Citrix ADC

常见问题解答

超时

重要

在使用 任何 nsapimgr 旋钮之前,请咨询 Citrix 客户支持部门。

下面列出了可在 Citrix ADC T1 虚拟服务器和服务上设置的不同空闲连接超时。为虚拟服务器或服务级别的客户端或服务器连接设置的空闲超时仅适用于处于 TCP SIDEET 状态且处于空闲状态的连接。

  • 负载平衡虚拟服务器 CLtTimeout 参数指定在设备关闭连接之前从客户端到负载平衡虚拟服务器的连接必须处于空闲状态的时间(以秒为单位)。
  • Service SvrTimeout 参数指定设备关闭连接之前从设备到服务或服务器的连接必须处于空闲状态的时间(以秒为单位)。
  • Service CLtTimeout 参数指定在设备关闭连接之前从客户端到服务的连接必须处于空闲状态的时间(以秒为单位)。

当服务绑定到负载平衡虚拟服务器时,负载平衡虚拟服务器的 CLtTimeout 优先,并忽略服务的 CLtTimeout 服务。

在没有服务绑定到负载平衡虚拟服务器的情况下,全局空闲超时(即 TCPServer)用于服务器端连接。它可以配置如下:

命令:

set ns timeout –tcpServer 9000

处于其他状态的连接具有不同的超时值:

  • 半开连接空闲超时:120 秒(硬编码值)
  • TIME_WAY 连接空闲超时:40 秒(硬编码值)
  • 半关闭连接空闲超时。默认情况下,它是 10s,并且可以使用代码段在 1s 和 600s 之间进行配置

命令:

 set ns timeout –halfclose 10

当半关闭超时触发时,连接将移动到僵尸状态。当僵尸超时过期时,默认情况下,僵尸清理会启动,T1 会在客户端和服务器端为给定连接发送 RST。

  • 僵尸超时:僵尸清理过程必须运行以清理非活动 TCP 连接的间隔。默认超时值为 120s,可以在 1s 到 600s 之间进行配置。

命令:

set ns timeout –zombie 120

最大线段大小表

Citrix ADC T1 设备通过使用 SYN Cookie 而不是在系统内存堆栈上保持半开连接来防御 SYN 洪水攻击。设备向请求 TCP 连接的每个客户端发送 cookie,但它不会保持半打开连接的状态。相反,设备仅在接收最终 ACK 数据包时为连接分配系统内存,或者在接收 HTTP 请求时为 HTTP 流量分配系统内存。这可以防止 SYN 攻击,并允许与合法客户端的正常 TCP 通信继续不间断。默认情况下,特定功能是启用的,没有禁用的选项。

但是,由于标准 SYN Cookie 将连接限制为仅使用八个最大段大小 (MSS) 值,因此需要注意。如果连接彩信与任何预定义值不匹配,它将在客户端和服务器端接收下一个可用的较低值。

预定义的 TCP 最大分段大小 (MSS) 值如下,可以通过新的 nsapimgr 旋钮进行配置。

               
1460 1440 1330 1220 956 536 384 128

新的管理支助系统表:

  • 不需要包含超大框架支持。即使默认情况下 MSS 表中为巨型帧保留了 8 个值,但表设置也可以修改为仅包括标准以太网大小的帧。
  • 应该有 16 个值
  • 应该有降序的值
  • 应该包含 128 作为最后一个值

如果新的 MSS 表有效,则表将被存储,旧值将在 SYN-cookie 旋转时间切换。否则,新表将返回错误。更改将应用于新连接,而现有连接保留旧的 MSS 表,直到连接过期或终止。

要在 Citrix ADC 设备中显示当前 MSS 表,请键入以下命令。

命令:

>shell

#nsapimgr -d mss_table

示例:

#nsapimgr -d mss_table

管理支助表

{9176,9156,8192,7168,6144,4196,3072,2048,1460,1440,1330,1212,956,536,384,128}

完成。

要更改 mss 表,请键入以下命令:

命令:

>shell

#nsapimgr -s mss_table=<16 comma seperated values>

示例:

#nsapimgr -ys mss_table=9176,9156,8192,7168,6144,4196,3072,2048,1460,1400,1330,1212,956,536,384,128

# nsapimgr -d mss_table

管理支助表

{9176,9156,8192,7168,6144,4196,3072,2048,1460,1400,1330,1212,956,536,384,128}

完成。

下面介绍了一个使用标准以太网大小值的示例:

示例:

#nsapimgr -ys mss_table=1460,1440,1420,1400,1380,1360,1340,1320,1300,1280,1260,1212,956,536,384,128

# nsapimgr -d mss_table

管理支助表

{1460,1440,1420,1400,1380,1360,1340,1320,1300,1280,1260,1212,956,536,384,128}

完成。

要在 Citrix ADC 设备重新启动后使此更改永久化,请#nsapimgr -ys mss_table=<16 comma seperated values> 在“/nsconfig/rc.netscaler”文件中包含该命令。如果“rc.netscaler”文件不存在,请在“/nsconfig”文件夹下创建它,然后附加命令。

内存过载保护

如果 Citrix ADC 数据包处理引擎 (PPE) 正在使用的内存超过指定的高水印值,则 Citrix ADC 数据包处理引擎 (PPE) 开始绕过 TCP 优化的连接。如果 PPE 内存利用率超过 ~2.6GB,则开始绕过优化的 任何新 连接。现有的连接(以前被允许进行优化的连接)继续获得优化。此水印值已经有意选择,不建议进行调整。

注意

如果您认为有充分理由更改该水印值,请联系客户支持。

为快乐眼球客户提供支持

如果 Citrix ADC 设备收到状态未知的目标的 SYN,则该设备首先检查服务器的可达性,然后确认客户端。这种探测机制使具有双 IP 堆栈的客户端能够发现双栈 Internet 服务器的可访问性。如果客户端发现 IPv6 和 IPv4 访问都可用,则会建立与响应速度更快的服务器的连接,并重置另一个服务器。对于 Citrix ADC 设备的连接接收到重置,它将重置相应的服务器端连接。

注意:此功能没有要在 Citrix ADC 设备上禁用/启用的用户可配置的 TCP 设置。

有关快乐眼球支持的更多信息,请参阅 RFC 6555。

常见问题解答