Citrix Application Delivery Management

启用 HDX Insight 数据收集

HDX Insight 通过 Citrix ADC 实例或 Citrix SD-WAN 设备传递的 ICA 流量提供前所未有的端到端可见性,使 IT 部门能够提供卓越的用户体验,并且是 Citrix Application Delivery Management (ADM) 分析的一部分。HDX Insight 针对网络、虚拟桌面、应用程序及应用程序结构提供令人信服的强大业务智能和故障分析功能。HDX Insight 可以即时鉴别分类用户问题、收集有关虚拟桌面连接的数据、生成 AppFlow 记录并将其呈现为可视报告。

Citrix ADC 中启用数据收集的配置与设备在部署拓扑中的位置不同。

启用数据收集以监视在 LAN 用户模式下部署的 Citrix ADC

访问 Citrix Virtual Apps and Desktops 应用程序的外部用户必须在 Citrix Gateway 上验证自己。但是,内部用户可能不需要重定向到 Citrix Gateway。此外,在透明模式部署中,管理员必须手动应用路由策略,以便将请求重定向到 Citrix ADC 设备。

要克服这些挑战,并让 LAN 用户直接连接到 Citrix Virtual Apps and Desktops 应用程序,您可以通过配置缓存重定向虚拟服务器(该服务器充当 Citrix 网关设备上的 SOCTS 代理)以 LAN 用户模式部署 Citrix ADC 设备。

本地化后的图片

注意: Citrix ADM 和 Citrix Gateway 设备位于同一子网中。

要监视在此模式下部署的 Citrix ADC 设备,请首先将 Citrix ADC 设备添加到 NetScaler Insight 清单中,启用 AppFlow,然后在仪表板上查看报告。

将 Citrix ADC 装置添加到 Citrix ADM 清单后,必须为数据收集启用 AppFlow。

注意

  • 在 ADC 实例上,您可以导航到 “ 系统 ” > “ AppFlow ” > “ 集器”,以检查收集器(即 Citrix ADM)是否启动。Citrix ADC 实例使用 NSIP 将 AppFlow 记录发送到 Citrix ADM。但实例使用其 SNIP 来验证与 Citrix ADM 的连通性。因此,请确保在实例上配置了 SNIP。
  • 无法使用 Citrix ADM 配置实用程序在局域网用户模式下部署的 Citrix ADC 上启用数据收集。
  • 有关命令及其用法的详细信息,请参阅命令参考
  • 有关策略表达式的信息,请参见策略和表达式

要使用命令行界面在 Citrix ADC 装置上配置数据收集,请执行以下操作:

在命令提示窗口中执行以下操作:

  1. 登录设备。

  2. 添加转发代理缓存重定向虚拟服务器并提供代理 IP 和端口,指定服务类型为 HDX。

    添加 cr 虚拟服务器 <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [-cltTimeout <secs>]

    示例

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
    <!--NeedCopy-->
    

    注意: 如果您使用 Citrix Gateway 设备访问 LAN 网络,请添加要由匹配 VPN 流量的策略应用的操作。

    添加 vpn TrafficAction <name> <qual> [-HDX(开或 OFF)]

    添加 vpn TrafficPolicy <name> <rule> <action>

    示例

    add vpn trafficAction act1 tcp -HDX ON
    
    add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
    <!--NeedCopy-->
    
  3. 将 Citrix ADM 作为应用程序流收集器添加到 Citrix ADC 设备上。

    添加 appflow 收集器 <name> -IPAddress <ip_addr>

    示例:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    <!--NeedCopy-->
    
  4. 创建 AppFlow 操作,并将收集器与该操作关联。

    添加 appflow 操作 <name> -收集器 <string>…

    示例:

    add appflow action act -collectors MyInsight
    <!--NeedCopy-->
    
  5. 创建 AppFlow 策略以指定用于生成流量的规则。

    添加 appflow 策略 <policyname> <rule> <action>

    示例:

    add appflow policy pol true act
    <!--NeedCopy-->
    
  6. 将 AppFlow 策略绑定到全局绑定点。

    绑定 appflow 全局 <policyname> <priority> -类型 <type>

    示例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    <!--NeedCopy-->
    

    注意 :为了应用于 ICA 流量,类型的值应为 ICA_REQ_OVERIDE 或 ICA_REQ_DEFAULT。

  7. 将 AppFlow 的 flowRecordInterval 参数值设置为 60 秒。

    设置 appflow 参数-flow RecordInterval 60

    示例:

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    
  8. 保存配置。类型: save ns config

为在单跳模式下部署的 Citrix Gateway 设备启用数据收集

在单跳模式下部署 Citrix Gateway 时,它位于网络的边缘。网关实例提供到桌面交付基础结构的代理 ICA 连接。单跳是最简单和最常见的部署。如果外部用户尝试访问组织中的内部网络,则单跳模式可提供安全性。 在单跳模式下,用户通过虚拟专用网络 (VPN) 访问 Citrix ADC 设备。

要开始收集报告,必须将 Citrix Gateway 设备添加到 Citrix Application Delivery Management (ADM) 清单中,并在 ADM 上启用 AppFlow。

本地化后的图片

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

  1. 在 Web 浏览器中,键入 Citrix ADM 的 IP 地址(例如,http://192.168.100.1)。

  2. User Name(用户名)和 Password(密码)中,输入管理员凭据。

  3. 导航到 “ 网络 ” > “ 实例”,然后选择要启用分析的 Citrix ADC 实例。

  4. 选择操作下拉列表中,选择配置分析

  5. 选择 VPN 虚拟服务器,然后单击启用 AppFlow

  6. 启用 AppFlow 字段中,键入 true,然后选择 ICA

  7. 单击确定

    本地化后的图片

注意:在单跃点模式下启用 AppFlow 时,以下命令在后台执行。此处显式指定这些命令是为了进行故障排除。

  • add appflow collector <name> -IPAddress <ip_addr>
  • add appflow action <name> -collectors <string>
  • set appflow param -flowRecordInterval <secs>
  • disable ns feature AppFlow
  • enable ns feature AppFlow
  • add appflow policy <name> <rule> <expression>
  • set appflow policy <name> -rule <expression>
  • bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>
  • set vpn vserver <name> -appflowLog ENABLED
  • save ns config

EUEM 虚拟通道数据是 Citrix ADM 从网关实例接收到的 HDX Insight 能分析数据的一部分。EUEM 虚拟通道提供有关 ICA RTT 的数据。如果未启用 EUEM 虚拟通道,则 Citrix ADM 上仍会显示剩余的 HDX Insight 数据。

为在双跳模式下部署的 Citrix Gateway 设备启用数据收集

Citrix Gateway 双跳模式为组织的内部网络提供额外的保护,因为攻击者需要穿透多个安全区域或非军事区域 (DMZ) 才能访问安全网络中的服务器。如果要分析 ICA 连接通过的跃点数(Citrix Gateway 装置),以及有关每个 TCP 连接上延迟的详细信息,以及它如何与客户端感知到的总 ICA 延迟展开,则必须安装 Citrix ADM,以便 Citrix 网关装置报告这些生命统计数据。

本地化后的图片

第一个 DMZ 中的 Citrix Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 Citrix Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。

第二个 DMZ 中的 Citrix 网关充当 Citrix Gateway 代理设备。此 Citrix Gateway 使 ICA 流量能够遍历第二个 DMZ,以完成与服务器场的用户连接。

Citrix ADM 可以部署在属于第一个 DMZ 中 Citrix Gateway 设备的子网中,也可以部署在属于 Citrix 网关设备第二个 DMZ 的子网中。在上图中,第一个 DMZ 中的 Citrix ADM 和 Citrix 网关部署在同一子网中。

在双跳模式下,Citrix ADM 从一台装置收集 TCP 记录,从另一台装置收集 ICA 记录。将 Citrix Gateway 装置添加到 Citrix ADM 清单并启用数据收集后,每个装置都会通过跟踪跳数和连接链 ID 来导出报告。

为了让 Citrix ADM 识别哪个装置正在导出记录,每个装置都会使用跳数指定,并使用连接链 ID 指定每个连接。跳数表示通信从客户端流向服务器的 Citrix Gateway 设备数。连接链 ID 表示客户端与服务器之间的端到端连接。

Citrix ADM 使用跳数和连接链 ID 来共同关联来自 Citrix Gateway 设备的数据并生成报告。

要监视在此模式下部署的 Citrix Gateway 装置,必须首先将 Citrix Gateway 添加到 Citrix ADM 清单中,启用 Citrix ADM 上的 AppFlow,然后在 Citrix ADM 仪表板上查看报告。

在 Citrix ADM 上启用数据收集

如果启用 Citrix ADM 开始从两个装置收集 ICA 详细信息,则收集的详细信息将是冗余的。即两个设备报告相同的指标。若要克服这种情况,您必须在第一个 Citrix Gateway 设备之一上为 ICA 启用 AppFlow,然后在第二个装置上为 TCP 启用 AppFlow。这样做,其中一个设备导出 ICA AppFlow 记录,另一个设备导出 TCP AppFlow 记录。这还节省解析 ICA 通信的处理时间。

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

  1. 在 Web 浏览器中,键入 Citrix ADM 的 IP 地址(例如,http://192.168.100.1)。

  2. User Name(用户名)和 Password(密码)中,输入管理员凭据。

  3. 导航到 “ 网络 ” > “ 实例”,然后选择要启用分析的 Citrix ADC 实例。

  4. 选择操作下拉列表中,选择配置分析

  5. 选择 VPN 虚拟服务器,然后单击启用 AppFlow

  6. 启用 AppFlow 字段中,键入 true ,然后分别为 ICA 流量和 TCP 流量选择 ICA/TCP

    注意: 如果没有为 Citrix ADC 装置上的相应服务或服务组启用 AppFlow 日志记录,则 Citrix ADM 仪表板也不会显示记录,即使 “智能分析” 列显示为 “已启用”。

  7. 单击确定

本地化后的图片

配置 Citrix Gateway 设备以导出数据

安装 CCitrix Gateway 设备后,必须在 Citrix 网关设备上配置以下设置,以便将报告导出到 Citrix ADM:

  • 在第一个和第二个 DMZ 中将 Citrix Gateway 设备的虚拟服务器配置为彼此通信。
  • 将第二个 DMZ 中的 Citrix Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix Gateway 虚拟服务器。
  • 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。
  • 在第二个 DMZ 中的 Citrix Gateway 虚拟服务器上禁用身份验证。
  • 启用其中一个 Citrix Gateway 设备以导出 ICA 记录
  • 启用其他 Citrix Gateway 设备以导出 TCP 记录:
  • 在两个 Citrix Gateway 设备上启用连接链接。

使用命令行界面配置 Citrix Gateway:

  1. 将第一个 DMZ 中的 Citrix Gateway 虚拟服务器配置为与第二个 DMZ 中的 Citrix Gateway 虚拟服务器进行通信。

    添加 vpn nexthopServer<name> <nextHopIP> <nextHopPort> [-Secure(开或关)] [-imggifTopng]…

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON

  2. 将第二个 DMZ 中的 Citrix Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix Gateway 虚拟服务器。在第一个 DMZ 中的 Citrix Gateway 上运行以下命令:

    绑定 VPN 虚拟服务器<name> -下一个服务器<name>

    bind vpn vserver vs1 -nextHopServer nh1

  3. 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点和 AppFlow。

    设置 vpn 虚拟服务器<name> [-Doublehop(启用或禁用)] [-AppFlowLog(启用或禁用)]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED

  4. 在第二个 DMZ 中的 Citrix Gateway 虚拟服务器上禁用身份验证。

    设置 vpn 虚拟服务器<name> [-身份验证(开或关)]

    set vpn vserver vs -authentication OFF

  5. 启用其中一个 Citrix Gateway 设备以导出 TCP 记录。

    绑定 vpn 虚拟服务器<name> [-策略<string>-优先级<positive_integer>] [-类型<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST

  6. 启用其他 Citrix Gateway 设备以导出 ICA 记录:

    绑定 vpn 虚拟服务器<name> [-策略<string>-优先级<positive_integer>] [-类型<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST

  7. 在两个 Citrix Gateway 设备上启用连接链接:

    设置 AppFlow 参数 [-连接链接(启用或禁用)]

    set appflow param -connectionChaining ENABLED

使用配置实用程序配置 Citrix Gateway:

  1. 将第一个 DMZ 中的 Citrix Gateway 配置为与第二个 DMZ 中的 Citrix Gateway 进行通信,并将第二个 DMZ 中的 Citrix 网关绑定到第一个 DMZ 中的 Citrix 网关。

    1. 在 “配置” 选项卡上展开Citrix Gateway ,然后单击 “虚拟服务器”。

    2. 在右侧窗格中,双击虚拟服务器,并在“Advanced”(高级)组中,展开 Published Applications(发布的应用程序)。

    3. 单击下一跳服务器 并将下一跳服务器绑定到第二个 Citrix Gateway 设备。

  2. 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。

    1. 在 “配置 ” 选项卡上展开Citrix Gateway ,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。

    3. 展开 More(更多),选择 Double Hop(双跃点)并单击 OK(确定)。

  3. 在第二个 DMZ 中 Citrix Gateway 关上的虚拟服务器上禁用身份验证。

    1. 配置选项卡上,展开Citrix Gateway并单击虚拟服务器

    2. 在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。

    3. 展开 More(更多),并取消选中 Enable Authentication(启用身份验证)。

  4. 启用其中一个 Citrix Gateway 设备以导出 TCP 记录。

    1. 配置选项卡上,展开Citrix Gateway并单击虚拟服务器

    2. 在右侧窗格中,双击虚拟服务器,在“Advanced”(高级)组中,展开“Policies”(策略)。

    3. 单击 + 图标,然后在选择策略 下拉列表中,选择AppFlow,然后从 选择类型 下拉列表中选择其他 TCP 请求

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  5. 启用其他 Citrix Gateway 设备以导出 ICA 记录:

    1. 配置选项卡上,展开Citrix Gateway并单击虚拟服务器

    2. 在右窗格中,双击虚拟服务器,然后在高级 组中 展开策略

    3. 单击 + 图标,然后在选择策略下拉列表中,选择AppFlow ,然后从选择类型下拉列表中选择其他 TCP 请求

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  6. 在两个 Citrix Gateway 设备上启用连接链接。

    1. Configuration(配置)选项卡上,导航到 System(系统)> Appflow

    2. 在右侧窗格的 “设置 ” 组中,单击 “更改 Appflow 设置”。

    3. 选择 Connection Chaining(连接链)并单击 OK(确定)。

  7. 将第一个 DMZ 中的 Citrix Gateway 配置为与第二个 DMZ 中的 Citrix Gateway 进行通信,并将第二个 DMZ 中的 Citrix 网关绑定到第一个 DMZ 中的 Citrix 网关。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开已发布的应用程序

    3. 单击下一跳服务器,然后将下一跳服务器绑定到第二台 Citrix Gateway 设备。

  8. 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。

    3. 展开更多,选择双跳然后单击确定

  9. 在第二个 DMZ 中 Citrix Gateway 关上的虚拟服务器上禁用身份验证。

    1. 在配置选项卡上,展开 Citrix Gateway 并单击虚拟服务器

    2. 在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。

    3. 展开 More(更多),并取消选中 Enable Authentication(启用身份验证)。

  10. 启用其中一个 Citrix Gateway 设备以导出 TCP 记录。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开策略

    3. 单击+图标,然后在选择策略下拉列表中,选择AppFlow,然后从 选择类型 下拉列表中选择其他 TCP 请求

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  11. 启用其他 Citrix Gateway 设备以导出 ICA 记录。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开策略

    3. 单击+图标,然后在选择策略下拉列表中,选择AppFlow,然后从 选择类型下拉列表中选择其他 TCP 请求

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  12. 在两个 Citrix Gateway 设备上启用连接链接。

启用数据收集以监视透明模式部署的 Citrix ADC

当以透明模式部署 Citrix ADC 时,客户端可以直接访问服务器,而无需干预虚拟服务器。如果在 Citrix 虚拟应用程序和桌面环境中以透明模式部署了 Citrix ADC 装置,则 ICA 流量不会通过 VPN 传输。

将 Citrix ADC 添加到 Citrix ADM 清单后,必须为数据收集启用 AppFlow。启用数据收集依赖于设备和模式。在这种情况下,您必须将 Citrix ADM 添加为每个 Citrix ADC 装置上的 AppFlow 收集器,并且必须配置 Appflow 策略以收集通过设备流的所有或特定 ICA 流量。

注意

  • 无法使用 Citrix ADM 配置实用程序在透明模式下部署的 Citrix ADC 上启用数据收集。
  • 有关命令及其用法的详细信息,请参阅命令参考
  • 有关策略表达式的信息,请参见策略和表达式

下图显示了在透明模式下部署 Citrix ADM Citrix ADC 时的网络部署情况:

本地化后的图片

要使用命令行界面在 Citrix ADC 装置上配置数据收集,请执行以下操作:

在命令提示窗口中执行以下操作:

  1. 登录设备。

  2. 指定 Citrix ADC 设备侦听通信的 ICA 端口。

    set ns param --icaPorts <port>...
    <!--NeedCopy-->
    

    示例:

    set ns param -icaPorts 2598 1494
    <!--NeedCopy-->
    

    注意

    • 可以使用此命令最多指定 10 个端口。
    • 默认端口号为 2598。可以根据需要修改端口号。
  3. 将 NetScaler Insight Center 添加为 Citrix ADC 设备上的应用流收集器。

    add appflow collector <name> -IPAddress <ip_addr>
    <!--NeedCopy-->
    

    示例:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    <!--NeedCopy-->
    

    注意: 要查看在 Citrix ADC 装置上配置的应用程序流收集器,请使用show 应用程序流收集器 命令。

  4. 创建 AppFlow 操作,并将收集器与该操作关联。

    add appflow action <name> -collectors <string> ...
    <!--NeedCopy-->
    

    示例:

    add appflow action act -collectors MyInsight

  5. 创建 AppFlow 策略以指定用于生成流量的规则。

    add appflow policy <policyname> <rule> <action>
    <!--NeedCopy-->
    

    示例:

    add appflow policy pol true act
    <!--NeedCopy-->
    
  6. 将 AppFlow 策略绑定到全局绑定点。

    bind appflow global <policyname> <priority> -type <type>
    <!--NeedCopy-->
    

    示例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    <!--NeedCopy-->
    

    注意:为了应用于 ICA 流量,类型 的值应为 ICA_REQ_OVERIDE 或 ICA_REQ_DEFAULT。

  7. 将 AppFlow 的 flowRecordInterval 参数值设置为 60 秒。

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    

    示例:

    set appflow param -flowRecordInterval 60
    <!--NeedCopy-->
    
  8. 保存配置。类型: save ns config