This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
配置管理分区
重要
- 只有超级用户才有权创建和配置管理分区。
- 除非另有指定,否则必须从默认分区完成设置 admin 分区的配置。
通过对 Citrix ADC 设备进行分区,实际上可以创建单个 Citrix ADC 设备的多个实例。每个实例都有自己的配置,每个分区的流量都与另一个分区隔离。这是通过为每个分区分配一个专用 VLAN 或共享 VLAN 来完成的。
分区的 Citrix ADC 具有一个默认分区和创建的管理分区。若要设置管理分区,您必须首先创建具有相关资源(内存、最大带宽和连接)的分区。然后,指定可以访问分区的用户以及分区上每个用户的授权级别。
访问分区的 Citrix ADC 与访问未分区的 Citrix ADC 相同:通过 NSIP 地址或任何其他管理 IP 地址访问。作为用户,提供有效的登录凭据后,您将被带到绑定到的分区。您创建的任何配置都会保存到该分区。如果您与多个分区相关联,则会转到与您关联的第一个分区。如果要在其他一个分区上配置实体,则必须明确切换到该分区。
访问相应的分区后,您执行的配置将保存到该分区中,并且特定于该分区。
注意
- Citrix ADC 超级用户和其他非分区用户将转到默认分区。
- 所有 512 个分区的用户可以同时登录。
提示
要使用 SNIP(启用了管理访问权限)通过 HTTPS 访问分区的 Citrix ADC 设备,请确保每个分区都具有其分区管理员的证书。在分区中,分区管理员必须执行以下操作:
-
将证书添加到 Citrix ADC。
add ssl certKey ns-server-certificate -cert ns-server.cert-key ns-server.key
-
将其绑定到名为
nshttps-<SNIP>-3009
的服务,其中<SNIP>
必须替换为 SNIP 地址,在本例中为 100.10.10.1。bind ssl service nshttps-100.10.10.1-3009 -certkeyName ns-server-certificate
分区资源限制
在分区的 Citrix ADC 设备中,网络管理员可以创建分区资源(如内存、带宽和连接限制)配置为无限制的分区。它是通过将零指定为分区资源值来完成的。其中零表示资源在分区上是无限制的,并且可以在系统限制下消耗。当您将流量域部署迁移到管理分区或者不知道给定部署中分区的资源分配限制时,分区资源配置非常有用。
管理分区的资源限制如下:
-
分区内存。这是分区的最大分配内存。创建分区时,请务必指定值。
注意
从 NetScaler 12.0 开始,当您创建分区时,您可以将内存限制设置为零。如果已创建具有特定内存限制的分区,则可以将限制减少为任意值或将限制设置为零。
参数:最大限制
在分区中分配的最大内存以 MB 为单位。零值表示分区上的内存是无限的,它可以消耗到系统限制。
默认值:10
-
分区带宽。为分区分配的最大带宽。如果指定了限制,请确保该限制在设备的许可吞吐量范围内。否则,您不会限制分区使用的带宽。指定的限制负责应用程序所需的带宽。如果应用程序带宽超过指定限制,则会丢弃数据包。
注意
从 NetScaler 12.0 开始,当您可以创建分区时,您可以将分区带宽限制设置为零。如果已经创建了具有特定带宽的分区,则可以减少带宽或将限制设置为零。
参数:最大带宽
分区中的最大带宽以 Kbps 为单位分配。值为零表示带宽不受限制。也就是说,分区最多可以消耗系统限制。
默认值:10240
最大值:4294967295
-
分区连接。在分区中可以打开的最大并发连接数。该值必须容纳分区内预期的最大同时流量。分区连接是从分区配额内存中记录的。以前,这些连接是从默认分区配额内存计算的。它仅在客户端上配置,而不是在后端服务器端 TCP 连接上配置。无法建立超出此配置值的新连接。
注意
从 NetScaler 12.0 开始,您可以在打开的连接数设置为零的情况下创建分区。如果您已创建具有特定数量的打开连接的分区,则可以降低连接限制或将限制设置为零。
参数:最大连接
分区中可以打开的并发连接的最大数量。零值表示打开的连接数没有限制。
默认值:1024
最小值:0
最大值:4294967295
配置管理分区
要配置管理分区,请完成以下任务。
使用 CLI 在管理分区中访问
- 登录到 Citrix ADC 设备。
- 检查您是否位于正确的分区中。命令提示符显示当前所选分区的名称。
- 如果是,请跳到下一步。
-
如果没有,请获取与您关联的分区列表,然后切换到相应的分区。
show system user <username>
switch ns partition <partitionName>
- 现在,您可以像未分区的 Citrix ADC 一样执行所需的配置。
使用 GUI 访问管理员分区
-
登录到 Citrix ADC 设备。
-
检查您是否位于正确的分区中。GUI 的顶栏显示当前所选分区的名称。
-
如果是,请跳到下一步。
-
如果没有,请导航到“配置”>“系统”>“管理分区”>“分区”,右键单击要切换到的分区,然后选择“切换”。
-
-
现在,您可以像未分区的 Citrix ADC 一样执行所需的配置。
添加管理分区
根管理员从默认分区添加一个管理分区,并将该分区与 VLAN 2 绑定。
使用 CLI 创建管理分区
在命令提示符下,键入:
add partition <partitionname>
将用户访问从默认分区切换到管理分区
现在,您可以将用户访问权限从默认分区切换到分区 Par1。
要使用 CLI 将用户帐户从默认分区切换到管理分区,请执行以下操作:
在命令提示符下,键入:
Switch ns partition <pname>
将 SNIP 地址添加到已启用管理访问权限的分区用户帐户
在分区中,创建启用了管理访问权限的 SNIP 地址。
使用命令行界面启用了管理访问权限的分区用户帐户添加 SNIP 地址:
在命令提示符下,键入:
> add ns ip <ip address> <subnet mask> -mgmtAccess enabled
使用分区命令策略创建和绑定分区用户
在分区中,创建分区系统用户并使用分区管理员命令策略绑定该用户。
要使用 CLI 创建分区系统用户并使用分区命令策略绑定分区系统用户:
在命令提示符下,键入:
> add system user <username> <password>
Done
使用分区命令策略创建和绑定分区用户组
在分区 Par1 中,创建一个分区系统用户组,并使用分区命令策略(如分区管理员、只读分区、分区运算符或分区网络)绑定该组。
使用命令行界面创建和绑定具有分区命令策略的分区用户组:
> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)
为外部用户配置外部服务器身份验证
在分区 Par1 中,您可以配置外部服务器身份验证,以对通过 SNIP 地址访问分区的外部 TACACS 用户进行身份验证。
使用命令行界面为外部用户配置外部服务器身份验证:
在命令提示符下,键入:
> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
> add authentication policy <policname> -rule true -action <name>
> bind system global <policyname> -priority <value>1
使用 GUI 在分区中配置分区系统用户帐户
要在管理分区中配置分区用户帐户,必须创建分区用户或分区用户组并绑定分区命令策略。此外,您还可以为外部用户配置外部服务器身份验证。
使用 GUI 在分区中创建分区用户帐户
导航到 系统 > 用户管理,单击 用户 添加分区系统用户,然后将用户绑定到命令策略(分区管理员/分区仅读/分区-操作员/分区-网络)。
使用 GUI 在分区中创建分区用户组帐户
导航到系统 > 用户管理,单击组添加分区系统用户组,并将用户组绑定到命令策略(分区管理员/分区管理员/分区运算符/分区网络)。
使用 GUI 为外部用户配置外部服务器身份验证
导航到 系统 > 身份验证 > 基本操作 ,然后单击 TACACS 以配置 TACACS 服务器以验证访问分区的外部用户。
示例配置
以下配置显示了如何创建分区用户或分区用户组并绑定分区命令策略。此外,如何配置外部服务器身份验证以验证外部用户。
> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1
管理分区中的分区用户和分区用户组的命令策略
在管理分区内授权用户帐户的命令 | 管理分区内可用的命令策略(内置策略) | 用户帐户访问类型 |
---|---|---|
add system user | 分区管理员 | SNIP(启用了管理访问权限) |
add system group | 分区网络 | SNIP(启用了管理访问权限) |
add authentication <action, policy> , bind system global <policy name>
|
Partition-read-only | SNIP(启用了管理访问权限) |
remove system user | 分区管理员 | SNIP(启用了管理访问权限) |
remove system group | 分区管理员 | SNIP(启用了管理访问权限) |
bind system cmdpolicy 到系统用户; bind system cmdpolicy 到系统组 |
分区管理员 | SNIP(启用了管理访问权限) |
在默认管理分区上配置 LACP 以太网通道
使用链路聚合控制协议 (LACP),您可以将多个端口合并为单个高速链路(也称为通道)。支持 LACP 的设备通过通道交换 LACP 数据单元 (LAPDU)。
可以在 Citrix ADC 设备的默认分区中启用三种 LACP 配置模式:
- 主动。处于活动模式的端口发送 LaPDU。如果以太网链路的另一端处于 LACP 主动或被动模式,则形成链路聚合。
- 被动。处于被动模式的端口仅在接收 LaPDU 时才会发送 LaPDU。如果以太网链路的另一端处于 LACP 活动模式,则会形成链路聚合。
- 禁用。链接聚合不会形成。
注意
默认情况下,在设备的默认分区中禁用链路聚合。
LACP 在通过以太网链路连接的设备之间交换 LAPDU。这些设备通常被称为演员或合作伙伴。
LACDU 数据单元包含以下参数:
- LACP 模式。主动、被动或禁用。
- LACP 超时。超时合作伙伴或演员之前的等待期。可能的值:多头和短头。默认值:长。
- 端口密钥。区分不同的通道。当密钥为 1 时,将创建 LA/1。当密钥为 2 时,将创建 LA/2。可能的值:从 1 到 8 的整数。4 到 8 的集群 CLAG。
- 端口优先级。最小值:1。最大值:65535。默认值:32768。
- 系统优先级。在 LACP 与合作伙伴协商期间,将此优先级与系统 MAC 一起使用来形成系统 ID,以便唯一标识系统。将系统优先级设置为 1 和 65535。默认值设置为 32768。
- 接口。在 NetScaler 10.1 设备上支持每个通道 8 个接口,并在 NetScaler 10.5 和 11.0 设备上支持每个通道 16 个接口。
交换 LaPDU 后,参与者和合作伙伴协商设置并决定是否将端口添加到聚合中。
配置和验证 LACP
以下部分介绍如何在管理分区中配置和验证 LACP。
使用 CLI 在 Citrix ADC 设备上配置和验证 LACP
-
在每个接口上启用 LACP。
set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1
当您在接口上启用 LACP 时,会动态创建通道。此外,当您在接口上启用 LACP 并将 LacpKey 设置为 1 时,该接口会自动绑定到频道 LA/1。
注意
将接口绑定到通道时,通道参数优先于接口参数,因此接口参数将被忽略。如果通道是由 LACP 动态创建的,则无法在该频道上执行添加、绑定、解绑或删除操作。当您在通道的所有接口上禁用 LACP 时,LACP 动态创建的通道将自动删除。
-
设置系统优先级。
set lacp -sysPriority <Positive_Integer>
-
验证 LACP 是否按预期工作。
show interface <Interface_ID>
show channel
show LACP
注意
在某些版本的 Cisco 互联网操作系统 (iOS) 中,运行交换机端口中继本地 VLAN <VLAN_ID> 命令会导致 Cisco 交换机标记 LACP PDU。它会导致思科交换机和 Citrix ADC 设备之间的 LACP 通道出现故障。但是,此问题不会影响在上一过程中配置的静态链路聚合通道。
从默认分区保存所有管理分区的配置
管理员可以从默认分区中同时保存所有管理分区的配置。
使用 CLI 保存默认分区中的所有管理分区
在命令提示符下,键入:
save ns config -all
支持基于分区和群集的自定义报告
Citrix ADC GUI 仅显示在当前查看分区或群集中创建的自定义报告。
以前,Citrix ADC GUI 曾经将自定义报告名称直接存储到后端文件中,而不提及要区分的分区或群集名称。
在 GUI 中查看当前分区或集群的自定义报告
-
导航到“报告”选项卡。
-
单击 自定义报告 以查看在当前分区或集群中创建的报告。
支持在 OAuth IdP 的分区设置中绑定 VPN 全局证书
在分区安装程序中,您现在可以将证书绑定到 VPN 全局用于 OAuth IdP 部署。
使用 CLI 绑定分区安装程序中的证书
在命令提示符下,键入:
bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]
分享:
分享:
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.