Citrix ADC

连接管理

  • 管理员连接是什么?

    管理员连接可建立与 NSIP 地址的连接,并允许管理员配置和监视 Citrix ADC 设备。

  • 管理员连接有哪些类型?

    管理员连接有两种类型:

    • SSH 连接 - 管理员用户使用 SSH 客户端通过 NSIP 地址登录。
    • NITRO API 连接 - 管理员用户使用 NITRO API 来自动执行到 Citrix ADC 设备的登录过程。

注意

管理员用户也可以通过 GUI 登录进行登录,方法是使用浏览器连接到 NSIP 地址。GUI 在内部打开 NITRO API 连接。因此,GUI 会话等同于 NITRO API 连接,与 NITRO API 相关的常见问题解答适用于 GUI。

  • 允许在 Citrix ADC 设备上建立多少个并发管理员连接?

    该设备最多允许建立 20 个并发管理员连接。

  • 管理员登录需要哪些登录凭据?

    管理员登录需要用户名和密码。

    注意: 可以使用身份验证密钥代替密码。

  • Citrix ADC 设备支持哪些外部身份验证方法?

    设备支持以下外部身份验证方法:

    • RADIUS
    • LDAP
    • TACACS
  • 客户端是什么?

    客户端是管理员用户用来打开管理员连接的设备(便携式计算机或台式机)。

  • 会话令牌是什么?

    会话令牌是 Citrix ADC 设备发出给发送 NITRO API 登录请求的客户端的唯一标识符。

    • 如果会话令牌尚未过期,API 客户端可以对新 TCP 连接上的后续 API 请求重新使用该会话令牌
    • GUI 客户端在内部打开 NITRO API 连接,并在 GUI 会话期间保持会话令牌处于活动状态。
  • Citrix ADC 设备上的活动会话是什么?

    如果 CLI 会话尚未过期,并且与 Citrix ADC 设备具有开放的 SSH 连接,该会话被视为活动会话。

    如果 Citrix ADC 设备上的会话令牌超时尚未过期,NITRO API 会话将被视为活动会话。

  • Citrix ADC 如何强制执行并发连接限制?

    每当 Citrix ADC 设备收到管理员连接请求(SSH 或 NITRO API)时,都会检查已打开的管理员连接数。如果数量小于 20,则会打开一个新连接。

  • 哪个计数器反映了 Citrix ADC 设备上的管理员连接数?

    连接计数器 (nsconfigd_cur_clients) 反映活动连接的数量。当客户端打开与设备的新连接时,此计数器将递增;当连接关闭时,此计数器递减。

  • 哪个计数器反映了 Citrix ADC 设备上的活动令牌数量?

    configd_cur_tokens 计数器反映了 Citrix ADC 设备上的活动令牌数量。

  • Citrix ADC 设备如何处理连接错误?

    如果 Citrix ADC 设备在连接中遇到错误,它将立即关闭客户端(CLI、API 和 GUI)连接。

  • 与管理地址的连接上的 CLI 或 GUI 会话是否计入管理员连接限制?

    是,所有 CLI 和 GUI 连接都是基于 TCP 的连接,每个与管理地址的 TCP 连接都会计入管理员连接限制。

  • NITRO 会话是否计入管理员连接限制?

    如果存在使用 Citrix ADC 设备颁发的会话令牌的开放 TCP 连接,NITRO 会话将计入管理员连接限制。

  • Citrix ADC 设备上的 API、GUI 和 CLI 会话的默认超时期限是多少?

    下表列出了 Citrix ADC 设备上的 API、GUI 和 CLI 会话的默认超时期限:

    Citrix ADC 版本 CLI 默认超时期限(分钟) API 默认超时期限(分钟) GUI 默认超时周期(分钟)
    NetScaler 9.3 30 分钟 30 分钟
    NetScaler 10.1 30 分钟 30 分钟
    NetScaler 10.5 及更高版本 15 分钟 30 分钟 15 分钟
  • 如何在 Citrix ADC 设备上设置 CLI 会话超时?

    可以通过在 CLI 提示符下运行以下命令来配置 CLI 会话超时:

    set cli mode -timeout \<xx seconds>

  • 您在使用 NITRO API 时如何覆盖默认的超时期限?

    可以通过在登录对象的“timeout”字段中设置超时持续时间来覆盖 NITRO API 的默认超时期限。如果会话超时设置为零,会话令牌将具有无限超时。

    注意:不建议使用无限超时,因为不超时的会话会继续计入管理连接计数。

  • 如果在创建管理员会话后从 Citrix ADC 设备中删除用户帐户,会发生什么情况?

    对于内部系统用户,Citrix ADC 设备将关闭现有的 CLI 或 NITRO API 会话。

    对于外部系统用户,会话将保持活动状态,直至过期。

  • NITRO API 客户端是否能够使用单个会话令牌在 Citrix ADC 设备上打开多个管理员连接?

    是。每个此类连接都将计入管理员连接限制。

  • 如果为 SNIP 地址启用了管理访问权限,与该地址的管理员连接是否会计入管理员连接数的限制?

    是,管理员与管理地址 (SNIP) 的连接计入 Citrix ADC 的管理员连接限制。

  • 达到最大连接限制后,Citrix ADC 管理员是否能够登录 Citrix ADC 设备?

    是。达到最大连接限制后,允许再建立一个管理员连接。

  • NITRO API 端点是否能够在设备 Citrix ADC 上打开多个管理员连接?

    是,NITRO API 端点可以在 Citrix ADC 设备上打开多个管理员连接并用尽并发管理员连接限制。在此类情况下,允许额外的 SSH/CLI 连接,管理员可以强制关闭旧的 API 会话,或者缩短现有 API 会话的会话超时持续时间。

  • 同一个客户端是否能够在 Citrix ADC 设备上打开多个 API 会话?

    是,一个客户端可以通过反复登录来打开多个 API 会话。例如,客户端可能会在重新启动后重新登录。 注意:重复的客户端登录计入 Citrix ADC 设备的管理员连接限制。

  • API 客户端是否能够使用整个 API 会话令牌限制?

    是,API 客户端可以使用整个 API 会话令牌限制,这是通过重复登录而不使用先前颁发的令牌来提供的。

    注意:如果客户端的会话超时为零,则令牌永远有效。使用新会话令牌的重复登录可以计入 API 会话令牌的限制。

  • CLI 会话是否计入 API 会话令牌限制?

    否,CLI 会话不计入 API 会话令牌限制。

  • 管理员用户是否能够使用 telnet 打开 CLI 会话?

    否。只有 SSH 客户端可以打开 CLI 会话。

  • 适用于各种 Citrix ADC 版本的连接限制和 API 会话限制是什么?

    下表列出了适用于各种 Citrix ADC 版本的最大并发管理员连接和活动 API 会话限制:

    Citrix ADC 版本 9.3 10.1(130.x 之前的版本) 10.1(130.10 之前的版本) 10.1(130.10 起的版本)
    并发管理连接的最大数量 20 20 20 20
    活动 API 会话的最大数量* 1000 20 1000 1000

    注意:

    • 如果 API 会话尚未超时,则会将其视为活动会话。例如,如果创建了 500 个 API 会话,但 100 个 API 会话已过期,则有 400 个 API 会话处于活动状态。
    • API 会话无需打开与 Citrix ADC 设备的 TCP 连接。
连接管理

在本文中