初始配置

在机架中安装设备后,即可执行初始配置。初始配置完成后,请参阅特定的配置指南,了解您将要使用的功能。

多功能 Citrix ADC、专用 Citrix 网关企业版和专用 Citrix Web 应用防火墙设备的初始配置相同。您可以使用以下任何接口进行设备的初始配置:

  • 首次使用向导-如果您使用 Web 浏览器连接到设备,系统会提示您输入网络配置和授权信息(如果尚未指定)。
  • LCD 键盘-您可以指定网络设置,但必须使用不同的界面来上传您的许可证。
  • 串行控制台-连接到串行控制台后,可以使用 Citrix ADC 命令行指定网络设置并上传您的许可证,
  • 动态主机配置协议 (DHCP) — 如果要从远程网络配置新设备,或者要安装多个 Citrix ADC 设备,然后在不使用控制台端口的情况下对其进行配置,则可以使用 DHCP 为每个新设备分配一个 IP 地址,您可以访问设备进行远程配置。

对于初始配置,请使用 nsroot 作为管理用户名和密码。对于后续访问,请使用初始配置期间分配的密码。

完成设备的初始配置后,可以配置对设备的安全访问。因此,登录时不再提示您输入密码。这在您必须跟踪大量密码的环境中尤其有用。

使用首次设置向导

要首次配置 Citrix ADC 设备(或 Citrix ADC 虚拟设备),您需要在与该设备相同的网络上配置一台管理计算机。

必须将 Citrix ADC IP (NSIP) 地址分配为 Citrix ADC 设备的管理 IP 地址。这是您访问 Citrix ADC 执行配置、监控和其他管理任务的地址。为 Citrix ADC 分配子网 IP (SNIP) 地址,以便与后端服务器通信。指定用于标识 Citrix ADC 的主机名、用于解析域名的 DNS 服务器的 IP 地址以及 Citrix ADC 所在的时区。

如果满足以下任一条件,向导将自动显示:

  • 设备配置为默认 IP 地址 (192.168.100.1)。
  • 未配置子网 IP 地址。
  • 设备上不存在许可证。

执行设备的首次配置

  1. 在 Web 浏览器中,键入:http://192.168.100.1

    注意:Citrix ADC 软件已使用此默认 IP 地址进行预配置。 如果您已分配为 NSIP 地址,请在 Web 浏览器中键入该地址。

  2. 在 User Name(用户名)和 Password(密码)中,键入管理员凭据。此时将显示以下屏幕。

    首次用户屏幕

  3. 要配置或更改以前配置的设置,请在每个部分内单击。完成后,点击继续。

  4. 出现提示时,请选择重新启动。

使用液晶键盘

首次安装设备时,您可以使用设备前面板上的 LCD 键盘来配置初始设置。键盘与 LCD 显示模块交互,LCD 显示模块也位于这些设备的前面板上。

注意:您可以在具有默认配置的新设备上使用 LCD 键盘进行初始配置。配置文件 (ns.conf) 应包含以下命令和默认值。

set ns config -IPAddress 192.168.100.1 -netmask 255.255.0.0

下表介绍了不同键的功能。

表 1. 液晶显示器关键功能

钥匙 功能
< 将光标向左移动一位数字。
> 将光标向右移动一位数字。
^ 增加光标下的数字。
v 递减光标下的数字。
如果没有更改任何值,则处理信息或终止配置。此键也称为 ENTER 键。

要使用 LCD 键盘执行初始配置,请按 “<” 键。

系统会提示您按该顺序分别输入子网掩码、Citrix ADC IP 地址 (NSIP) 和网关。子网掩码与 NSIP 和默认网关 IP 地址相关联。NSIP 是 Citrix ADC 设备的 IPv4 地址。默认网关是路由器的 IPv4 地址,该地址将处理 Citrix ADC 无法路由的外部 IP 流量。NSIP 和默认网关应位于同一子网上。

如果您为子网掩码输入有效值(如 255.255.255.224),系统将提示您输入 IP 地址。同样,如果输入 IP 地址的有效值,系统将提示您输入网关地址。如果您输入的值无效,则会显示以下错误消息三秒钟,其中xxx.xxx.xxx.xxx 是您输入的 IP 地址,然后是重新输入值的请求。

Invalid addr!
xxx.xxx.xxx.xxx

如果您按 ENTER (.) 键而不更改任何数字,软件将其解释为用户退出请求。以下消息将显示三秒钟。

Exiting menu...
xxx.xxx.xxx.xxx

如果输入的所有值都有效,当您按 ENTER 键时,将显示以下消息。

Values accepted,
Rebooting...

子网掩码、NSIP 和网关值保存在配置文件中。

注意:有关部署高可用性 (HA) 对的信息,请参阅https://docs.citrix.com/en-us/netscaler/12-1/system/high-availability-introduction.html

使用 Citrix ADC 串行控制台

首次安装设备时,可以使用串行控制台配置初始设置。使用串行控制台,您可以更改系统 IP 地址、创建子网或映射 IP 地址、配置高级网络设置以及更改时区。

注意:要在设备上找到串行控制台端口,请参阅特定设备的前面板插图。

使用串行控制台配置初始设置

  1. 将控制台电缆连接到您的设备。有关详细信息,请参阅 “中的” 连接控制台电缆 “安装硬件
  2. 在计算机上运行您选择的 vt100 终端仿真程序以连接到设备并配置以下设置:9600 波特、8 个数据位、1 个停止位、奇偶校验和流量控制设置为 NONE。

  3. 按 Enter 键。终端屏幕显示登录提示。

    注意:您可能需要按 ENTER 两次或三次,具体取决于您使用的终端程序。

  4. 使用管理员凭据登录到设备。您的销售代表或 Citrix 客户服务可为您提供管理员凭据。

  5. 在提示符处,键入config ns 以运行 Citrix ADC 配置脚本。

  6. 要完成设备的初始配置,请按照提示操作。

    注意:要防止攻击者违反向设备发送数据包的功能,请在组织 LAN 上选择一个不可路由的 IP 地址作为设备 IP 地址。

    您可以使用以下 Citrix ADC 命令替换步骤 5 和 6。在 Citrix ADC 命令提示符下,键入:

    set ns config -ipaddress<IPAddress> -netmask<subnetMask>
    add ns ip<IPAddress> <subnetMask> -type<type>
    add route<network> <netmask> <gateway>
    set system user <userName> -password
    save ns config
    reboot
    

示例

    set ns config -ipaddress 10.102.29.60 -netmask 255.255.255.0
    add ns ip 10.102.29.61 255.255.255.0 -type snip
    add route 0.0.0.0 0.0.0.0 10.102.29.1
    set system user nsroot -password
    Enter password: *****
    Confirm password: *****
    save ns config
    reboot

您现在已完成设备的初始配置。

使用 DHCP 进行初始访问

注意:Citrix ADC 设备和设备的术语可以互换使用。

对于 Citrix ADC 设备的初始配置,动态主机配置协议 (DHCP) 可以通过提供子网 IP (SNIP) 地址来访问设备以远程配置设备,从而消除对控制台的依赖性。例如,如果您想要将设备移动到其他子网,则还可以在初始配置后使用 DHCP。

要使用 DHCP,必须首先在 DHCP 服务器上指定设备供应商类标识符。或者,您还可以指定 Citrix ADC 设备可以从中获取 IP 地址的 IP 地址池。如果未指定池,则从常规池中获取地址。

新 Citrix ADC 设备没有配置文件。当您将没有配置文件的设备连接到网络时,其 DHCP 客户端会自动轮询 DHCP 服务器以获取 IP 地址。如果您在 DHCP 服务器上指定了设备供应商类标识符,则服务器将返回一个地址。您还可以在先前配置的设备上启用 DHCP 客户端。

必备条件

要使用 DHCP,您必须:

  1. 请注意设备背面板上的序列号标签上的系统 ID (sysid)。在较旧的设备上,系统 ID 可能不可用。在这种情况下,请使用 MAC 地址而不是系统 ID。

  2. 设置 DHCP 服务器并使用设备供应商类标识符对其进行配置。

为Citrix ADC 设备配置一个 Linux /UNIX DHCP 服务器

  1. 通过将以下配置添加到服务器的 dhcpd.conf 文件中,将 “Citrix-NS” 指定为 Citrix ADC 设备的供应商类标识符。子类声明必须位于子网声明内。
    option space auto;
     option auto.key code 1 = text;

    class "citrix-1" {
     match option vendor-class-identifier;
    }

    subclass "citrix-1" "citrix-NS"{
    vendor-option-space auto;
    option auto.key "citrix-NS";

注意:dhcpd.conf 文件的位置在基于 Linux /UNIX 的操作系统的不同版本和风格中可能会有所不同(例如,在 FreeBSD 6.3 中,文件存在于 /etc/ 文件夹中。有关位置,请参阅 DHCP 服务器的 dhcpd 手册页。

  1. 如果不希望 Citrix ADC 设备使用常规池中的 IP 地址,请为设备指定地址池。您必须在子网声明中包含此池声明。例如,将以下配置添加到 dhcpd.conf 文件中指定一个 IP 地址池,范围从 192.168.2 月 120 日到 192.168.2 月 127 日。

    pool {
    allow members of "citrix-1";
    range 192.168.2.120 192.168.2.127;
    option subnet-mask 255.255.255.0;
    }
    
  2. 终止 DHCP 进程并重新启动它以反映对配置文件的更改。在 shell 提示符处,键入:

    killall dhcpd
    
    dhcpd&
    

DHCP 配置示例

option space auto;
option auto.key code 1 = text;

class "citrix-1" {
      match option vendor-class-identifier;
}

subnet 192.168.2.0 netmask 255.255.255.0 {
option routers10.217.242.1;
option domain-name"jeffbr.local";
option domain-name-servers8.8.8.8;
default-lease-time 21600;
max-lease-time 43200;
subclass "citrix-1" "citrix-NS" {
vendor-option-space auto;
option auto.key "citrix-NS";
}
pool {
allow members of "citrix-1";
range 192.168.2.120 192.168.2.127;
option subnet-mask 255.255.255.0;
}
}
  1. 打开服务器管理器并确保 DHCP 服务正在运行。

  2. 打开 DHCP 管理器,单击 DHCP,然后选择 IPv4

  3. 要将供应商类配置为 “.. Citrix-NS”,右键单击 IPv4 并选择 **定义供应商类别。通过指定显示名称、描述和 “.. Citrix-NS” 作为 ASCII 值来** 添加新类。点击 确定。

  4. 创建一个作用域以配置 IP 范围、子网、DNS 服务器、WIN 服务器、默认网关和排除的 IP 地址范围。要创建新作用域,请在 IPv4 列表中右键单击 “作用 域选项 ”,然后输入名称和描述。单击下一步

  5. 提供与绑定到服务器的接口 IP 地址对应的 IP 地址范围和子网掩码。单击下一步

  6. 要排除 IP 地址,请将其添加到 “添 加排除” 和 “延迟” 中。单击下一步

  7. 添加租约期限,然后单击 “ 一步”。

  8. 选择 “是,我想立即配置这些选项”,然后单击 “ 下一步”。

  9. 或者,提供默认网关,然后单击 “ 一步”。

  10. 或者,提供域名和 DNS 服务器,然后单击 “ 一步”。

  11. 或者,提供 WINS 服务器,然后单击 下一步

  12. 通过选择 “是,我想立即激活此作用域” 激活范围,然后单击 “ 下一步”。

  13. 单击完成。您可以在 IPv4 选项卡中查看配置的作用域。

从远程计算机实现初始 Citrix ADC 配置

当新的 Citrix ADC 设备(或任何没有配置文件的设备)启动时,它会自动轮询 DHCP 服务器以获取 IP 地址,并为 DHCP 服务器提供其 sysid。DHCP 服务器从其池中选择一个 IP 地址,并将其分配为子网 IP (SNIP) 地址给设备。DHCP 服务器在服务器的 dhcpd.log 文件中包括设备的 sysid 以及它分配给设备的 IP 地址。要查找当前分配给设备的 IP 地址,请在 dhcpd.locd 文件中查找具有设备 sysid 的最后一个条目,在 uid 或客户端主机名字段中查找。验证此条目中的绑定状态是否处于活动状态。如果绑定状态未处于活动状态但可用状态,则 IP 地址尚未与设备关联。

您可以使用此地址连接到设备并远程配置初始设置。例如,您可以更改从 DHCP 服务器获取的 IP 地址、子网掩码和网关设置。完成初始配置后,您可以手动将 DHCP IP 地址返回到服务器池。或者,重新启动设备会自动将 DHCP IP 地址释放回服务器池。

您可以从 Citrix ADC 控制台或 DHCP 服务器找出分配给设备的 SNIP 地址。

从 Citrix ADC 控制台查找 SNIP 地址

在控制台提示符下,键入:

sh dhcpParams
DHCP Client on next reboot is ON
DHCP Client Current State: Active
DHCP Client Default route save: OFF
DHCP acquired IP:192.168.2.127
DHCP acquired Netmask:255.255.255.0
DHCP acquired Gateway:192.168.2.1
Done

从 DHCP 服务器查找 SNIP 地址

在 dhcpd.log 文件中查找具有设备 sysid 的最后一个条目,请在 uid 或客户端主机名字段中查找。

示例

DHCP 服务器的 dhcpd.租赁文件中的以下条目验证系统为 45eae1a8157e89b9314f 的设备的绑定状态。

lease 192.168.2.127 {
  starts 3 2013/08/19 00:40:37;
  ends 3 2013/08/19 06:40:37;
  cltt 3 2013/08/19 00:40:37;
  binding state active;
  next binding state free;
  hardware ethernet 00:d0:68:11:f4:d6;
  uid "45eae1a8157e89b9314f";
  client-hostname "45eae1a8157e89b9314f";

在上面的示例中,绑定状态为 Active,分配给设备的 IP 地址为192.168.2.127

下表介绍了您在配置新 Citrix ADC 设备时可能希望使用的 DHCP 相关 CLI 命令。

表 2. 用于将 DHCP 与新思杰 ADC 设备结合使用的思杰 ADC CLI 命令

任务 在 Citrix ADC 命令提示符下,键入:
验证 DHCP 获取的详细信息,如 IP 地址、子网掩码和设备上的网关 > 尼泊尔人民共和国政府
在 Citrix ADC 配置完成后释放 DHCP IP 地址并将其返回 DHCP 服务器上的 IP 地址池 > 发布中国人民共和国人民共和国

存在配置文件时使用 DHCP

如果需要将 Citrix ADC 设备移动到其他子网(例如从测试环境移动到生产环境),则可以使用 DHCP 访问已经具有配置文件的设备。移动设备之前,请启用其 DHCP 客户端并保存配置。因此,当设备重新启动时,它会自动轮询 DHCP 服务器以获取 IP 地址。如果在关闭设备之前未启用 DHCP 客户端并保存配置,则需要通过控制台连接到设备并在设备上动态运行 DHCP 客户端。DHCP 服务器随后将提供 IP 地址、网关和子网掩码。您可以使用 IP 地址访问设备并远程配置其他设置。

如果在配置文件中启用了 DHCP 客户端,则应禁用它,然后保存配置文件。如果启用 DHCP 客户端,设备将在重新启动时再次轮询 DHCP 服务器以获取 IP 地址。

下面列出了与每个任务关联的 Citrix ADC CLI 命令:

  • 动态运行 DHCP 客户端以从 DHCP 服务器获取 IP 地址

    set dhcpParams dhcpClient on

  • 将 DHCP 客户端配置为在设备重新启动时运行的步骤

    set dhcpParams dhcpClient on

    save config

  • 防止 DHCP 客户端在设备重新启动时运行

    set dhcpParams dhcpClient off

    save config

    注意:仅当保存了开设置时,才需要此操作。

  • 保存 DHCP 获取的路由,使其在设备重新启动时可用

    > set dhcpParams -dhcpclient on -saveroute on

    > save config

  • 防止保存 DHCP 获取的路由(默认行为) set dhcpParams -dhcpclient on -saveroute off

    save config

    注意:仅当保存了开设置时,才需要此操作。

使用 SSH 密钥且无密码访问 Citrix ADC 设备

如果管理大量 Citrix ADC 设备,则存储和查找登录到各个设备的密码可能会很麻烦。为避免提示输入密码,您可以在每个设备上使用公钥加密设置安全 Shell 访问。

Citrix ADC 功能还可以在禁用内部用户时使用基于 SSH 密钥的身份验证进行内部通信(通过使用设置 ns 参数-内aluserlogin 禁用命令)。在这种情况下,密钥名称必须设置为 “ns_comm_key”。

要使用 SSH 密钥设置访问,您必须在客户端上生成公私密钥对并将公钥复制到远程 Citrix ADC 设备。

生成密钥并使用 SSH 密钥连接到远程 Citrix ADC 设备

  1. 在客户端(Linux 客户端或 Citrix ADC)上将目录更改为 /root /.ssh.

    cd /root/.ssh

  2. 生成公私密钥对。

    ssh-keygen -t <key_type> -f <optional_key_file_name>

    示例

    使用默认文件名创建 RSA 密钥。

    ssh-keygen -t rsa

  3. 当提示输入密钥对的文件名时,按 ENTER 键。

    注意

    • 如果您更新密钥对的默认文件名,请在此过程的其余部分中使用新名称而不是默认名称。
    • 如果要禁用内部用户登录,请使用 “ns_comm_key” 作为公私密钥对的文件名。
  4. 当提示输入密码短语时,按 ENTER 键两次。

    注意:如果客户端是 Citrix ADC 设备,请将私钥文件移动到永久位置,例如 /flash 和 /var 目录的子目录。

  5. 使用文件传输协议从客户端登录到远程 Citrix ADC 设备,然后执行以下操作:

    1. 将目录更改为 /nsconfig/ssh. 在提示符处,键入:

      cd /nsconfig/ssh

    2. 使用二进制传输模式将公钥复制到此目录。

      bin put id_rsa.pub

  6. 使用 SSH 客户端(如 PuTTY)打开与远程 Citrix ADC 设备的连接,然后执行以下操作:

    1. 使用管理员凭据登录到远程设备。</span>

    2. 转到思杰 ADC 外壳。

      shell

    3. 在 shell 提示符下,将目录更改为 /nsconfig/ssh.。

      root@ns# cd /nsconfig/ssh

    4. 将公钥追加到授权的 _keys 文件。在 shell 提示符处,键入:</span>

      root@ns# cat id_rsa.pub >> authorized_keys

      注意:如果该设备上不存在 authorized_keys 文件,则需要先创建该文件,然后追加内容。

    5. 将 /flash、NSconfig 和 ssh 目录的权限更改为 755。

      root@ns# chmod 755 /flash root@ns# chmod 755 /flash/nsconfig root@ns# chmod 755 /flash/nsconfig/ssh

    6. 将授权的密钥文件的权限更改为 744。

      root@ns# chmod 744 authorized_keys

    7. 或者,删除公钥。

      root@ns# rm id_rsa.pub

  7. 在客户端上,验证您是否可以使用 SSH 连接到远程 Citrix ADC 设备,而无需输入密码。

    如果使用公私密钥对的默认文件名。

    ssh <user_name>@<CitrixADCIPAddress>

    如果对公私密钥对使用 “ns_comm_key”(禁用内部用户时)。

    ssh –i /nsconfig/ssh/ns_comm_key <user_name>@<CitrixADCIPAddress>

    如果为公私密钥对使用任何其他名称。

    ssh –i <path_to_client_private_key> <user_name>@<CitrixADCIPAddress>

更改管理密码

默认用户帐户是管理帐户,用于完全访问 Citrix ADC 设备的所有功能。因此,为了维护安全,只有在必要时才能使用行政帐户,只有其职责需要完全访问的个人才能知道行政帐户的密码。默认的管理用户名和密码分别为 NSroot 和 NSroot。Citrix 建议频繁更改管理密码。

使用 GUI 更改管理密码

  1. 使用管理凭据登录到设备。
  2. 在配置选项卡上的导航窗格中,展开系统,然后单击用户。
  3. 在用户窗格中,单击默认用户帐户 (nsroot),然后单击更改密码。
  4. 在 “更改密码” 对话框的 “密码” 和 “确认密码” 中,键入您选择的密码。
  5. 点击 确定。

使用 CLI 更改管理密码

在命令提示窗口中,键入:

set system user <userName> -password

示例:

set system user nsroot -password Enter password: ***** Confirm password: ***** Done