-
Bereitstellen einer NetScaler VPX- Instanz
-
Optimieren der Leistung von NetScaler VPX auf VMware ESX, Linux KVM und Citrix Hypervisors
-
Unterstützung für die Erhöhung des NetScaler VPX-Speicherplatzes
-
NetScaler VPX-Konfigurationen beim ersten Start der NetScaler-Appliance in der Cloud anwenden
-
Verbessern der SSL-TPS-Leistung auf Public-Cloud-Plattformen
-
Gleichzeitiges Multithreading für NetScaler VPX in öffentlichen Clouds konfigurieren
-
Installieren einer NetScaler VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer NetScaler VPX-Instanz auf Citrix Hypervisor
-
Installieren einer NetScaler VPX-Instanz auf VMware ESX
-
NetScaler VPX für die Verwendung der VMXNET3-Netzwerkschnittstelle konfigurieren
-
NetScaler VPX für die Verwendung der SR-IOV-Netzwerkschnittstelle konfigurieren
-
Migration des NetScaler VPX von E1000 zu SR-IOV- oder VMXNET3-Netzwerkschnittstellen
-
NetScaler VPX für die Verwendung der PCI-Passthrough-Netzwerkschnittstelle konfigurieren
-
-
Installieren einer NetScaler VPX-Instanz in der VMware Cloud auf AWS
-
Installieren einer NetScaler VPX-Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer NetScaler VPX-Instanz auf der Linux-KVM-Plattform
-
Voraussetzungen für die Installation virtueller NetScaler VPX-Appliances auf der Linux-KVM-Plattform
-
Provisioning der virtuellen NetScaler-Appliance mit OpenStack
-
Provisioning der virtuellen NetScaler-Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller NetScaler-Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Provisioning der virtuellen NetScaler-Appliance mit dem virsh-Programm
-
Provisioning der virtuellen NetScaler-Appliance mit SR-IOV auf OpenStack
-
-
Bereitstellen einer NetScaler VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen NetScaler VPX-Instanz auf AWS
-
Bereitstellen eines VPX-HA-Paar in derselben AWS-Verfügbarkeitszone
-
Bereitstellen eines VPX Hochverfügbarkeitspaars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Schützen von AWS API Gateway mit NetScaler Web Application Firewall
-
Konfigurieren einer NetScaler VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer NetScaler VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer NetScaler VPX Instanz unter Microsoft Azure
-
Netzwerkarchitektur für NetScaler VPX-Instanzen auf Microsoft Azure
-
Mehrere IP-Adressen für eine eigenständige NetScaler VPX-Instanz konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs über PowerShell-Befehle konfigurieren
-
NetScaler-Hochverfügbarkeitspaar auf Azure mit ALB im Floating IP-Deaktiviert-Modus bereitstellen
-
Konfigurieren Sie eine NetScaler VPX-Instanz für die Verwendung von Azure Accelerated Networking
-
Konfigurieren Sie HA-INC-Knoten mithilfe der NetScaler-Hochverfügbarkeitsvorlage mit Azure ILB
-
NetScaler VPX-Instanz auf der Azure VMware-Lösung installieren
-
Eigenständige NetScaler VPX-Instanz auf der Azure VMware-Lösung konfigurieren
-
NetScaler VPX-Hochverfügbarkeitssetups auf Azure VMware-Lösung konfigurieren
-
Konfigurieren von GSLB in einem Active-Standby-Hochverfügbarkeitssetup
-
Konfigurieren von Adresspools (IIP) für eine NetScaler Gateway Appliance
-
Erstellen Sie ein Support-Ticket für die VPX-Instanz in Azure
-
NetScaler VPX-Instanz auf der Google Cloud Platform bereitstellen
-
Bereitstellen eines VPX-Hochverfügbarkeitspaars auf der Google Cloud Platform
-
VPX-Hochverfügbarkeitspaars mit privaten IP-Adressen auf der Google Cloud Platform bereitstellen
-
NetScaler VPX-Instanz auf Google Cloud VMware Engine bereitstellen
-
Unterstützung für VIP-Skalierung für NetScaler VPX-Instanz auf GCP
-
-
Bereitstellung und Konfigurationen von NetScaler automatisieren
-
Lösungen für Telekommunikationsdienstleister
-
Authentifizierung, Autorisierung und Überwachung des Anwendungsverkehrs
-
Wie Authentifizierung, Autorisierung und Auditing funktionieren
-
Grundkomponenten der Authentifizierung, Autorisierung und Audit-Konfiguration
-
Web Application Firewall-Schutz für virtuelle VPN-Server und virtuelle Authentifizierungsserver
-
Lokales NetScaler Gateway als Identitätsanbieter für Citrix Cloud
-
Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration für häufig verwendete Protokolle
-
-
-
-
Erweiterte Richtlinienausdrücke konfigurieren: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datum, Uhrzeit und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream-Analytics-Funktionen
-
Zusammenfassende Beispiele für fortgeschrittene politische Ausdrücke
-
Tutorial-Beispiele für erweiterte Richtlinien für das Umschreiben
-
-
-
Anwendungsfall — Binden der Web App Firewall-Richtlinie an einen virtuellen VPN-Server
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken für virtuelle Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkte Richtlinieneinschläge auf den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
-
Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse
-
-
Verwalten des NetScaler Clusters
-
Knotengruppen für gepunktete und teilweise gestreifte Konfigurationen
-
Entfernen eines Knotens aus einem Cluster, der mit Cluster-Link-Aggregation bereitgestellt wird
-
Überwachen von Fehlern bei der Befehlsausbreitung in einer Clusterbereitstellung
-
VRRP-Interface-Bindung in einem aktiven Cluster mit einem einzigen Knoten
-
-
Konfigurieren von NetScaler als nicht-validierenden sicherheitsbewussten Stub-Resolver
-
Jumbo-Frames Unterstützung für DNS zur Handhabung von Reaktionen großer Größen
-
Zwischenspeichern von EDNS0-Client-Subnetzdaten bei einer NetScaler-Appliance im Proxymodus
-
Anwendungsfall — Konfiguration der automatischen DNSSEC-Schlüsselverwaltungsfunktion
-
Anwendungsfall — wie man einen kompromittierten aktiven Schlüssel widerruft
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domänennamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-Adressbasierten Autoscale-Dienstgruppe
-
-
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Angegebene Quell-IP für die Back-End-Kommunikation verwenden
-
Quellport aus einem bestimmten Portbereich für die Back-End-Kommunikation verwenden
-
Quell-IP-Persistenz für Back-End-Kommunikation konfigurieren
-
Lokale IPv6-Linkadressen auf der Serverseite eines Load Balancing-Setups
-
Erweiterte Load Balancing-Einstellungen
-
Allmählich die Belastung eines neuen Dienstes mit virtuellem Server-Level erhöhen
-
Anwendungen vor Verkehrsspitzen auf geschützten Servern schützen
-
Bereinigung von virtuellen Server- und Dienstverbindungen ermöglichen
-
Persistenzsitzung auf TROFS-Diensten aktivieren oder deaktivieren
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Quell-IP-Adresse des Clients beim Verbinden mit dem Server verwenden
-
Limit für die Anzahl der Anfragen pro Verbindung zum Server festlegen
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Grenzwert für die Bandbreitenauslastung durch Clients festlegen
-
-
-
Lastausgleichs für häufig verwendete Protokolle konfigurieren
-
Anwendungsfall 5: DSR-Modus beim Verwenden von TOS konfigurieren
-
Anwendungsfall 6: Lastausgleich im DSR-Modus für IPv6-Netzwerke mit dem TOS-Feld konfigurieren
-
Anwendungsfall 7: Konfiguration des Lastenausgleichs im DSR-Modus mithilfe von IP Over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Lastausgleich im Inlinemodus konfigurieren
-
Anwendungsfall 10: Lastausgleich von Intrusion-Detection-System-Servern
-
Anwendungsfall 11: Netzwerkverkehr mit Listenrichtlinien isolieren
-
Anwendungsfall 12: Citrix Virtual Desktops für den Lastausgleich konfigurieren
-
Anwendungsfall 13: Konfiguration von Citrix Virtual Apps and Desktops für den Lastausgleich
-
Anwendungsfall 14: ShareFile-Assistent zum Lastausgleich Citrix ShareFile
-
Anwendungsfall 15: Konfiguration des Layer-4-Lastenausgleichs auf der NetScaler Appliance
-
-
SSL-Offload und Beschleunigung
-
Unterstützungsmatrix für Serverzertifikate auf der ADC-Appliance
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Thales Luna Network Hardwaresicherheitsmodul
-
-
-
CloudBridge Connector-Tunnels zwischen zwei Rechenzentren konfigurieren
-
CloudBridge Connector zwischen Datacenter und AWS Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen einem Rechenzentrum und Azure Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud konfigurieren
-
-
Konfigurationsdateien in einem Hochverfügbarkeitssetup synchronisieren
-
Hochverfügbarkeitsknoten in verschiedenen Subnetzen konfigurieren
-
Beschränken von Failovers, die durch Routenmonitore im Nicht-INC-Modus verursacht werden
-
HA-Heartbeat-Meldungen auf einer NetScaler-Appliance verwalten
-
NetScaler in einem Hochverfügbarkeitssetup entfernen und ersetzen
-
TCP-Optimierung
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
TCP-Optimierung
TCP verwendet die folgenden Optimierungstechniken und Strategien (oder Algorithmen) zur Überlastungskontrolle, um Netzwerkengpässe bei der Datenübertragung zu vermeiden.
Strategien zur Staukontrolle
TCP wird seit langem verwendet, um Internetverbindungen herzustellen und zu verwalten, Übertragungsfehler zu behandeln und Webanwendungen reibungslos mit Client-Geräten zu verbinden. Der Netzwerkverkehr ist jedoch schwieriger zu kontrollieren, da der Paketverlust nicht nur von der Überlastung des Netzwerks abhängt und eine Überlastung nicht unbedingt zu Paketverlusten führt. Um die Überlastung zu messen, sollte sich ein TCP-Algorithmus daher sowohl auf den Paketverlust als auch auf die Bandbreite konzentrieren.
PRR-Algorithmus (Proportional Rate Recovery)
TCP-Schnellwiederherstellungsmechanismen reduzieren die durch Paketverluste verursachte Weblatenz. Der neue PRR-Algorithmus (Proportional Rate Recovery) ist ein schneller Wiederherstellungsalgorithmus, der TCP-Daten während einer Loss Recovery auswertet. Das Muster ist dem Rate-Halving nachempfunden, indem der Bruchteil verwendet wird, der für das vom Staukontrollalgorithmus gewählte Zielfenster geeignet ist. Dadurch wird die Fensteranpassung minimiert, und die tatsächliche Fenstergröße am Ende der Wiederherstellung liegt nahe am Schwellenwert für langsamen Start (ssthresh).
Schnelles TCP-Öffnen (TFO)
TCP Fast Open (TFO) ist ein TCP-Mechanismus, der einen schnellen und sicheren Datenaustausch zwischen einem Client und einem Server während des ersten TCP-Handshakes ermöglicht. Diese Funktion ist als TCP-Option im TCP-Profil verfügbar, das an einen virtuellen Server einer NetScaler-Appliance gebunden ist. TFO verwendet ein TCP-Fast-Open-Cookie (ein Sicherheitscookie), das die NetScaler-Appliance generiert, um den Client zu validieren und zu authentifizieren, der eine TFO-Verbindung zum virtuellen Server initiiert. Mithilfe dieses TFO-Mechanismus können Sie die Netzwerklatenz einer Anwendung um die Zeit reduzieren, die für einen vollständigen Roundtrip erforderlich ist, wodurch die Verzögerung bei kurzen TCP-Übertragungen erheblich reduziert wird.
So funktioniert TFO
Wenn ein Client versucht, eine TFO-Verbindung herzustellen, enthält er ein TCP-Fast-Open-Cookie mit dem anfänglichen SYN-Segment, um sich zu authentifizieren. Wenn die Authentifizierung erfolgreich ist, kann der virtuelle Server auf der NetScaler-Appliance Daten in das SYN-ACK-Segment aufnehmen, obwohl er das letzte ACK-Segment des Drei-Wege-Handshakes nicht empfangen hat. Dadurch wird im Vergleich zu einer normalen TCP-Verbindung, für die ein dreifacher Handshake erforderlich ist, bevor Daten ausgetauscht werden können, bis zu einem kompletten Round-Trip eingespart.
Ein Client und ein Backend-Server führen die folgenden Schritte durch, um eine TFO-Verbindung herzustellen und Daten während des ersten TCP-Handshakes sicher auszutauschen.
- Wenn der Client kein TCP-Fast-Open-Cookie hat, um sich zu authentifizieren, sendet er eine Fast Open Cookie-Anfrage im SYN-Paket an den virtuellen Server auf der NetScaler-Appliance.
- Wenn die TFO-Option in dem an den virtuellen Server gebundenen TCP-Profil aktiviert ist, generiert die Appliance ein Cookie (indem die IP-Adresse des Clients mit einem geheimen Schlüssel verschlüsselt wird) und antwortet dem Client mit einem SYN-ACK, das das generierte Fast Open Cookie in einem TCP-Optionsfeld enthält.
- Der Client speichert das Cookie für zukünftige TFO-Verbindungen zu demselben virtuellen Server auf der Appliance.
- Wenn der Client versucht, eine TFO-Verbindung zu demselben virtuellen Server herzustellen, sendet er SYN, das das zwischengespeicherte Fast Open Cookie (als TCP-Option) zusammen mit HTTP-Daten enthält.
- Die NetScaler-Appliance validiert das Cookie, und wenn die Authentifizierung erfolgreich ist, akzeptiert der Server die Daten im SYN-Paket und bestätigt das Ereignis mit einem SYN-ACK, einem TFO-Cookie und einer HTTP-Antwort.
Hinweis:
Schlägt die Client-Authentifizierung fehl, löscht der Server die Daten und bestätigt das Ereignis nur mit einem SYN, das auf ein Sitzungs-Timeout hinweist.
- Wenn auf der Serverseite die TFO-Option in einem an einen Dienst gebundenen TCP-Profil aktiviert ist, bestimmt die NetScaler-Appliance, ob das TCP Fast Open Cookie in dem Dienst vorhanden ist, zu dem sie versucht, eine Verbindung herzustellen.
- Wenn das TCP Fast Open Cookie nicht vorhanden ist, sendet die Appliance eine Cookie-Anfrage im SYN-Paket.
- Wenn der Backend-Server das Cookie sendet, speichert die Appliance das Cookie im Serverinformationscache.
- Wenn die Appliance bereits über ein Cookie für das angegebene Ziel-IP-Paar verfügt, ersetzt sie das alte Cookie durch das neue.
- Wenn das Cookie im Serverinformationscache verfügbar ist, wenn der virtuelle Server versucht, mithilfe derselben SNIP-Adresse erneut eine Verbindung zu demselben Backend-Server herzustellen, kombiniert die Appliance die Daten im SYN-Paket mit dem Cookie und sendet sie an den Backend-Server.
- Der Backend-Server bestätigt das Ereignis sowohl mit Daten als auch mit einem SYN.
Hinweis: Wenn der Server das Ereignis nur mit einem SYN-Segment bestätigt, sendet die NetScaler-Appliance das Datenpaket sofort erneut, nachdem das SYN-Segment und die TCP-Optionen aus dem ursprünglichen Paket entfernt wurden.
Konfiguration von TCP fast open
Um die Funktion TCP Fast Open (TFO) zu verwenden, aktivieren Sie die Option TCP Fast Open im entsprechenden TCP-Profil und setzen Sie den Parameter TFO Cookie Timeout auf einen Wert, der den Sicherheitsanforderungen für dieses Profil entspricht.
Aktivieren oder deaktivieren Sie TFO mithilfe der CLI
Geben Sie in der Befehlszeile einen der folgenden Befehle ein, um TFO in einem neuen oder vorhandenen Profil zu aktivieren oder zu deaktivieren.
Hinweis: Der Standardwert ist DISABLED.
add tcpprofile <TCP Profile Name> - tcpFastOpen ENABLED | DISABLED
set tcpprofile <TCP Profile Name> - tcpFastOpen ENABLED | DISABLED
unset tcpprofile <TCP Profile Name> - tcpFastOpen
Examples
add tcpprofile Profile1 – tcpFastOpen
Set tcpprofile Profile1 – tcpFastOpen Enabled
unset tcpprofile Profile1 – tcpFastOpen
<!--NeedCopy-->
So legen Sie den Timeout-Wert für das TCP-FastOpen-Cookie mithilfe der Befehlszeilenschnittstelle fest
Geben Sie in der Befehlszeile Folgendes ein:
set tcpparam –tcpfastOpenCookieTimeout <Timeout Value>
Example
set tcpprofile –tcpfastOpenCookieTimeout 30secs
<!--NeedCopy-->
So konfigurieren Sie das TCP Fast Open mithilfe der GUI
- Navigieren Sie zu Konfiguration > System > Profile > und klicken Sie dann auf Bearbeiten, um ein TCP-Profil zu ändern.
- Markieren Sie auf der Seite „ TCP-Profil konfigurieren “ das Kontrollkästchen TCP Fast Open .
- Klicke auf OK und dann auf Fertig.
So konfigurieren Sie den TCP-Fast-Cookie-Timeout-Wert mithilfe der GUI
Navigieren Sie zu Konfiguration > System > Einstellungen > TCP-Parameter ändern und dann zur Seite „ TCP-Parameter konfigurieren“, um den Timeout-Wert für das TCP-Fast-Open-Cookie festzulegen.
TCP-HyStart
Ein neuer TCP-Profilparameter, HyStart, aktiviert den HyStart-Algorithmus, bei dem es sich um einen langsamen Start-Algorithmus handelt, der dynamisch einen sicheren Punkt für die Beendigung bestimmt (ssthresh). Es ermöglicht einen Übergang zur Vermeidung von Engpässen ohne starke Paketverluste. Dieser neue Parameter ist standardmäßig deaktiviert.
Wenn ein Stau erkannt wird, geht HyStart in eine Phase zur Vermeidung von Staus über. Wenn Sie es aktivieren, erhalten Sie einen besseren Durchsatz in Hochgeschwindigkeitsnetzwerken mit hohem Paketverlust. Dieser Algorithmus trägt dazu bei, bei der Verarbeitung von Transaktionen eine nahezu maximale Bandbreite aufrechtzuerhalten. Es kann daher den Durchsatz verbessern.
Konfiguration von TCP HyStart
Um die HyStart-Funktion zu verwenden, aktivieren Sie die Cubic HyStart-Option im entsprechenden TCP-Profil.
So konfigurieren Sie HyStart mithilfe der Befehlszeilenschnittstelle (CLI)
Geben Sie an der Befehlszeile einen der folgenden Befehle ein, um HyStart in einem neuen oder vorhandenen TCP-Profil zu aktivieren oder zu deaktivieren.
add tcpprofile <profileName> -hystart ENABLED
set tcpprofile <profileName> -hystart ENABLED
unset tcprofile <profileName> -hystart
<!--NeedCopy-->
Beispiele:
add tcpprofile profile1 -hystart ENABLED
set tcpprofile profile1 -hystart ENABLED
unset tcprofile profile1 -hystart
<!--NeedCopy-->
So konfigurieren Sie die HyStart-Unterstützung mithilfe der GUI
- Navigieren Sie zu Konfiguration > System > Profile > und klicken Sie auf Bearbeiten, um ein TCP-Profil zu ändern.
- Aktivieren Sie auf der Seite „ TCP-Profil konfigurieren “ das Kontrollkästchen Cubic Hystart .
- Klicke auf OK und dann auf Fertig.
Steuerung der TCP-Burstrate
Es wird beobachtet, dass TCP-Steuerungsmechanismen zu einem sprunghaften Verkehrsfluss in Hochgeschwindigkeits-Mobilfunknetzen führen können, was sich negativ auf die Gesamteffizienz des Netzwerks auswirkt. Aufgrund von Mobilfunkbedingungen wie Überlastung oder Layer-2-Übertragung von Daten kommen TCP-Bestätigungen verklumpt beim Absender an, was einen Übertragungsschub auslöst. Diese Gruppen aufeinanderfolgender Pakete, die mit einer kurzen Lücke zwischen den Paketen gesendet werden, wird als TCP-Paket-Burst bezeichnet. Zur Vermeidung von Datenausbrüchen verwendet die NetScaler-Appliance eine TCP-Burst-Rate-Control-Technik. Bei dieser Technik werden die Daten für eine gesamte Roundtrip-Zeit gleichmäßig im Netzwerk verteilt, sodass die Daten nicht in einem Burst-Modus gesendet werden. Durch die Verwendung dieser Technik zur Burst-Rate-Steuerung können Sie einen besseren Durchsatz und niedrigere Paketabwurfraten erzielen.
So funktioniert die TCP-Burst-Rate-Steuerung
In einer NetScaler-Appliance verteilt diese Technik die Übertragung eines Pakets gleichmäßig über die gesamte Dauer der Roundtrip-Time (RTT). Dies wird durch die Verwendung eines TCP-Stacks und eines Netzwerkpaketplaners erreicht, der die verschiedenen Netzwerkbedingungen identifiziert, um Pakete für laufende TCP-Sitzungen auszugeben und so die Bursts zu reduzieren.
Beim Absender kann der Sender die Übertragung von Paketen verzögern, anstatt Pakete sofort nach Erhalt einer Bestätigung zu übertragen, um sie mit der Geschwindigkeit zu verteilen, die vom Scheduler (dynamische Konfiguration) oder vom TCP-Profil (feste Konfiguration) definiert ist.
Konfiguration der TCP-Burst-Rate-Steuerung
Um die Option TCP-Burst Rate Control im entsprechenden TCP-Profil zu verwenden und die Burst-Rate-Control-Parameter festzulegen.
So stellen Sie die TCP-Burstratensteuerung mithilfe der Befehlszeile ein
Stellen Sie in der Befehlszeile einen der folgenden TCP-Burst Rate Control-Befehle ein, die in einem neuen oder vorhandenen Profil konfiguriert sind.
Hinweis: Der Standardwert ist DISABLED.
add tcpprofile <TCP Profile Name> -burstRateControl Disabled | Dynamic | Fixed
set tcpprofile <TCP Profile Name> -burstRateControl Disabled | Dynamic | Fixed
unset tcpprofile <TCP Profile Name> -burstRateControl Disabled | Dynamic | Fixed
<!--NeedCopy-->
Hierbei gilt:
Deaktiviert — Wenn die Burst-Rate-Steuerung deaktiviert ist, führt eine NetScaler-Appliance außer der MaxBurst-Einstellung kein Burst-Management durch.
Behoben — Wenn die TCP-Burst-Rate-Steuerung auf Fest gesetzt ist, verwendet die Appliance den im TCP-Profil angegebenen Wert für die Senderate der TCP-Verbindungsnutzlast.
Dynamisch — Wenn die Burst Rate Control „Dynamisch“ ist, wird die Verbindung auf der Grundlage verschiedener Netzwerkbedingungen reguliert, um TCP-Bursts zu reduzieren. Dieser Modus funktioniert nur, wenn sich die TCP-Verbindung im ENDPOINT-Modus befindet. Wenn die dynamische Burst-Rate-Steuerung aktiviert ist, ist der MaxBurst-Parameter des TCP-Profils nicht wirksam.
add tcpProfile profile1 -burstRateControl Disabled
set tcpProfile profile1 -burstRateControl Dynamic
unset tcpProfile profile1 -burstRateControl Fixed
<!--NeedCopy-->
So legen Sie die TCP-Burst-Rate-Control-Parameter mithilfe der Befehlszeilenschnittstelle fest
Geben Sie in der Befehlszeile Folgendes ein:
set ns tcpprofile nstcp_default_profile –burstRateControl <type of burst rate control> –tcprate <TCP rate> -rateqmax <maximum bytes in queue>
T1300-10-2> show ns tcpprofile nstcp_default_profile
Name: nstcp_default_profile
Window Scaling status: ENABLED
Window Scaling factor: 8
SACK status: ENABLED
MSS: 1460
MaxBurst setting: 30 MSS
Initial cwnd setting: 16 MSS
TCP Delayed-ACK Timer: 100 millisec
Nagle's Algorithm: DISABLED
Maximum out-of-order packets to queue: 15000
Immediate ACK on PUSH packet: ENABLED
Maximum packets per MSS: 0
Maximum packets per retransmission: 1
TCP minimum RTO in millisec: 1000
TCP Slow start increment: 1
TCP Buffer Size: 8000000 bytes
TCP Send Buffer Size: 8000000 bytes
TCP Syncookie: ENABLED
Update Last activity on KA Probes: ENABLED
TCP flavor: BIC
TCP Dynamic Receive Buffering: DISABLED
Keep-alive probes: ENABLED
Connection idle time before starting keep-alive probes: 900 seconds
Keep-alive probe interval: 75 seconds
Maximum keep-alive probes to be missed before dropping connection: 3
Establishing Client Connection: AUTOMATIC
TCP Segmentation Offload: AUTOMATIC
TCP Timestamp Option: DISABLED
RST window attenuation (spoof protection): ENABLED
Accept RST with last acknowledged sequence number: ENABLED
SYN spoof protection: ENABLED
TCP Explicit Congestion Notification: DISABLED
Multipath TCP: DISABLED
Multipath TCP drop data on pre-established subflow: DISABLED
Multipath TCP fastopen: DISABLED
Multipath TCP session timeout: 0 seconds
DSACK: ENABLED
ACK Aggregation: DISABLED
FRTO: ENABLED
TCP Max CWND : 4000000 bytes
FACK: ENABLED
TCP Optimization mode: ENDPOINT
TCP Fastopen: DISABLED
HYSTART: DISABLED
TCP dupack threshold: 3
Burst Rate Control: Dynamic
TCP Rate: 0
TCP Rate Maximum Queue: 0
<!--NeedCopy-->
So konfigurieren Sie die TCP-Burst Rate Control mithilfe der GUI
- Navigieren Sie zu Konfiguration > System > Profile > und klicken Sie dann auf Bearbeiten, um ein TCP-Profil zu ändern.
- Wählen Sie auf der Seite „ TCP-Profil konfigurieren “ in der Dropdownliste die Option TCP Burst Control aus:
- BurstRateCntrl
- CreditBytePrms
- RateBytePerms
- RateSchedulerQ
- Klicke auf OK und dann auf Fertig.
PAWS-Algorithmus (Schutz vor Wrapped Sequence)
Wenn Sie die TCP-Zeitstempeloption im Standard-TCP-Profil aktivieren, verwendet die NetScaler-Appliance den PAWS-Algorithmus (Protection Against Wrapped Sequence), um alte Pakete zu identifizieren und abzulehnen, deren Sequenznummern sich im Empfangsfenster der aktuellen TCP-Verbindung befinden, weil die Sequenz „eingeschlossen“ wurde (ihren Maximalwert erreicht und bei 0 neu gestartet).
Wenn eine Netzwerküberlastung ein Nicht-SYN-Datenpaket verzögert und Sie eine neue Verbindung öffnen, bevor das Paket eintrifft, kann das Umwickeln von Sequenznummern dazu führen, dass die neue Verbindung das Paket als gültig akzeptiert, was zu Datenbeschädigungen führt. Wenn jedoch die TCP-Zeitstempeloption aktiviert ist, wird das Paket verworfen.
Die TCP-Zeitstempeloption ist standardmäßig deaktiviert. Wenn Sie es aktivieren, vergleicht die Appliance den TCP-Zeitstempel (seg.TSVal) im Header eines Pakets mit dem aktuellen Zeitstempelwert (ts.Recent). Wenn seg.tsVal gleich oder größer als ts.Recent ist, wird das Paket verarbeitet. Andernfalls verwirft die Appliance das Paket und sendet eine Korrekturbestätigung.
So funktioniert PAWS
Der PAWS-Algorithmus verarbeitet alle eingehenden TCP-Pakete einer synchronisierten Verbindung wie folgt:
- Wenn
SEG.TSval<Ts.recent:Das eingehende Paket ist nicht akzeptabel. PAWS sendet eine Bestätigung (wie in RFC-793 angegeben) und verwirft das Paket. Hinweis: Das Senden eines ACK-Segments ist erforderlich, um die TCP-Mechanismen zur Erkennung und Wiederherstellung von halboffenen Verbindungen beizubehalten. - Wenn sich das Paket außerhalb des Fensters befindet: PAWS lehnt das Paket ab, wie bei der normalen TCP-Verarbeitung.
- If
SEG.TSval>Ts.recent: PAWSakzeptiert das Paket und verarbeitet es. - Wenn
SEG.TSval<=Last.ACK.sent(das ankommende Segment erfüllt): PAWS kopiert den WertSEG.TSvalnachTs.recent. - Wenn das Paket in der richtigen Reihenfolge ist: PAWS akzeptiert das Paket.
- Wenn das Paket nicht in der richtigen Reihenfolge ist: Das Paket wird wie ein normales TCP-Segment innerhalb des Fensters behandelt, das nicht in der richtigen Reihenfolge ist. Zum Beispiel könnte es für eine spätere Lieferung in die Warteschlange gestellt werden.
- Wenn der Wert
Ts.recentlänger als 24 Tage inaktiv ist: Die Gültigkeit vonTs.recentwird überprüft, wenn die PAWS-Zeitstempelprüfung fehlschlägt. Wenn sich herausstellt, dass der Ts.recent-Wert ungültig ist, wird das Segment akzeptiert undPAWS ruleaktualisiertTs.recentmit dem TSval-Wert aus dem neuen Segment.
So aktivieren oder deaktivieren Sie den TCP-Zeitstempel mithilfe der Befehlszeilenschnittstelle
Geben Sie in der Befehlszeile Folgendes ein:
`set nstcpprofile nstcp_default_profile -TimeStamp (ENABLED | DISABLED)`
So aktivieren oder deaktivieren Sie TCP-Zeitstempel mit der GUI
Navigieren Sie zu System > Profil > TCP-Profil, wählen Sie das Standard-TCP-Profil aus, klicken Sie auf Bearbeitenund aktivieren oder deaktivieren Sie das Kontrollkästchen TCP-Zeitstempel .
Optimierungstechniken
TCP verwendet die folgenden Optimierungstechniken und -methoden für optimierte Flusskontrollen.
Richtlinienbasierte TCP-Profilauswahl
Der Netzwerkverkehr ist heute vielfältiger und bandbreitenintensiver als je zuvor. Angesichts des erhöhten Datenverkehrs ist der Effekt, den Quality of Service (QoS) auf die TCP-Leistung hat, erheblich. Um die QoS zu verbessern, können Sie jetzt AppQoE-Richtlinien mit verschiedenen TCP-Profilen für verschiedene Klassen von Netzwerkverkehr konfigurieren. Die AppQoE-Richtlinie klassifiziert den Datenverkehr eines virtuellen Servers, um ein TCP-Profil zuzuordnen, das für einen bestimmten Verkehrstyp wie 3G, 4G, LAN oder WAN optimiert ist.
Um dieses Feature zu verwenden, erstellen Sie für jedes TCP-Profil eine Richtlinienaktion, ordnen Sie eine Aktion AppQoE-Richtlinien zu und binden Sie die Richtlinien an die virtuellen Server mit Lastenausgleich.
Informationen zur Verwendung von Abonnentenattributen zur TCP-Optimierung finden Sie unter Richtlinienbasiertes TCP-Profil.
Konfigurieren der Richtlinienbasierten TCP-Profilauswahl
Die Konfiguration der richtlinienbasierten TCP-Profilauswahl umfasst die folgenden Aufgaben:
- AppQoE aktivieren. Bevor Sie die TCP-Profilfunktion konfigurieren, müssen Sie die AppQoE-Funktion aktivieren.
- AppQoE-Aktion wird hinzugefügt. Nachdem Sie die AppQoE-Funktion aktiviert haben, konfigurieren Sie eine AppQoE-Aktion mit einem TCP-Profil.
- Konfiguration der AppQoE-basierten TCP-Profilauswahl. Um die TCP-Profilauswahl für verschiedene Verkehrsklassen zu implementieren, müssen Sie AppQoE-Richtlinien konfigurieren, anhand derer Ihr NetScaler die Verbindungen unterscheiden und die richtige AppQoE-Aktion an jede Richtlinie binden kann.
- Bindung der AppQoE-Richtlinie an den virtuellen Server. Nachdem Sie die AppQoE-Richtlinien konfiguriert haben, müssen Sie sie an einen oder mehrere virtuelle Load Balancing-, Content Switching- oder Cache-Umleitungsserver binden.
Konfiguration über die Befehlszeilenschnittstelle
So aktivieren Sie AppQOE mithilfe der Befehlszeilenschnittstelle
Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Funktion zu aktivieren, und überprüfen Sie, ob sie aktiviert ist:
enable ns feature appqoeshow ns feature
Um ein TCP-Profil zu binden, während Sie eine AppQoE-Aktion mithilfe der Befehlszeilenschnittstelle erstellen
Geben Sie an der Befehlszeile den folgenden AppQoE-Aktionsbefehl mit der tcpprofiletobind Option ein.
add appqoe action <name> [-priority <priority>] [-respondWith ( ACS | NS ) [<CustomFile>] [-altContentSvcName <string>] [-altContentPath <string>] [-maxConn <positive_integer>] [-delay <usecs>]] [-polqDepth <positive_integer>] [-priqDepth <positive_integer>] [-dosTrigExpression <expression>] [-dosAction ( SimpleResponse |HICResponse )] [-tcpprofiletobind <string>]
show appqoe action
So konfigurieren Sie eine AppQoE-Richtlinie mithilfe der Befehlszeilenschnittstelle
Geben Sie in der Befehlszeile Folgendes ein:
add appqoe policy <name> -rule <expression> -action <string>
Um eine AppQoE-Richtlinie mithilfe der Befehlszeilenschnittstelle an virtuelle Server für Load Balancing, Cache-Umleitung oder Content Switching zu binden
Geben Sie in der Befehlszeile Folgendes ein:
bind cs vserver cs1 -policyName <appqoe_policy_name> -priority <priority>
bind lb vserver <name> - policyName <appqoe_policy_name> -priority <priority>
bind cr vserver <name> -policyName <appqoe_policy_name> -priority <priority>
Beispiel
add ns tcpProfile tcp1 -WS ENABLED -SACK ENABLED -WSVal 8 -nagle ENABLED -maxBurst 30 -initialCwnd 16 -oooQSize 15000 -minRTO 500 -slowStartIncr 1 -bufferSize 4194304 -flavor BIC -KA ENABLED -sendBuffsize 4194304 -rstWindowAttenuate ENABLED -spoofSynDrop ENABLED -dsack enabled -frto ENABLED -maxcwnd 4000000 -fack ENABLED -tcpmode ENDPOINT
add appqoe action appact1 -priority HIGH -tcpprofile tcp1
add appqoe policy apppol1 -rule "client.ip.src.eq(10.102.71.31)" -action appact1
bind lb vserver lb2 -policyName apppol1 -priority 1 -gotoPriorityExpression END -type REQUEST
bind cs vserver cs1 -policyName apppol1 -priority 1 -gotoPriorityExpression END -type REQUEST
<!--NeedCopy-->
Konfiguration der richtlinienbasierten TCP-Profilerstellung mit der GUI
Um AppQOE mithilfe der GUI zu aktivieren
- Navigieren Sie zu System > Einstellungen.
- Klicken Sie im Detailbereich auf Erweiterte Funktionen konfigurieren.
- Aktivieren Sie im Dialogfeld Erweiterte Funktionen konfigurieren das Kontrollkästchen AppQoE.
- Klicken Sie auf OK.
So konfigurieren Sie die AppQoE-Richtlinie mithilfe der GUI
- Navigieren Sie zu App-Expert > AppQoE > Actions.
- Führen Sie im Detailbereich eine der folgenden Aktionen aus:
- Um eine Aktion zu erstellen, klicken Sie auf Hinzufügen.
- Um eine vorhandene Aktion zu ändern, wählen Sie die Aktion aus, und klicken Sie dann auf Bearbeiten.
- Geben Sie im Bildschirm AppQoE-Aktion erstellen oder AppQoE-Aktion konfigurieren Werte für die Parameter ein, oder wählen Sie sie aus. Der Inhalt des Dialogfelds entspricht den unter ““Parameter für die Konfiguration der AppQoE-Aktion” beschriebenen Parametern wie folgt (ein Sternchen gibt einen erforderlichen Parameter an):
- Name—Name
- Action type—respondWith
- Priorität — Priorität
- Policy Queue Depth—polqDepth
- Queue Depth—priqDepth
- DOS Action—dosAction
- Klicken Sie auf Erstellen.
So binden Sie die AppQoE-Richtlinie mithilfe der GUI
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, wählen Sie einen Server aus und klicken Sie dann auf Bearbeiten.
- Klicken Sie im Abschnitt Richtlinien auf (+), um eine AppQoE-Richtlinie zu binden.
- Gehen Sie im Schieberegler Richtlinien wie folgt vor:
- Wählen Sie in der Dropdownliste einen Richtlinientyp als AppQoE aus.
- Wählen Sie einen Verkehrstyp aus der Dropdownliste aus.
- Gehen Sie im Abschnitt Richtlinienbindung wie folgt vor:
- Klicken Sie auf Neu, um eine AppQoE-Richtlinie zu erstellen.
- Klicken Sie auf Existing Policy, um eine AppQoE-Richtlinie aus der Dropdownliste auszuwählen.
- Legen Sie die Bindungspriorität fest und klicken Sie auf An die Richtlinie an den virtuellen Server binden .
- Klicken Sie auf Fertig.
SACK-Blockgenerierung
Die TCP-Leistung verlangsamt sich, wenn mehrere Pakete in einem Datenfenster verloren gehen. In einem solchen Szenario überwindet ein SACK-Mechanismus (Selective Acknowledgment) in Kombination mit einer selektiven Wiederholungsrichtlinie diese Einschränkung. Für jedes eingehende Paket, das nicht in der richtigen Reihenfolge ist, müssen Sie einen SACK-Block generieren.
Wenn das Paket, das nicht in der Reihenfolge ist, in den Queue-Block für die Reassemblierung passt, fügen Sie die Paketinformationen in den Block ein und legen Sie die vollständigen Blockinformationen auf SACK-0 fest. Wenn ein Paket nicht in der richtigen Reihenfolge in den Zusammenbaublock passt, senden Sie das Paket als SACK-0 und wiederholen Sie die früheren SACK-Blöcke. Wenn ein Paket nicht in der richtigen Reihenfolge ein Duplikat ist und die Paketinformation auf SACK-0 gesetzt ist, dann D-Sack den Block.
Hinweis: Ein Paket wird als D-SACK betrachtet, wenn es sich um ein bestätigtes Paket oder um ein fehlerhaftes Paket handelt, das bereits empfangen wurde.
Kunde verbietet
Eine NetScaler-Appliance kann Client-Renegings während einer SACK-basierten Wiederherstellung verarbeiten.
Speicherprüfungen zur Markierung des Endpunkts auf der Leiterplatte berücksichtigen nicht den gesamten verfügbaren Speicher
Wenn in einer NetScaler-Appliance der Schwellenwert für die Speichernutzung auf 75 Prozent gesetzt wird, anstatt den gesamten verfügbaren Speicher zu nutzen, führt dies dazu, dass neue TCP-Verbindungen die TCP-Optimierung Bypass.
Unnötige Neuübertragungen aufgrund fehlender SACK-Blöcke
Wenn Sie in einem Modus ohne Endpunkt DUPACKS senden und SACK-Blöcke für einige Pakete fehlen, die nicht in der richtigen Reihenfolge sind, werden weitere Übertragungen vom Server ausgelöst.
SNMP für Verbindungen hat die Optimierung aufgrund von Überlastung umgangen
Die folgenden SNMP-IDs wurden einer NetScaler-Appliance hinzugefügt, um die Anzahl der Verbindungen zu verfolgen, bei denen TCP-Optimierungen aufgrund von Überlastung umgangen wurden.
- 1.3.6.1.4.1.5951.4.1.1.46.131 (tcpOptimizationEnabled). Um die Gesamtzahl der mit der TCP-Optimierung aktivierten Verbindungen zu verfolgen.
- 1.3.6.1.4.1.5951.4.1.1.46.132 (tcpOptimizationBypassed). Um die Gesamtzahl der Verbindungen zu verfolgen, wurde die TCP-Optimierung umgangen.
Dynamischer Empfangspuffer
Um die TCP-Leistung zu maximieren, kann eine NetScaler Appliance nun die Größe des TCP-Empfangspuffers dynamisch anpassen.
Tail Loss Sonde-Algorithmus
Ein Wiederübertragungs-Timeout (RTO) ist ein Verlust von Segmenten am Ende einer Transaktion. Ein RTO tritt auf, wenn Probleme mit der Anwendungslatenz auftreten, insbesondere bei kurzen Webtransaktionen. Um den Verlust von Segmenten am Ende einer Transaktion auszugleichen, verwendet TCP den TLP-Algorithmus (Tail Loss Probe). TLP ist ein Algorithmus, der nur für Absender bestimmt ist. Wenn eine TCP-Verbindung für einen bestimmten Zeitraum keine Bestätigung erhält, überträgt TLP das letzte unbestätigte Paket (Loss Probe). Im Falle eines Endausfalls bei der ursprünglichen Übertragung löst die Bestätigung der Verlustsonde eine SACK- oder FACK-Wiederherstellung aus.
Konfiguration der Tail Loss Probe
Um den Tail Loss Probe (TLP) -Algorithmus zu verwenden, müssen Sie die TLP-Option im TCP-Profil aktivieren und den Parameter auf einen Wert setzen, der den Sicherheitsanforderungen für dieses Profil entspricht.
Aktivieren Sie TLP über die Befehlszeile
Geben Sie in der Befehlszeile einen der folgenden Befehle ein, um TLP in einem neuen oder vorhandenen Profil zu aktivieren oder zu deaktivieren.
Hinweis:
Der Standardwert ist DISABLED.
add tcpprofile <TCP Profile Name> - taillossprobe ENABLED | DISABLED
set tcpprofile <TCP Profile Name> - taillossprobe ENABLED | DISABLED
unset tcpprofile <TCP Profile Name> - taillossprobe
Beispiele:
add tcpprofile nstcp_default_profile – taillossprobe
set tcpprofile nstcp_default_profile –taillossprobe Enabled
unset tcpprofile nstcp_default_profile –taillossprobe
Konfigurieren Sie den Tail Loss Probe-Algorithmus mithilfe der NetScaler-GUI
- Navigieren Sie zu Konfiguration > System > Profile > und klicken Sie dann auf Bearbeiten, um ein TCP-Profil zu ändern.
- Aktivieren Sie auf der Seite „ TCP-Profil konfigurieren “ das Kontrollkästchen Tail Loss Probe .
- Klicke auf OK und dann auf Fertig.
Teilen
Teilen
In diesem Artikel
- Strategien zur Staukontrolle
- PRR-Algorithmus (Proportional Rate Recovery)
- Schnelles TCP-Öffnen (TFO)
- TCP-HyStart
- Steuerung der TCP-Burstrate
- PAWS-Algorithmus (Schutz vor Wrapped Sequence)
- So aktivieren oder deaktivieren Sie den TCP-Zeitstempel mithilfe der Befehlszeilenschnittstelle
- Optimierungstechniken
- Richtlinienbasierte TCP-Profilauswahl
- So aktivieren Sie AppQOE mithilfe der Befehlszeilenschnittstelle
- SACK-Blockgenerierung
- Kunde verbietet
- Speicherprüfungen zur Markierung des Endpunkts auf der Leiterplatte berücksichtigen nicht den gesamten verfügbaren Speicher
- Unnötige Neuübertragungen aufgrund fehlender SACK-Blöcke
- SNMP für Verbindungen hat die Optimierung aufgrund von Überlastung umgangen
- Dynamischer Empfangspuffer
- Tail Loss Sonde-Algorithmus
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.