Citrix Application Delivery Management

Habilitar la recopilación de datos de HDX Insight

HDX Insight permite a TI ofrecer una experiencia de usuario excepcional al proporcionar una visibilidad end-to-end sin precedentes del tráfico ICA que pasa a través de las instancias Citrix ADC o los dispositivos Citrix SD-WAN, y forma parte de Citrix Application Delivery Management (ADM) Analytics. HDX Insight ofrece capacidades de análisis de fallos y de inteligencia empresarial atractivas y potentes para la red, los escritorios virtuales, las aplicaciones y la estructura de aplicaciones. HDX Insight puede analizar al instante los problemas de los usuarios, recopilar datos sobre las conexiones de escritorio virtual y generar registros de AppFlow y presentarlos como informes visuales.

La configuración para habilitar la recopilación de datos en Citrix ADC difiere de la posición del dispositivo en la topología de implementación.

Habilitar la recopilación de datos para supervisar los ADC de Citrix implementados en modo de usuario LAN

Los usuarios externos que accedan a las aplicaciones Citrix Virtual App y Desktop deben autenticarse en Citrix Gateway. Sin embargo, es posible que los usuarios internos no necesiten ser redirigidos a Citrix Gateway. Además, en una implementación de modo transparente, el administrador debe aplicar manualmente las directivas de redirección para que las solicitudes se redirijan al dispositivo Citrix ADC.

Para superar estos desafíos y para que los usuarios de LAN se conecten directamente a las aplicaciones Citrix Virtual App y Desktop, puede implementar el dispositivo Citrix ADC en modo de usuario LAN configurando un servidor virtual de redirección de caché, que actúa como proxy SOCKS en el dispositivo Citrix Gateway.

Implementar adc en modo de usuario lan

Nota Citrix ADM y el dispositivo Citrix Gateway residen en la misma subred.

Para supervisar los dispositivos Citrix ADC implementados en este modo, primero agregue el dispositivo Citrix ADC al inventario de NetScaler Insight, habilite AppFlow y, a continuación, vea los informes en el panel.

Después de agregar el dispositivo Citrix ADC al inventario de Citrix ADM, debe habilitar AppFlow para la recopilación de datos.

Nota

  • En una instancia de ADC, puede navegar a System > AppFlow > Collectors, para comprobar si el recopilador (es decir, Citrix ADM) está activado o no. La instancia Citrix ADC envía registros AppFlow a Citrix ADM mediante NSIP. Pero la instancia utiliza su SNIP para verificar la conectividad con Citrix ADM. Por lo tanto, asegúrese de que el SNIP esté configurado en la instancia.
  • No puede habilitar la recopilación de datos en un Citrix ADC implementado en modo de usuario de LAN mediante la utilidad de configuración de Citrix ADM.
  • Para obtener información detallada sobre los comandos y su uso, consulte Referencia de comandos.
  • Para obtener información sobre expresiones de directiva, consulte Directivas y expresiones.

Para configurar la recopilación de datos en un dispositivo Citrix ADC mediante la interfaz de línea de comandos:

En el símbolo del sistema, haga lo siguiente:

  1. Inicie sesión en un dispositivo.

  2. Agregue un servidor virtual de redirección de caché de proxy de reenvío con la IP y el puerto proxy, y especifique el tipo de servicio como HDX.

    add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]
    

    Ejemplo

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
    

    Nota: Si accede a la red LAN mediante un dispositivo Citrix Gateway, agregue una acción que aplique una directiva que coincida con el tráfico VPN.

    add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )]
    
    add vpn trafficPolicy <name> <rule> <action>
    

    Ejemplo

    add vpn trafficAction act1 tcp -HDX ON
    
    add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
    
  3. Agregue Citrix ADM como recopilador de flujo de aplicaciones en el dispositivo Citrix ADC.

    add appflow collector <name> -IPAddress <ip_addr>
    

    Example:

    ``` add appflow collector myInsight -IPAddress 192.168.1.101 ```

  4. Cree una acción de flujo de aplicaciones y asocie el recopilador con la acción.

    add appflow action <name> -collectors <string>
    

    Ejemplo:

    add appflow action act -collectors MyInsight
    
  5. Cree una directiva de flujo de aplicaciones para especificar la regla para generar el tráfico.

    add appflow policy <policyname> <rule> <action>
    

    Ejemplo:

    add appflow policy pol true act
    
  6. Enlazar la directiva de flujo de aplicaciones a un punto de enlace global.

    bind appflow global <policyname> <priority> -type <type>
    

    Ejemplo:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    Nota

    El valor de tipo debe ser ICA_REQ_OVERRIDE o ICA_REQ_DEFAULT para aplicar al tráfico ICA.

  7. Establezca el valor del parámetro FlowRecordInterval para Appflow en 60 segundos.

    set appflow param -flowRecordInterval 60
    

    Ejemplo:

    set appflow param -flowRecordInterval 60
    
  8. Guarde la configuración. Tipo: save ns config

Habilitar la recopilación de datos para dispositivos Citrix Gateway implementados en modo de salto único

Cuando implementa Citrix Gateway en modo de salto único, se encuentra en el borde de la red. La instancia de Gateway proporciona conexiones ICA proxy a la infraestructura de entrega de escritorios. Un salto único es la implementación más simple y común. El modo de salto único proporciona seguridad si un usuario externo intenta acceder a la red interna de una organización. En el modo de salto único, los usuarios acceden a los dispositivos Citrix ADC a través de una red privada virtual (VPN).

Para empezar a recopilar los informes, debe agregar el dispositivo Citrix Gateway al inventario de Citrix Application Delivery Management (ADM) y habilitar AppFlow en ADM.

Imagen localizada

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En la lista Seleccionar acción, seleccione Configurar análisis.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar análisis.

  6. Select HDX Insight y, a continuación, seleccione ICA.

  7. Haga clic en Aceptar.

    Habilitar análisis

Nota: Los siguientes comandos se ejecutan en segundo plano cuando se habilita AppFlow en modo de salto único. Estos comandos se especifican explícitamente aquí para solucionar problemas.

-  add appflow collector <name> -IPAddress <ip_addr>

-  add appflow action <name> -collectors <string>

-  set appflow param -flowRecordInterval <secs>

-  disable ns feature AppFlow

-  enable ns feature AppFlow

-  add appflow policy <name> <rule> <expression>

-  set appflow policy <name> -rule <expression>

-  bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>

-  set vpn vserver <name> -appflowLog ENABLED

-  save ns config

Los datos de canal virtual de EUEM forman parte de los datos de HDX Insight que el Citrix ADM recibe de instancias de Gateway. El canal virtual EUEM proporciona los datos sobre ICA RTT. Si el canal virtual de EUEM no está habilitado, los datos restantes de HDX Insight se mostrarán en Citrix ADM.

Habilitar la recopilación de datos para dispositivos Citrix Gateway implementados en modo de salto doble

El modo de salto doble de Citrix Gateway proporciona protección adicional a la red interna de una organización porque un atacante necesitaría penetrar varias zonas de seguridad o zonas desmilitarizadas (DMZ) para llegar a los servidores de la red segura. Si quiere analizar el número de saltos (dispositivos Citrix Gateway) a través de los cuales pasan las conexiones ICA, así como los detalles sobre la latencia en cada conexión TCP y cómo se compara con la latencia total de ICA percibida por el cliente, debe instalar Citrix ADM para que los dispositivos Citrix Gateway reportar estas estadísticas vitales.

Habilitar análisis

Citrix Gateway en la primera DMZ maneja las conexiones de usuario y realiza las funciones de seguridad de una VPN SSL. Citrix Gateway cifra las conexiones de los usuarios, determina cómo se autentican los usuarios y controla el acceso a los servidores de la red interna.

Citrix Gateway en la segunda DMZ sirve como dispositivo proxy de Citrix Gateway. Este dispositivo Citrix Gateway permite que el tráfico ICA atraviese la segunda DMZ para completar las conexiones de usuario a la comunidad de servidores.

Citrix ADM se puede implementar en la subred que pertenece al dispositivo Citrix Gateway en la primera DMZ o en la subred que pertenece al dispositivo Citrix Gateway segunda DMZ. En la imagen anterior, Citrix ADM y Citrix Gateway en la primera DMZ se implementan en la misma subred.

En modo de salto doble, Citrix ADM recopila los registros TCP de un dispositivo y los registros ICA del otro dispositivo. Después de agregar los dispositivos Citrix Gateway al inventario de Citrix ADM y habilitar la recopilación de datos, cada uno de los dispositivos exporta los informes haciendo un seguimiento del número de saltos y del ID de la cadena de conexión.

Para que Citrix ADM identifique qué dispositivo está exportando registros, cada dispositivo se especifica con un recuento de saltos y cada conexión se especifica con un ID de cadena de conexiones. El recuento de saltos representa el número de dispositivos Citrix Gateway a través de los cuales fluye el tráfico de un cliente a los servidores. El ID de cadena de conexión representa las conexiones de extremo a extremo entre el cliente y el servidor.

Citrix ADM utiliza el recuento de saltos y el ID de la cadena de conexión para relacionar los datos de los dispositivos Citrix Gateway y generar los informes.

Para supervisar los dispositivos Citrix Gateway implementados en este modo, primero debe agregar Citrix Gateway al inventario de Citrix ADM, habilitar AppFlow en Citrix ADM y, a continuación, ver los informes en el panel de Citrix ADM.

Configurar HDX Insight en servidores virtuales utilizados para Optimal Gateway

Pasos para configurar HDX Insight en servidores virtuales utilizados para Optimal Gateway:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).
  2. En Nombre de usuario y contraseña, introduzca las credenciales de administrador.
  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.
  4. En la lista Seleccionar acción, seleccione Configurar análisis.
  5. Seleccione el servidor virtual VPN configurado para la autenticación y haga clic en Habilitar análisis.
  6. Select HDX Insight y, a continuación, seleccione ICA.
  7. Seleccione otras opciones avanzadas según sea necesario.
  8. Haga clic en Aceptar.
  9. Repita los pasos 3 a 6 en el otro servidor virtual VPN.

Habilitar análisis

Habilitar la recopilación de datos en Citrix ADM

Si habilita Citrix ADM para comenzar a recopilar los detalles de ICA de ambos dispositivos, los detalles recopilados serán redundantes. Es decir, tanto los dispositivos informan de las mismas métricas. Para superar esta situación, debe habilitar AppFlow para ICA en uno de los primeros dispositivos Citrix Gateway y, a continuación, habilitar AppFlow para TCP en el segundo dispositivo. Al hacerlo, uno de los dispositivos exporta registros ICA AppFlow y el otro dispositivo exporta registros TCP AppFlow. Esto también ahorra el tiempo de procesamiento al analizar el tráfico ICA.

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En la lista Seleccionar acción, seleccione Configurar análisis.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar análisis.

  6. Seleccione HDX Insight y, a continuación, seleccione ICA o TCP para tráfico ICA o tráfico TCP respectivamente.

    Nota

    Si el registro de AppFlow no está habilitado para los servicios o grupos de servicios respectivos en el dispositivo Citrix ADC, el panel de control de Citrix ADM no muestra los registros, incluso si la columna Insight muestra Habilitado.

  7. Haga clic en Aceptar.

ICA o TCP

Configuración de dispositivos Citrix Gateway para exportar datos

Después de instalar los dispositivos Citrix Gateway, debe configurar las siguientes opciones en los dispositivos Citrix Gateway para exportar los informes a Citrix ADM:

  • Configure los servidores virtuales de los dispositivos Citrix Gateway en la primera y segunda DMZ para que se comuniquen entre sí.
  • Enlazar el servidor virtual de Citrix Gateway en la segunda DMZ con el servidor virtual de Citrix Gateway en la primera DMZ.
  • Habilite el salto doble en Citrix Gateway en la segunda DMZ.
  • Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.
  • Habilitar uno de los dispositivos Citrix Gateway para exportar registros ICA
  • Habilite el otro dispositivo Citrix Gateway para exportar registros TCP:
  • Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

Configuración de Citrix Gateway mediante la interfaz de línea de comandos:

  1. Configure el servidor virtual de Citrix Gateway en la primera DMZ para comunicarse con el servidor virtual de Citrix Gateway en la segunda DMZ.

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON or OFF)] [-imgGifToPng]
    
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. Enlazar el servidor virtual de Citrix Gateway en la segunda DMZ con el servidor virtual de Citrix Gateway en la primera DMZ. Ejecute el siguiente comando en Citrix Gateway en la primera DMZ:

    bind vpn vserver <name> -nextHopServer <name>
    
    bind vpn vserver vs1 -nextHopServer nh1
    
    
  3. Habilite el salto doble y AppFlow en Citrix Gateway en la segunda DMZ.

    set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]
    
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

    set vpn vserver <name> [-authentication (ON or OFF)]
    
    set vpn vserver vs -authentication OFF
    
  5. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA:

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway:

    set appFlow param [-connectionChaining (ENABLED or DISABLED)]
    
    set appflow param -connectionChaining ENABLED
    

Configuración de Citrix Gateway mediante la Utilidad de configuración:

  1. Configure Citrix Gateway en la primera DMZ para comunicarse con Citrix Gateway en la segunda DMZ y enlazar Citrix Gateway en la segunda DMZ a Citrix Gateway en la primera DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expandaAplicaciones publicadas.

    3. Haga clic enServidor de salto siguiente y vincule un servidor de salto siguiente al segundo dispositivo Citrix Gateway.

  2. Habilite el salto doble en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Expanda más, seleccioneDoble salto y haga clic enAceptar.

  3. Inhabilite la autenticación en el servidor virtual en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Expanda Más y desactive Habilitar autenticación.

  4. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Directivas.

    3. Haga clic en el icono + y en la listaElegir directiva, seleccioneAppFlow y, en la lista Elegir tipo, seleccioneOtra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directivas y haga clic en Cerrar.

  5. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA:

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoAvanzadas, expandaDirectivas.

    3. Haga clic en el icono + y en la lista Elegir directiva, seleccione AppFlow y, en la lista Tipo de OSE, seleccione Otra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directivas y haga clic en Cerrar.

  6. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

    1. En la ficha Configuración, vaya a Sistema > Appflow.

    2. En el panel derecho, en el grupo Configuración, haga doble clic en Cambiar configuración de flujo de aplicaciones.

    3. Seleccione Conexión encadenamiento y haga clic en Aceptar.

  7. Configure Citrix Gateway en la primera DMZ para comunicarse con Citrix Gateway en la segunda DMZ y enlazar Citrix Gateway en la segunda DMZ a Citrix Gateway en la primera DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Aplicaciones publicadas.

    3. Haga clic en Servidor de salto siguiente y vincule un servidor de salto siguiente al segundo dispositivo Citrix Gateway.

  8. Habilite el salto doble en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.

    3. Expanda Más, seleccione Doble salto y haga clic en Aceptar.

  9. Inhabilite la autenticación en el servidor virtual en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.

    3. Expanda Más y desactive Habilitar autenticación.

  10. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Directivas.

    3. Haga clic en el icono **+** y en la lista Elegir directiva, seleccione AppFlow y, en la lista Elegir tipo, seleccione Otra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directivas y haga clic en Cerrar.

  11. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Directivas.

    3. Haga clic en el icono **+** y en la lista Elegir directiva**, seleccione AppFlow y, en la lista **Elegir tipo, seleccione Otra solicitud TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directivas y haga clic en Cerrar.

  12. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

Habilitar la recopilación de datos para supervisar los ADC de Citrix implementados en modo transparente

Cuando un Citrix ADC se implementa en modo transparente, los clientes pueden acceder a los servidores directamente, sin que intervenga ningún servidor virtual. Si un dispositivo Citrix ADC se implementa en modo transparente en un entorno Citrix Virtual Apps and Desktop, el tráfico ICA no se transmite a través de una VPN.

Después de agregar Citrix ADC al inventario Citrix ADM, debe habilitar AppFlow para la recopilación de datos. Habilitar la recopilación de datos depende del dispositivo y del modo. En ese caso, debe agregar Citrix ADM como recopilador de AppFlow en cada dispositivo Citrix ADC, y debe configurar una directiva de Appflow para recopilar todo el tráfico ICA o específico que fluye a través del dispositivo.

Nota

  • No puede habilitar la recopilación de datos en un Citrix ADC implementado en modo transparente mediante la utilidad de configuración de Citrix ADM.
  • Para obtener información detallada sobre los comandos y su uso, consulte Referencia de comandos.
  • Para obtener información sobre expresiones de directiva, consulte Directivas y expresiones.

La siguiente figura muestra la implementación en red de un Citrix ADM cuando un Citrix ADC se implementa en modo transparente:

Imagen localizada

Para configurar la recopilación de datos en un dispositivo Citrix ADC mediante la interfaz de línea de comandos:

En el símbolo del sistema, haga lo siguiente:

  1. Inicie sesión en un dispositivo.

  2. Especifique los puertos ICA en los que el dispositivo Citrix ADC escucha el tráfico.

    set ns param --icaPorts <port>...
    

    Ejemplo:

    set ns param -icaPorts 2598 1494
    

    Nota

    • Puede especificar hasta 10 puertos con este comando.
    • El número de puerto predeterminado es 2598. Puede modificar el número de puerto según sea necesario.
  3. Agregue NetScaler Insight Center como un recopilador de flujo de aplicaciones en el dispositivo Citrix ADC.

    add appflow collector <name> -IPAddress <ip_addr>
    

    Ejemplo:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    

    Nota Para ver los recopiladores de flujo de aplicaciones configurados en el dispositivo Citrix ADC, utilice el comandoshow appflow collector.

  4. Cree una acción de flujo de aplicaciones y asocie el recopilador con la acción.

    add appflow action <name> -collectors <string> ...
    

    Ejemplo:

    agregar colectores de acción de flujo de aplicaciones MyInsight

  5. Cree una directiva de flujo de aplicaciones para especificar la regla para generar el tráfico.

    add appflow policy <policyname> <rule> <action>
    

    Ejemplo:

    add appflow policy pol true act
    
  6. Enlazar la directiva de flujo de aplicaciones a un punto de enlace global.

    bind appflow global <policyname> <priority> -type <type>
    

    Ejemplo:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    Nota

    El valor detipo debe ser ICA_REQ_OVERRIDE o ICA_REQ_DEFAULT para aplicar al tráfico ICA.

  7. Establezca el valor del parámetro FlowRecordInterval para Appflow en 60 segundos.

    set appflow param -flowRecordInterval 60
    

    Ejemplo:

    set appflow param -flowRecordInterval 60
    
  8. Guarde la configuración. Tipo: save ns config