga de tipo HTTP_QUIC tiene perfiles QUIC, SSL y HTTP3 integrados. Si prefiere crear perfiles definidos por el usuario, puede agregar nuevos perfiles y vincularlos al servidor virtual de equilibrio de carga.

add lb vserver <vserver-name> HTTP_QUIC <IP-address> <UDP-listening-port>
add cs vserver <vserver-name> HTTP_QUIC <IP-address> <UDP-listening-port>
<!--NeedCopy-->

Ejemplo:

add lb vserver lb-http3 HTTP_QUIC 1.1.1.1 443 add cs vserver cs-http3 HTTP_QUIC 10.10.10.10 443

Asociar parámetros de protocolo QUIC con el servidor virtual HTTP_QUIC

Puede crear un perfil QUIC y especificar parámetros QUIC para el servicio QUIC y asociarlo al servidor virtual de equilibrio de carga. Debe crear un perfil definido por el usuario o utilizar el perfil QUIC integrado y enlazar el perfil al servidor virtual de equilibrio de carga.

Paso 1: configurar un perfil QUIC definido por el usuario En el símbolo del sistema, escriba:

set quic profile <profile_name> -transport_param <value>
<!--NeedCopy-->

Ejemplo:

set quic profile quic_http3 -ackDelayExponent 10 -activeConnectionIDlimit 4

Los distintos parámetros de transporte QUIC son los siguientes:

- Exponente de retraso de retraso. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que indica un exponente que debe usar el endpoint QUIC remoto, para decodificar el campo Demora ACK en tramas ACK de QUIC enviadas por Citrix ADC.

- Límite de ID de conexión activa. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto. Especifica el número máximo de ID de conexión QUIC desde el extremo QUIC remoto, que Citrix ADC está dispuesto a almacenar.

- Migración de conexión activa. Especifique si Citrix ADC debe permitir que el endpoint QUIC remoto realice una migración de conexión QUIC activa.

- Algoritmo de congestionoctrl. Especifique el algoritmo de control de congestión que se va a utilizar para las conexiones QUIC.

- Datos máximos iniciales. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica el valor inicial, en bytes, para la cantidad máxima de datos que se pueden enviar en una conexión QUIC.

- Datos iniciales de Max Stream BIDI local. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica el límite de control de flujo inicial, en bytes, para flujos QUIC bidireccionales iniciados por Citrix ADC.

- Remote de datos de Max Stream inicial. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica el límite de control de flujo inicial, en bytes, para flujos QUIC bidireccionales iniciados por el endpoint QUIC remoto.

- Inicio de Max Stream DataUni. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica el límite de control de flujo inicial, en bytes, para los flujos unidireccionales iniciados por el endpoint QUIC remoto.

- Max Streams Bidi inicial. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica el número máximo inicial de flujos bidireccionales que debe iniciar el extremo QUIC remoto.

- Max Stream Suni inicial. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica el número máximo inicial de flujos unidireccionales que debe iniciar el endpoint QUIC remoto.

- Maxack Delay. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica la cantidad máxima de tiempo, en milisegundos, mediante el cual Citrix ADC retrasa el envío de confirmaciones.

- Tiempo de espera máximo. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica el tiempo de espera máximo de inactividad, en segundos, para una conexión QUIC. Citrix ADC descartará silenciosamente una conexión QUIC que permanezca inactiva durante más tiempo de espera que el Citrix ADC y el punto final QUIC remoto anunciados por Citrix ADC y el triple del tiempo de espera de sonda (PTO) actual.

- Tamaño máximo de carga de pago de UDP. Valor entero anunciado por Citrix ADC en el extremo QUIC remoto, que especifica el tamaño de la mayor carga útil de datagramas UDP, en bytes, que Citrix ADC está dispuesto a recibir en una conexión QUIC.

- Período de validez de nuevo token. Valor entero que especifica el período de validez, en segundos, de los tokens de validación de direcciones emitidos a través de tramas QUIC NEW_TOKEN enviadas por Citrix ADC. - Vuelva a intentar el periodo de validez de tokens. Valor entero que especifica el período de validez, en segundos, de los tokens de validación de direcciones emitidos a través de paquetes de reintento QUIC enviados por Citrix ADC. - Validación de direcciones sin estado. Especifique si Citrix ADC debe llevar a cabo la validación de direcciones sin estado para clientes QUIC, enviando tokens en paquetes de reintento de QUIC durante el establecimiento de la conexión QUIC y enviando tokens en tramas de QUIC NEW_TOKEN después del establecimiento de la conexión QUIC.

Paso 2: Asociar el perfil QUIC definido por el usuario a un servidor virtual de equilibrio de carga de tipo http_quic

En el símbolo del sistema, escriba:

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-quicProfileName <string>]
<!--NeedCopy-->

Ejemplo:

set lb vserver lb-http3 -quicProfileName quic_http3

Habilitar y enlazar HTTP/3 en un servidor virtual HTTP_QUIC

Para habilitar HTTP/3 en un servidor virtual HTTP_QUIC, se agrega un conjunto de parámetros de configuración a la configuración del perfil HTTP. Para facilitar la configuración, al agregar un servidor virtual HTTP_QUIC, hay disponible un nuevo perfil HTTP predeterminado o integrado en el dispositivo. El perfil tiene los parámetros de compatibilidad del protocolo HTTP/3 configurados en HABILITADO y también limitados a los servidores virtuales HTTP_QUIC (aplicable si decide no asociar el servidor virtual HTTP_QUIC con un perfil HTTP agregado por el usuario). El valor de los parámetros HTTP/3 del perfil HTTP decide si se selecciona el protocolo HTTP/3 y se anuncia al procesar la extensión TLS ALPN (Negociación de protocolo de capa de aplicación) durante el protocolo QUIC.

Puede crear un perfil HTTP/3 y especificar parámetros HTTP para el servicio HTTP/3 y el servidor virtual de equilibrio de carga. Debe crear un perfil definido por el usuario o utilizar el perfil HTTP/3 integrado y enlazar el perfil al servidor virtual de equilibrio de carga.

Paso 1: configurar un perfil HTTP/3 definido por el usuario En el símbolo del sistema, escriba:

Add ns httpProfile <profile_name> -http3 ENABLED
<!--NeedCopy-->

Ejemplo:

add ns httpProfile http3_quic –http3 ENABLED

Paso 2: Vincular el perfil HTTP/3 definido por el usuario a un servidor virtual de equilibrio de carga de tipo http_quic En el símbolo del sistema, escriba:

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-httpProfileName <string>]
<!--NeedCopy-->

Ejemplo:

set lb vserver lb-http3 –httpProfileName http3_quic

Vincular par de claves de certificado SSL con el servidor virtual HTTP_QUIC

Para procesar el tráfico cifrado, debe agregar un par de claves de certificado SSL y vincularlo al servidor virtual HTTP_QUIC.

En el símbolo del sistema, escriba:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

<!--NeedCopy-->

Ejemplo:

bind ssl vserver lb-http3 -certkeyName rsa_certkeypair

Para obtener más información, consulte el tema Vincular certificado SSL .

Enlazar parámetros de protocolo SSL/TLS con un servidor virtual HTTP_QUIC

Los servidores virtuales de tipo HTTP_QUIC tienen funcionalidad de servidor TLS 1.3 incorporada porque el protocolo QUIC utiliza TLS 1.3 como componente de seguridad obligatorio. Para facilitar la configuración al agregar un servidor virtual HTTP_QUIC, se agrega un nuevo perfil SSL predeterminado o integrado de tipo: interfaz rápida. El perfil SSL tiene habilitada la versión TLS 1.3 con conjuntos de cifrado TLS 1.3 (y curvas elípticas) configurados. El perfil SSL debe enlazarse a los servidores virtuales HTTP_QUIC recientemente agregados. Puede crear un perfil SSL y especificar parámetros de cifrado SSL para el servicio TLP 1.1 y el servidor virtual de equilibrio de carga. Debe crear un perfil definido por el usuario o utilizar el perfil SSL integrado y enlazar el perfil al servidor virtual de equilibrio de carga.

Paso 1: configurar un perfil SSL definido por el usuario En el símbolo del sistema, escriba:

add ssl profile <name> -sslprofileType QUIC-FrontEnd
<!--NeedCopy-->

Ejemplo:

add ssl profile ssl_profile1 -sslprofileType QUIC-FrontEnd -tls13 ENABLED -tls12 DISABLED -tls11 DISABLED -tls1 DISABLED

Paso 2: Vincular el perfil SSL definido por el usuario a un servidor virtual de equilibrio de carga de tipo HTTP_QUIC En el símbolo del sistema, escriba:

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-httpProfileName <string>]
<!--NeedCopy-->

Ejemplo:

set ssl vserver lb-http3 -sslprofile ssl_profile1

Habilitar las funciones SSL y de equilibrio de carga mediante la GUI

Complete los siguientes pasos para habilitar las funciones SSL y de equilibrio de carga:

  1. En el panel de navegación, expanda Sistema y, a continuación, haga clic en Configuración.
  2. En la página Configurar funciones básicas, seleccione SSL y Equilibrio de carga.
  3. Haga clic en Aceptar y, a continuación, haga clic en Cerrar.

GUI para habilitar las funciones SSL y de equilibrio de carga

Agregar servidores virtuales de equilibrio de carga y conmutación de contenido (opcionales) de tipo HTTP_QUIC mediante la GUI

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Haga clic en Agregar para crear un servidor virtual de equilibrio de carga de tipo HTTP_QUIC.
  3. En la página Servidor virtual de equilibrio de carga, haga clic en Perfiles.
  4. En la sección Perfiles, seleccione el tipo de perfil como QUIC. Nota: Los perfiles QUIC, HTTP/3 y SSL son integrados.
  5. Haga clic en Aceptar y, a continuación, Listo.

Agregar equilibrio de carga y conmutación de contenido (opcionales) servidores virtuales

Asociar parámetros de protocolo QUIC con el servidor virtual HTTP_QUIC mediante la GUI

Paso 1: Agregar perfil QUIC

  1. Vaya a Sistema > Perfiles > Perfil QUIC.
  2. Haga clic en Add.
  3. En la página Perfil QUIC, establezca los siguientes parámetros. Para obtener una descripción detallada de cada parámetro, consulte la sección de la CLI del protocolo QUIC Asociado.

    1. Ack Delay Exponente
    2. Límite de ID de conexión activa
    3. Migración de conexión activa
    4. Algoritmo de control de congestión
    5. Datos máximos iniciales
    6. Datos de flujo máximo inicial Bidi Local
    7. Remote Bidi de datos de flujo máximo inicial
    8. Unidad de datos de flujo máximo inicial
    9. Transmisión máxima inicial bidi
    10. Uni de flujo máximo inicial
    11. Retraso máximo de confirmación
    12. Tiempo de espera máximo de inactividad
    13. Gramas de datos UDP máximos por ráfaga
    14. Período de validez de nuevo token
    15. Periodo de validez de token de reintento
    16. Validación de direcciones sin estado

Asociar parámetros de protocolo QUIC con el servidor virtual HTTP_QUIC

Paso 2: Asociar el perfil QUIC con un servidor virtual de equilibrio de carga de tipo HTTP_QUIC

  1. En la sección Perfiles, seleccione el perfil QUIC. Nota: Los perfiles QUIC, HTTP/3 y SSL son integrados.
  2. Haga clic en Aceptar y, a continuación, Listo.

Perfil QUIC

Asociar parámetros de protocolo SSL/TLS con el servidor virtual de tipo SSL mediante la GUI

Paso 1: Agregar perfil SSL

  1. Vaya a Sistema > Perfiles > Perfil SSL.
  2. Haga clic en Add.
  3. En la página Perfil QUIC, establezca los parámetros SSL. Para obtener una descripción detallada, consulte el tema de configuración del perfil SSL.
  4. Haga clic en Aceptar y Cerrar.

Asociar parámetros de protocolo SSL/TLS con el servidor virtual de tipo SSL

Paso 2: Asocie el perfil SSL con un servidor virtual de equilibrio de carga de tipo SSL.

  1. En la sección Perfiles, seleccione el perfil SSL.
  2. Haga clic en Aceptar y, a continuación, Listo.

Asociar perfil SSL con un servidor virtual de equilibrio de carga de tipo SSL

Ver estadísticas de QUIC y HTTP/3

Los siguientes comandos muestran un resumen detallado de QUIC y estadísticas HTTP3. En el símbolo del sistema, escriba lo siguiente:

> stat quic
> stat quic –detail
<!--NeedCopy-->

Para borrar la visualización de estadísticas, escriba una de las siguientes opciones:

> stat quic -clearstats basic
> stat quic -clearstats full

<!--NeedCopy-->

Para mostrar un resumen detallado de las estadísticas HTTP/3:

> stat http3
> stat http3 –detail
<!--NeedCopy-->

Para borrar la visualización de estadísticas, escriba una de las siguientes opciones:

> stat http3 -clearstats basic
> stat http3 -clearstats full
<!--NeedCopy-->