-
Bereitstellen einer NetScaler VPX- Instanz
-
Optimieren der Leistung von NetScaler VPX auf VMware ESX, Linux KVM und Citrix Hypervisors
-
NetScaler VPX-Konfigurationen beim ersten Start der NetScaler-Appliance in der Cloud anwenden
-
Verbessern der SSL-TPS-Leistung auf Public-Cloud-Plattformen
-
Gleichzeitiges Multithreading für NetScaler VPX in öffentlichen Clouds konfigurieren
-
Installieren einer NetScaler VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer NetScaler VPX-Instanz auf Citrix Hypervisor
-
Installieren einer NetScaler VPX-Instanz in der VMware Cloud auf AWS
-
Installieren einer NetScaler VPX-Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer NetScaler VPX-Instanz auf der Linux-KVM-Plattform
-
Voraussetzungen für die Installation virtueller NetScaler VPX-Appliances auf der Linux-KVM-Plattform
-
Provisioning der virtuellen NetScaler-Appliance mit OpenStack
-
Provisioning der virtuellen NetScaler-Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller NetScaler-Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Provisioning der virtuellen NetScaler-Appliance mit dem virsh-Programm
-
Provisioning der virtuellen NetScaler-Appliance mit SR-IOV auf OpenStack
-
-
Bereitstellen einer NetScaler VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen NetScaler VPX-Instanz auf AWS
-
Bereitstellen eines VPX-HA-Paar in derselben AWS-Verfügbarkeitszone
-
Bereitstellen eines VPX Hochverfügbarkeitspaars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Schützen von AWS API Gateway mit NetScaler Web Application Firewall
-
Konfigurieren einer NetScaler VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer NetScaler VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer NetScaler VPX Instanz unter Microsoft Azure
-
Netzwerkarchitektur für NetScaler VPX-Instanzen auf Microsoft Azure
-
Mehrere IP-Adressen für eine eigenständige NetScaler VPX-Instanz konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs über PowerShell-Befehle konfigurieren
-
NetScaler-Hochverfügbarkeitspaar auf Azure mit ALB im Floating IP-Deaktiviert-Modus bereitstellen
-
Konfigurieren Sie eine NetScaler VPX-Instanz für die Verwendung von Azure Accelerated Networking
-
Konfigurieren Sie HA-INC-Knoten mithilfe der NetScaler-Hochverfügbarkeitsvorlage mit Azure ILB
-
NetScaler VPX-Instanz auf der Azure VMware-Lösung installieren
-
Eigenständige NetScaler VPX-Instanz auf der Azure VMware-Lösung konfigurieren
-
NetScaler VPX-Hochverfügbarkeitssetups auf Azure VMware-Lösung konfigurieren
-
Konfigurieren von GSLB in einem Active-Standby-Hochverfügbarkeitssetup
-
Konfigurieren von Adresspools (IIP) für eine NetScaler Gateway Appliance
-
NetScaler VPX-Instanz auf der Google Cloud Platform bereitstellen
-
Bereitstellen eines VPX-Hochverfügbarkeitspaars auf der Google Cloud Platform
-
VPX-Hochverfügbarkeitspaars mit privaten IP-Adressen auf der Google Cloud Platform bereitstellen
-
NetScaler VPX-Instanz auf Google Cloud VMware Engine bereitstellen
-
Unterstützung für VIP-Skalierung für NetScaler VPX-Instanz auf GCP
-
-
Bereitstellung und Konfigurationen von NetScaler automatisieren
-
Lösungen für Telekommunikationsdienstleister
-
Authentifizierung, Autorisierung und Überwachung des Anwendungsverkehrs
-
Wie Authentifizierung, Autorisierung und Auditing funktionieren
-
Grundkomponenten der Authentifizierung, Autorisierung und Audit-Konfiguration
-
Web Application Firewall-Schutz für virtuelle VPN-Server und virtuelle Authentifizierungsserver
-
Lokales NetScaler Gateway als Identitätsanbieter für Citrix Cloud
-
Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration für häufig verwendete Protokolle
-
-
-
-
Konfigurieren von erweiterten Richtlinienausdrücken: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Zeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream-Analytics-Funktionen
-
Zusammenfassende Beispiele für erweiterte Richtlinienausdrücke
-
-
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken für virtuelle Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkte Richtlinieneinschläge auf den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
-
Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse
-
-
Verwalten des NetScaler Clusters
-
Knotengruppen für gepunktete und teilweise gestreifte Konfigurationen
-
Entfernen eines Knotens aus einem Cluster, der mit Cluster-Link-Aggregation bereitgestellt wird
-
Überwachen von Fehlern bei der Befehlsausbreitung in einer Clusterbereitstellung
-
VRRP-Interface-Bindung in einem aktiven Cluster mit einem einzigen Knoten
-
-
Konfigurieren von NetScaler als nicht-validierenden sicherheitsbewussten Stub-Resolver
-
Jumbo-Frames Unterstützung für DNS zur Handhabung von Reaktionen großer Größen
-
Zwischenspeichern von EDNS0-Client-Subnetzdaten bei einer NetScaler-Appliance im Proxymodus
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domänennamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-Adressbasierten Autoscale-Dienstgruppe
-
-
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Angegebene Quell-IP für die Back-End-Kommunikation verwenden
-
Quellport aus einem bestimmten Portbereich für die Back-End-Kommunikation verwenden
-
Quell-IP-Persistenz für Back-End-Kommunikation konfigurieren
-
Lokale IPv6-Linkadressen auf der Serverseite eines Load Balancing-Setups
-
Erweiterte Load Balancing-Einstellungen
-
Allmählich die Belastung eines neuen Dienstes mit virtuellem Server-Level erhöhen
-
Anwendungen vor Verkehrsspitzen auf geschützten Servern schützen
-
Bereinigung von virtuellen Server- und Dienstverbindungen ermöglichen
-
Persistenzsitzung auf TROFS-Diensten aktivieren oder deaktivieren
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Quell-IP-Adresse des Clients beim Verbinden mit dem Server verwenden
-
Limit für die Anzahl der Anfragen pro Verbindung zum Server festlegen
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Grenzwert für die Bandbreitenauslastung durch Clients festlegen
-
-
-
Lastausgleichs für häufig verwendete Protokolle konfigurieren
-
Anwendungsfall 5: DSR-Modus beim Verwenden von TOS konfigurieren
-
Anwendungsfall 6: Lastausgleich im DSR-Modus für IPv6-Netzwerke mit dem TOS-Feld konfigurieren
-
Anwendungsfall 7: Konfiguration des Lastenausgleichs im DSR-Modus mithilfe von IP Over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Lastausgleich im Inlinemodus konfigurieren
-
Anwendungsfall 10: Lastausgleich von Intrusion-Detection-System-Servern
-
Anwendungsfall 11: Netzwerkverkehr mit Listenrichtlinien isolieren
-
Anwendungsfall 12: Citrix Virtual Desktops für den Lastausgleich konfigurieren
-
Anwendungsfall 13: Konfiguration von Citrix Virtual Apps and Desktops für den Lastausgleich
-
Anwendungsfall 14: ShareFile-Assistent zum Lastausgleich Citrix ShareFile
-
Anwendungsfall 15: Konfiguration des Layer-4-Lastenausgleichs auf der NetScaler Appliance
-
SSL-Offload und Beschleunigung
-
Unterstützung des TLSv1.3-Protokolls wie in RFC 8446 definiert
-
Unterstützungsmatrix für Serverzertifikate auf der ADC-Appliance
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Thales Luna Network Hardwaresicherheitsmodul
-
-
Inline-Geräteintegration mit NetScaler
-
-
-
CloudBridge Connector-Tunnels zwischen zwei Rechenzentren konfigurieren
-
CloudBridge Connector zwischen Datacenter und AWS Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen einem Rechenzentrum und Azure Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud konfigurieren
-
-
Konfigurationsdateien in einem Hochverfügbarkeitssetup synchronisieren
-
Hochverfügbarkeitsknoten in verschiedenen Subnetzen konfigurieren
-
Beschränken von Failovers, die durch Routenmonitore im Nicht-INC-Modus verursacht werden
-
HA-Heartbeat-Meldungen auf einer NetScaler-Appliance verwalten
-
NetScaler in einem Hochverfügbarkeitssetup entfernen und ersetzen
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Integrierte Geräteintegration mit NetScaler
Sicherheitsgeräte wie das Intrusion Prevention System (IPS) und die Next Generation Firewall (NGFW) schützen Server vor Netzwerkangriffen. Diese Geräte werden im Layer-2-Inline-Modus eingesetzt und ihre Hauptfunktion besteht darin, Server vor Netzwerkangriffen zu schützen und Sicherheitsbedrohungen im Netzwerk zu melden.
Um anfällige Bedrohungen zu verhindern und erweiterten Sicherheitsschutz zu bieten, ist eine NetScaler-Appliance in ein oder mehrere Inline-Geräte integriert. Bei den Inline-Geräten kann es sich um jedes Sicherheitsgerät wie IPS, NGFW handeln.
Im Folgenden sind einige der Anwendungsfälle aufgeführt, die von der Verwendung der Inline-Geräteintegration mit der NetScaler-Appliance profitieren:
- Überprüfung des verschlüsselten Datenverkehrs. Die meisten IPS- und NGFW-Appliances Bypass verschlüsselten Datenverkehr und machen Server dadurch anfällig für Angriffe. Eine NetScaler-Appliance kann den Datenverkehr entschlüsseln und ihn zur Überprüfung an Inline-Geräte senden. Es verbessert die Netzwerksicherheit des Kunden.
- Entladen von Inline-Geräten von der TLS/SSL-Verarbeitung. Die TLS/SSL-Verarbeitung ist teuer und das Problem kann zu einer hohen System-CPU in IPS- oder NGFW-Appliances führen, wenn sie den Datenverkehr entschlüsseln. Da der verschlüsselte Datenverkehr schnell zunimmt, können diese Systeme den verschlüsselten Datenverkehr nicht entschlüsseln und überprüfen. NetScaler hilft dabei, Inline-Geräte von der TLS/SSL-Verarbeitung zu trennen. Dies führt dazu, dass das Inline-Gerät ein hohes Volumen an Verkehrsinspektionen unterstützt.
- Inline-Balancing-Geräte werden geladen. Die NetScaler-Appliance verteilt den Lastausgleich mehrerer Inline-Geräte bei hohem Datenverkehrsvolumen.
- Intelligente Auswahl des Verkehrs. Jedes Paket, das in die Appliance fließt, kann inhaltlich überprüft werden, z. B. das Herunterladen von Textdateien. Der Benutzer kann die NetScaler-Appliance so konfigurieren, dass sie bestimmten Datenverkehr (z. B. EXE-Dateien) zur Überprüfung auswählt und den Datenverkehr zur Verarbeitung der Daten an Inline-Geräte sendet
Wie der NetScaler in Inline-Geräte integriert ist
Das folgende Diagramm zeigt, wie ein NetScaler in Inline-Sicherheitsgeräte integriert ist.
Wenn Sie Inline-Geräte in die NetScaler-Appliance integrieren, interagiert die Komponente wie folgt:
- Ein Client sendet eine Anfrage an die NetScaler-Appliance.
- Die Appliance empfängt die Anfrage und sendet sie auf der Grundlage einer Richtlinienbewertung an ein Inline-Gerät. Hinweis: Wenn zwei oder mehr Inline-Geräte vorhanden sind, verteilt die Appliance die Last der Geräte und sendet den Datenverkehr. Handelt es sich bei dem eingehenden Datenverkehr um einen verschlüsselten Datenverkehr, entschlüsselt die Appliance die Daten und sendet sie zur Inhaltsüberprüfung als Klartext an das Inline-Gerät.
- Das Inline-Gerät überprüft die Daten auf Bedrohungen und entscheidet, ob die Daten gelöscht, zurückgesetzt oder an die Appliance zurückgesendet werden sollen.
- Wenn Sicherheitsbedrohungen bestehen, ändert das Gerät die Daten und sendet sie an die Appliance.
- Der NetScaler wiederum verschlüsselt die Daten erneut und leitet die Anfrage an den Backend-Server weiter.
- Der Backend-Server sendet die Antwort an die NetScaler-Appliance.
- Die Appliance entschlüsselt die Daten erneut und sendet sie zur Überprüfung an das Inline-Gerät.
- Die Appliance verschlüsselt die Daten erneut und sendet die Antwort an den Client
Softwarelizenzierung
Um die Inline-Gerätintegration bereitzustellen, muss Ihre NetScaler-Appliance mit einer der folgenden Lizenzen ausgestattet sein:
- ADC Premium
- ADC Advanced
- Telco Fortgeschrittene
- Telco Premium
- SWG-Lizenz
Konfiguration der integrierten Geräteintegration
Sie können eine NetScaler-Appliance mit einem Inline-Gerät auf drei verschiedene Arten konfigurieren. Die Konfigurationsszenarien lauten wie folgt.
Szenario 1 für die Verwendung eines einzelnen Inline-Geräts
Wenn Sie ein Sicherheitsgerät (IPS oder NGFW) im Inline-Modus integrieren möchten, müssen Sie zunächst die Content Inspection-Funktion aktivieren und den NetScaler in MBF (MAC-basierte Weiterleitung) im globalen Modus aktivieren. Nachdem Sie die Funktionen aktiviert haben, müssen Sie das Content Inspection-Profil und die Aktion Content Inspection für Inline-Geräte hinzufügen, um den Datenverkehr auf der Grundlage der Inspektion zurückzusetzen, zu blockieren oder zu löschen. Fügen Sie dann die Content Inspection-Richtlinie für die Appliance hinzu, um zu entscheiden, welche Teilmenge des Datenverkehrs an die Inline-Geräte gesendet werden soll. Konfigurieren Sie dann den virtuellen Lastausgleichsserver mit aktivierter Layer-2-Verbindung auf dem Server. Binden Sie abschließend die Richtlinie zur Inhaltsinspektion an den virtuellen Load-Balancing-Server.
Aktivieren Sie den MBF-Modus (MAC-basierte Weiterleitung)
Wenn Sie möchten, dass die NetScaler-Appliance in Inline-Geräte wie IPS oder Firewalls integriert wird, müssen Sie diesen Modus aktivieren. Weitere Informationen zu MBF finden Sie im Thema Konfiguration der MAC-basierten Weiterleitung.
Geben Sie in der Befehlszeile Folgendes ein:
enable ns mode mbf
Inhaltsprüfung aktivieren
Wenn Sie möchten, dass die NetScaler-Appliance den Inhalt entschlüsselt und dann zur Überprüfung an die Inline-Geräte sendet, müssen Sie die Funktionen Content Inspection und Load Balancing aktivieren.
enable ns feature contentInspection LoadBalancing
Layer-2-Verbindungsmethode hinzufügen
Um die von Inline-Geräten generierten Antworten zu verarbeiten, verwendet die Appliance den VLAN-Kanal als Layer-2-Methode (L2Conn-Methode) für die Kommunikation mit Inline-Geräten.
Geben Sie in der Befehlszeile Folgendes ein:
set l4param -l2ConnMethod <l2ConnMethod>
Beispiel
set l4param –l2ConnMethod VlanChannel
Content Inspection-Profil für Service hinzufügen
Die Inline-Gerätekonfiguration für eine NetScaler-Appliance kann in einer Entität angegeben werden, die als Content Inspection-Profil bezeichnet wird. Das Profil enthält eine Sammlung von Einstellungen, in denen erklärt wird, wie die Integration in ein Inline-Gerät erfolgt.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
IPS-TCP-Monitor hinzufügen
Wenn Sie Monitore konfigurieren möchten, fügen Sie einen benutzerdefinierten Monitor hinzu. Hinweis: Wenn Sie Monitore konfigurieren möchten, müssen Sie einen benutzerdefinierten Monitor verwenden. Wenn Sie einen Monitor hinzufügen, müssen Sie den transparenten Parameter aktivieren.
Geben Sie in der Befehlszeile Folgendes ein:
add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr>] [-destPort <port>] [-transparent ( YES | NO )]
Beispiel:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
Hinzufügen eines Dienstes
Fügen Sie einen Dienst hinzu. Geben Sie eine Schein-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Stellen Sie use source IP address
(USIP) auf JA ein. Stellen Sie useproxyport
auf NEIN ein. Standardmäßig ist die Systemüberwachung aktiviert, binden Sie den Dienst an einen Integritätsmonitor und setzen Sie außerdem die Option TRANSPARENT im Monitor auf ON. Geben Sie in der Befehlszeile Folgendes ein:
add service <Service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor YES -usip ON –useproxyport OFF
Beispiel:
add service ips_service 192.168.10.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
Fügen Sie einen Gesundheitsmonitor hinzu
Standardmäßig ist der Gesundheitsmonitor aktiviert und Sie haben auch die Möglichkeit, ihn bei Bedarf zu deaktivieren. Geben Sie in der Befehlszeile Folgendes ein:
add lb monitor <name> TCP -destIP <ip address> -destPort 80 -transparent <YES, NO>
Beispiel:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
Binden Sie den Dienst an den Gesundheitsmonitor
Nach der Konfiguration des Health Monitors müssen Sie den Dienst an den Health Monitor binden. Geben Sie in der Befehlszeile Folgendes ein:
bind service <name> -monitorName <name>
Beispiel:
bind service ips_svc -monitorName ips_tcp
Aktion zur Inhaltsinspektion für den Service hinzufügen
Nachdem Sie die Funktion zur Inhaltsinspektion aktiviert und anschließend das Inline-Profil und den Dienst hinzugefügt haben, müssen Sie die Inhaltsinspektionsaktion für die Bearbeitung der Anfrage hinzufügen. Basierend auf der Aktion zur Inhaltsinspektion kann das Inline-Gerät die Aktion beenden, zurücksetzen oder blockieren, nachdem es die Daten überprüft hat.
Wenn der Inline-Server oder -Dienst ausgefallen ist, können Sie den ifserverdown
Parameter in der Appliance so konfigurieren, dass er eine der folgenden Aktionen ausführt.
CONTINUE: Wenn der Benutzer die Inhaltsüberprüfung Bypass möchte, wenn der Remoteserver ausgefallen ist, können Sie standardmäßig die Aktion “WEITER” wählen. RESET (Standard): Diese Aktion reagiert auf den Client, indem sie die Verbindung mit RST schließt. DROP: Diese Aktion löscht die Pakete im Hintergrund, ohne eine Antwort an den Benutzer zu senden.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>] [-reqTimeout <positive_integer>] [-reqTimeoutAction <reqTimeoutAction>]
add ContentInspection action <action_name> -type InlineINSPECTION -serverName Service_name/Vserver_name>
Beispiel:
add ContentInspection action <Inline_action> -type InlineSPECTION –serverName Inline_service1
Inhaltsüberprüfungsrichtlinie zur Überprüfung hinzufügen
Nachdem Sie eine Inhaltsüberprüfungsaktion erstellt haben, müssen Sie Richtlinien für die Inhaltsüberprüfung hinzufügen, um Überprüfungsanfragen zu bewerten. Die Richtlinie basiert auf einer Regel, die aus einem oder mehreren Ausdrücken besteht. Die Richtlinie bewertet und wählt den zu überprüfenden Verkehr basierend auf der Regel aus.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection policy <policy_name> –rule <Rule> -action <action_name>
Beispiel
add contentInspection policy Inline_pol1 –rule true –action Inline_action
Hinzufügen eines virtuellen Content Switching- oder Lastausgleichsservers vom Typ HTTP/SSL
Um den Webverkehr zu empfangen, müssen Sie einen virtuellen Lastausgleichsserver hinzufügen. Außerdem müssen Sie die Layer2-Verbindung auf dem virtuellen Server aktivieren.
Geben Sie in der Befehlszeile Folgendes ein:
add lb vserver <name> <vserver name> -l2Conn ON
Beispiel:
add lb vserver HTTP_vserver HTTP 10.102.29.200 8080 –l2Conn ON
Binden der Richtlinie zur Inhaltsüberprüfung an den virtuellen Server mit Content Switching oder den virtuellen Lastausgleichsserver vom Typ
Sie binden den virtuellen Load-Balancing-Server oder den virtuellen Content Switching-Server vom Typ HTTP/SSL an die Content Inspection-Richtlinie. Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>
Beispiel:
bind lb vserver HTTP_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
Szenario 2: Lastausgleich mehrerer Inline-Geräte mithilfe dedizierter Schnittstellen
Wenn Sie zwei oder mehr Inline-Geräte verwenden, müssen Sie den Lastausgleich für die Geräte mithilfe verschiedener Inhaltsinspektionsdienste in einem speziellen VLAN-Setup durchführen. In diesem Fall verteilt die NetScaler-Appliance die Geräte und sendet zusätzlich eine Teilmenge des Datenverkehrs über eine dedizierte Schnittstelle an jedes Gerät. Grundlegende Konfigurationsschritte finden Sie in Szenario 1.
Fügen Sie das Inhaltsprüfprofil1 für Service1 hinzu
Inline-Konfigurationen für eine NetScaler-Appliance können in einer Entität angegeben werden, die als Content Inspection-Profil bezeichnet wird. Das Profil hat eine Sammlung von Geräteeinstellungen. Das Content Inspection Profil1 wurde für Inline-Dienst 1 erstellt und die Kommunikation erfolgt über 1/2 und 1/3 dedizierte Schnittstellen.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
Fügen Sie das Inhaltsprüfprofil2 für Service2 hinzu
Das Content Inspection Profil2 wurde für service2 hinzugefügt und das Inline-Gerät kommuniziert über dedizierte Schnittstellen 1/4
und 1/5
mit der Appliance.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface “1/4” -egressInterface “1/5”
Dienst 1 für Inline-Gerät 1 hinzufügen
Nachdem Sie die Funktion Inhaltsüberprüfung aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 1 für das Inline-Gerät 1 hinzufügen, um Teil des Lastausgleichs-Setups zu sein. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
Geben Sie in der Befehlszeile Folgendes ein:
add service <Service_name_1> <Pvt_IP1> TCP * -contentInspectionProfileName <Inline_Profile_1> -healthmonitor OFF –usip ON –useproxyport OFF
Beispiel:
add service Inline_service1 10.102.29.200 TCP 80 -contentInspectionProfileName Inline_profile1 -healthmonitor OFF -usip ON -useproxyport OFF
Dienst 2 für Inline-Gerät 2 hinzufügen
Nachdem Sie die Inhaltsinspektionsfunktion aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 2 für das Inline-Gerät 2 hinzufügen. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
Geben Sie in der Befehlszeile Folgendes ein:
add service <Service_name_1> <Pvt_IP1> TCP * -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF
Beispiel:
add service Inline_service1 10.29.20.205 TCP 80 -contentInspectionProfileName Inline_profile2 -healthmonitor OFF -usip ON -useproxyport OFF
Virtuellen Lastausgleichsserver hinzufügen
Nachdem Sie das Inline-Profil und die Dienste hinzugefügt haben, müssen Sie einen virtuellen Lastausgleichsserver für den Lastausgleich der Dienste hinzufügen.
Geben Sie in der Befehlszeile Folgendes ein:
add lb vserver <vserver_name> TCP <Pvt_IP3> <port>
Beispiel:
add lb vserver lb-Inline_vserver TCP *
Binden Sie Dienst 1 an den virtuellen Load Balancing-Server
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie nun den virtuellen Lastausgleichsserver an den ersten Dienst.
Geben Sie in der Befehlszeile Folgendes ein:
bind lb vserver <Vserver_name> <Service_name_1>
Beispiel:
bind lb vserver lb-Inline_vserver Inline_service1
Binden Sie Dienst 2 an den virtuellen Load Balancing-Server
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie den Server nun an den zweiten Dienst.
Geben Sie in der Befehlszeile Folgendes ein:
bind lb vserver <Vserver_name> <Service_name_1>
Beispiel:
bind lb vserver lb-Inline_vserver Inline_service2
Aktion zur Inhaltsinspektion für den Dienst hinzufügen
Nachdem Sie die Funktion Inhaltsüberprüfung aktiviert haben, müssen Sie die Aktion Inhaltsüberprüfung für die Verarbeitung der Inline-Anforderungsinformationen hinzufügen. Basierend auf der ausgewählten Aktion wird das Inline-Gerät gelöscht, zurückgesetzt oder blockiert, nachdem es die angegebene Teilmenge des Datenverkehrs untersucht hat.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>] [-reqTimeout <positive_integer>] [-reqTimeoutAction <reqTimeoutAction>]
add ContentInspection action < action_name > -type InlineINSPECTION -serverName Service_name/Vserver_name>
Beispiel:
add ContentInspection action Inline_action -type InlineINSPECTION –serverName lb-Inline_vserver
Inhaltsüberprüfungsrichtlinie zur Überprüfung hinzufügen
Nachdem Sie eine Inhaltsinspektionsaktion erstellt haben, müssen Sie die Inhaltsinspektionsrichtlinie hinzufügen, um Serviceanfragen zu bewerten. Die Richtlinie basiert auf einer Regel, die aus einem oder mehreren Ausdrücken besteht. Die Regel ist mit der Inhaltsinspektionsaktion verknüpft, die verknüpft wird, wenn eine Anforderung der Regel entspricht.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection policy <policy_name> –rule <Rule> -action <action_name>
Beispiel:
add contentInspection policy Inline_pol1 –rule true –action Inline_action
Hinzufügen eines virtuellen Content Switching- oder Lastausgleichsservers vom Typ HTTP/SSL
Fügen Sie einen virtuellen Content Switching- oder Lastausgleichsserver hinzu, um Webverkehr zu akzeptieren Außerdem müssen Sie die Layer2-Verbindung auf dem virtuellen Server aktivieren. Weitere Informationen zum Lastausgleich finden Sie unter Funktionsweise des Lastausgleichs.
Geben Sie in der Befehlszeile Folgendes ein:
add lb vserver <name> <vserver name> -l2Conn ON
Beispiel:
add lb vserver http_vserver HTTP 10.102.29.200 8080 –l2Conn ON
Richtlinie zur Inhaltsüberprüfung an einen virtuellen Lastausgleichsserver vom Typ HTTP/SSL binden
Sie müssen den virtuellen Content Switching- oder Load Balancing-Server vom Typ HTTP/SSL an die Richtlinie zur Inhaltsüberprüfung binden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <L7InlineREQUEST | L4Inline-REQUEST>
Beispiel:
bind lb vserver http_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
Szenario 3: Lastausgleich mehrerer Inline-Geräte mithilfe gemeinsam genutzter Schnittstellen
Sie können diese Konfiguration verwenden, wenn Sie mehrere Inline-Geräte verwenden und wenn Sie den Lastausgleich der Geräte mithilfe verschiedener Dienste in einer gemeinsam genutzten VLAN-Schnittstelle durchführen möchten. Diese Konfiguration mit gemeinsam genutzten VLAN-Schnittstellen ähnelt Anwendungsfall 2. Informationen zur grundlegenden Konfiguration finden Sie in Szenario 2.
Binden Sie VLAN A mit aktivierter Sharing-Option
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 100 –ifnum 1/2 tagged
Binden Sie VLAN B mit aktivierter Sharing-Option
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 200 –ifnum 1/3 tagged
Binden Sie VLAN C mit aktivierter Sharing-Option
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 300 –ifnum 1/2 tagged
Binden Sie VLAN D mit aktivierter Sharing-Option
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 400 –ifnum 1/3 tagged
Fügen Sie das Inhaltsprüfprofil1 für Service1 hinzu
Inline-Konfigurationen für eine NetScaler-Appliance können in einer Entität angegeben werden, die als Content Inspection-Profil bezeichnet wird. Das Profil hat eine Sammlung von Geräteeinstellungen. Das Content Inspection-Profil wird für Inline-Dienst 1 erstellt und die Kommunikation erfolgt über 1/2 und 1/3 dedizierte Schnittstellen.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3” –egressVlan 100 -ingressVlan 300
Fügen Sie das Inhaltsprüfprofil2 für Service2 hinzu
Das Content Inspection Profil2 wurde für service2 hinzugefügt und das Inline-Gerät kommuniziert über dedizierte Schnittstellen 1/2
und 1/3
mit der Appliance.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3” –egressVlan 200 -ingressVlan 400
Konfigurieren der Inline-Serviceintegration mithilfe der NetScaler GUI
- Melden Sie sich bei der NetScaler-Appliance an und navigieren Sie zur Registerkarte Konfiguration .
- Navigieren Sie zu System > Einstellungen > Modi konfigurieren.
- Wählen Sie auf der Seite „ Modi konfigurieren “ die Option Mac Based Forwardingaus.
- Klicken Sie auf OK und schließen.
- Navigieren Sie zu System > Einstellungen > Erweiterte Funktionen konfigurieren.
- Wählen Sie auf der Seite „ Erweiterte Funktionen konfigurieren “ die Option Inhaltsinspektionaus.
- Klicken Sie auf OK und schließen.
- Navigieren Sie zu Sicherheit > Inhaltsinspektion > ContentInspection-Profile.
- Klicken Sie auf der Seite mit den ContentInspection-Profilen auf Hinzufügen.
-
Stellen Sie auf der Seite „ ContentInspection-Profile erstellen “ die folgenden Parameter ein.
- Profilname. Name des Inhaltsprüfprofils.
- Typ. Wählen Sie als Profiltyp InlineInspection aus.
- Ausgangsschnittstelle. Schnittstelle, über die die Appliance Datenverkehr vom NetScaler zum Inline-Gerät sendet.
- Eingangsschnittstelle. Schnittstelle, über die die Appliance Datenverkehr vom Inline-Gerät zum NetScaler empfängt.
- Ausgangs-VLAN. Schnittstellen-VLAN-ID, über die der Datenverkehr an das Inline-Gerät gesendet wird.
- VLAN eingeben. Schnittstellen-VLAN-ID, über die die Appliance Datenverkehr von Inline zu NetScaler empfängt (sofern konfiguriert).
- Klicken Sie auf Erstellen und Schließen.
- Navigieren Sie zu Traffic Management > Load Balancing > Services und klicken Sie auf Hinzufügen
-
Stellen Sie auf der Seite Dienste die folgenden Parameter ein:
- Name des Dienstes. Name des Load Balancing-Dienstes.
- IP-Adresse. Verwenden Sie eine Schein-IP-Adresse. Hinweis: Kein Gerät darf die IP-Adresse besitzen.
- Protokoll. Wählen Sie den Protokolltyp als TCP aus.
- Port. Geben Sie ein *
- Gesundheitsüberwachung. Deaktivieren Sie diese Option und aktivieren Sie sie nur, wenn Sie den Dienst an den TCP-Monitor binden möchten. Wenn Sie einen Monitor an einen Dienst binden möchten, muss die Option
TRANSPARENT
im Monitor aktiviert sein. In Schritt 14 erfahren Sie, wie Sie einen Monitor hinzufügen und ihn an den Dienst binden. - Klicken Sie auf OK.
-
Bearbeiten Sie im Abschnitt Einstellungen Folgendes und klicken Sie auf OK.
- Proxyport verwenden: Schalten Sie ihn aus
- Quell-IP-Adresse verwenden: Schalten Sie sie ein
- Klicken Sie im Abschnitt “Erweiterte Einstellungen “ auf “ Profile”.
- Gehen Sie zum Abschnitt Profile, fügen Sie das Inline-Inhaltsprüfprofil hinzu und klicken Sie auf OK.
- Gehen Sie zum Abschnitt „ Monitore“, „ Bindungen hinzufügen “ > „Monitor“ > „ Hinzufügen“.
- Name: Name des Monitors
- Typ: Wählen Sie den TCP-Typ
- Ziel-IP, PORT: Ziel-IP-Adresse und Port.
- Transparent: EINSCHALTEN
Hinweis: Monitor-Pakete müssen durch das Inline-Gerät fließen, um den Status des Inline-Geräts zu überwachen.
- Klicken Sie auf Erstellen.
- Klicken Sie auf Fertig.
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server. Fügen Sie einen virtuellen Server vom Typ HTTP oder SSL hinzu.
- Nachdem Sie die Serverdetails eingegeben haben, klicken Sie auf OK und erneut auf OK.
- Schalten Sie im Abschnitt Traffic Settings des Load Balancing Virtual Servers die Layer-2-Parameter ein.
- Klicken Sie im Abschnitt “Erweiterte Einstellungen “ auf Richtlinien.
- Gehen Sie zum Abschnitt Richtlinien und klicken Sie auf das Symbol „+“, um die Richtlinie zur Inhaltsinspektion zu konfigurieren.
- Wählen Sie auf der Seite Choose Policy die Option Content Inspection aus. Klicken Sie auf Weiter.
- Klicken Sie im Abschnitt Richtlinienbindung auf Hinzufügen, um eine Richtlinie zur Inhaltsinspektion hinzuzufügen.
- Geben Sie auf der Seite „ ContentInspection-Richtlinie erstellen “ einen Namen für die Richtlinie zur Inline-Inhaltsinspektion ein.
- Klicken Sie im Feld Aktion auf Hinzufügen, um eine Aktion zur Inline-Inhaltsinspektion zu erstellen.
-
Stellen Sie auf der Seite „ CI-Aktion erstellen “ die folgenden Parameter ein:
- Name. Name der Inline-Richtlinie zur Inhaltsüberprüfung.
- Typ. Wählen Sie den Typ als InlineInspection aus.
- Server. Wählen Sie den Server/Dienst als Inline-Geräte aus.
- Wenn Server ausgefallen ist. Wählen Sie einen Vorgang aus, wenn der Server ausfällt.
- Zeitüberschreitung anfragen. Wählen Sie einen Timeoutwert aus. Sie können Standardwerte verwenden.
- Timeout-Aktion anfordern. Wählen Sie eine Zeitüberschreitungsaktion aus. Sie können Standardwerte verwenden.
- Klicken Sie auf Erstellen.
- Geben Sie auf der Seite „ CI-Richtlinie erstellen “ weitere Details ein:
- Klicken Sie auf OK und schließen.
Teilen
Teilen
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.