Citrix ADC

配置管理分区

重要

  • 只有超级用户才有权创建和配置管理分区。
  • 除非另有规定,否则必须从默认分区完成设置管理员分区的配置。

通过对 Citrix ADC 设备进行分区,实际上是在创建单个 Citrix ADC 设备的多个实例。每个实例都有自己的配置,其中每个分区的流量都与另一个分区隔离。这是通过为每个分区分配一个专用 VLAN 或共享 VLAN 来完成的。

分区的 Citrix ADC 有一个默认分区和创建的管理分区。要设置管理员分区,必须首先创建一个具有相关资源(内存、最大带宽和连接)的分区。然后,指定可以访问分区的用户以及分区上每个用户的授权级别。

访问已分区的 Citrix ADC 与访问未分区的 Citrix ADC 的方式相同:通过 NSIP 地址或任何其他管理 IP 地址。作为用户,在提供有效的登录凭据后,您将被带到绑定到的分区。您创建的任何配置都将保存到该分区中。如果您与多个分区关联,则会转到与之关联的第一个分区。如果要在其他分区之一上配置实体,则必须明确切换到该分区。

访问相应的分区后,您执行的配置将保存到该分区中,并且特定于该分区。

注意

  • Citrix ADC 超级用户和其他非分区用户将被带到默认分区。
  • 所有 512 个分区的用户可以同时登录。

提示

要使用 SNIP(启用了管理访问权限)通过 HTTPS 访问已分区的 Citrix ADC 设备,请确保每个分区都有其分区管理员的证书。在分区内,分区管理员必须执行以下操作:

  1. 将证书添加到 Citrix ADC。

    add ssl certKey ns-server-certificate -cert ns-server.cert-key ns-server.key

  2. 将其绑定到名为 nshttps-<SNIP>-3009 的服务,其中 <SNIP> 必须用 SNIP 地址替换为 SNIP 地址,在本例中为 100.10.10.1。

    bind ssl service nshttps-100.10.10.1-3009 -certkeyName ns-server-certificate

分区资源限制

在已分区的 Citrix ADC 设备中,网络管理员可以创建一个分区资源(如内存、带宽和连接限制)配置为无限制的分区。通过将零指定为分区资源值来完成。其中零表示分区上的资源是无限的,并且可以在系统限制下消耗资源。如果将流量域部署迁移到管理分区,或者不知道给定部署中某个分区的资源分配限制,则分区资源配置非常有用。

管理分区的资源限制如下:

  1. 分区内存。这是分区的最大分配内存。您确保在创建分区时指定这些值。

    注意

    从 NetScaler 12.0 开始,在创建分区时,可以将内存限制设置为零。如果已经创建了具有特定内存限制的分区,则可以将限制降至任意值或将限制设置为零。

    参数:maxMemLimit

    分区中的最大内存以 MB 为单位分配。零值表示分区上的内存不受限制,可以消耗最多系统限制。

    默认值:10

  2. 分区带宽。分区的最大分配带宽。如果指定限制,请确保它在设备的许可吞吐量范围内。否则,您不会限制分区使用的带宽。指定的限制对应用程序所需的带宽负责。如果应用程序带宽超过指定的限制,则会丢弃数据包。

    注意

    从 NetScaler 12.0 开始,当您可以创建分区时,可以将分区带宽限制设置为零。如果已经使用特定带宽创建了分区,则可以减少带宽或将限制设置为零。

    参数:maxBandwidth

    分区中的最大带宽以 Kbps 为单位分配。零值表示带宽不受限制。也就是说,分区最多可以消耗系统限制。

    默认值:10240

    最大值:4294967295

  3. 分区连接。分区中可以打开的最大并发连接数。该值必须容纳分区内预期的最大同时流量。分区连接来自分区配额内存。以前,这些连接是从默认的分区配额内存中计算的。它仅在客户端配置,而不是在后端服务器端 TCP 连接上进行配置。无法建立超出此配置值的新连接。

    注意

    从 NetScaler 12.0 开始,您可以创建一个将打开连接数设置为零的分区。如果您已经创建了具有特定数量的打开连接的分区,则可以降低连接限制或将限制设置为零。

    参数:maxConnections

    分区中可以打开的最大并发连接数。零值表示打开的连接数量没有限制。

    默认值:1024

    最小值:0

    最大值:4294967295

配置管理员分区

要配置管理员分区,请完成以下任务。

使用 CLI 在管理员分区中访问

  1. 登录 Citrix ADC 设备。
  2. 检查你是否在正确的分区中。命令提示符显示当前选定分区的名称。
  3. 如果是,请跳到下一步。
  4. 如果没有,请获取与之关联的分区列表,然后切换到适当的分区。

    • show system user <username>
    • switch ns partition <partitionName>
  5. 现在,您可以像未分区的 Citrix ADC 一样执行所需的配置。

使用 GUI 访问管理员分区

  1. 登录 Citrix ADC 设备。

  2. 检查你是否在正确的分区中。GUI 的顶部栏显示当前选定分区的名称。

    • 如果是,请跳到下一步。

    • 如果没有,请导航到 “ 配置” > “系统” > “分区管理”“分区”,右键单击要切换到的分区,然后选择 “ 切换”。

  3. 现在,您可以像未分区的 Citrix ADC 一样执行所需的配置。

添加管理员分区

根管理员从默认分区添加一个管理分区,并将该分区与 VLAN 2 绑定。

使用 CLI 创建管理分区

在命令提示符下,键入:

add partition <partitionname>

将用户访问从默认分区切换到管理分区

现在,您可以将用户访问权限从默认分区切换到分区 Par1。

要使用 CLI 将用户帐户从默认分区切换到管理员分区,请执行以下操作:

在命令提示符下,键入:

Switch ns partition <pname>

将 SNIP 地址添加到已启用管理访问权限的分区用户帐户

在分区中,创建启用管理访问权限的 SNIP 地址。

要使用命令行界面将 SNIP 地址添加到已启用管理访问权限的分区用户帐户,请执行以下操作:

在命令提示符下,键入:

> add ns ip <ip address> <subnet mask> -mgmtAccess enabled

使用分区命令策略创建和绑定分区用户

在分区中,创建一个分区系统用户,然后使用分区管理员命令策略绑定该用户。

使用 CLI 使用分区命令策略创建和绑定分区系统用户,请执行以下操作:

在命令提示符下,键入:

> add system user <username> <password>

Done

使用分区命令策略创建和绑定分区用户组

在分区 Par1 中,创建一个分区系统用户组,然后使用分区命令策略(如分区管理员、只读分区、分区操作员或分区网络)绑定组。

使用命令行界面创建和绑定具有分区命令策略的分区用户组:

> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)

为外部用户配置外部服务器身份验证

在分区 Par1 中,您可以配置外部服务器身份验证,以验证通过 SNIP 地址访问分区的外部 TACACS 用户。

使用命令行界面为外部用户配置外部服务器身份验证:

在命令提示符下,键入:

> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
> add authentication policy <policname> -rule true -action <name>
> bind system global <policyname> -priority <value>1

使用 GUI 在分区中配置分区系统用户帐户

要在管理分区中配置分区用户帐户,必须创建分区用户或分区用户组并将其绑定分区命令策略。此外,您可以为外部用户配置外部服务器身份验证。

使用 GUI 在分区中创建分区用户帐户

导航到 “系统” > “用户管理”,单击 “用户” 添加分区系统用户,然后将用户绑定到命令策略(分区管理员/分区只读/分区操作员/分区操作员/分区网络)。

使用 GUI 在分区中创建分区用户组帐户

导航到 “系统” > “用户管理”,单击 “组” 以添加分区系统用户组,然后将用户组绑定到命令策略(分区管理员/分区只读/分区操作员/分区网络)。

使用 GUI 为外部用户配置外部服务器身份验证

导航到系统 > 身份验证 > 基本操作,然后单击 TACACS 以配置 TACACS 服务器以验证访问分区的外部用户的身份。

示例配置

以下配置显示如何创建分区用户或分区用户组并将其绑定分区命令策略。此外,如何配置外部服务器身份验证以验证外部用户。

> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1

管理分区中的分区用户和分区用户组的命令策略

在管理分区内授权用户帐户的命令 管理分区内可用的命令策略(内置策略) 用户帐户访问类型
添加系统用户 分区管理员 SNIP(启用了管理访问权限)
添加系统组 分区网络 SNIP(启用了管理访问权限)
添加身份验证 <action, policy>,绑定系统全局 <policy name> 分区-只读 SNIP(启用了管理访问权限)
删除系统用户 分区管理员 SNIP(启用了管理访问权限)
删除系统组 分区管理员 SNIP(启用了管理访问权限)
bind system cmdpolicy 给系统用户; bind system cmdpolicy 到系统组 分区管理员 SNIP(启用了管理访问权限)

在默认管理分区上配置 LACP 以太网通道

使用链路聚合控制协议 (LACP),您可以将多个端口合并为单个高速链路(也称为信道)。启用 LACP 的设备通过频道交换 LACP 数据单元 (LACPDU)。

您可以在 Citrix ADC 设备的默认分区中启用三种 LACP 配置模式:

  1. 活动。处于活动模式的端口发送 LacPDU。如果以太网链路的另一端处于 LACP 主动或被动模式,则形成链路聚合。
  2. 被动。处于被动模式的端口仅在收到 LacPDU 时才会发送 LacPDU。如果以太网链路的另一端处于 LACP 活动模式,则形成链路聚合。
  3. 禁用。未形成链接聚合。

注意

默认情况下,在设备的默认分区中禁用链路聚合。

LACP 在通过以太网链路连接的设备之间交换 LACPDU。这些设备通常被称为演员或合作伙伴。

LACPDU 数据单元包含以下参数:

  • LACP 模式。主动、被动或禁用。
  • LACP 超时。超时合作伙伴或演员之前的等待时间。可能的值:长期和短。默认值:长。
  • 端口密钥。区分不同的频道。当密钥为 1 时,就会创建 LA/1。当密钥为 2 时,创建 LA/2。可能的值:从 1 到 8 的整数。4 到 8 适用于集群 CLAG。
  • 端口优先级。最小值:1。最大值:65535。默认值:32768。
  • 系统优先级。将此优先级与系统 MAC 一起使用来形成系统 ID,以便在与合作伙伴进行 LACP 协商期间唯一标识系统。将系统优先级设置为 1 和 65535。默认值设置为 32768。
  • 接口。NetScaler 10.1 设备上支持每个通道 8 个接口,并在 NetScaler 10.5 和 11.0 设备上每个通道支持 16 个接口。

交换 LacPDU 后,参与者和合作伙伴协商设置并决定是否将端口添加到聚合中。

配置和验证 LACP

以下部分介绍如何在管理分区中配置和验证 LACP。

使用 CLI 在 Citrix ADC 设备上配置和验证 LACP

  1. 在每个接口上启用 LACP。

    set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1<!--NeedCopy-->

    当您在接口上启用 LACP 时,将动态创建频道。此外,当您在接口上启用 LACP 并将 LacpKey 设置为 1 时,接口将自动绑定到频道 LA/1。

    注意

    将接口绑定到频道时,频道参数优先于接口参数,因此将忽略接口参数。如果频道是由 LACP 动态创建的,则无法在频道上执行添加、绑定、解绑或移除操作。当您在频道的所有接口上禁用 LACP 时,由 LACP 动态创建的频道将自动删除。

  2. 设置系统优先级。

    set lacp -sysPriority <Positive_Integer><!--NeedCopy-->

  3. 验证 LACP 是否按预期工作。

    ```show interface

    
    ```show channel<!--NeedCopy-->
    

    show LACP<!--NeedCopy-->

    注意

    在某些版本的 Cisco Internetwork Operating System (iOS) 中,运行交换机端口中继本机 VLAN <VLAN_ID> 命令会使 Cisco 交换机标记 LACP PDU。它会导致 Cisco 交换机与 Citrix ADC 设备之间的 LACP 通道发生故障。但是,此问题不影响之前过程中配置的静态链路聚合通道。

从默认分区中保存所有管理分区的配置

管理员可以从默认分区同时保存所有管理员分区的配置。

使用 CLI 保存默认分区中的所有管理分区

在命令提示符下,键入:

save ns config -all

支持基于分区和群集的自定义报告

Citrix ADC GUI 仅显示在当前查看分区或群集中创建的自定义报告。

以前,Citrix ADC GUI 曾经将自定义报告名称直接存储到后端文件中,而不提及要区分的分区或群集名称。

在 GUI 中查看当前分区或群集的自定义报告

  • 导航到 “ 报告 ” 选项卡。

  • 单击 自定义报告 可查看在当前分区或群集中创建的报告。

支持在 OAuth IdP 的分区设置中绑定 VPN 全局证书

在分区设置中,您现在可以将证书绑定到 VPN 全局以进行 OAuth IdP 部署。

使用 CLI 在分区设置中绑定证书

在命令提示符下,键入:

bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]