连接管理

  • 什么是管理员连接?

    管理员连接建立到 NSIP 地址的连接,并允许管理员配置和监视 Citrix ADC 设备。

  • 管理连接的类型是什么?

    有两种类型的管理连接:

    • SSH 连接 — 管理员用户使用 SSH 客户端通过 NSIP 地址登录。
    • NITRO API 连接 — 管理员用户使用 NITRO API 的自动化登录过程到 Citrix ADC 设备。 注意:管理员用户也可以通过使用浏览器连接到 NSIP 地址,通过 GUI 登录。GUI 在内部打开一个 NITRO API 连接。因此,GUI 会话等同于 NITRO API 连接,与 NITRO API 相关的常见问题解答适用于 GUI。
  • Citrix ADC 设备上允许多少个并发管理连接?

    该设备最多允许 20 个并发管理连接。

  • 管理员登录需要哪些登录凭据?

    管理员登录需要用户名和密码。

    注意: 可以使用身份验证密钥代替密码。

  • Citrix ADC 设备支持哪些外部身份验证方法?

    设备支持以下外部身份验证方法:

    • RADIUS
    • LDAP
    • TACACS
  • 什么是客户?

    客户端是管理员用于打开管理连接的设备(笔记本电脑或台式机)。

  • 什么是会话令牌?

    会话令牌是 Citrix ADC 设备向发送 NITRO API 登录请求的客户端颁发的唯一标识符。

    • 如果会话令牌尚未过期,API 客户端可以重复使用新 TCP 连接上的后续 API 请求
    • GUI 客户端在内部打开 NITRO API 连接,并在 GUI 会话期间保持会话令牌处于活动状态。
  • 什么是 Citrix ADC 设备上的活动会话?

    如果 CLI 会话尚未过期且与 Citrix ADC 设备有开放的 SSH 连接,则该会话将被视为活动。

    如果 Citrix ADC 设备上的会话令牌超时尚未过期,则 NITRO API 会话将被视为活动。

  • Citrix ADC 如何强制执行并发连接限制?

    Citrix ADC 设备每次收到管理连接请求(SSH 或 NITRO API)时,都会检查已打开的管理连接数。如果数字低于 20,则会打开一个新的连接。

  • 哪个计数器反映 Citrix ADC 设备上的管理连接数?

    连接计数器 (nsconfigd_cur_clients) 反映活动连接的数量。当客户端打开与设备的新连接时,此计数器会递增,并在连接关闭时递减。

  • 哪个计数器反映 Citrix ADC 设备上的活动令牌数?

    configd_cur_tokens 计数器反映 Citrix ADC 设备上活动令牌的数量。

  • Citrix ADC 设备如何处理连接上的错误?

    如果 Citrix ADC 设备在连接中遇到错误,则立即关闭客户端(CLI、API 和 GUI)连接。

  • 与管理地址的连接上的 CLI 或 GUI 会话是否计入管理连接限制?

    是的,所有 CLI 和 GUI 连接都是基于 TCP 的连接,并且与管理地址的每个 TCP 连接都会计入管理连接限制。

  • NITRO 会话是否计入管理连接限制?

    如果存在使用 Citrix ADC 设备颁发的会话令牌打开的 TCP 连接,则 NITRO 会话会计入管理连接限制。

  • Citrix ADC 设备上 API、GUI 和 CLI 会话的默认超时期限是多少?

    下表列出了 Citrix ADC 设备上 API、GUI 和 CLI 会话的默认超时期限:

    Citrix ADC 版本 CLI 默认超时期限(最小) API 默认超时期限(最小) GUI 默认超时期限(最小)
    NetScaler 9.3 30 分钟 30 分钟
    NetScaler 10.1 30 分钟 30 分钟
    NetScaler 10.5 以后 15 分钟 30 分钟 15 分钟
  • 如何在 Citrix ADC 设备上设置 CLI 会话超时?

    CLI 会话超时可以通过在 CLI 提示符处执行以下命令来配置:

    set cli mode -timeout \<xx seconds>

  • 如何在使用 NITRO API 时覆盖默认超时期限?

    您可以通过在登录对象的“超时”字段中设置超时持续时间来覆盖 NITRO API 的默认超时期限。如果会话超时设置为零,则会话令牌具有无限超时。

    注意:不建议使用无限超时,因为未超时的会话将继续计入管理员连接计数。

  • 如果在创建管理员会话后从 Citrix ADC 设备中删除用户帐户,会发生什么情况?

    对于内部系统用户,Citrix ADC 设备将关闭现有 CLI 或 NITRO API 会话。

    对于外部系统用户,会话将保持活动状态,直到会话过期。

  • NITRO API 客户端是否可以使用单个会话令牌在 Citrix ADC 设备上打开多个管理员连接?

    是。每个这样的连接都会计入管理员连接限制。

  • 如果为 MIP 或 SNIP 地址启用了管理访问权限,那么与该地址的管理员连接是否会计入管理员连接数的限制?

    可以,与管理地址(MIP 或 SNIP)的管理连接将计入 Citrix ADC 上的管理连接限制。

  • 在达到最大连接限制后,Citrix ADC 管理员能否登录到 Citrix ADC 设备?

    是。在达到最大连接限制后,允许一个额外的管理连接。

  • NITRO API 端点是否可以在 Citrix ADC 上打开多个管理员连接设备?

    可以,NITRO API 端点可以在 Citrix ADC 设备上打开多个管理连接并耗尽并发管理连接限制。在这种情况下,允许额外的 SSH/CLI 连接,管理员可以强制关闭旧的 API 会话,或减少现有 API 会话的会话超时持续时间。

  • 同一客户端是否可以在 Citrix ADC 设备上打开多个 API 会话?

    是的,客户端可以通过重复登录打开多个 API 会话。例如,客户端可能会在重新启动后重新登录。 注意:重复的客户端登录会计入 Citrix ADC 设备上的管理连接限制。

  • API 客户端可以使用整个 API 会话令牌限制吗?

    是的,API 客户端可以使用整个 API 会话令牌限制,这是通过重复登录而不使用之前发布的令牌提供的。

    注意:如果客户端的会话超时为零,则令牌永远有效。使用新会话令牌重复登录可以计入 API 会话令牌的限制。

  • CLI 会话是否计入 API 会话令牌限制?

    否,CLI 会话不会计入 API 会话令牌限制。

  • 管理员用户可以使用 Telnet 打开 CLI 会话吗?

    否。只有 SSH 客户端可以打开 CLI 会话。

  • 什么是适用于各种 Citrix ADC 版本的连接限制和 API 会话限制?

    下表列出了适用于各种 Citrix ADC 版本的最大并发管理连接和活动 API 会话限制:

    Citrix ADC 版本 9.3 10.1(在 130.x 之前) 10.1 (130.10 之前) 10.1(自 130.10 起)
    并发管理连接的最大数量 20 20 20 20
    活动 API 会话的最大数量* 1000 20 1000 1000

    注意:

    • 如果 API 会话未超时,则将被视为活动。例如,如果创建了 500 个 API 会话,但 100 个已过期,则 400 个 API 会话处于活动状态。
    • API 会话无需打开与 Citrix ADC 设备的 TCP 连接。

连接管理