Citrix Application Delivery Management 13.0

启用 HDX Insight 数据收集

HDX Insight 通过 Citrix ADC 实例或 Citrix SD-WAN 设备传递的 ICA 流量提供前所未有的端到端可见性,使 IT 部门能够提供卓越的用户体验,并且是 Citrix Application Delivery Management (ADM) 分析的一部分。HDX Insight 为网络、虚拟桌面、应用程序和应用程序结构提供引人注目且强大的商业智能和故障分析功能。HDX Insight 可以即时鉴别分类用户问题、收集有关虚拟桌面连接的数据、生成 AppFlow 记录并将其呈现为可视报告。

Citrix ADC 中启用数据收集的配置与设备在部署拓扑中的位置不同。

启用数据收集以监视在 LAN 用户模式下部署的 Citrix ADC

访问 Citrix 虚拟应用程序和桌面应用程序的外部用户必须在 Citrix Gateway 上对自己进行身份验证。但是,内部用户可能不需要重定向到 Citrix Gateway。此外,在透明模式部署中,管理员必须手动应用路由策略,以便将请求重定向到 Citrix ADC 设备。

要克服这些挑战,并让 LAN 用户直接连接到 Citrix 虚拟应用程序和桌面应用程序,您可以通过配置缓存重定向虚拟服务器(该服务器充当 Citrix 网关设备上的 SOCTS 代理)以 LAN 用户模式部署 Citrix ADC 设备。

在 LAN 用户模式下部署 adc

注意: Citrix ADM 和 Citrix Gateway 设备位于同一子网中。

要监视在此模式下部署的 Citrix ADC 装置,请首先将 Citrix ADC 装置添加到 NetScaler 智能分析清单中,启用 AppFlow,然后在仪表板上查看报告。

将 Citrix ADC 装置添加到 Citrix ADM 清单后,必须为数据收集启用 AppFlow。

注意

  • 在 ADC 实例上,您可以导航到 “ 系统 ” > “ AppFlow ” > “ 集器”,以检查收集器(即 Citrix ADM)是否启动。Citrix ADC 实例使用 NSIP 将 AppFlow 记录发送到 Citrix ADM。但实例使用其 SNIP 来验证与 Citrix ADM 的连通性。因此,请确保在实例上配置了 SNIP。
  • 无法使用 Citrix ADM 配置实用程序在局域网用户模式下部署的 Citrix ADC 上启用数据收集。
  • 有关命令及其用法的详细信息,请参阅命令参考
  • 有关策略表达式的信息,请参见策略和表达式

要使用命令行界面在 Citrix ADC 装置上配置数据收集,请执行以下操作:

在命令提示窗口中执行以下操作:

  1. 登录设备。

  2. 添加转发代理缓存重定向虚拟服务器并提供代理 IP 和端口,指定服务类型为 HDX。

    add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]
    

    示例

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
    

    注意: 如果使用 Citrix Gateway 设备访问 LAN 网络,请添加一个操作,以便由匹配 VPN 流量的策略应用。

    add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )]
    
    add vpn trafficPolicy <name> <rule> <action>
    

    示例

    add vpn trafficAction act1 tcp -HDX ON
    
    add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
    
  3. 将 Citrix ADM 作为应用程序流收集器添加到 Citrix ADC 设备上。

    add appflow collector <name> -IPAddress <ip_addr>
    

    Example:

    ``` 添加应用程序流收集器我的洞察-IP 地址 192.168.1.101 “`

  4. 创建 AppFlow 操作,并将收集器与该操作关联。

    add appflow action <name> -collectors <string>
    

    示例:

    add appflow action act -collectors MyInsight
    
  5. 创建 AppFlow 策略以指定用于生成流量的规则。

    add appflow policy <policyname> <rule> <action>
    

    示例:

    add appflow policy pol true act
    
  6. 将 AppFlow 策略绑定到全局绑定点。

    bind appflow global <policyname> <priority> -type <type>
    

    示例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    注意

    类型值应为 ICA 流量的 ICA_REQ_覆盖或 ICA_REQ_缺省值。

  7. 将 AppFlow 的 flowRecordInterval 参数值设置为 60 秒。

    set appflow param -flowRecordInterval 60
    

    示例:

    set appflow param -flowRecordInterval 60
    
  8. 保存配置。类型: save ns config

为在单跳模式下部署的 Citrix Gateway 装置启用数据收集

在单跳模式下部署 Citrix Gateway 时,它位于网络的边缘。网关实例提供到桌面交付基础结构的代理 ICA 连接。单跳是最简单和最常见的部署。如果外部用户尝试访问组织中的内部网络,则单跳模式可提供安全性。 在单跳模式下,用户通过虚拟专用网络 (VPN) 访问 Citrix ADC 设备。

要开始收集报告,必须将 Citrix Gateway 设备添加到 Citrix Application Delivery Management (ADM) 清单中,并在 ADM 上启用 AppFlow。

本地化后的图片

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

  1. 在 Web 浏览器中,键入 Citrix ADM 的 IP 地址(例如,http://192.168.100.1)。

  2. User Name(用户名)和 Password(密码)中,输入管理员凭据。

  3. 导航到 “ 网络 ” > “ 实例”,然后选择要启用分析的 Citrix ADC 实例。

  4. 选择操作列表中,选择配置分析

  5. 选择 VPN 虚拟服务器,然后单击 启用分析

  6. 选择 “ HDX Insight ”,然后选择 “ ICA”。

  7. 单击 “ 确定”。

    启用分析

注意: 在单跳模式下启用 AppFlow 时,将在后台执行以下命令。此处显式指定这些命令是为了进行故障排除。

-  add appflow collector <name> -IPAddress <ip_addr>

-  add appflow action <name> -collectors <string>

-  set appflow param -flowRecordInterval <secs>

-  disable ns feature AppFlow

-  enable ns feature AppFlow

-  add appflow policy <name> <rule> <expression>

-  set appflow policy <name> -rule <expression>

-  bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>

-  set vpn vserver <name> -appflowLog ENABLED

-  save ns config

EUEM 虚拟通道数据是 Citrix ADM 从网关实例接收到的 HDX Insight 能分析数据的一部分。EUEM 虚拟通道提供有关 ICA RTT 的数据。如果未启用 EUEM 虚拟通道,则 Citrix ADM 上仍会显示剩余的 HDX Insight 数据。

为在双跳模式下部署的 Citrix Gateway 装置启用数据收集

Citrix Gateway 双跳模式为组织的内部网络提供额外的保护,因为攻击者需要穿透多个安全区域或非军事区域 (DMZ) 才能访问安全网络中的服务器。如果要分析 ICA 连接通过的跃点数(Citrix Gateway 装置),以及有关每个 TCP 连接上延迟的详细信息,以及它如何与客户端感知到的总 ICA 延迟展开,则必须安装 Citrix ADM,以便 Citrix 网关装置报告这些生命统计数据。

启用分析

第一个 DMZ 中的 Citrix Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 Citrix Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。

第二个 DMZ 中的 Citrix 网关充当 Citrix Gateway 代理设备。此 Citrix Gateway 使 ICA 流量能够遍历第二个 DMZ,以完成与服务器场的用户连接。

Citrix ADM 可以部署在属于第一个 DMZ 中 Citrix Gateway 设备的子网中,也可以部署在属于 Citrix 网关设备第二个 DMZ 的子网中。在上图中,第一个 DMZ 中的 Citrix ADM 和 Citrix 网关部署在同一子网中。

在双跳模式下,Citrix ADM 从一台装置收集 TCP 记录,从另一台装置收集 ICA 记录。将 Citrix Gateway 装置添加到 Citrix ADM 清单并启用数据收集后,每个装置都会通过跟踪跳数和连接链 ID 来导出报告。

为了让 Citrix ADM 识别哪个装置正在导出记录,每个装置都会使用跳数指定,并使用连接链 ID 指定每个连接。跳数表示通信从客户端流向服务器的 Citrix Gateway 设备数。连接链 ID 表示客户端与服务器之间的端到端连接。

Citrix ADM 使用跳数和连接链 ID 来共同关联来自 Citrix Gateway 设备的数据并生成报告。

要监视在此模式下部署的 Citrix Gateway 装置,必须首先将 Citrix Gateway 添加到 Citrix ADM 清单中,启用 Citrix ADM 上的 AppFlow,然后在 Citrix ADM 仪表板上查看报告。

在用于最佳网关的虚拟服务器上配置 HDX Insight

在用于最佳网关的虚拟服务器上配置 HDX Insight 能分析的步骤:

  1. 在 Web 浏览器中,键入 Citrix ADM 的 IP 地址(例如,http://192.168.100.1)。
  2. User Name(用户名)和 Password(密码)中,输入管理员凭据。
  3. 导航到 “ 网络 ” > “ 实例”,然后选择要启用分析的 Citrix ADC 实例。
  4. 选择操作列表中,选择配置分析
  5. 选择为身份验证配置的 VPN 虚拟服务器,然后单击 启用分析
  6. 选择 “ HDX Insight ”,然后选择 “ ICA”。
  7. 根据需要选择其他高级选项。
  8. 单击 “ 确定”。
  9. 在另一个 VPN 虚拟服务器上重复步骤 3 到步骤 6。

启用分析

在 Citrix ADM 上启用数据收集

如果启用 Citrix ADM 开始从两个装置收集 ICA 详细信息,则收集的详细信息将是冗余的。即两个设备报告相同的指标。若要克服此情况,您必须在第一个 Citrix Gateway 设备之一上启用 ICA 的 AppFlow,然后在第二个装置上启用 TCP 的 AppFlow。通过这样做,其中一个装置导出 ICA AppFlow 记录,另一个装置则导出 TCP AppFlow 记录。这还节省解析 ICA 通信的处理时间。

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

  1. 在 Web 浏览器中,键入 Citrix ADM 的 IP 地址(例如,http://192.168.100.1)。

  2. User Name(用户名)和 Password(密码)中,输入管理员凭据。

  3. 导航到 “ 网络 ” > “ 实例”,然后选择要启用分析的 Citrix ADC 实例。

  4. 选择操作列表中,选择配置分析

  5. 选择 VPN 虚拟服务器,然后单击 启用分析

  6. 选择 “ HDX Insight 分析”,然后分别为 ICA 流量或 TCP 流量选择 ICA 或 TCP 流量。

    注意

    如果未为 Citrix ADC 设备上的相应服务或服务组启用 AppFlow 日志记录,则 Citrix ADM 仪表板也不会显示记录,即使 “智能分析” 列显示 “已启用” 也是如此。

  7. 单击 “ 确定”。

ICA 或技术合作方案

配置 Citrix Gateway 设备以导出数据

安装 CCitrix Gateway 设备后,必须在 Citrix 网关设备上配置以下设置,以便将报告导出到 Citrix ADM:

  • 在第一个和第二个 DMZ 中将 Citrix Gateway 设备的虚拟服务器配置为彼此通信。
  • 将第二个 DMZ 中的 Citrix Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix Gateway 虚拟服务器。
  • 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。
  • 在第二个 DMZ 中的 Citrix Gateway 虚拟服务器上禁用身份验证。
  • 启用其中一个 Citrix Gateway 设备以导出 ICA 记录
  • 启用其他 Citrix Gateway 设备以导出 TCP 记录:
  • 在两个 Citrix Gateway 设备上启用连接链接。

使用命令行界面配置 Citrix Gateway:

  1. 将第一个 DMZ 中的 Citrix Gateway 虚拟服务器配置为与第二个 DMZ 中的 Citrix Gateway 虚拟服务器进行通信。

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON or OFF)] [-imgGifToPng]
    
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. 将第二个 DMZ 中的 Citrix Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix Gateway 虚拟服务器。在第一个 DMZ 中的 Citrix Gateway 上运行以下命令:

    bind vpn vserver <name> -nextHopServer <name>
    
    bind vpn vserver vs1 -nextHopServer nh1
    
    
  3. 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点和 AppFlow。

    set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]
    
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. 在第二个 DMZ 中的 Citrix Gateway 虚拟服务器上禁用身份验证。

    set vpn vserver <name> [-authentication (ON or OFF)]
    
    set vpn vserver vs -authentication OFF
    
  5. 启用其中一个 Citrix Gateway 设备以导出 TCP 记录。

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. 启用其他 Citrix Gateway 设备以导出 ICA 记录:

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. 在两个 Citrix Gateway 设备上启用连接链接:

    set appFlow param [-connectionChaining (ENABLED or DISABLED)]
    
    set appflow param -connectionChaining ENABLED
    

使用配置实用程序配置 Citrix Gateway:

  1. 将第一个 DMZ 中的 Citrix Gateway 配置为与第二个 DMZ 中的 Citrix Gateway 进行通信,并将第二个 DMZ 中的 Citrix 网关绑定到第一个 DMZ 中的 Citrix 网关。

    1. 在 “配置” 选项卡上展开Citrix Gateway ,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开已发布的应用程序

    3. 单击下一跳服务器 并将下一跳服务器绑定到第二个 Citrix Gateway 设备。

  2. 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。

    1. 在 “配置 ” 选项卡上展开Citrix Gateway ,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。

    3. 展开更多内容,选择双跳,然后单击确定

  3. 在第二个 DMZ 中 Citrix Gateway 关上的虚拟服务器上禁用身份验证。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。

    3. 展开 “更多”,然后清除 “启用身份验证”。

  4. 启用其中一个 Citrix Gateway 设备以导出 TCP 记录。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开策略。

    3. 单击 + 图标,然后从 “选择策略 ” 列表中选择 “AppFlow”,然后从 “ 选择类型 ” 列表中选择 “其他 TCP 请求”。

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  5. 启用其他 Citrix Gateway 设备以导出 ICA 记录:

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级 组中 展开策略

    3. 单击 + 图标,然后从 “选择策略” 列表中选择 “AppFlow”,然后从 “CHOSE 类型” 列表中选择 “其他 TCP 请求”。

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  6. 在两个 Citrix Gateway 设备上启用连接链接。

    1. Configuration(配置)选项卡上,导航到 System(系统)> Appflow

    2. 在右窗格中的 “设置 ” 组中,双击 “更改应用程序流设置”。

    3. 选择 Connection Chaining(连接链)并单击 OK(确定)。

  7. 将第一个 DMZ 中的 Citrix Gateway 配置为与第二个 DMZ 中的 Citrix Gateway 进行通信,并将第二个 DMZ 中的 Citrix 网关绑定到第一个 DMZ 中的 Citrix 网关。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开已发布的应用程序

    3. 单击下一跳服务器并将下一跳服务器绑定到第二个 Citrix Gateway 设备。

  8. 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。

    3. 展开 “更多”,选择 “双跳”,然后单击 “确定”。

  9. 在第二个 DMZ 中 Citrix Gateway 关上的虚拟服务器上禁用身份验证。

    1. 在 “配置” 选项卡上展开 Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。

    3. 展开 “更多”,然后清除 “启用身份验证”。

  10. 启用其中一个 Citrix Gateway 设备以导出 TCP 记录。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开策略

    3. 单击+图标,然后从 “选择策略” 列表中选择 “AppFlow”,然后从 “ 选择类型 ” 列表中选择 “其他 TCP 请求”。

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  11. 启用其他 Citrix Gateway 设备以导出 ICA 记录。

    1. 在 “配置” 选项卡上展开Citrix Gateway,然后单击 “虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开策略

    3. 单击+图标,然后从“选择策略”列表中选择 “AppFlow”,然后从 “ 选择类型” 列表中选择 “其他 TCP 请求”。

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  12. 在两个 Citrix Gateway 设备上启用连接链接。

启用数据收集以监视透明模式部署的 Citrix ADC

当以透明模式部署 Citrix ADC 时,客户端可以直接访问服务器,而无需干预虚拟服务器。如果在 Citrix 虚拟应用程序和桌面环境中以透明模式部署了 Citrix ADC 装置,则 ICA 流量不会通过 VPN 传输。

将 Citrix ADC 添加到 Citrix ADM 清单后,必须为数据收集启用 AppFlow。启用数据收集依赖于设备和模式。在这种情况下,您必须将 Citrix ADM 添加为每个 Citrix ADC 装置上的 AppFlow 收集器,并且必须配置 Appflow 策略以收集通过设备流的所有或特定 ICA 流量。

注意

  • 无法使用 Citrix ADM 配置实用程序在透明模式下部署的 Citrix ADC 上启用数据收集。
  • 有关命令及其用法的详细信息,请参阅命令参考
  • 有关策略表达式的信息,请参见策略和表达式

下图显示了在透明模式下部署 Citrix ADM Citrix ADC 时的网络部署情况:

本地化后的图片

要使用命令行界面在 Citrix ADC 装置上配置数据收集,请执行以下操作:

在命令提示窗口中执行以下操作:

  1. 登录设备。

  2. 指定 Citrix ADC 设备侦听通信的 ICA 端口。

    set ns param --icaPorts <port>...
    

    示例:

    set ns param -icaPorts 2598 1494
    

    注意

    • 可以使用此命令最多指定 10 个端口。
    • 默认端口号为 2598。可以根据需要修改端口号。
  3. 将 NetScaler Insight Center 添加为 Citrix ADC 设备上的应用流收集器。

    add appflow collector <name> -IPAddress <ip_addr>
    

    示例:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    

    注意: 要查看在 Citrix ADC 装置上配置的应用程序流收集器,请使用show 应用程序流收集器 命令。

  4. 创建 AppFlow 操作,并将收集器与该操作关联。

    add appflow action <name> -collectors <string> ...
    

    示例:

    添加应用程序流操作行为收集器 MyInsight

  5. 创建 AppFlow 策略以指定用于生成流量的规则。

    add appflow policy <policyname> <rule> <action>
    

    示例:

    add appflow policy pol true act
    
  6. 将 AppFlow 策略绑定到全局绑定点。

    bind appflow global <policyname> <priority> -type <type>
    

    示例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    注意

    类型 值应为 ICA 流量的 ICA_REQ_覆盖或 ICA_REQ_缺省值。

  7. 将 AppFlow 的 flowRecordInterval 参数值设置为 60 秒。

    set appflow param -flowRecordInterval 60
    

    示例:

    set appflow param -flowRecordInterval 60
    
  8. 保存配置。类型: save ns config