Application Delivery Management

Datensammlung für NetScaler Gateway-Geräte im Double-Hop-Modus aktivieren

Der Doppel-Hop-Modus von NetScaler Gateway bietet zusätzlichen Schutz für das interne Netzwerk einer Organisation, da ein Angreifer mehrere Sicherheitszonen oder entmilitarisierte Zonen (DMZ) durchdringen muss, um die Server im sicheren Netzwerk zu erreichen. Wenn Sie die Anzahl der Hops (NetScaler Gateway Geräte) analysieren möchten, über die die ICA-Verbindungen weitergeleitet werden, sowie die Details zur Latenz für jede TCP-Verbindung und wie sie mit der gesamten ICA-Latenz verglichen wird, die vom Client wahrgenommen wird, müssen Sie NetScaler ADM installieren, damit die NetScaler Gateway-Geräte diese wichtigen Statistiken zu berichten.

Abbildung 3. NetScaler ADM im Double-Hop-Modus bereitgestellt

Doppel-Hop-Modus

NetScaler Gateway in der ersten DMZ verarbeitet Benutzerverbindungen und führt die Sicherheitsfunktionen eines SSL-VPN aus. Dieses NetScaler Gateway verschlüsselt Benutzerverbindungen, bestimmt, wie die Benutzer authentifiziert werden, und steuert den Zugriff auf die Server im internen Netzwerk.

Das NetScaler Gateway in der zweiten DMZ dient als NetScaler Gateway-Proxygerät. Dieses NetScaler Gateway ermöglicht es dem ICA-Datenverkehr, die zweite DMZ zu durchqueren, um Benutzerverbindungen zur Serverfarm herzustellen.

Das NetScaler ADM kann entweder im Subnetz der NetScaler Gateway-Appliance in der ersten DMZ oder im Subnetz des zweiten DMZ der NetScaler Gateway-Appliance bereitgestellt werden. Im obigen Bild werden NetScaler ADM und NetScaler Gateway in der ersten DMZ im selben Subnetz bereitgestellt.

Im Double-Hop-Modus sammelt NetScaler ADM TCP-Datensätze von einer Appliance und ICA-Einträge von der anderen Appliance. Nachdem Sie die NetScaler Gateway-Appliances zum NetScaler ADM-Bestand hinzugefügt und die Datenerfassung aktiviert haben, exportiert jede Appliance die Berichte, indem sie die Hop-Anzahl und die Verbindungsketten-ID verfolgt.

Damit NetScaler ADM identifiziert, welche Appliance Datensätze exportiert, wird jede Appliance mit einer Hop-Anzahl angegeben, und jede Verbindung wird mit einer Verbindungsketten-ID angegeben. Die Hop-Anzahl gibt die Anzahl der NetScaler Gateway-Appliances an, durch die der Datenverkehr von einem Client zu den Servern fließt. Die Verbindungsketten-ID stellt die End-to-End-Verbindungen zwischen dem Client und dem Server dar.

NetScaler ADM verwendet die Hop-Anzahl und die Verbindungsketten-ID, um die Daten der beiden NetScaler Gateway Geräte miteinander zu verknüpfen und die Berichte zu generieren.

Um NetScaler Gateway Geräte zu überwachen, die in diesem Modus bereitgestellt werden, müssen Sie zuerst NetScaler Gateway zur NetScaler ADM Bestandsliste hinzufügen, AppFlow auf NetScaler ADM aktivieren und dann die Berichte auf dem NetScaler ADM-Dashboard anzeigen.

Aktivieren der Datenerfassung auf NetScaler ADM

Wenn Sie NetScaler ADM aktivieren, um die ICA-Details von beiden Appliances zu erfassen, sind die erfassten Details redundant. Das ist, dass beide Appliances die gleichen Metriken melden. Um diese Situation zu umgehen, müssen Sie AppFlow für TCP auf einem der ersten NetScaler Gateway-Appliances und dann AppFlow für ICA auf dem zweiten Gerät aktivieren. Auf diese Weise exportiert eine der Appliances ICA-AppFlow Datensätze, und die andere Appliance exportiert TCP-AppFlow-Datensätze. Dies spart auch die Verarbeitungszeit beim Analysieren des ICA-Datenverkehrs.

So aktivieren Sie die AppFlow Funktion von NetScaler ADM:

  1. Navigieren Sie zu Infrastruktur > Instanzen und wählen Sie die NetScaler ADC-Instanz aus, für die Sie Analysen aktivieren möchten.

  2. Wählen Sie in der Liste Aktion die Option Insight aktivieren/deaktivierenaus.

  3. Wählen Sie die virtuellen VPN-Server aus und klicken Sie auf AppFlow aktivieren.

  4. Geben Sie im Feld Enable AppFlow den Wert true ein, und wählen Sie ICA/TCP für ICA-Verkehr einen TCP-Verkehr aus.

    Hinweis

    Wenn die AppFlow-Protokollierung für die Dienste oder Dienstgruppen auf der NetScaler ADC Appliance nicht aktiviert ist, zeigt das NetScaler ADM Dashboard die Datensätze nicht an, selbst wenn in der Spalte Insight Aktiviert angezeigt wird.

  5. Klicken Sie auf OK.

Konfigurieren von NetScaler Gateway-Appliances zum Expor

Nach der Installation der NetScaler Gateway Geräte müssen Sie die folgenden Einstellungen auf den NetScaler Gateway-Geräten konfigurieren, um die Berichte in NetScaler ADM zu exportieren:

  • Konfigurieren Sie virtuelle Server der NetScaler Gateway-Appliances in der ersten und zweiten DMZ, um miteinander zu kommunizieren.

  • Binden Sie den virtuellen NetScaler Gateway -Server in der zweiten DMZ an den virtuellen NetScaler Gateway-Server in der ersten DMZ.

  • Aktivieren Sie den Double-Hop auf dem NetScaler Gateway in der zweiten DMZ.

  • Deaktivieren Sie die Authentifizierung auf dem virtuellen NetScaler Gateway -Server in der zweiten DMZ.

  • Aktivieren Sie eine der NetScaler Gateway-Appliances, um ICA-Datensätze zu exportieren

  • Aktivieren Sie die andere NetScaler Gateway-Appliance, um TCP-Datensätze zu exportieren:

  • Aktivieren Sie die Verbindungsverkettung auf beiden NetScaler Gateway Geräten.

Konfigurieren Sie NetScaler Gateway mit der Befehlszeilenschnittstelle:

  1. Konfigurieren Sie den virtuellen NetScaler Gateway -Server in der ersten DMZ für die Kommunikation mit dem virtuellen NetScaler Gateway-Server in der zweiten DMZ.

    add vpn nextHopServer  [**-secure**(ON OFF)] [-imgGifToPng] …
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    <!--NeedCopy-->
    
  2. Binden Sie den virtuellen NetScaler Gateway -Server in der zweiten DMZ an den virtuellen NetScaler Gateway-Server in der ersten DMZ. Führen Sie den folgenden Befehl auf dem NetScaler Gateway in der ersten DMZ aus:

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    <!--NeedCopy-->
    
  3. Aktivieren Sie Double-Hop und AppFlow auf dem NetScaler Gateway in der zweiten DMZ.

    set vpn vserver  [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )]
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    <!--NeedCopy-->
    
  4. Deaktivieren Sie die Authentifizierung auf dem virtuellen NetScaler Gateway -Server in der zweiten DMZ.

    set vpn vserver [**-authentication** (ON OFF)]
    set vpn vserver vs -authentication OFF
    <!--NeedCopy-->
    
  5. Aktivieren Sie eines der NetScaler Gateway Geräte zum Exportieren von TCP-Datensätzen.

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    <!--NeedCopy-->
    
  6. Aktivieren Sie das andere NetScaler Gateway Gerät zum Exportieren von ICA-Datensätzen:

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    <!--NeedCopy-->
    
  7. Aktivieren Sie die Verbindungsverkettung auf beiden NetScaler Gateway Geräten:

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    <!--NeedCopy-->
    

Konfiguration von Citrix Gateway mit dem Konfigurationsdienstprogramm:

  1. Konfigurieren Sie das NetScaler Gateway in der ersten DMZ für die Kommunikation mit dem NetScaler Gateway in der zweiten DMZ, und binden Sie das NetScaler Gateway in der zweiten DMZ an das NetScaler Gateway in der ersten DMZ.

    1. Erweitern Sie auf der RegisterkarteKonfigurationCitrix Gateway, und klicken Sie aufVirtuelle Server.

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der Gruppe “Erweitert” die Option Published Applications.

    3. Klicken Sie aufNext Hop Server, und binden Sie einen nächsten Hop-Server an das zweite NetScaler Gateway Gerät.

  2. Aktivieren Sie den Double-Hop auf dem NetScaler Gateway in der zweiten DMZ.

    1. Erweitern Sie auf der RegisterkarteKonfigurationCitrix Gateway, und klicken Sie aufVirtuelle Server.

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und klicken Sie in der GruppeGrundeinstellungen auf das Symbol Bearbeiten.

    3. Erweitern Sie More, wählen Sie Double Hop, und klicken Sie aufOK.

  3. Deaktivieren Sie die Authentifizierung auf dem virtuellen Server auf dem NetScaler Gateway in der zweiten DMZ.

    1. Erweitern Sie auf der Registerkarte Konfiguration Citrix Gateway und klicken Sie auf Virtuelle Server .

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und klicken Sie in der GruppeGrundeinstellungen auf das Symbol Bearbeiten.

    3. Erweitern SieMehr, und deaktivieren Sie Authentifizierung aktivieren.

  4. Aktivieren Sie eines der NetScaler Gateway Geräte zum Exportieren von TCP-Datensätzen.

    1. Erweitern Sie auf der Registerkarte Konfiguration Citrix Gateway und klicken Sie auf Virtuelle Server .

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert die Option Richtlinien.

    3. Klicken Sie auf das Symbol +, undwählen Sie in der Liste Choose policy die OptionAppFlowaus, undwählen Sie in der Dropdownliste Typauswählen die OptionAndere TCP-Anforderungaus.

    4. Klicken Sie auf Weiter.

    5. Fügen Sie eine Richtlinienbindung hinzu, und klicken Sie auf Schließen.

  5. Aktivieren Sie das andere NetScaler Gateway Gerät zum Exportieren von ICA-Datensätzen:

    1. Erweitern Sie auf der Registerkarte Konfiguration Citrix Gateway und klicken Sie auf Virtuelle Server .

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der GruppeErweitert die OptionRichtlinien.

    3. Klicken Sie auf das Symbol + und wählen Sie in der Dropdownliste Richtlinie auswählen die Option AppFlow aus, und wählen Sie in der Dropdownliste “Typ wählen” die Option Andere TCP-Anforderung aus.

    4. Klicken Sie auf Weiter.

    5. Fügen Sie eine Richtlinienbindung hinzu, und klicken Sie auf Schließen.

  6. Aktivieren Sie die Verbindungsverkettung auf beiden NetScaler Gateway Geräten.

    1. Navigieren Sie auf der RegisterkarteKonfiguration zu System > Appflow.

    2. Klicken Sie im rechten Bereich in der GruppeEinstellungen auf Appflow-Einstellungen ändern.

    3. Wählen Sie Verbindungsverkettung aus, und klicken Sie auf OK.

Datensammlung für NetScaler Gateway-Geräte im Double-Hop-Modus aktivieren