Citrix ADC SDX 13.0

Aprovisionar instancias de Citrix ADC

Puede aprovisionar una o más instancias de Citrix ADC en el dispositivo SDX mediante Management Service. El número de instancias que puede instalar depende de la licencia que haya adquirido. Si el número de instancias agregadas es igual al número especificado en la licencia, Management Service no permite aprovisionar más instancias de Citrix ADC.

El aprovisionamiento de una instancia de Citrix ADC VPX en el dispositivo SDX incluye los siguientes pasos.

  1. Defina un perfil de administrador para enlazar a la instancia de Citrix ADC. Este perfil especifica las credenciales de usuario que utiliza Management Service para aprovisionar la instancia de Citrix ADC y, posteriormente, para comunicarse con la instancia para recuperar los datos de configuración. También puede usar el perfil de administrador predeterminado.
  2. Cargue el archivo de imagen XVA en Management Service.
  3. Agregue una instancia de Citrix ADC mediante el asistente Provisioning Citrix ADC en Management Service. Management Service implementa implícitamente la instancia de Citrix ADC en el dispositivo SDX y, a continuación, descarga los detalles de configuración de la instancia.

Advertencia

Asegúrese de modificar las interfaces de red aprovisionadas o VLANS de una instancia mediante Management Service en lugar de realizar las modificaciones directamente en la instancia.

Crear un perfil de administrador

Los perfiles de administración especifican las credenciales de usuario que utiliza Management Service al aprovisionar las instancias de Citrix ADC y posteriormente al comunicarse con las instancias para recuperar los datos de configuración. El cliente también utiliza las credenciales de usuario especificadas en un perfil de administrador al iniciar sesión en las instancias de Citrix ADC a través de la CLI o la utilidad de configuración.

Los perfiles de administración también permiten especificar que Management Service y una instancia de VPX se comuniquen entre sí solo a través de un canal seguro o mediante HTTP.

El perfil de administrador predeterminado de una instancia especifica un nombre de usuario de nsroot y la contraseña también es nsroot. Este perfil no se puede modificar ni eliminar. Sin embargo, debe anular el perfil predeterminado creando un perfil de administrador definido por el usuario y adjuntándolo a la instancia cuando aprovisione la instancia. El administrador de Management Service puede eliminar un perfil de administrador definido por el usuario si no está asociado a ninguna instancia de Citrix ADC.

Importante: No cambie la contraseña directamente en la instancia VPX. Si lo hace, la instancia se vuelve inaccesible desde Management Service. Para cambiar una contraseña, primero cree un perfil de administrador y, a continuación, modifique la instancia de Citrix ADC, seleccionando este perfil en la lista Perfil de administración.

Para cambiar la contraseña de las instancias Citrix ADC en una configuración de alta disponibilidad, cambie primero la contraseña de la instancia designada como nodo secundario y, a continuación, cambie la contraseña de la instancia designada como nodo principal. Recuerde cambiar las contraseñas solo mediante Management Service.

Para crear un perfil de administrador

  1. En la ficha Configuración, en el panel de navegación, expanda Configuración de Citrix ADC y, a continuación, haga clic en Perfiles de administración.

  2. En el panel Perfiles de administración, haga clic en Agregar.

  3. Aparecerá el cuadro de diálogo Crear perfil de administrador.

Imagen localizada

Defina los siguientes parámetros:

  • Nombre del perfil: Nombre del perfil de administrador. El nombre de perfil predeterminado es nsroot. Puede crear nombres de perfil definidos por el usuario.
  • Contraseña: La contraseña utilizada para iniciar sesión en la instancia de Citrix ADC. Longitud máxima: 31 caracteres.
  • Puerto SSH: Configure el puerto SSH. El puerto predeterminado es 22.
  • Active la casilla de verificación Usar configuración global para la comunicación de Citrix ADC, si quiere que la configuración se defina en la Configuración del sistema para la comunicación entre Management Service y la instancia de Citrix ADC. Puede desactivar esta casilla y cambiar el protocolo a HTTP o HTTPS.

    • Seleccione la opción http para utilizar el protocolo HTTP para la comunicación entre Management Service y la instancia de Citrix ADC.

    • Seleccione la opción https para utilizar el canal seguro para la comunicación entre Management Service y la instancia de Citrix ADC

4. En SNMP, seleccione la versión. Si selecciona v2, vaya al paso 5. Si selecciona v3, vaya al paso 6.

5. En SNMP v2, agregue el nombre de comunidad SNMP.

6. En SNMP v3, agregue Nombre de seguridad y Nivel de seguridad.

7. En Configuración de tiempo de espera, especifique el valor.

8. Haga clic en Crear y, a continuación, haga clic en Cerrar. El perfil de administrador que creó aparece en el panel Perfiles de administración.

Si el valor de la columna Default es true, el perfil predeterminado es el perfil admin. Si el valor es false, un perfil definido por el usuario es el perfil de administrador.

Si no quiere utilizar un perfil de administrador definido por el usuario, puede quitarlo de Management Service. Para quitar un perfil de administrador definido por el usuario, en el panel Perfiles de administración, seleccione el perfil que quiere quitar y, a continuación, haga clic en Eliminar.

Cargar una imagen XVA de Citrix ADC

Se necesita un archivo.xva para agregar una instancia de Citrix ADC VPX.

Es necesario cargar los archivos XVA de Citrix ADC SDA en el dispositivo SDX antes de aprovisionar las instancias VPX. También puede descargar un archivo de imagen.xva en un equipo local como copia de seguridad. El formato de archivo de imagen.xva es: nsvpx-xen-releasenumber-buildNumber_nc.xva

Nota: De forma predeterminada, un archivo de imagen XVA basado en la versión 9.3 de Citrix ADC está disponible en el dispositivo SDX.

En el panel Archivos XVA de Citrix ADC, puede ver los siguientes detalles.

  • Nombre

    Nombre del archivo de imagen.xva. El nombre del archivo contiene la versión y el número de compilación. Por ejemplo, el nombre de archivo NSVPX-XEN-9.3-25_nc.xva hace referencia a la versión 9.3 build 25.

  • Última modificación

    Fecha en la que se modificó por última vez el archivo de imagen.xva.

  • Tamaño:

    Tamaño, en MB, del archivo de imagen.xva.

Para cargar un archivo XVA de Citrix ADC

  1. En la ficha Configuración, en el panel de navegación, expanda Configuración de Citrix ADC y, a continuación, haga clic en Archivos XVA.
  2. En el panel Archivos XVA de Citrix ADC, haga clic en Cargar.
  3. En el cuadro de diálogo Cargar XVA instancia de Citrix ADC, haga clic en Examinar y seleccione el archivo de imagen XVA que desea cargar.
  4. Haz clic en Subir. El archivo de imagen XVA aparece en el panel Archivos XVA de Citrix ADC después de cargarlo.

Para crear una copia de seguridad mediante la descarga de un archivo XVA de Citrix ADC

  1. En el panel Archivos de compilación de Citrix ADC, seleccione el archivo que desea descargar y, a continuación, haga clic en Descargar.
  2. En el cuadro de mensaje Descarga de archivos, haga clic en Guardar.
  3. En el cuadro de mensaje Guardar como, busque la ubicación en la que desea guardar el archivo y, a continuación, haga clic en Guardar.

Agregar una instancia de Citrix ADC

Al agregar instancias de Citrix ADC desde Management Service, debe proporcionar valores para algunos parámetros y Management Service configura implícitamente esta configuración en las instancias de Citrix ADC.

Imagen localizada

  • *Nombre **: Asigne un nombre a la instancia de Citrix ADC.

  • Compruebe Administrar a través de la red interna para habilitar una conectividad interna independiente siempre activa entre SDX Management Service y la instancia VPX.

  • Seleccione una dirección IPv4 o IPv6 o ambas direcciones IPv4 e IPv6 para acceder a la instancia de Citrix VPX con fines de administración. Una instancia de Citrix ADC solo puede tener una IP de administración (también denominada NSIP). No puede quitar una dirección NSIP.

  • Asigne una máscara de red, una puerta de enlace predeterminada y un nexthop a Management Service para la dirección IP.

Imagen localizada

A continuación, agregue el archivo XVA, el perfil de administración y una descripción de la instancia.

Nota: Para una configuración de alta disponibilidad (active-active o active-standby), Citrix recomienda configurar las dos instancias de Citrix ADC VPX en diferentes dispositivos SDX. Asegúrese de que las instancias de la configuración tienen recursos idénticos, como CPU, memoria, interfaces, paquetes por segundo (PPS) y rendimiento.

Asignación de licencias

En esta sección, especifique la licencia que ha adquirido para Citrix ADC. La licencia puede ser Standard, Enterprise y Platinum o Secure Web Gateway.

Nota: ***** indica los campos obligatorios.

Nota

Debe comprar una licencia independiente (SDX 2-Instance Add-On Pack for Secure Web Gateway) para instancias de Citrix Secure Web Gateway (SWG) en dispositivos SDX. Este paquete de instancias es diferente de la licencia de plataforma SDX o del paquete de instancias SDX.

Para obtener más información acerca de la implementación de una instancia de Citrix SWG en un dispositivo SDX, consulteImplementación de una instancia de Citrix Secure Web Gateway en un dispositivo SDX.

Imagen localizada

Si necesita capacidad de fragmentación de ancho de banda, seleccione Flexible en Modo de asignación. Para obtener más información, consulteMedición de ancho de banda en SDX

Asignación de criptografía

A partir de la versión 12.1 48.13, la interfaz para administrar la capacidad de cifrado ha cambiado. Para obtener más información, consulteAdministrar la capacidad de cifrado

Asignación de recursos

En asignación de recursos, asigne memoria total, paquetes por segundo y CPU.

Imagen localizada

CPU Asigne un núcleo o núcleos dedicados a la instancia, o bien la instancia comparte un núcleo con otras instancias. Si selecciona compartido, se asigna un núcleo a la instancia, pero el núcleo puede compartirse con otras instancias si hay escasez de recursos. Reinicie las instancias afectadas si se reasignan los núcleos de CPU. Reinicie las instancias en las que se reasignan los núcleos de CPU para evitar cualquier degradación del rendimiento.

Desde la versión 11.1.x.x (MR4) de SDX, si utiliza la plataforma SDX 25000xx, puede asignar un máximo de 16 núcleos a una instancia. Además, si está utilizando la plataforma SDX 2500xxx, puede asignar un máximo de 11 núcleos a una instancia.

Nota: Para una instancia, el rendimiento máximo que configure es de 180 Gbps.

En la siguiente tabla se enumeran las versiones VPX admitidas, Single bungle image y el número de núcleos que puede asignar a una instancia:

Nombre de plataforma Núcleos totales Total de núcleos disponibles para el aprovisionamiento de VPX Núcleos máximos que se pueden asignar a una sola instancia
SDX 8015, SDX 8400 y SDX 8600 4 3 3
SDX 8900 8 7 7
SDX 11500, SDX 13500, SDX 14500, SDX 16500, SDX 18500 y SDX 20500 12 10 5
SDX 11515, SDX 11520, SDX 11530, SDX 11540 y SDX 11542 12 10 5
SDX 17500, SDX 19500 y SDX 21500 12 10 5
SDX 17550, SDX 19550, SDX 20550 y SDX 21550 12 10 5
SDX 14020, SDX 14030, SDX 14040, SDX 14060, SDX 14080 y SDX 14100 12 10 5
SDX 22040, SDX 22060, SDX 22080, SDX 22100 y SDX 22120 16 14 7
SDX 24100 y SDX 24150 16 14 7
SDX 14020 40G, SDX 14030 40G, SDX 14040 40G, SDX 14060 40G, SDX 14080 40G y SDX 14100 40G 12 10 10
SDX 14020 FIPS, SDX 14030 FIPS, SDX 14040 FIPS, SDX 14060 FIPS, SDX 14080 FIPS y SDX 14100. FIPS 12 10 10
SDX 14040 40S, SDX 14060 40S, SDX 14080 40S y SDX 14100 40S 12 10 10
SDX 25100A, 25160A, 25200A 20 18 9
SDX 25100-40G, 25160-40G, 25200-40G 20 18 16 (si la versión es 11.1-51.x o superior); 9 (si la versión es 11.1-50.x o inferior; todas las versiones de 11.0 y 10.5)
SDX 26100, 26160, 26200, 26250 28 26 26
15000-50G 16 14 14

Nota: En la plataforma SDX 26xxx, se puede asignar un máximo de 26 núcleos de CPU a una instancia VPX. Sin embargo, si se asignan unidades criptográficas a la instancia, el número máximo de núcleos depende del número de unidades criptográficas e interfaces de datos. Por ejemplo, si asigna 24000 unidades criptográficas a una instancia, puede asignar 24 núcleos de CPU y un máximo de dos interfaces de datos a la instancia. El dispositivo SDX considera las interfaces de datos y las unidades criptográficas como dispositivos PCI. Con 26000 unidades criptográficas, no se puede aprovisionar una instancia VPX ya que no hay espacio para interfaces de datos.

Administración de instancias

Para crear un usuario administrador para la instancia VPX, seleccione Agregar administración de instancias en Administración de instancias.

Imagen localizada

Añádase los siguientes detalles:

Nombre de usuario: nombre de usuario del administrador de instancias de Citrix ADC. Este usuario tiene acceso de superusuario pero no tiene acceso a comandos de red para configurar VLAN e interfaces.

Contraseña: La contraseña del nombre de usuario.

Acceso Shell/Sftp/Spp: acceso permitido al administrador de instancias de Citrix ADC. Esta opción está seleccionada de forma predeterminada.

Configuración de red

  • Permitir modo L2 en la configuración de red

Puede permitir el modo L2 en la instancia de Citrix ADC. Seleccione Permitir modo L2 en Configuración de red. Antes de iniciar sesión en la instancia y habilitar el modo L2. Para obtener más información, consulte Permitir el modo L2 en una instancia de Citrix ADC.

Imagen localizada

Nota: Si inhabilita el modo L2 para una instancia desde Management Service, debe iniciar sesión en la instancia e inhabilitar el modo L2 desde esa instancia. Si no lo hace, es posible que todos los demás modos de Citrix ADC se inhabiliten después de reiniciar la instancia

Por defecto, se seleccionan las interfaces 0/1 y 0/2 para la administración LA.

Etiqueta de VLAN: especifique un ID de VLAN para la interfaz de administración.

A continuación, agregue interfaces de datos.

Nota: Los identificadores de interfaz de las interfaces que se agregan a una instancia no se corresponden necesariamente con la numeración de la interfaz física del dispositivo SDX. Por ejemplo, si la primera interfaz que asocia con la instancia 1 es la interfaz SDX 1/4, aparece como interfaz 1/1 al iniciar sesión en la instancia y ver la configuración de la interfaz, ya que es la primera interfaz que ha asociado a la instancia 1.

Imagen localizada

  • VLAN permitidas: Especifique una lista de identificadores de VLAN que se pueden asociar a una instancia de Citrix ADC.

  • Modo de dirección MAC: Asigne una dirección MAC. Seleccione una de las siguientes opciones:

    • Predeterminado: XenServer asigna una dirección MAC.
    • Personalizado: Seleccione este modo para especificar una dirección MAC que invalide la dirección MAC generada.
    • Generado: Generar una dirección MAC mediante la dirección MAC base establecida anteriormente. Para obtener información sobre la configuración de una dirección MAC base, consulte Asignación de una dirección MAC a una interfaz.
  • Configuración de VMAC (VRID IPv4 e IPv6 para configurar Virtual MAC)

    • VRID IPv4: El VRID IPv4 que identifica el VMAC. Valores posibles: 1 — 255. Para obtener más información, consulte Configurar las VMC en una interfaz.
    • VRID IPV6: El VRID IPv6 que identifica el VMAC. Valores posibles: 1 — 255. Para obtener más información, consulte Configurar las VMC en una interfaz.

Configuración de la VLAN de administración

Normalmente, Management Service y la dirección de administración (NSIP) de la instancia VPX se encuentran en la misma subred y la comunicación se realiza a través de una interfaz de administración. Sin embargo, si Management Service y la instancia están en subredes diferentes, debe especificar un ID de VLAN en el momento de aprovisionar una instancia VPX, de modo que se pueda acceder a la instancia a través de la red cuando se inicie. Si su implementación requiere que el NSIP no sea accesible a través de ninguna interfaz distinta de la seleccionada en el momento de aprovisionar la instancia VPX, seleccione la opción NSVLAN.

Citrix recomienda no seleccionar NSVLAN. No puede cambiar esta configuración después de haber aprovisionado la instancia de Citrix ADC.

Imagen localizada

Nota:

  • Los latidos de HA se envían solo en las interfaces que forman parte de la NSVLAN.
  • Puede configurar una NSVLAN solo desde VPX XVA build 9.3 53.4 y versiones posteriores.

Importante: Si no se selecciona NSVLAN, ejecutar el comando “clear config full” en la instancia VPX elimina la configuración de VLAN.

Haga clic en Listo para aprovisionar el dispositivo Citrix ADC VPX.

Modificar una instancia de Citrix ADC

Para modificar los valores de los parámetros de una instancia de Citrix ADC aprovisionada, en el panel de instancias de Citrix ADC, seleccione la instancia que desea modificar y, a continuación, haga clic en Modificar. En el Asistente para modificar ADC, modifique los parámetros.

Nota: Si modifica los siguientes parámetros: número de chips SSL, interfaces, memoria y licencia de función, la instancia de Citrix ADC se detiene y se reinicia implícitamente para que estos parámetros entren en vigor.

No se pueden modificar los parámetros Imagen y Nombre de usuario.

Si quiere quitar una instancia de Citrix ADC aprovisionada en el dispositivo SDX, en el panel Instancias de Citrix ADC, seleccione la instancia que quiere quitar y, a continuación, haga clic en Eliminar. En el cuadro Confirmar mensaje, haga clic en para quitar la instancia de Citrix ADC.

Restringir las VLAN a interfaces virtuales específicas

El administrador del dispositivo SDX puede aplicar VLAN 802.1Q específicas en las interfaces virtuales asociadas a instancias de Citrix ADC. Esta capacidad es especialmente útil para restringir el uso de VLAN 802.1Q por parte de los administradores de instancias. Si dos instancias pertenecientes a dos compañías diferentes están alojadas en un dispositivo SDX, puede restringir que las dos compañías utilicen el mismo ID de VLAN, de modo que una compañía no vea el tráfico de la otra compañía. Si un administrador de instancias, al aprovisionar o modificar una instancia VPX, intenta asignar una interfaz a una VLAN 802.1Q, se realiza una validación para verificar que el ID de VLAN especificado forma parte de la lista permitida.

De forma predeterminada, cualquier ID de VLAN se puede usar en una interfaz. Para restringir las VLAN etiquetadas en una interfaz, especifique los ID de VLAN en Configuración de red en el momento de aprovisionar una instancia de Citrix ADC, o posteriormente modificándola. Para especificar un rango, separe los ID con un guión (por ejemplo, 10 — 12). Si inicialmente especifica algunos ID de VLAN pero posteriormente los elimina todos de la lista permitida, puede usar cualquier ID de VLAN en esa interfaz. En efecto, ha restaurado la configuración predeterminada.

Después de crear una lista de VLAN permitidas, el administrador de SDX no tiene que iniciar sesión en una instancia para crear las VLAN. El administrador puede agregar y eliminar VLAN para instancias específicas de Management Service.

Importante: Si el modo L2 está habilitado, el administrador debe tener cuidado de que los ID de VLAN en distintas instancias de Citrix ADC no se superpongan.

Para especificar los ID de VLAN permitidos

  1. En el Asistente para aprovisionar ADC o Asistente para modificar ADC, en la página Configuración de red, en el cuadro de texto VLAN permitidas, especifique uno o más Id. de VLAN permitidos en esta interfaz. Utilice un guión para especificar un rango. Por ejemplo, 2 — 4094.
  2. Siga las instrucciones del asistente.
  3. Haga clic en Finalizar y, a continuación, haga clic en Cerrar.

Para configurar VLAN para una instancia desde Management Service

  1. En la ficha Configuración, vaya a Citrix ADC > Instancias.
  2. Seleccione una instancia y, a continuación, haga clic en VLAN.
  3. En el panel de detalles, haga clic en Agregar.
  4. En el cuadro de diálogo Crear VLAN Citrix ADC, especifique los siguientes parámetros:
    • ID de VLAN: un entero que identifica de forma exclusiva la VLAN a la que pertenece una trama determinada. Citrix ADC admite un máximo de 4094 VLAN. ID 1 está reservado para la VLAN predeterminada.
    • Enrutamiento dinámico IPv6: habilite todos los protocolos de enrutamiento dinámico IPv6 en esta VLAN. Nota: Para que la configuración ENABLED funcione, debe iniciar sesión en la instancia y configurar los protocolos de enrutamiento dinámico IPv6 desde la línea de comandos VTYSH.
  5. Seleccione las interfaces que deben formar parte de la VLAN.
  6. Haga clic en Crear y, a continuación, haga clic en Cerrar.
Aprovisionar instancias de Citrix ADC