Citrix ADC MPX

初始配置

在机架中安装设备后,您就可以执行初始配置了。初始配置完成后,请参阅特定配置指南以了解您正在使用的功能。

多功能 Citrix ADC、Citrix Gateway 和专用 CitCitrix Web App Firewall 设备的初始配置相同。您可以使用以下任何接口进行设备的初始配置:

  • 首次使用向导:如果使用 Web 浏览器连接到设备,系统会提示您输入网络配置和许可信息(如果尚未指定)。
  • LCD 键盘:您可以指定网络设置,但必须使用其他界面才能上传许可证。
  • 串行控制台:连接到串行控制台后,您可以使用 Citrix ADC 命令行指定网络设置并上传许可证,
  • 动态主机配置协议 (DHCP):要从远程网络配置设备,请使用 DHCP 为每个新设备分配一个 IP 地址,您可以在该地址访问设备进行远程配置。您还可以使用 DHCP 安装多个 Citrix ADC 设备,然后在不使用控制台端口的情况下对其进行配置。

对于初始配置,请使用默认密码作为管理用户名和密码。对于后续的访问,请使用初始配置期间指定的密码。

完成设备的初始配置后,您可以配置对设备的安全访问。因此,登录时不再提示您输入密码。此配置在您必须跟踪许多密码的环境中特别有用。

使用首次安装向导

要首次配置 Citrix ADC 设备(或 Citrix ADC 虚拟设备),您需要在与设备相同的网络上配置管理计算机。

将 Citrix ADC IP (NSIP) 地址分配为 Citrix ADC 设备的管理 IP 地址。您可以在此地址访问设备执行配置、监视和其他管理任务。为 Citrix ADC 分配子网 IP (SNIP) 地址,以便与后端服务器进行通信。指定用于标识设备的主机名、用于解析域名的 DNS 服务器的 IP 地址以及设备所在的时区。

如果满足以下任何条件,则将自动显示向导:

  • 设备配置了默认 IP 地址。
  • 未配置子网 IP 地址。
  • 设备上不存在许可证。

首次对设备进行配置

  1. 在 Web 浏览器中,键入:

    http://192.168.100.1
    <!--NeedCopy-->
    

    注意: Citrix ADC 软件已使用此默认 IP 地址进行预配置。 如果您已指定 NSIP 地址,请在 Web 浏览器中键入该地址。

  2. User Name(用户名)中,键入 nsroot。在 Password(密码)中,如果之前的默认密码不起作用,请尝试键入设备的序列号。序列号条形码位于设备背面。Citrix 建议您在首次登录后更改密码。有关更改密码的信息,请参阅更改管理密码

    此时将显示以下屏幕。

    首次使用的用户屏幕

  3. 要配置或更改先前配置的设置,请在每个部分内单击。完成后,单击 Continue(继续)。

  4. 系统提示时,选择 Reboot(重新启动)。

使用液晶屏键盘

首次安装设备时,可以使用设备前面板上的 LCD 键盘配置初始设置。LCD 小键盘与同样位于这些设备前面板上的 LCD 显示屏模块交互。

注意: 可以使用 LCD 小键盘对具有默认配置的新设备进行初始配置。配置文件 (ns.conf) 必须包含以下命令和默认值。

set ns config -IPAddress 192.168.100.1 -netmask 255.255.0.0
<!--NeedCopy-->

下表说明了各个键的功能。

表 1. LCD 键功能

功能
< 将光标向左移动一位数字。
> 将光标向右移动一位数字。
^ 递增光标下的数字。
v 递减光标下的数字。
. 处理信息,或终止配置(如果未更改任何值)。此密钥也称为 ENTER 键。

若要使用 LCD 键盘执行初始配置,请按下“<”键。

系统会提示您分别按该顺序输入子网掩码、Citrix ADC IP 地址 (NSIP) 和网关。子网掩码与 NSIP 和默认网关 IP 地址相关联。NSIP 是 Citrix ADC 设备的 IPv4 地址。默认网关是路由器的 IPv4 地址,它处理设备无法以其他方式路由的外部 IP 流量。NSIP 地址和默认网关必须位于同一子网中。

如果输入了有效的子网掩码值(例如 255.255.255.224),系统会提示您输入 IP 地址。同样,如果输入了有效的 IP 地址值,系统会提示您输入网关地址。如果您输入的值无效,将显示以下错误消息,持续三秒钟。以下 xxx.xxx.xxx.xxx 是您输入的 IP 地址,然后是重新输入值的请求。

Invalid addr!
xxx.xxx.xxx.xxx
<!--NeedCopy-->

如果在不更改任何数字的情况下按 ENTER (.) 键,软件会将其解释为用户退出请求。以下消息将显示三秒钟。

Exiting menu...
xxx.xxx.xxx.xxx
<!--NeedCopy-->

如果输入的所有值都有效,则当您按 EN TER 键时,将显示以下消息。

Values accepted,
Rebooting...
<!--NeedCopy-->

子网掩码、NSIP 以及网关值保存在配置文件中。

注意:有关部署高可用性 (HA) 对的信息,请参阅高可用性

使用 Citrix ADC 串行控制台

首次安装该设备时,可以使用串行控制台配置初始设置。利用串行控制台,可以更改系统 IP 地址,创建子网或映射的 IP 地址,配置高级网络设置以及更改时区。

注意: 要找到设备上的串行控制台端口,请参阅特定设备的前面板图示。

使用串行控制台配置初始设置

  1. 将控制台电缆连接到设备。有关详细信息,请参阅安装硬件中的“连接控制台电缆”。
  2. 在计算机上运行所选的 vt100 终端仿真程序以连接到设备并配置以下设置:9600 波特、8 个数据位、1 个停止位,流控制设置为“NONE”(无)。

  3. 按 Enter 键。终端屏幕将显示登录提示。

    注意: 可能需要按 Enter 键两到三次,具体取决于您使用的终端程序。

  4. 使用管理员凭据登录到该设备。在 User Name(用户名)中,键入 nsroot。在 Password(密码)中,如果之前的默认密码不起作用,请尝试键入设备的序列号。序列号条形码位于设备背面。Citrix 建议您在首次登录后更改密码。有关更改密码的信息,请参阅更改管理密码

  5. 在提示符下,键入 config ns 以运行 Citrix ADC 配置脚本。

  6. 要完成设备的初始配置,请按照提示进行操作。

    注意:为防止攻击者影响您向设备发送数据包的能力,请在您组织的 LAN 中选择一个不可路由的 IP 地址作为设备 IP 地址。

    您可以用以下命令替换步骤 5 和 6。在 Citrix ADC 命令提示符下,键入:

set ns config -ipaddress<IPAddress> -netmask<subnetMask>
add ns ip<IPAddress> <subnetMask> -type<type>
add route<network> <netmask> <gateway>
set system user <userName> -password
save ns config
reboot
<!--NeedCopy-->

示例:

set ns config -ipaddress 10.102.29.60 -netmask 255.255.255.0
add ns ip 10.102.29.61 255.255.255.0 -type snip
add route 0.0.0.0 0.0.0.0 10.102.29.1
set system user nsroot -password
Enter password: *****
Confirm password: *****
save ns config
reboot
<!--NeedCopy-->

现在,您已完成设备的初始配置。

使用 DHCP 进行初始访问

注意:术语 Citrix ADC 设备和设备可互换使用。

对于 Citrix ADC 设备的初始配置,动态主机配置协议 (DHCP) 可以消除对控制台的依赖。DHCP 提供了子网 IP (SNIP) 地址,您可以通过该地址访问设备进行远程配置。例如,如果要将设备移动到其他子网,则还可以在初始配置后使用 DHCP。

要使用 DHCP,必须首先在 DHCP 服务器上指定设备供应商类标识符。或者,您还可以指定 Citrix ADC 设备可以从中获取 IP 地址的 IP 地址池。如果未指定池,则从常规池中获取地址。

新的 Citrix ADC 设备没有配置文件。当您将没有配置文件的设备连接到网络时,其 DHCP 客户端会自动轮询 DHCP 服务器以获取 IP 地址。如果在 DHCP 服务器上指定了设备供应商类标识符,服务器将返回地址。您还可以在先前配置的设备上启用 DHCP 客户端。

必备条件

要使用 DHCP,您必须:

  1. 注意设备后面板序列号标签上的系统 ID (sysid)。在较旧的设备上,系统 ID 可能不可用。在这种情况下,请使用 MAC 地址而不是系统 ID。

  2. 设置 DHCP 服务器并使用设备供应商类标识符对其进行配置。

为 Citrix ADC 设备配置 Linux/UNIX DHCP 服务器

  1. 通过将以下配置添加到服务器的 dhcpd.conf 文件中,将 “Citrix-NS” 指定为 Citrix ADC 设备的供应商类标识符。子类声明必须位于子网声明内。
option space auto;
    option auto.key code 1 = text;

    class "citrix-1" {
     match option vendor-class-identifier;
    }

    subclass "citrix-1" "citrix-NS"{
    vendor-option-space auto;
    option auto.key "citrix-NS";
<!--NeedCopy-->

注意: dhcpd.conf 文件的位置在基于 Linux/UNIX 的操作系统的不同版本和风格中可能会有所不同。例如,在 FreeBSD 6.3 中,该文件位于 /etc 文件夹中。有关位置,请参阅 DHCP 服务器的 dhcpd manpage

  1. 如果不希望 Citrix ADC 设备使用常规池中的 IP 地址,请为设备指定地址池。将此池声明包含在子网声明中。例如,将以下配置添加到 dhcpd.conf 文件中会指定从 192.168.2.120 到 192.168.2.127 的 IP 地址池。
pool {
allow members of "citrix-1";
range 192.168.2.120 192.168.2.127;
option subnet-mask 255.255.255.0;
}
<!--NeedCopy-->
  1. 终止 DHCP 进程并重新启动它以反映对配置文件的更改。在 shell 提示符下,键入:
killall dhcpd
dhcpd&
<!--NeedCopy-->

DHCP 配置示例 (dhcpd.conf)

option space auto;
option auto.key code 1 = text;

class "citrix-1" {
      match option vendor-class-identifier;
}

subnet 192.168.2.0 netmask 255.255.255.0 {
option routers10.217.242.1;
option domain-name"jeffbr.local";
option domain-name-servers8.8.8.8;
default-lease-time 21600;
max-lease-time 43200;
subclass "citrix-1" "citrix-NS" {
vendor-option-space auto;
option auto.key "citrix-NS";
}
pool {
allow members of "citrix-1";
range 192.168.2.120 192.168.2.127;
option subnet-mask 255.255.255.0;
}
}
<!--NeedCopy-->
  1. 打开服务器管理器并确保 DHCP 服务正在运行。

  2. 打开 DHCP 管理程序,单击 DHCP,然后选择 IPv4

  3. 要将供应商类别配置为 ..citrix-Ns,请右键单击 IPv4,然后选择 Define Vendor Classes(定义供应商类别)。通过指定显示名称、说明和 “.Citrix-NS” 作为 ASCII 值来添加新类。单击确定。

  4. 创建范围以配置 IP 范围、子网、DNS 服务器、WIN 服务器、默认网关和排除的 IP 地址范围。要创建范围,请在 IPv4 列表中右键单击 范围选项 ,然后输入名称和描述。单击下一步

  5. 提供与绑定到服务器的接口 IP 地址相对应的 IP 地址范围和子网掩码。单击下一步

  6. 要排除 IP 地址,请将其添加到 “ 添加排除和延迟” 中。单击下一步

  7. 添加租赁期限,然后单击 下一步

  8. 选择 “是的,我想立即配置这些选项”,然后单击 “ 下一步”。

  9. 或者,提供默认网关,然后单击 下一步

  10. 或者,提供域名和 DNS 服务器,然后单击 下一步

  11. 或者,提供 WINS 服务器,然后单击 下一步

  12. 通过选择 “是的,我想立即激活此范围” 来激活范围,然后单击 下一步

  13. 单击完成。您可以在 IPv4 选项卡中查看配置的范围。

从远程计算机实施初始 Citrix ADC 配置

当新的 Citrix ADC 设备启动时,它会自动轮询 DHCP 服务器以获取 IP 地址,并为 DHCP 服务器提供 IP 地址 sysid。对于没有配置文件的任何设备,此操作也是如此。DHCP 服务器从其池中选择一个 IP 地址,然后将其作为子网 IP (SNIP) 地址分配给设备。DHCP 服务器在服务器的 dhcpd.leases 文件中包含设备的 sysid 及其分配给设备的 IP 地址。要查找设备的 IP 地址,请在 dhcpd.leases 文件中查找包含 uid 或 client-hostname 字段中的设备的 sysid 的最后一个条目。验证此条目中的绑定状态是否处于活动状态。如果绑定状态不是活动但是空闲,则该 IP 地址尚未与设备关联。

您可以使用此地址连接到设备并远程配置初始设置。例如,您可以更改从 DHCP 服务器获取的 IP 地址、子网掩码和网关设置。完成初始配置后,您可以手动将 DHCP IP 地址返回到服务器池。或者,重新启动设备会自动将 DHCP IP 地址释放回服务器池。

您可以从 Citrix ADC 控制台或 DHCP 服务器中找到分配给设备的 SNIP 地址。

从 Citrix ADC 控制台查找 SNIP 地址

在控制台提示符下,键入:

sh dhcpParams
DHCP Client on next reboot is ON
DHCP Client Current State: Active
DHCP Client Default route save: OFF
DHCP acquired IP:192.168.2.127
DHCP acquired Netmask:255.255.255.0
DHCP acquired Gateway:192.168.2.1
Done
<!--NeedCopy-->

从 DHCP 服务器中查找 SNIP 地址

在 dhcpd.leases 文件中查找包含 uid 或 client-hostname 字段中的设备的 sysid 的最后一个条目。

示例:

DHCP 服务器的 dhcpd.leases 文件中的以下条目用于验证 sysid 为 45eae1a8157e89b9314f 的设备的绑定状态。

lease 192.168.2.127 {
  starts 3 2013/08/19 00:40:37;
  ends 3 2013/08/19 06:40:37;
  cltt 3 2013/08/19 00:40:37;
  binding state active;
  next binding state free;
  hardware ethernet 00:d0:68:11:f4:d6;
  uid "45eae1a8157e89b9314f";
  client-hostname "45eae1a8157e89b9314f";
<!--NeedCopy-->

在前面的示例中,绑定状态为 ACTIVE,分配给设备的 IP 地址为 192.168.2.127

下表介绍了配置新的 Citrix ADC 设备时可能希望使用的与 DHCP 相关的 CLI 命令。

表 2. 用于将 DHCP 与新的 Citrix ADC 设备配合使用的 Citrix ADC CLI 命令

任务 在命令提示符下,键入:
验证 DHCP 获取的详细信息,例如设备上的 IP 地址、子网掩码和网关 > sh dhcpParams
在 Citrix ADC 配置完成后释放 DHCP IP 地址并将其返回到 DHCP 服务器上的 IP 地址池 > release dhcpIP

配置文件存在时使用 DHCP

如果需要将 Citrix ADC 设备移动到其他子网,则可以使用 DHCP 访问已有配置文件的设备。移动设备之前,请启用其 DHCP 客户端并保存配置。因此,当设备重新启动时,它会自动轮询 DHCP 服务器以获取 IP 地址。在关闭设备之前,启用 DHCP 客户端并保存配置。如果未启用,则需要通过控制台连接到设备,然后在设备上动态运行 DHCP 客户端。DHCP 服务器提供 IP 地址、网关和子网掩码。您可以使用 IP 地址访问设备并远程配置其他设置。

如果在配置文件中启用了 DHCP 客户端,请将其禁用,然后保存配置文件。如果启用 DHCP 客户端,设备将在 DHCP 服务器重新启动时再次轮询其以获取 IP 地址。

列出了与每个任务关联的 CLI 命令:

  • 动态运行 DHCP 客户端以从 DHCP 服务器获取 IP 地址

    set dhcpParams dhcpClient on

  • 将 DHCP 客户端配置为在设备重新启动时运行

    set dhcpParams dhcpClient on

    save config

  • 防止 DHCP 客户端在设备重新启动时运行

    set dhcpParams dhcpClient off

    save config

    注意: 仅当保存了 ON 设置时,才需要使用此命令。

  • 保存 DHCP 获取的路由,以便在设备重新启动时可用

    > set dhcpParams -dhcpclient on -saveroute on

    > save config

  • 防止保存 DHCP 获取的路由(默认行为) set dhcpParams -dhcpclient on -saveroute off

    save config

    注意: 仅当保存了 ON 设置时,才需要使用此命令。

使用 SSH 密钥而非密码访问 Citrix ADC 设备

如果管理许多 Citrix ADC 设备,则存储和查找用于登录到单个设备的密码可能会很麻烦。为避免提示输入密码,您可以在每台设备上使用公钥加密设置安全外壳访问权限。

当内部用户被禁用时,Citrix ADC 功能还可以使用基于 SSH 密钥的身份验证进行内部通信(通过使用 set ns param-Interaluserlogin 禁用命令)。在这种情况下,密钥名称必须设置为 ns_comm_key

要使用 SSH 密钥设置访问权限,您必须在客户端上生成公私密钥对,然后将公钥复制到远程 Citrix ADC 设备。

使用 SSH 密钥生成密钥并连接到远程 Citrix ADC 设备

  1. 在客户端(Linux 客户端或 Citrix ADC)上,将目录更改为 /root/.ssh

    cd /root/.ssh

  2. 生成公私密钥对。

    ssh-keygen -t <key_type> -f <optional_key_file_name>

    示例:

    使用默认文件名创建 RSA 密钥。

    ssh-keygen -t rsa

  3. 当系统提示输入密钥对的文件名时,按 ENTER 键。

    注意:

    • 如果更新密钥对的默认文件名,请在此过程的其余部分中使用新名称而不是默认名称。
    • 如果要禁用内部用户登录,请使用 “ns_comm_key” 作为公私密钥对的文件名。
  4. 当提示输入密码短语时,按 ENTER 两次。

    注意:如果客户端是 Citrix ADC 设备,请将私有密钥文件移动到持久位置,例如 /flash 和 /var 目录的子目录。

  5. 使用 FTP 从客户端登录到远程 Citrix ADC 设备,然后执行以下操作:

    1. 将目录更改为 /nsconfig/ssh。在提示符下,键入:

      cd /nsconfig/ssh

    2. 使用二进制传输模式将公钥复制到此目录。

      bin put id_rsa.pub

  6. 使用 SSH 客户端(如 PuTTY)打开与远程 Citrix ADC 设备的连接,然后执行以下操作:

    1. 使用管理员凭据登录远程设备。</span>

    2. 转到 Citrix ADC 外壳。

      shell

    3. 在 shell 提示符下,将目录更改为 /nsconfig/sshh。

      root@ns# cd /nsconfig/ssh

    4. 将公钥附加到授ized_keys 文件中。在 shell 提示符下,键入:</span>

      root@ns# cat id_rsa.pub >> authorized_keys

      注意: 如果设备上不存在 授权ized_keys 文件,则必须先创建该文件,然后追加内容。

    5. /flashnsconfigssh 目录的权限更改为 755。

      root@ns# chmod 755 /flash root@ns# chmod 755 /flash/nsconfig root@ns# chmod 755 /flash/nsconfig/ssh

    6. 将授权ed_keys 文件的权限更改为 744。

      root@ns# chmod 744 authorized_keys

    7. 或者,删除公钥。

      root@ns# rm id_rsa.pub

  7. 在客户端上,验证是否可以使用 SSH 连接到远程 Citrix ADC 设备,而无需输入密码。

    如果使用公私密钥对的默认文件名。

    ssh <user_name>@<CitrixADCIPAddress>

    如果对公私密钥对使用 “ns_comm_key”(当内部用户被禁用时)。

    ssh –i /nsconfig/ssh/ns_comm_key <user_name>@<CitrixADCIPAddress>

    如果为公私密钥对使用任何其他名称。

    ssh –i <path_to_client_private_key> <user_name>@<CitrixADCIPAddress>

更改管理密码

默认用户帐户是管理帐户,它提供对 Citrix ADC 设备所有功能的完全访问权限。为了保持安全性,必须仅在必要时使用管理帐户。只有职责需要完全访问权限的个人才必须知道管理帐户的密码。

注意: Citrix 建议经常更改管理密码。

使用 GUI 更改管理密码

  1. 使用管理凭据登录设备。
  2. 导航到 System(系统)> User Administration(用户管理)> Users(用户)
  3. 在 “ 用户 ” 窗格中,单击默认用户帐户,然后单击 “ 更改密码”。
  4. 在 “ 更改密码 ” 对话框的 “ 密码 ” 和 “ 确认密码” 中,键入您选择的密码。
  5. 单击确定

使用 CLI 更改管理密码

在命令提示符下,键入:

set system user <userName> -password
<!--NeedCopy-->

示例:

set system user nsroot -password
Enter password: *****
Confirm password: *****
Done
<!--NeedCopy-->
初始配置