-
Bereitstellen einer Citrix ADC VPX- Instanz
-
Optimieren der Leistung von Citrix ADC VPX auf VMware ESX, Linux KVM und Citrix Hypervisors
-
Citrix ADC VPX-Konfigurationen beim ersten Start der Citrix ADC-Appliance in der Cloud anwenden
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX-Instanz in der VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX-Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Provisioning der Citrix ADC Virtual Appliance mit dem Virtual Machine Manager
-
Konfigurieren von Citrix ADC Virtual Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Provisioning der Citrix ADC Virtual Appliance über das virsh-Programm
-
Provisioning der Citrix ADC Virtual Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen eines VPX-HA-Paar in derselben AWS-Verfügbarkeitszone
-
Bereitstellen eines VPX Hochverfügbarkeitspaars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX-Instanz auf Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen auf Microsoft Azure
-
Mehrere IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs über PowerShell-Befehle konfigurieren
-
Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke konfigurieren
-
HA-INC-Knoten über die Citrix Hochverfügbarkeitsvorlage mit Azure ILB konfigurieren
-
Citrix ADC VPX-Instanz auf der Azure VMware-Lösung installieren
-
Konfigurieren von GSLB in einem Active-Standby-Hochverfügbarkeitssetup
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Citrix ADC VPX-Instanz auf der Google Cloud Platform bereitstellen
-
Bereitstellung und Konfigurationen von Citrix ADC automatisieren
-
Lösungen für Telekommunikationsdienstleister
-
Authentifizierung, Autorisierung und Überwachung des Anwendungsverkehrs
-
Wie Authentifizierung, Autorisierung und Auditing funktionieren
-
Grundkomponenten der Authentifizierung, Autorisierung und Audit-Konfiguration
-
Lokal Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration für häufig verwendete Protokolle
-
-
-
-
Konfigurieren von erweiterten Richtlinienausdrücken: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Zeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream-Analytics-Funktionen
-
Zusammenfassende Beispiele für Standardsyntaxausdrücke und -richtlinien
-
Tutorial Beispiele für Standardsyntaxrichtlinien für Rewrite
-
Migration von Apache mod_rewrite-Regeln auf die Standardsyntax
-
-
-
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken für virtuelle Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkte Richtlinieneinschläge auf den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
-
Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse
-
-
Verwalten des Citrix ADC Clusters
-
Knotengruppen für gepunktete und teilweise gestreifte Konfigurationen
-
Entfernen eines Knotens aus einem Cluster, der mit Cluster-Link-Aggregation bereitgestellt wird
-
Überwachen von Fehlern bei der Befehlsausbreitung in einer Clusterbereitstellung
-
VRRP-Interface-Bindung in einem aktiven Cluster mit einem einzigen Knoten
-
-
Konfigurieren von Citrix ADC als nicht-validierenden sicherheitsbewussten Stub-Resolver
-
Jumbo-Frames Unterstützung für DNS zur Handhabung von Reaktionen großer Größen
-
Zwischenspeichern von EDNS0-Client-Subnetzdaten bei einer Citrix ADC-Appliance im Proxymodus
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domänennamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-Adressbasierten Autoscale-Dienstgruppe
-
-
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Angegebene Quell-IP für die Back-End-Kommunikation verwenden
-
Quellport aus einem bestimmten Portbereich für die Back-End-Kommunikation verwenden
-
Quell-IP-Persistenz für Back-End-Kommunikation konfigurieren
-
Lokale IPv6-Linkadressen auf der Serverseite eines Load Balancing-Setups
-
Erweiterte Load Balancing-Einstellungen
-
Allmählich die Belastung eines neuen Dienstes mit virtuellem Server-Level erhöhen
-
Anwendungen vor Verkehrsspitzen auf geschützten Servern schützen
-
Bereinigung von virtuellen Server- und Dienstverbindungen ermöglichen
-
Persistenzsitzung auf TROFS-Diensten aktivieren oder deaktivieren
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolokalisierungsdatenbank abrufen
-
Quell-IP-Adresse des Clients beim Verbinden mit dem Server verwenden
-
Limit für die Anzahl der Anfragen pro Verbindung zum Server festlegen
-
Schwellenwert für die an einen Dienst gebundenen Monitore festlegen
-
Grenzwert für die Bandbreitenauslastung durch Clients festlegen
-
-
-
Lastausgleichs für häufig verwendete Protokolle konfigurieren
-
Anwendungsfall 5: DSR-Modus beim Verwenden von TOS konfigurieren
-
Anwendungsfall 6: Lastausgleich im DSR-Modus für IPv6-Netzwerke mit dem TOS-Feld konfigurieren
-
Anwendungsfall 7: Lastausgleich im DSR-Modus mit IP-over-IP konfigurieren
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Lastausgleich im Inlinemodus konfigurieren
-
Anwendungsfall 10: Lastausgleich von Intrusion-Detection-System-Servern
-
Anwendungsfall 11: Netzwerkverkehr mit Listenrichtlinien isolieren
-
Anwendungsfall 12: Citrix Virtual Desktops für den Lastausgleich konfigurieren
-
Anwendungsfall 13: Citrix Virtual Apps für den Lastausgleich konfigurieren
-
Anwendungsfall 14: ShareFile-Assistent zum Lastausgleich Citrix ShareFile
-
Anwendungsfall 15: Layer-4-Lastausgleich auf der Citrix ADC-Appliance konfigurieren
-
SSL-Offload und Beschleunigung
-
Unterstützung des TLSv1.3-Protokolls wie in RFC 8446 definiert
-
Unterstützungsmatrix für Serverzertifikate auf der ADC-Appliance
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Thales Luna Network Hardwaresicherheitsmodul
-
-
Inline-Geräteintegration mit Citrix ADC
-
-
-
-
CloudBridge Connector-Tunnels zwischen zwei Rechenzentren konfigurieren
-
CloudBridge Connector zwischen Datacenter und AWS Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen einem Rechenzentrum und Azure Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud konfigurieren
-
-
Konfigurationsdateien in einem Hochverfügbarkeitssetup synchronisieren
-
Hochverfügbarkeitsknoten in verschiedenen Subnetzen konfigurieren
-
Beschränken von Failovers, die durch Routenmonitore im Nicht-INC-Modus verursacht werden
-
HA-Heartbeat-Meldungen auf einer Citrix ADC-Appliance verwalten
-
Citrix ADC in einem Hochverfügbarkeitssetup entfernen und ersetzen
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Inline-Geräteintegration mit Citrix ADC
Sicherheitsgeräte wie Intrusion Prevention System (IPS) und Next Generation Firewall (NGFW) schützen Server vor Netzwerkangriffen. Diese Geräte werden im Layer-2-Inline-Modus bereitgestellt. Ihre primäre Funktion besteht darin, Server vor Netzwerkangriffen zu schützen und Sicherheitsbedrohungen im Netzwerk zu melden.
Um anfällige Bedrohungen zu vermeiden und erweiterten Sicherheitsschutz zu bieten, ist eine Citrix ADC Appliance mit einem oder mehreren Inline-Geräten integriert. Die Inline-Geräte können jedes Sicherheitsgerät wie IPS, NGFW sein.
Im Folgenden sind einige der Anwendungsfälle aufgeführt, die bei der Verwendung der Inline-Geräteintegration mit der Citrix ADC Appliance profitieren:
- Verschlüsselten Datenverkehr wird überprüft. Die meisten IPS- und NGFW-Appliances umgehen verschlüsselten Datenverkehr, wodurch Server anfällig für Angriffe bleiben. Eine Citrix ADC Appliance kann Datenverkehr entschlüsseln und zur Inspektion an Inline-Geräte senden. Es erhöht die Netzwerksicherheit des Kunden.
- Entladen von Inline-Geräten aus der TLS/SSL-Verarbeitung. Die TLS/SSL-Verarbeitung ist teuer und das Problem kann zu einer hohen System-CPU in IPS- oder NGFW-Appliances führen, wenn sie den Datenverkehr entschlüsseln. Da der verschlüsselte Datenverkehr in einem rasanten Tempo wächst, können diese Systeme verschlüsselten Datenverkehr nicht entschlüsseln und untersuchen. Citrix ADC hilft beim Abladen von Inline-Geräten aus der TLS/SSL-Verarbeitung. Dies führt dazu, dass das Inline-Gerät ein hohes Maß an Verkehrsinspektion unterstützt.
- Laden von Balancing-Inline-Geräten. Die Citrix ADC Appliance gleicht bei hohem Datenverkehr mehrere Inline-Geräte aus.
- Intelligente Auswahl des Datenverkehrs. Jedes Paket, das in die Appliance fließt, kann Inhalt inspiziert werden, zum Beispiel das Herunterladen von Textdateien. Benutzer können die Citrix ADC Appliance so konfigurieren, dass sie bestimmten Datenverkehr (z. B. EXE-Dateien) zur Überprüfung auswählen und den Datenverkehr an Inline-Geräte zur Verarbeitung der Daten senden
Wie der Citrix ADC in Inline-Geräte integriert ist
Das folgende Diagramm zeigt, wie ein Citrix ADC in Inline-Sicherheitsgeräte integriert ist.
Wenn Sie Inline-Geräte in die Citrix ADC Appliance integrieren, interagiert die Komponente wie folgt:
- Ein Client sendet eine Anforderung an die Citrix ADC Appliance.
- Die Appliance empfängt die Anforderung und sendet sie basierend auf der Richtlinienbewertung an ein Inline-Gerät. Hinweis: Wenn zwei oder mehr Inline-Geräte vorhanden sind, gleicht die Appliance die Geräte aus und sendet den Datenverkehr. Wenn der eingehende Datenverkehr verschlüsselt ist, entschlüsselt die Appliance die Daten und sendet sie als Klartext an das Inline-Gerät zur Inhaltsüberprüfung.
- Das Inline-Gerät prüft die Daten auf Bedrohungen und entscheidet, ob die Daten gelöscht, zurückgesetzt oder an die Appliance gesendet werden sollen.
- Wenn Sicherheitsbedrohungen vorliegen, ändert das Gerät die Daten und sendet sie an die Appliance.
- Der Citrix ADC wiederum verschlüsselt die Daten erneut und leitet die Anforderung an den Back-End-Server weiter.
- Der Back-End-Server sendet die Antwort an die Citrix ADC Appliance.
- Die Appliance entschlüsselt die Daten erneut und sendet sie zur Überprüfung an das Inline-Gerät.
- Appliance verschlüsselt die Daten erneut und sendet die Antwort an den Client
Softwarelizenzierung
Um die Inline-Geräteintegration bereitzustellen, muss Ihre Citrix ADC Appliance mit einer der folgenden Lizenzen bereitgestellt werden:
- ADC Premium
- ADC Advanced
- Telco Fortgeschrittene
- Telco Premium
- SWG-Lizenz
Konfigurieren der Inline-Geräteintegration
Sie können eine Citrix ADC Appliance mit einem Inline-Gerät auf drei verschiedene Arten konfigurieren. Die Konfigurationsszenarien sind wie folgt.
Szenario 1 für die Verwendung eines einzelnen Inline-Geräts
Wenn Sie ein Sicherheitsgerät (IPS oder NGFW) im Inlinemodus integrieren möchten, müssen Sie zunächst die Content Inspection-Funktion aktivieren und den Citrix ADC in MBF (Mac-basierte Weiterleitung) im globalen Modus aktivieren. Nachdem Sie die Funktionen aktiviert haben, müssen Sie das Content Inspection-Profil hinzufügen und die Aktion zur Inhaltsüberprüfung hinzufügen, damit Inline-Geräte den Datenverkehr basierend auf der Inspektion zurücksetzen, blockieren oder löschen können. Fügen Sie dann die Inhaltsinspektionsrichtlinie für die Appliance hinzu, um zu entscheiden, welche Teilmenge des Datenverkehrs an die Inline-Geräte gesendet werden soll. Konfigurieren Sie dann den virtuellen Lastausgleichsserver mit aktivierter Layer-2-Verbindung auf dem Server. Schließlich binden Sie die Inhaltsüberprüfungsrichtlinie an den virtuellen Lastenausgleichsserver.
MBF-Modus (MAC-basierte Weiterleitung) aktivieren
Wenn die Citrix ADC Appliance in Inline-Geräte wie IPS oder Firewalls integriert werden soll, müssen Sie diesen Modus aktivieren. Weitere Informationen zu MBF finden Sie unter Konfigurieren der MAC-basierten Weiterleitung.
Geben Sie an der Eingabeaufforderung Folgendes ein:
enable ns mode mbf
Inhaltsprüfung aktivieren
Wenn Sie möchten, dass die Citrix ADC Appliance den Inhalt zur Inspektion entschlüsselt und dann an die Inline-Geräte sendet, müssen Sie die Funktionen Content Inspection und Load Balancing aktivieren.
enable ns feature contentInspection LoadBalancing
Add Layer 2-Verbindungsmethode
Um die von Inline-Geräten generierte Reaktion zu verarbeiten, verwendet die Appliance den VLAN-Kanal als Layer-2-Methode (L2ConnMethod) für die Kommunikation mit Inline-Geräten.
Geben Sie an der Eingabeaufforderung Folgendes ein:
set l4param -l2ConnMethod <l2ConnMethod>
Beispiel
set l4param –l2ConnMethod VlanChannel
Content-Inspection-Profil für Service hinzufügen
Die Inline-Gerätekonfiguration für eine Citrix ADC Appliance kann in einer Entität namens Content Inspection Profile angegeben werden. Das Profil verfügt über eine Sammlung von Einstellungen, die die Integration mit einem Inline-Gerät erklären.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
IPS-TCP-Monitor hinzufügen
Wenn Sie Monitore konfigurieren möchten, fügen Sie einen benutzerdefinierten Monitor hinzu. Hinweis: Wenn Sie Monitore konfigurieren möchten, müssen Sie einen benutzerdefinierten Monitor verwenden. Wenn Sie einen Monitor hinzufügen, müssen Sie den transparenten Parameter aktivieren.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb monitor <monitorName> <type> [-destIP <ip_addr|ipv6_addr>] [-destPort <port>] [-transparent ( YES | NO )]
Beispiel:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
Hinzufügen eines Dienstes
Fügen Sie einen Dienst hinzu. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie use source IP address (USIP) auf YES. Setzen Sie useproxyport auf NO. Standardmäßig ist die Systemüberwachung ON, binden Sie den Dienst an einen Integritätsmonitor und legen Sie auch die Option TRANSPARENT im Monitor ON fest. Geben Sie an der Eingabeaufforderung Folgendes ein:
add service <Service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor YES -usip ON –useproxyport OFF
Beispiel:
add service ips_service 192.168.10.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
Hinzufügen eines Integritätsmonitors
Standardmäßig ist der Integritätsmonitor aktiviert und Sie haben auch die Möglichkeit, ihn bei Bedarf zu deaktivieren. Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb monitor <name> TCP -destIP <ip address> -destPort 80 -transparent <YES, NO>
Beispiel:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
Binden Sie den Dienst an den Integritätsmonitor
Nachdem Sie den Integritätsmonitor konfiguriert haben, müssen Sie den Dienst an den Integritätsmonitor binden. Geben Sie an der Eingabeaufforderung Folgendes ein:
bind service <name> -monitorName <name>
Beispiel:
bind service ips_svc -monitorName ips_tcp
Aktion zur Inhaltsprüfung für Service hinzufügen
Nachdem Sie die Funktion zur Inhaltsüberwachung aktiviert haben und nachdem Sie das Inline-Profil und den Service hinzugefügt haben, müssen Sie die Aktion Inhaltsüberwachung für die Bearbeitung der Anfrage hinzufügen. Basierend auf der Inhaltsüberprüfungsaktion kann das Inline-Gerät Aktionen nach Überprüfung der Daten löschen, zurücksetzen oder blockieren.
Wenn der Inline-Server oder -Dienst nicht verfügbar ist, können Sie den Parameter ifserverdown in der Appliance so konfigurieren, dass eine der folgenden Aktionen ausgeführt wird.
CONTINUE: Wenn der Benutzer die Inhaltsüberprüfung umgehen möchte, wenn der Remoteserver ausfällt, können Sie standardmäßig die Aktion “CONTINUE” wählen. RESET (Standard): Diese Aktion reagiert auf den Client, indem die Verbindung mit RST geschlossen wird. DROP: Diese Aktion löscht automatisch die Pakete, ohne eine Antwort an den Benutzer zu senden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>] [-reqTimeout <positive_integer>] [-reqTimeoutAction <reqTimeoutAction>]
add ContentInspection action <action_name> -type InlineINSPECTION -serverName Service_name/Vserver_name>
Beispiel:
add ContentInspection action <Inline_action> -type InlineSPECTION –serverName Inline_service1
Inhaltsüberprüfungsrichtlinie für die Inspektion hinzufügen
Nachdem Sie eine Inhaltsprüfungsaktion erstellt haben, müssen Sie Inhaltsprüfungsrichtlinien hinzufügen, um Prüfungsanforderungen auszuwerten. Die Richtlinie basiert auf einer Regel, die aus einem oder mehreren Ausdrücken besteht. Die Richtlinie bewertet und wählt den Datenverkehr für die Inspektion basierend auf der Regel aus.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection policy <policy_name> –rule <Rule> -action <action_name>
Beispiel
add contentInspection policy Inline_pol1 –rule true –action Inline_action
Hinzufügen von virtuellem Content Switching- oder Lastausgleichsserver vom Typ HTTP/SSL
Um den Webdatenverkehr zu empfangen, müssen Sie einen virtuellen Lastausgleichsserver hinzufügen. Außerdem müssen Sie die Layer2-Verbindung auf dem virtuellen Server aktivieren.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb vserver <name> <vserver name> -l2Conn ON
Beispiel:
add lb vserver HTTP_vserver HTTP 10.102.29.200 8080 –l2Conn ON
Content Inspection Policy an virtuellen Content Switching- oder Load Balancing-Server vom Typ HTTP/SSL binden
Sie binden den virtuellen Lastenausgleichsserver oder den virtuellen Content Switching-Server vom Typ HTTP/SSL an die Inhaltsinspektionsrichtlinie. Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>
Beispiel:
bind lb vserver HTTP_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
Szenario 2: Lastenausgleich mehrerer Inline-Geräte mit dedizierten Schnittstellen
Wenn Sie zwei oder mehr Inline-Geräte verwenden, müssen Sie die Geräte mit verschiedenen Content-Inspektionsdiensten in einem dedizierten VLAN-Setup ausgleichen. In diesem Fall gleicht die Citrix ADC Appliance die Geräte so aus, dass eine Teilmenge des Datenverkehrs an jedes Gerät über eine dedizierte Schnittstelle gesendet wird. Grundlegende Konfigurationsschritte finden Sie unter Szenario 1.
Inhaltsprüfprofil1 hinzufügen für Service1
Inline-Konfigurationen für eine Citrix ADC Appliance können in einer Entität namens Content Inspection Profile angegeben werden. Das Profil verfügt über eine Sammlung von Geräteeinstellungen. Das Content Inspection Profile1 wird für Inline Service 1 erstellt und die Kommunikation erfolgt über 1/2 und 1/3 dedizierte Schnittstellen.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
Add content inspection profile2 for service2
Das Content Inspection Profile2 wird für service2 hinzugefügt und das Inline-Gerät kommuniziert über 1/41/5 dedizierte Schnittstellen mit der Appliance.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface “1/4” -egressInterface “1/5”
Service 1 für Inline-Gerät 1 hinzufügen
Nachdem Sie die Inhaltsinspektion aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 1 für Inline-Gerät 1 hinzufügen, um Teil des Lastausgleichs zu sein. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add service <Service_name_1> <Pvt_IP1> TCP * -contentInspectionProfileName <Inline_Profile_1> -healthmonitor OFF –usip ON –useproxyport OFF
Beispiel:
add service Inline_service1 10.102.29.200 TCP 80 -contentInspectionProfileName Inline_profile1 -healthmonitor OFF -usip ON -useproxyport OFF
Service 2 für Inline-Gerät 2 hinzufügen
Nachdem Sie die Inhaltsinspektion aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 2 für Inline-Gerät 2 hinzufügen. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add service <Service_name_1> <Pvt_IP1> TCP * -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF
Beispiel:
add service Inline_service1 10.29.20.205 TCP 80 -contentInspectionProfileName Inline_profile2 -healthmonitor OFF -usip ON -useproxyport OFF
Hinzufügen eines virtuellen Lastausgleichsservers
Nachdem Sie das Inline-Profil und die Dienste hinzugefügt haben, müssen Sie einen virtuellen Lastausgleichsserver für den Lastenausgleich der Dienste hinzufügen.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb vserver <vserver_name> TCP <Pvt_IP3> <port>
Beispiel:
add lb vserver lb-Inline_vserver TCP *
Binden Sie Dienst 1 an den virtuellen Lastausgleichsserver
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie nun den virtuellen Lastausgleichsserver an den ersten Dienst.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <Vserver_name> <Service_name_1>
Beispiel:
bind lb vserver lb-Inline_vserver Inline_service1
Binden Sie Dienst 2 an den virtuellen Lastausgleichsserver
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie den Server nun an den zweiten Dienst.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <Vserver_name> <Service_name_1>
Beispiel:
bind lb vserver lb-Inline_vserver Inline_service2
Hinzufügen von Inhaltsprüfungsmaßnahmen für den Service
Nachdem Sie die Funktion Inhaltsüberprüfung aktiviert haben, müssen Sie die Aktion Inhaltsüberprüfung für die Verarbeitung der Inline-Anforderungsinformationen hinzufügen. Basierend auf der ausgewählten Aktion wird das Inline-Gerät abgesetzt, zurückgesetzt oder blockiert, nachdem es die angegebene Teilmenge des Datenverkehrs untersucht hat.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>] [-reqTimeout <positive_integer>] [-reqTimeoutAction <reqTimeoutAction>]
add ContentInspection action < action_name > -type InlineINSPECTION -serverName Service_name/Vserver_name>
Beispiel:
add ContentInspection action Inline_action -type InlineINSPECTION –serverName lb-Inline_vserver
Inhaltsüberprüfungsrichtlinie für die Inspektion hinzufügen
Nachdem Sie eine Aktion zur Inhaltsüberwachung erstellt haben, müssen Sie die Inhaltsinspektionsrichtlinie hinzufügen, um Serviceanfragen zu bewerten. Die Richtlinie basiert auf einer Regel, die aus einem oder mehreren Ausdrücken besteht. Die Regel ist der Inhaltsprüfung Aktion zugeordnet, die zugeordnet ist, wenn eine Anforderung mit der Regel übereinstimmt.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection policy <policy_name> –rule <Rule> -action <action_name>
Beispiel:
add contentInspection policy Inline_pol1 –rule true –action Inline_action
Hinzufügen von virtuellem Content Switching- oder Lastausgleichsserver vom Typ HTTP/SSL
Fügen Sie einen virtuellen Content Switching-Server oder zum Lastenausgleich hinzu, um Webdatenverkehr zu akzeptieren. Außerdem müssen Sie die Layer2-Verbindung auf dem virtuellen Server aktivieren. Weitere Informationen zum Lastenausgleich finden Sie unter Funktionsweise des Lastenausgleichs .
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb vserver <name> <vserver name> -l2Conn ON
Beispiel:
add lb vserver http_vserver HTTP 10.102.29.200 8080 –l2Conn ON
Bind Content Inspection Policy für den Lastenausgleich virtueller Server vom Typ HTTP/SSL
Sie müssen den virtuellen Content Switching- oder Lastausgleichsserver des Typs HTTP/SSL an die Inhaltsüberprüfungsrichtlinie binden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <L7InlineREQUEST | L4Inline-REQUEST>
Beispiel:
bind lb vserver http_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
Szenario 3: Lastenausgleich mehrerer Inline-Geräte über gemeinsame Schnittstellen
Sie können auf diese Konfiguration verweisen, wenn Sie mehrere Inline-Geräte verwenden und wenn Sie die Geräte über verschiedene Dienste in einer gemeinsam genutzten VLAN-Schnittstelle laden möchten. Diese Konfiguration mit gemeinsam genutzten VLAN-Schnittstellen ähnelt dem Anwendungsfall 2. Informationen zur Grundkonfiguration finden Sie unter Szenario 2.
Binden Sie VLAN A mit aktivierter Freigabeoption
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 100 –ifnum 1/2 tagged
Binden Sie VLAN B mit aktivierter Freigabeoption
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 200 –ifnum 1/3 tagged
Binden Sie VLAN C mit aktivierter Freigabeoption
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 300 –ifnum 1/2 tagged
Binden Sie VLAN D mit aktivierter Freigabeoption
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 400 –ifnum 1/3 tagged
Inhaltsprüfprofil1 hinzufügen für Service1
Inline-Konfigurationen für eine Citrix ADC Appliance können in einer Entität namens Content Inspection Profile angegeben werden. Das Profil verfügt über eine Sammlung von Geräteeinstellungen. Das Content Inspection-Profil wird für den Inline-Service 1 erstellt und die Kommunikation erfolgt über dedizierte 1/2- und 1/3-Schnittstellen.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3” –egressVlan 100 -ingressVlan 300
Add content inspection profile2 for service2
Das Content Inspection Profile2 wird für service2 hinzugefügt und das Inline-Gerät kommuniziert über 1/21/3 dedizierte Schnittstellen mit der Appliance.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3” –egressVlan 200 -ingressVlan 400
Konfigurieren der Inline-Dienstintegration über die Citrix ADC GUI
- Melden Sie sich bei der Citrix ADC Appliance an, und navigieren Sie zur Registerkarte Konfiguration .
- Navigieren Sie zu System > Einstellungen > Modi konfigurieren .
- Wählen Sie auf der Seite Modi konfigurieren die Option Mac Based Forwarding aus.
-
Klicken Sie auf OK und schließen.
- Navigieren Sie zu System > Einstellungen > Erweiterte Funktionen konfigurieren.
- Wählen Sie auf der Seite Erweiterte Funktion konfigurieren die Option Inhaltsinspektion aus.
-
Klicken Sie auf OK und schließen.
- Navigieren Sie zu Sicherheit > Inhaltsinspektion > ContentInspection-Profile .
- Klicken Sie auf der Seite ContentInspection-Profile auf Hinzufügen .
-
Legen Sie auf der Seite ContentInspection-Profile erstellen die folgenden Parameter fest.
- Profilname Name des Content-Inspektionsprofils.
- Geben Sie ein. Wählen Sie den Profiltyp als InlineInspection aus.
- Schnittstelle ausziehen. Schnittstelle, über die die Appliance Datenverkehr vom Citrix ADC an das Inline-Gerät sendet.
- Eingangs-Schnittstelle. Schnittstelle, über die die Appliance Datenverkehr vom Inline-Gerät zum Citrix ADC empfängt.
- VLAN auslassen. Schnittstellen-VLAN-ID, über die der Datenverkehr an das Inline-Gerät gesendet wird.
- Eindringendes VLAN. Schnittstellen-VLAN-ID, über die die Appliance Datenverkehr von Inline zu Citrix ADC empfängt (falls konfiguriert).
- Klicken Sie auf Erstellen und Schließen.
- Navigieren Sie zu Traffic Management > Load Balancing > Services, und klicken Sie auf Hinzufügen.
-
Legen Sie auf der Seite Dienste die folgenden Parameter fest:
- Dienstname. Name des Lastenausgleichsdiensts.
- IP-Adresse. Verwenden Sie eine Dummy-IP-Adresse. Hinweis: Kein Gerät darf die IP-Adresse besitzen.
- -Protokoll. Wählen Sie den Protokolltyp als TCP aus.
- Port. Geben Sie ein *
- Gesundheitsüberwachung. Deaktivieren Sie diese Option und aktivieren Sie sie nur, wenn Sie den Dienst an den TCP-Typmonitor binden möchten. Wenn Sie einen Monitor an den Dienst binden möchten, muss die
TRANSPARENTOption im Monitor eingeschaltet sein. Siehe Schritt 14 zum Hinzufügen eines Monitors und zum Binden des Monitors an den Dienst. - Klicken Sie auf OK.
-
Bearbeiten Sie im Abschnitt Einstellungen Folgendes, und klicken Sie auf OK .
- Proxy-Port verwenden: Ausschalten
- Quell-IP-Adresse verwenden: Einschalten
- Klicken Sie im Abschnitt Erweiterte Einstellungen auf Profile.
-
Gehen Sie zum Abschnitt Profile, fügen Sie das Inline-Content-Inspektionsprofil hinzu, und klicken Sie auf OK .
- Gehen Sie zum Abschnitt Monitore, Bindungen hinzufügen > Wählen Sie Monitor > Hinzufügen .
- Name: Name des Monitors
- Typ: Wählen Sie TCP Typ
- Ziel-IP, PORT: Ziel-IP-Adresse und -Port.
- Transparent: Einschalten
Hinweis: Monitorpakete müssen durch das Inline-Gerät fließen, um den Status des Inline-Geräts zu überwachen.
-
Klicken Sie auf Erstellen.
- Klicken Sie auf Fertig.
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server. Fügen Sie einen virtuellen Server vom Typ HTTP oder SSL hinzu.
- Nachdem Sie die Serverdetails eingegeben haben, klicken Sie auf OK und erneut auf OK.
- Aktivieren Sie im Abschnitt Datenverkehrseinstellungen des virtuellen Lastenausgleichsservers Layer-2-Parameter.
- Klicken Sie im Abschnitt Erweiterte Einstellungen auf Richtlinien.
- Gehen Sie in den Abschnitt Richtlinien und klicken Sie auf das “+” -Symbol, um die Inhaltsüberprüfungsrichtlinie zu konfigurieren.
- Wählen Sie auf der Seite “Richtlinie auswählen” die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.
-
Klicken Sie im Abschnitt Richtlinienbindung auf Hinzufügen, um eine Richtlinie zur Inhaltsüberwachung hinzuzufügen.
- Geben Sie auf der Seite ContentInspection-Richtlinie erstellen einen Namen für die Inline-Inhaltsüberprüfungsrichtlinie ein.
- Klicken Sie im Feld Aktion auf Hinzufügen, um eine Inline-Inhaltsprüfung zu erstellen.
-
Legen Sie auf der Seite CI-Aktion erstellen die folgenden Parameter fest:
- Name. Name der Inhaltsüberprüfung Inline-Richtlinie.
- Geben Sie ein. Wählen Sie den Typ als InlineInspection aus.
- Server. Wählen Sie den Server/Dienst als Inline-Geräte aus.
- Wenn Server heruntergefahren ist. Wählen Sie einen Vorgang aus, wenn der Server ausfällt.
- Zeitüberschreitung der Anforderung. Wählen Sie einen Zeitüberschreitungswert aus. Sie können Standardwerte verwenden.
- Zeitüberschreitungsaktion anfordern. Wählen Sie eine Zeitüberschreitungsaktion aus. Sie können Standardwerte verwenden.
-
Klicken Sie auf Erstellen.
- Klicken Sie auf Erstellen.
- Geben Sie auf der Seite CI-Richtlinie erstellen weitere Details ein:
- Klicken Sie auf OK und schließen.
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.