Citrix ADC

配置管理分区

重要

  • 只有超级用户才有权创建和配置管理分区。
  • 除非另有指定,否则必须从默认分区完成设置 admin 分区的配置。

通过对 Citrix ADC 设备进行分区,实际上可以创建单个 Citrix ADC 设备的多个实例。每个实例都有自己的配置,通过为每个分区分配一个专用 VLAN 或一个共享 VLAN,这些分区的流量是相互隔离的。

分区的 Citrix ADC 具有一个默认分区和创建的管理分区。若要设置管理分区,您必须首先创建具有相关资源(内存、最大带宽和连接)的分区。然后,指定可以访问分区的用户以及分区上每个用户的授权级别。

访问分区的 Citrix ADC 与访问未分区的 Citrix ADC 相同:通过 NSIP 地址或任何其他管理 IP 地址访问。作为用户,提供有效的登录凭据后,您将被带到绑定到的分区。您创建的任何配置都会保存到该分区。如果您与多个分区相关联,则会转到与您关联的第一个分区。如果要在其他一个分区上配置实体,则必须明确切换到该分区。

访问相应的分区后,您执行的配置将保存到该分区,并且特定于该分区。

注意

  • Citrix ADC 超级用户和其他非分区用户将转到默认分区。
  • 所有 512 个分区的用户可以同时登录。

提示

要使用 SNIP(启用了管理访问权限)通过 HTTPS 访问分区的 Citrix ADC 设备,请确保每个分区都具有其分区管理员的证书。在分区中,分区管理员必须执行以下操作:

  1. 将证书添加到 Citrix ADC。

    add ssl certKey ns-server-certificate -cert ns-server.cert -key ns-server.key

  2. 将其绑定到名为 nskrpcs-<SNIP>-3009 的服务,其中 <SNIP> 必须替换为 SNIP 地址,在本例中为 100.10.10.1。

    • bind ssl service nskrpcs-100.10.10.1-3009
    • certkeyName** ns-server-certificate

分区资源限制

在分区的 Citrix ADC 设备中,网络管理员可以创建分区资源(如内存、带宽和连接限制)配置为无限制的分区。这是通过指定 Zero 作为分区资源值来完成的,其中 Zero 表示该资源在分区上是无限的,并且可以使用到系统限制。如果您将流量域部署迁移到管理分区,或者如果您不知道给定部署中某个分区的资源分配限制,则分区资源配置非常有用。

管理分区的资源限制如下:

  1. 分区内存。这是分区分配的最大内存。您必须确保在创建分区时指定值。

    注意

    从 NetScaler 12.0 开始,当您创建分区时,您可以将内存限制设置为零。如果已创建具有特定内存限制的分区,则可以将限制减少为任意值或将限制设置为零。

    参数:最大限制

    分区中的最大内存以兆字节为单位分配。零值表示分区上的内存是无限的,它可以消耗到系统限制。

    默认值:10

  2. 分区带宽。为分区分配的最大带宽。如果指定了限制,请确保该限制在设备的许可吞吐量范围内。否则,您不会限制分区可以使用的带宽。指定的限制负责应用程序所需的带宽。如果应用程序带宽超过指定限制,则会丢弃数据包。

    注意

    从 NetScaler 12.0 开始,当您可以创建分区时,您可以将分区带宽限制设置为零。如果已经创建了具有特定带宽的分区,则可以减少带宽或将限制设置为零。

    参数:最大带宽

    分区中的最大带宽以 Kbps 为单位分配。值为零表示带宽不受限制。也就是说,分区最多可以消耗系统限制。

    默认值:10240

    最大值:4294967295

  3. 分区连接。在分区中可以打开的最大并发连接数。该值必须容纳分区内预期的最大同时流量。分区连接是从分区配额内存中记录的。以前,这些连接是从默认分区配额内存计算的。它仅在客户端上配置,而不是在后端服务器端 TCP 连接上配置。无法建立超出此配置值的新连接。

    注意

    从 NetScaler 12.0 开始,您可以创建一个将打开连接数量设置为零的分区。如果您已创建具有特定数量的打开连接的分区,则可以降低连接限制或将限制设置为零。

    参数:最大连接

    分区中可以打开的并发连接的最大数量。零值表示打开连接的数量没有限制。

    默认值:1024

    最小值:0

    最大值:4294967295

配置管理分区

要配置管理分区,请完成以下任务。

访问管理分区

使用命令行界面访问管理分区

  1. 登录到 Citrix ADC 设备。
  2. 检查您是否位于正确的分区中。命令提示符显示当前所选分区的名称。
  3. 如果是,请跳到下一步。
  4. 如果没有,请获取与您关联的分区列表,然后切换到相应的分区。

    • show system user <username>
    • switch ns partition <partitionName>
  5. 现在,您可以像未分区的 Citrix ADC 一样执行所需的配置。

使用配置实用程序访问管理分区

  1. 登录到 Citrix ADC 设备。

  2. 检查您是否位于正确的分区中。图形用户界面的顶部栏显示当前所选分区的名称。

    • 如果是,请跳到下一步。

    • 如果没有,请导航到配置”>“系统”>“管理分区”>分区”,右键单击要切换到的分区,然后选择切换

  3. 现在,您可以像未分区的 Citrix ADC 一样执行所需的配置。

添加管理分区

根管理员从默认分区添加一个管理分区,并将该分区与 VLAN 2 绑定。

使用命令行界面创建管理分区**

在命令提示窗口中,键入:

add partition <partitionname>

将用户访问从默认分区切换到管理分区

现在将用户访问从默认分区切换到分区 Par1。

使用命令行界面将用户帐户从默认分区切换为管理分区:

在命令提示窗口中,键入:

Switch ns partition <pname>

将 SNIP 地址添加到已启用管理访问权限的分区用户帐户

在分区中,创建已启用管理访问权限的 SNIP 地址。

使用命令行界面启用了管理访问权限的分区用户帐户添加 SNIP 地址:

在命令提示窗口中,键入:

> add ns ip <ip address> <subnet mask> -mgmtAccess enabled

使用分区命令策略创建和绑定分区用户

在分区中,创建分区系统用户并使用分区管理员命令策略绑定该用户。

使用命令行界面创建和绑定分区系统用户与分区命令策略:

在命令提示窗口中,键入:

> add system user <username> <password> Done

使用分区命令策略创建和绑定分区用户组

在分区 Par1 中,创建一个分区系统用户组,并使用分区命令策略(如分区管理员、只读分区、分区运算符或分区网络)绑定该组。

使用命令行界面创建和绑定具有分区命令策略的分区用户组:

> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)

为外部用户配置外部服务器身份验证

在分区 Par1 中,您可以配置外部服务器身份验证,以验证通过 SNIP 地址访问分区的外部 TACACS 用户。

使用命令行界面为外部用户配置外部服务器身份验证:

在命令提示窗口中,键入:

> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
> add authentication policy <policname> -rule true -action <name>
> bind system global <policyname> -priority <value>1

通过使用 GUI 在分区中配置分区系统用户帐户

要在管理分区中配置分区用户帐户,必须创建分区用户或分区用户组并绑定分区命令策略。此外,您还可以为外部用户配置外部服务器身份验证。

使用 GUI 在分区中创建分区用户帐户

导航到系统 > 用户管理,单击用户以添加分区系统用户并将用户绑定到命令策略(分区管理员/分区管理员/分区网络)。

使用 GUI 在分区中创建分区用户组帐户

导航到系统 > 用户管理,单击添加分区系统用户组,并将用户组绑定到命令策略(分区管理员/分区管理员/分区运算符/分区网络)。

使用 GUI 为外部用户配置外部服务器身份验证

导航到系统 > 身份验证 > 基本操作,然后单击 TACACS 配置 TACS 服务器,以便对访问分区的外部用户进行身份验证。

示例配置

以下配置显示了如何创建分区用户或分区用户组并绑定分区命令策略。此外,如何配置外部服务器身份验证以验证外部用户。

> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1

管理分区中的分区用户和分区用户组的命令策略

在管理分区内授权用户帐户的命令 管理分区内可用的命令策略(内置策略) 用户帐户访问类型
add system user 分区管理员 SNIP(启用了管理访问权限)
add system group 分区网络 SNIP(启用了管理访问权限)
add authentication <action, policy>, bind system global <policy name> Partition-read-only SNIP(启用了管理访问权限)
remove system user 分区管理员 SNIP(启用了管理访问权限)
remove system group 分区管理员 SNIP(启用了管理访问权限)
将系统 cmdlet 策略绑定到系统用户;将系统 cmdlet 策略绑定到系统组 分区管理员 SNIP(启用了管理访问权限)

在默认管理分区上配置 LACP 以太网通道

通过链路聚合控制协议 (LACP),您可以将多个端口组合成单个高速链路(也称为通道)。支持 LACP 的设备通过通道交换 LACP 数据单元 (LAPDU)。

可以在 Citrix ADC 设备的默认分区中启用三种 LACP 配置模式:

  1. 主动。处于活动模式的端口发送 LaPDU。如果以太网链路的另一端处于 LACP 主动或被动模式,则形成链路聚合。
  2. 被动。处于被动模式的端口仅在接收 LaPDU 时才会发送 LaPDU。如果以太网链路的另一端处于 LACP 活动模式,则会形成链路聚合。
  3. 禁用。链接聚合不会形成。

注意

默认情况下,在设备的默认分区中禁用链路聚合。

LACP 在通过以太网链路连接的设备之间交换 LAPDU。这些设备通常被称为演员或合作伙伴。

LACDU 数据单元包含以下参数:

  • LACP 模式。主动、被动或禁用。
  • LACP 超时。超时合作伙伴或演员之前的等待期。可能的值:多头和短头。默认值:长。
  • 端口密钥。区分不同的通道。当键为 1 时,将创建 LA/1。当密钥为 2 时,将创建 LA/2。可能的值:从 1 到 8 的整数。4 到 8 的集群 CLAG。
  • 端口优先级。最小值:1。最大值:65535。默认值:32768。
  • 系统优先级。将此优先级与系统 MAC 一起使用,形成系统 ID,以便在 LACP 与合作伙伴协商期间唯一标识系统。将系统优先级设置为 1 和 65535。默认值设置为 32768。
  • 接口。在 NetScaler 10.1 设备上支持每个通道 8 个接口,并在 NetScaler 10.5 和 11.0 设备上支持每个通道 16 个接口。

交换 LaPDU 后,参与者和合作伙伴协商设置并决定是否将端口添加到聚合中。

配置和验证 LACP

使用命令行配置和验证 Citrix ADC 设备上的 LACP

  1. 在每个接口上启用 LACP。

    在命令提示窗口中,键入:

    set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1

    当您在接口上启用 LACP 时,会动态创建通道。此外,当您在接口上启用 LACP 并将 LaCP 设置为 1 时,接口将自动绑定到通道 LA/1。

    注意

    将接口绑定到通道时,通道参数优先于接口参数,因此接口参数将被忽略。如果通道是由 LACP 动态创建的,则无法在通道上执行添加、绑定、取消绑定或删除操作。当您在通道的所有接口上禁用 LACP 时,LACP 动态创建的通道将自动删除。

  2. 设置系统优先级。

    在命令提示窗口中,键入:

    set lacp -sysPriority <Positive_Integer>

  3. 验证 LACP 是否按预期工作。

    show interface <Interface_ID>

    show channel

    show LACP

    注意

    在 Cisco IOS 的某些版本中,运行 switchport trunk native vlan <VLAN_ID> 命令会导致 Cisco 交换机标记 LACP PDU。这会导致 Cisco 交换机和 Citrix ADC 设备之间的 LACP 通道出现故障。但是,此问题不会影响在上述过程中配置的静态链路聚合通道。

从默认分区保存所有管理分区的配置

管理员现在可以从默认分区一次保存所有管理分区的配置。

使用 CLI 从默认分区保存所有管理分区

在命令提示窗口中,键入:

save ns config -all

支持基于分区和群集的自定义报告

Citrix ADC GUI 现在仅显示在当前查看分区或群集中创建的自定义报告。

以前,Citrix ADC GUI 用于将自定义报表名称直接存储到后端文件中,而不提及要区分的分区或群集名称。

在 GUI 中查看当前分区或群集的自定义报告

  • 导航到报告选项卡。

  • 单击自定义报告以查看在当前分区或群集中创建的报表。

支持在 OAuth IdP 的分区设置中绑定 VPN 全局证书

在分区安装程序中,您现在可以将证书绑定到 VPN 全局用于 OAuth IdP 部署。

使用 CLI 绑定分区安装程序中的证书

在命令提示窗口中,键入:

bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]