Citrix Application Delivery Management

Habilitar la recopilación de datos de HDX Insight

HDX Insight permite a TI ofrecer una experiencia de usuario excepcional al proporcionar una visibilidad end-to-end sin precedentes del tráfico ICA que pasa a través de las instancias Citrix ADC o los dispositivos Citrix SD-WAN, y forma parte de Citrix Application Delivery Management (ADM) Analytics. HDX Insight ofrece capacidades atractivas y potentes de inteligencia empresarial y análisis de fallos para la red, los escritorios virtuales, las aplicaciones y la estructura de aplicaciones. HDX Insight puede analizar al instante los problemas de los usuarios, recopilar datos sobre las conexiones de escritorio virtual y generar registros de AppFlow y presentarlos como informes visuales.

La configuración para habilitar la recopilación de datos en Citrix ADC difiere de la posición del dispositivo en la topología de implementación.

Habilitar la recopilación de datos para supervisar los ADC de Citrix implementados en modo de usuario LAN

Los usuarios externos que accedan a aplicaciones Citrix Virtual Apps and Desktops deben autenticarse en Citrix Gateway. Sin embargo, es posible que los usuarios internos no necesiten ser redirigidos a Citrix Gateway. Además, en una implementación de modo transparente, el administrador debe aplicar manualmente las directivas de redirección para que las solicitudes se redirijan al dispositivo Citrix ADC.

Para superar estos desafíos y para que los usuarios de LAN se conecten directamente a aplicaciones de Citrix Virtual Apps and Desktops, puede implementar el dispositivo Citrix ADC en modo de usuario de LAN configurando un servidor virtual de redirección de caché, que actúa como proxy SOCKS en el dispositivo Citrix Gateway.

Imagen localizada

Nota Citrix ADM y el dispositivo Citrix Gateway residen en la misma subred.

Para supervisar los dispositivos Citrix ADC implementados en este modo, primero agregue el dispositivo Citrix ADC al inventario de NetScaler Insight, habilite AppFlow y, a continuación, vea los informes en el panel.

Después de agregar el dispositivo Citrix ADC al inventario de Citrix ADM, debe habilitar AppFlow para la recopilación de datos.

Nota

  • En una instancia de ADC, puede navegar a System > AppFlow > Collectors, para comprobar si el recopilador (es decir, Citrix ADM) está activado o no. La instancia Citrix ADC envía registros AppFlow a Citrix ADM mediante NSIP. Pero la instancia utiliza su SNIP para verificar la conectividad con Citrix ADM. Por lo tanto, asegúrese de que el SNIP esté configurado en la instancia.
  • No puede habilitar la recopilación de datos en un Citrix ADC implementado en modo de usuario de LAN mediante la utilidad de configuración de Citrix ADM.
  • Para obtener información detallada sobre los comandos y su uso, consulte Referencia de comandos.
  • Para obtener información sobre expresiones de directiva, consulte Directivas y expresiones.

Para configurar la recopilación de datos en un dispositivo Citrix ADC mediante la interfaz de línea de comandos:

En el símbolo del sistema, haga lo siguiente:

  1. Inicie sesión en un dispositivo.

  2. Agregue un servidor virtual de redirección de caché de proxy de reenvío con la IP y el puerto proxy, y especifique el tipo de servicio como HDX.

    add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cachetype <cachetype>] [- cltTimeout <secs>]

    Ejemplo

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
    <!--NeedCopy-->
    

    Nota Si accede a la red LAN mediante un dispositivo Citrix Gateway, agregue una acción que aplique una directiva que coincida con el tráfico VPN.

    agregar vpn TrafficAction <name> <qual> [-HDX (ON o OFF)]

    agregar VPN TrafficPolicy <name> <rule> <action>

    Ejemplo

    add vpn trafficAction act1 tcp -HDX ON
    
    add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
    <!--NeedCopy-->
    
  3. Agregue Citrix ADM como recopilador de flujo de aplicaciones en el dispositivo Citrix ADC.

    agregar un colector de flujo de aplicaciones <name> -dirección IP <ip_addr>

    Ejemplo:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    <!--NeedCopy-->
    
  4. Cree una acción de flujo de aplicaciones y asocie el recopilador con la acción.

    agregar acción de flujo de aplicaciones <name> -colectores <string>…

    Ejemplo:

    add appflow action act -collectors MyInsight
    <!--NeedCopy-->
    
  5. Cree una directiva de flujo de aplicaciones para especificar la regla para generar el tráfico.

    agregar directiva de flujo de aplicaciones <policyname> <rule> <action>

    Ejemplo:

    add appflow policy pol true act
    <!--NeedCopy-->
    
  6. Enlazar la directiva de flujo de aplicaciones a un punto de enlace global.

    bind appflow global <policyname> <priority> -type <type>

    Ejemplo:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    <!--NeedCopy-->
    

    Nota El valor del tipo debe ser ICA_REQ_OVERRIDE o ICA_REQ_DEFAULT para poder aplicarse al tráfico ICA.

  7. Establezca el valor del parámetro FlowRecordInterval para Appflow en 60 segundos.

    establecer el parámetro appflow -FlowRecordInterval 60

    Ejemplo:

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    
  8. Guarde la configuración. Tipo: save ns config

Habilitación de la recopilación de datos para dispositivos Citrix Gateway implementados en modo de salto único

Cuando implementa Citrix Gateway en modo de salto único, se encuentra en el borde de la red. La instancia de Gateway proporciona conexiones ICA proxy a la infraestructura de entrega de escritorios. Un salto único es la implementación más simple y común. El modo de salto único proporciona seguridad si un usuario externo intenta acceder a la red interna de una organización. En el modo de salto único, los usuarios acceden a los dispositivos Citrix ADC a través de una red privada virtual (VPN).

Para empezar a recopilar los informes, debe agregar el dispositivo Citrix Gateway al inventario de Citrix Application Delivery Management (ADM) y habilitar AppFlow en ADM.

Imagen localizada

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En el menú desplegable Seleccionar acción, seleccione Configurar Analytics.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar AppFlow.

  6. En el campo Habilitar AppFlow, escriba true y seleccione ICA.

  7. Haga clic en OK.

    Imagen localizada

Nota: Los siguientes comandos se ejecutan en segundo plano cuando se habilita AppFlow en modo de salto único. Estos comandos se especifican explícitamente aquí para solucionar problemas.

  • add appflow collector <name> -IPAddress <ip_addr>
  • add appflow action <name> -collectors <string>
  • set appflow param -flowRecordInterval <secs>
  • disable ns feature AppFlow
  • enable ns feature AppFlow
  • add appflow policy <name> <rule> <expression>
  • set appflow policy <name> -rule <expression>
  • bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>
  • set vpn vserver <name> -appflowLog ENABLED
  • save ns config

Los datos de canal virtual de EUEM forman parte de los datos de HDX Insight que el Citrix ADM recibe de instancias de Gateway. El canal virtual EUEM proporciona los datos sobre ICA RTT. Si el canal virtual de EUEM no está habilitado, los datos restantes de HDX Insight se mostrarán en Citrix ADM.

Habilitación de la recopilación de datos para dispositivos Citrix Gateway implementados en modo de salto doble

El modo de salto doble de Citrix Gateway proporciona protección adicional a la red interna de una organización porque un atacante necesitaría penetrar varias zonas de seguridad o zonas desmilitarizadas (DMZ) para llegar a los servidores de la red segura. Si quiere analizar el número de saltos (dispositivos Citrix Gateway) a través de los cuales pasan las conexiones ICA, así como los detalles sobre la latencia en cada conexión TCP y cómo se compara con la latencia total de ICA percibida por el cliente, debe instalar Citrix ADM para que los dispositivos Citrix Gateway reportar estas estadísticas vitales.

Imagen localizada

Citrix Gateway en la primera DMZ maneja las conexiones de usuario y realiza las funciones de seguridad de una VPN SSL. Citrix Gateway cifra las conexiones de los usuarios, determina cómo se autentican los usuarios y controla el acceso a los servidores de la red interna.

Citrix Gateway en la segunda DMZ sirve como dispositivo proxy de Citrix Gateway. Este dispositivo Citrix Gateway permite que el tráfico ICA atraviese la segunda DMZ para completar las conexiones de usuario a la comunidad de servidores.

Citrix ADM se puede implementar en la subred que pertenece al dispositivo Citrix Gateway en la primera DMZ o en la subred que pertenece al dispositivo Citrix Gateway segunda DMZ. En la imagen anterior, Citrix ADM y Citrix Gateway en la primera DMZ se implementan en la misma subred.

En modo de salto doble, Citrix ADM recopila los registros TCP de un dispositivo y los registros ICA del otro dispositivo. Después de agregar los dispositivos Citrix Gateway al inventario de Citrix ADM y habilitar la recopilación de datos, cada uno de los dispositivos exporta los informes haciendo un seguimiento del número de saltos y del ID de la cadena de conexión.

Para que Citrix ADM identifique qué dispositivo está exportando registros, cada dispositivo se especifica con un recuento de saltos y cada conexión se especifica con un ID de cadena de conexiones. El recuento de saltos representa el número de dispositivos Citrix Gateway a través de los cuales fluye el tráfico de un cliente a los servidores. El ID de cadena de conexión representa las conexiones de extremo a extremo entre el cliente y el servidor.

Citrix ADM utiliza el recuento de saltos y el ID de la cadena de conexión para relacionar los datos de los dispositivos Citrix Gateway y generar los informes.

Para supervisar los dispositivos Citrix Gateway implementados en este modo, primero debe agregar Citrix Gateway al inventario de Citrix ADM, habilitar AppFlow en Citrix ADM y, a continuación, ver los informes en el panel de Citrix ADM.

Habilitar la recopilación de datos en Citrix ADM

Si habilita Citrix ADM para comenzar a recopilar los detalles de ICA de ambos dispositivos, los detalles recopilados serán redundantes. Es decir, tanto los dispositivos informan de las mismas métricas. Para superar esta situación, debe habilitar AppFlow para ICA en uno de los primeros dispositivos Citrix Gateway y, a continuación, habilitar AppFlow para TCP en el segundo dispositivo. Al hacerlo, uno de los dispositivos exporta registros ICA AppFlow y el otro dispositivo exporta registros TCP AppFlow. Esto también ahorra el tiempo de procesamiento al analizar el tráfico ICA.

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En el menú desplegable Seleccionar acción, seleccione Configurar Analytics.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar AppFlow.

  6. En el campo Habilitar AppFlow, escriba true y seleccione ICA/TCP para tráfico ICA y tráfico TCP respectivamente.

    Nota Si el registro de AppFlow no está habilitado para los servicios o grupos de servicios respectivos en el dispositivo Citrix ADC, el panel de control de Citrix ADM no muestra los registros, incluso si la columna Insight muestra Habilitado.

  7. Haga clic en OK.

Imagen localizada

Configuración de dispositivos Citrix Gateway para exportar datos

Después de instalar los dispositivos Citrix Gateway, debe configurar las siguientes opciones en los dispositivos Citrix Gateway para exportar los informes a Citrix ADM:

  • Configure los servidores virtuales de los dispositivos Citrix Gateway en la primera y segunda DMZ para que se comuniquen entre sí.
  • Enlazar el servidor virtual de Citrix Gateway en la segunda DMZ con el servidor virtual de Citrix Gateway en la primera DMZ.
  • Habilite el salto doble en Citrix Gateway en la segunda DMZ.
  • Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.
  • Habilitar uno de los dispositivos Citrix Gateway para exportar registros ICA
  • Habilite el otro dispositivo Citrix Gateway para exportar registros TCP:
  • Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

Configuración de Citrix Gateway mediante la interfaz de línea de comandos:

  1. Configure el servidor virtual de Citrix Gateway en la primera DMZ para comunicarse con el servidor virtual de Citrix Gateway en la segunda DMZ.

    add vpn NextHopServer<name> <nextHopIP> <nextHopPort> [-secure(ON o OFF)] [-IMGGIFTOPng]…

    add vpn NextHopServer nh1 10.102.2.33 8443 —seguro ON

  2. Enlazar el servidor virtual de Citrix Gateway en la segunda DMZ con el servidor virtual de Citrix Gateway en la primera DMZ. Ejecute el siguiente comando en Citrix Gateway en la primera DMZ:

    bind vpn vserver <name> **-nextHopServer** <name>

    bind vpn vserver vs1 -NextHopServer nh1

  3. Habilite el salto doble y AppFlow en Citrix Gateway en la segunda DMZ.

    set vpn vserver<name> [- DoubleHop(HABILITADO o DESHABILITADO)] [- AppFlowLog(HABILITADO o DESHABILITADO)]

    set vpn vserver vpnhop2 —DoubleHop HABILITADO —AppFlowLog HABILITADO

  4. Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

    establecer vpn vserver<name> [-authentication(ON o OFF)]

    establecer VPN vserver vs -authentication OFF

  5. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    bind vserver vpn<name> [-policy<string>-priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 —type OTHERTCP_REQUEST

  6. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA:

    bind vserver vpn<name> [-policy<string>-priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -tipo ICA_REQUEST

  7. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway:

    establecer AppFlow param[-ConnectionChaining(HABILITADO o DESHABILITADO)]

    set appflow param -ConnectionChaining HABILITADO

Configuración de Citrix Gateway mediante la Utilidad de configuración:

  1. Configure Citrix Gateway en la primera DMZ para comunicarse con Citrix Gateway en la segunda DMZ y enlazar Citrix Gateway en la segunda DMZ a Citrix Gateway en la primera DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expandaAplicaciones publicadas.

    3. Haga clic enServidor de salto siguiente y vincule un servidor de salto siguiente al segundo dispositivo Citrix Gateway.

  2. Habilite el salto doble en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Expanda Más, seleccione Doble salto y haga clic en Aceptar.

  3. Inhabilite la autenticación en el servidor virtual en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Expanda Más y desmarque Habilitar autenticación.

  4. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Directivas.

    3. Haga clic en el icono + y en la lista desplegableElegir directiva, seleccioneAppFlowy, en la lista desplegable Elegir tipo, seleccioneOtra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directivas y haga clic en Cerrar.

  5. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA:

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoAvanzadas, expandaDirectivas.

    3. Haga clic en el icono + y en la lista desplegableElegir directiva, seleccioneAppFlow y, en la lista desplegable Tipo de Echoose, seleccioneOtra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directivas y haga clic en Cerrar.

  6. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

    1. En la ficha Configuración, vaya a Sistema > Appflow.

    2. En el panel derecho, en el grupoConfiguración, haga clic enCambiar configuración del flujo de aplicaciones.

    3. Seleccione Conexión encadenamiento y haga clic en Aceptar.

  7. Configure Citrix Gateway en la primera DMZ para comunicarse con Citrix Gateway en la segunda DMZ y enlazar Citrix Gateway en la segunda DMZ a Citrix Gateway en la primera DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en elgrupo Avanzadas, expandaAplicaciones publicadas.

    3. Haga clic en Servidor de salto siguiente y vincule un servidor de salto siguiente al segundo dispositivo Citrix Gateway.

  8. Habilite el salto doble en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.

    3. Expanda Más, seleccioneDoble saltoy haga clic enAceptar.

  9. Inhabilite la autenticación en el servidor virtual en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic enServidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Expanda Más y desmarque Habilitar autenticación.

  10. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expandaDirectivas.

    3. Haga clic en elicono+ y en la lista desplegable Elegir directiva, seleccioneAppFlowy, en la lista desplegable Elegir tipo, seleccioneOtra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directivas y haga clic en Cerrar.

  11. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expandaDirectivas.

    3. Haga clic en elicono+ y en la**lista desplegable Elegir directiva, seleccioneAppFlowy, en la lista desplegable **Elegir tipo, seleccioneOtra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directivas y haga clic en Cerrar.

  12. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

Habilitar la recopilación de datos para supervisar los ADC de Citrix implementados en modo transparente

Cuando un Citrix ADC se implementa en modo transparente, los clientes pueden acceder a los servidores directamente, sin que intervenga ningún servidor virtual. Si un dispositivo Citrix ADC se implementa en modo transparente en un entorno Citrix Virtual Apps and Desktop, el tráfico ICA no se transmite a través de una VPN.

Después de agregar Citrix ADC al inventario Citrix ADM, debe habilitar AppFlow para la recopilación de datos. Habilitar la recopilación de datos depende del dispositivo y del modo. En ese caso, debe agregar Citrix ADM como recopilador de AppFlow en cada dispositivo Citrix ADC, y debe configurar una directiva de Appflow para recopilar todo el tráfico ICA o específico que fluye a través del dispositivo.

Nota

  • No puede habilitar la recopilación de datos en un Citrix ADC implementado en modo transparente mediante la utilidad de configuración de Citrix ADM.
  • Para obtener información detallada sobre los comandos y su uso, consulte Referencia de comandos.
  • Para obtener información sobre expresiones de directiva, consulte Directivas y expresiones.

La siguiente figura muestra la implementación en red de un Citrix ADM cuando un Citrix ADC se implementa en modo transparente:

Imagen localizada

Para configurar la recopilación de datos en un dispositivo Citrix ADC mediante la interfaz de línea de comandos:

En el símbolo del sistema, haga lo siguiente:

  1. Inicie sesión en un dispositivo.

  2. Especifique los puertos ICA en los que el dispositivo Citrix ADC escucha el tráfico.

    set ns param --icaPorts <port>...
    <!--NeedCopy-->
    

    Ejemplo:

    set ns param -icaPorts 2598 1494
    <!--NeedCopy-->
    

    Nota

    • Puede especificar hasta 10 puertos con este comando.
    • El número de puerto predeterminado es 2598. Puede modificar el número de puerto según sea necesario.
  3. Agregue NetScaler Insight Center como un recopilador de flujo de aplicaciones en el dispositivo Citrix ADC.

    add appflow collector <name> -IPAddress <ip_addr>
    <!--NeedCopy-->
    

    Ejemplo:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    <!--NeedCopy-->
    

    Nota Para ver los recopiladores de flujo de aplicaciones configurados en el dispositivo Citrix ADC, utilice el comandoshow appflow collector.

  4. Cree una acción de flujo de aplicaciones y asocie el recopilador con la acción.

    add appflow action <name> -collectors <string> ...
    <!--NeedCopy-->
    

    Ejemplo:

    agregar acción de flujo de aplicaciones acto -colectores MyInsight

  5. Cree una directiva de flujo de aplicaciones para especificar la regla para generar el tráfico.

    add appflow policy <policyname> <rule> <action>
    <!--NeedCopy-->
    

    Ejemplo:

    add appflow policy pol true act
    <!--NeedCopy-->
    
  6. Enlazar la directiva de flujo de aplicaciones a un punto de enlace global.

    bind appflow global <policyname> <priority> -type <type>
    <!--NeedCopy-->
    

    Ejemplo:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    <!--NeedCopy-->
    

    NotaEl valor deltipo debe ser ICA_REQ_OVERRIDE o ICA_REQ_DEFAULT para poder aplicarse al tráfico ICA.

  7. Establezca el valor del parámetro FlowRecordInterval para Appflow en 60 segundos.

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    

    Ejemplo:

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    
  8. Guarde la configuración. Tipo: save ns config