Citrix ADC

HTTP/3 配置和统计摘要

要配置 HTTP/3 协议以使用 QUIC 发送多个 HTTP/3 数据流,必须完成以下步骤:

  1. 启用 SSL 和负载平衡功能。
  2. 添加 HTTP_QUIC 类型的负载平衡和内容切换(可选)虚拟服务器。
  3. 将 QUIC 协议参数与 HTTP_QUIC 虚拟服务器关联。
  4. 在 HTTP_QUIC 虚拟服务器上启用 HTTP/3。
  5. 将 SSL 证书密钥对与 HTTP_QUIC 虚拟服务器绑定。
  6. 将 SSL/TLS 协议参数与 HTTP_QUIC 虚拟服务器关联。

启用 SSL 和负载平衡

在开始之前,请确保设备上启用了 SSL 和负载平衡功能。在命令提示符下,键入:

enable ns feature ssl lb
<!--NeedCopy-->

为 HTTP/3 服务添加 HTTP_QUIC 类型的负载平衡和内容切换(可选)虚拟服务器

您可以添加负载平衡虚拟服务器以接受 QUIC 上的 HTTP/3 流量。 注意:HTTP_QUIC 类型的负载平衡虚拟服务器具有内置 QUIC、SSL 和 HTTP3 配置文件。如果您更喜欢创建用户定义的配置文件,则可以添加新的配置文件并将其与负载平衡虚拟服务器绑定。

add lb vserver <vserver-name> HTTP_QUIC <IP-address> <UDP-listening-port>
add cs vserver <vserver-name> HTTP_QUIC <IP-address> <UDP-listening-port>
<!--NeedCopy-->

示例:

add lb vserver lb-http3 HTTP_QUIC 1.1.1.1 443 add cs vserver cs-http3 HTTP_QUIC 10.10.10.10 443

将 QUIC 协议参数与 HTTP_QUIC 虚拟服务器关联

您可以创建 QUIC 配置文件并为 QUIC 服务指定 QUIC 参数,然后将其与负载平衡虚拟服务器关联。您必须创建用户定义的配置文件或使用内置的 QUIC 配置文件并将配置文件绑定到负载平衡虚拟服务器。

步骤 1:配置用户定义的 QUIC 配置文件 在命令提示符下,键入:

set quic profile <profile_name> -transport_param <value>
<!--NeedCopy-->

示例:

set quic profile quic_http3 -ackDelayExponent 10 -activeConnectionIDlimit 4

不同的 QUIC 传输参数如下:

-ackdelay指数。Citrix ADC 向远程 QUIC 端点通告的整数值,表示远程 QUIC 端点应使用的指数,用于解码 Citrix ADC 发送的 QUIC ACK 帧中的 ACK Delay 字段。

-活动连接 ID 限制。Citrix ADC 向远程 QUIC 终端节点发布的整数值。它指定了 Citrix ADC 愿意存储的来自远程 QUIC 终端节点的 QUIC 连接 ID 的最大数量。

-主动连接迁移。指定 Citrix ADC 是否必须允许远程 QUIC 端点执行活动 QUIC 连接迁移。

-拥塞 Ctrl算法。指定用于 QUIC 连接的拥塞控制算法。

-初始数据。Citrix ADC 向远程 QUIC 终端节点通告的整数值,指定可在 QUIC 连接上发送的最大数据量的初始值(以字节为单位)。

-初始数据流 DabidilLocal。Citrix ADC 向远程 QUIC 端点通告的整数值,指定 Citrix ADC 启动的双向 QUIC 流的初始流量控制限制(以字节为单位)。

-初始 Maxstream DatabidiRemote。Citrix ADC 向远程 QUIC 终端节点通告的整数值,指定远程 QUIC 终端节点启动的双向 QUIC 流的初始流控制限制(以字节为单位)。

-初始化 maxStreamDataUNI。Citrix ADC 向远程 QUIC 终端节点通告的整数值,指定远程 QUIC 终端节点启动的单向流的初始流控制限制(以字节为单位)。

-初始数 maxstream SBIDI。Citrix ADC 向远程 QUIC 终端节点通告的整数值,指定远程 QUIC 终端节点必须启动的初始最大双向流数。

-初始化 maxstream Suni。Citrix ADC 向远程 QUIC 终端节点通告的整数值,指定远程 QUIC 终端节点必须启动的单向流的初始最大数量。

-maxackDelay。Citrix ADC 向远程 QUIC 终端节点公告的整数值,指定 Citrix ADC 延迟发送确认的最长时间(以毫秒为单位)。

-maxidleTimeOut。Citrix ADC 向远程 QUIC 终端节点通告的整数值,指定 QUIC 连接的最大空闲超时(以秒为单位)。Citrix ADC 将静默丢弃保持空闲状态、超过 Citrix ADC 和远程 QUIC 终端节点公布的最小空闲超时值以及当前探测超时 (PTO) 的三倍的 QUIC 连接。

-maxudpP/ 有效负载大小。Citrix ADC 向远程 QUIC 端点通告的整数值,指定 Citrix ADC 愿意通过 QUIC 连接接收的最大 UDP 数据报有效负载的大小(以字节为单位)。

-新的令牌有效期。一个整数值,指定通过 Citrix ADC 发送的 QUIC NEW_TOKEN 帧发出的地址验证令牌的有效期(以秒为单位)。 -重试令牌有效期。一个整数值,指定通过 Citrix ADC 发送的 QUIC 重试数据包发出的地址验证令牌的有效期(以秒为单位)。 -无状态地址验证。指定 Citrix ADC 是否必须对 QUIC 客户端执行无状态地址验证、在 QUIC 连接建立期间在 QUIC 重试数据包中发送令牌以及在建立 QUIC NEW_TOKEN 帧后在 QUIC NEW_TOKEN 帧中发送令牌。

步骤 2:将用户定义的 QUIC 配置文件关联到 htt_quic 类型的负载平衡虚拟服务器

在命令提示符下,键入:

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-quicProfileName <string>]
<!--NeedCopy-->

示例:

set lb vserver lb-http3 -quicProfileName quic_http3

在 HTTP_QUIC 虚拟服务器上启用和绑定 HTTP/3

要在 HTTP_QUIC 虚拟服务器上启用 HTTP/3,将一组配置参数添加到 HTTP 配置文件配置中。为了便于配置,当您添加 HTTP_QUIC 虚拟服务器时,设备上提供了一个新的默认/内置 HTTP 配置文件。该配置文件将 HTTP/3 协议支持参数设置为已启用,并且还限于 HTTP_QUIC 虚拟服务器(如果您选择不将 HTTP_QUIC 虚拟服务器与用户添加的 HTTP 配置文件关联,则适用)。HTTP 配置文件中 HTTP/3 参数的值决定了在 QUIC 协议握手期间处理 TLS ALPN(应用层协议协商)扩展时是否选择 HTTP/3 协议并通告。

您可以创建 HTTP/3 配置文件并为 HTTP/3 服务和负载平衡虚拟服务器指定 HTTP 参数。您必须创建用户定义的配置文件,或者使用内置的 HTTP/3 配置文件并将配置文件绑定到负载平衡虚拟服务器。

步骤 1:配置用户定义的 HTTP/3 配置文件 在命令提示符下键入:

Add ns httpProfile <profile_name> -http3 ENABLED
<!--NeedCopy-->

示例:

add ns httpProfile http3_quic –http3 ENABLED

步骤 2:将用户定义的 HTTP/3 配置文件绑定到 htt_quic 类型为 htt_quic 的负载平衡虚拟服务器 在命令提示符下键入:

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-httpProfileName <string>]
<!--NeedCopy-->

示例:

set lb vserver lb-http3 –httpProfileName http3_quic

将 SSL 证书密钥对与 HTTP_QUIC 虚拟服务器绑定

要处理加密流量,必须添加 SSL 证书密钥对并将其绑定到 HTTP_QUIC 虚拟服务器。

在命令提示符下,键入:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

<!--NeedCopy-->

示例:

bind ssl vserver lb-http3 -certkeyName rsa_certkeypair

有关更多信息,请参阅 绑定 SSL 证书 主题。

与 HTTP_QUIC 虚拟服务器绑定 SSL/TLS 协议参数

HTTP_QUIC 类型的虚拟服务器具有内置的 TLS 1.3 服务器功能,因为 QUIC 协议使用 TLS 1.3 作为强制性安全组件。为了方便在添加 HTTP_QUIC 虚拟服务器时进行配置,添加了一个新的默认或内置 SSL 配置文件类型-QUIC-Fron端端。SSL 配置文件启用了 TLS 1.3 版本,并配置了 TLS 1.3 密码套件(和椭圆曲线)。然后,SSL 配置文件必须绑定到新添加的 HTTP_QUIC 虚拟服务器。 您可以创建 SSL 配置文件并为 TLP 1.1 服务和负载平衡虚拟服务器指定 SSL 加密参数。您必须创建用户定义的配置文件或使用内置的 SSL 配置文件并将配置文件绑定到负载平衡虚拟服务器。

步骤 1:配置用户定义的 SSL 配置文件 在命令提示符下,键入:

add ssl profile <name> -sslprofileType QUIC-FrontEnd
<!--NeedCopy-->

示例:

add ssl profile ssl_profile1 -sslprofileType QUIC-FrontEnd -tls13 ENABLED -tls12 DISABLED -tls11 DISABLED -tls1 DISABLED

步骤 2:将用户定义的 SSL 配置文件绑定到 HTTP_QUIC 类型的负载平衡虚拟服务器 在命令提示符下键入:

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-httpProfileName <string>]
<!--NeedCopy-->

示例:

set ssl vserver lb-http3 -sslprofile ssl_profile1

使用 GUI 启用 SSL 和负载平衡功能

完成以下步骤以启用 SSL 和负载平衡功能:

  1. 在导航窗格上,展开 系统 ,然后单击 设置
  2. 配置基本功能 页面上,选择 SSL负载平衡
  3. 单击 OK(确定),然后单击 Close(关闭)。

用于启用 SSL 和负载平衡功能的 GUI

使用 GUI 添加 HTTP_QUIC 类型的负载平衡和内容切换(可选)虚拟服务器

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 单击 添加 以创建 HTTP_QUIC 类型的负载平衡虚拟服务器。
  3. 在“负载平衡虚拟服务器”页中,单击 概要文件
  4. 配置文件 部分中,选择配置文件类型作为 QUIC。注意:QUIC、HTTP/3 和 SSL 配置文件是内置的。
  5. 单击 确定 ,然后单击 完成

添加负载平衡和内容切换(可选)虚拟服务器

使用 GUI 将 QUIC 协议参数与 HTTP_QUIC 虚拟服务器关联

步骤 1:添加 QUIC 配置文件

  1. 导航到 系统 > 配置文件 > QUIC 配置文件。
  2. 单击添加
  3. 在 QUIC 配置文件页面中,设置以下参数。有关每个参数的详细描述,请参阅关联 QUIC 协议 CLI 部分。

    1. Ack Delay 指数
    2. 活动连接 ID 限制
    3. 活动连接迁移
    4. 拥塞控制算法
    5. 初始最大数据
    6. 初始最大流数据 Bidi Local
    7. 初始最大流数据 Bidi 远程
    8. 初始最大数据流数据单元
    9. 初始最大数据流 bidi
    10. 初始最大流 Uni
    11. 最长确认延迟
    12. 最长空闲超时
    13. 最大 UDP 数据 GramsperBurst
    14. 新令牌有效期
    15. 重试令牌有效期
    16. 无状态地址验证

将 QUIC 协议参数与 HTTP_QUIC 虚拟服务器关联

步骤 2:将 QUIC 配置文件与 HTTP_QUIC 类型的负载平衡虚拟服务器关联

  1. 配置文件 部分中,选择 QUIC 配置文件。注意:QUIC、HTTP/3 和 SSL 配置文件是内置的。
  2. 单击 确定 ,然后单击 完成

QUIC 个人资料

使用GUI 将 SSL/TLS 协议参数与 SSL 类型的虚拟服务器关联

步骤 1:添加 SSL 配置文件

  1. 导航到 系统 > 配置文件 > SSL 配置文件。
  2. 单击添加
  3. QUIC 配置文件 页面中,设置 SSL 参数。有关详细说明,请参阅 SSL 配置文件配置主题。
  4. 单击确定关闭

将 SSL/TLS 协议参数与 SSL 类型的虚拟服务器关联

步骤 2:将 SSL 配置文件与 SSL 类型的负载平衡虚拟服务器关联。

  1. 配置文件 部分中,选择 SSL 配置文件。
  2. 单击 确定 ,然后单击 完成

将 SSL 配置文件与 SSL 类型的负载平衡虚拟服务器关联

查看 QUIC 和 HTTP/3 统计信息

以下命令显示 QUIC 和 HTTP3 统计信息的详细摘要。在命令提示符下,键入以下内容:

> stat quic
> stat quic –detail
<!--NeedCopy-->

要清除统计信息显示,请键入以下命令之一:

> stat quic -clearstats basic
> stat quic -clearstats full

<!--NeedCopy-->

要显示 HTTP/3 统计信息的详细摘要:

> stat http3
> stat http3 –detail
<!--NeedCopy-->

要清除统计信息显示,请键入以下命令之一:

> stat http3 -clearstats basic
> stat http3 -clearstats full
<!--NeedCopy-->