ADC

Preguntas frecuentes

Tiempos de espera

Importante

Antes de utilizar cualquier botón nsapimgr, consulte con el servicio de atención al cliente de Citrix.

La siguiente es una lista de los diferentes tiempos de espera de conexión inactivos que se pueden configurar en los servidores y servicios virtuales de NetScaler T1. El tiempo de espera de inactividad establecido para las conexiones de cliente o servidor a nivel de servidor virtual o servicio solo se aplica a las conexiones en estado TCP ESTABLECIDO y están inactivas.

  • El parámetro CLTTimeout del servidor virtual de equilibrio de carga especifica el tiempo en segundos durante el que una conexión de un cliente a un servidor virtual de equilibrio de carga debe estar inactiva antes de que el dispositivo cierre la conexión.
  • El parámetro Service SvrTimeout especifica el tiempo en segundos durante el que una conexión del dispositivo a un servicio o servidor debe estar inactiva antes de que el dispositivo cierre la conexión.
  • El parámetro Service CLTTimeout especifica el tiempo en segundos durante el que una conexión de un cliente a un servicio debe estar inactiva antes de que el dispositivo cierre la conexión.

Cuando un servicio está enlazado a un servidor virtual de equilibrio de carga, tiene prioridad el CLTTimeout del servidor virtual de equilibrio de carga y se ignora el servicio CLTTimeout for service.

En caso de que no haya un servicio vinculado al servidor virtual de equilibrio de carga, se utiliza el tiempo de espera global de inactividad, es decir, TCPServer, para las conexiones del lado del servidor. Se puede configurar de la siguiente manera:

Comando:

set ns timeout –tcpServer 9000
<!--NeedCopy-->

Las conexiones en otro estado tienen valores de tiempo de espera diferentes:

  • Tiempo de espera de inactividad de conexiones semiabiertas: 120 segundos (valor codificado)
  • Tiempo de espera de inactividad de las conexiones TIME_WAIT: 40 segundos (valor codificado)
  • Se agotó el tiempo de inactividad de las conexiones semicerradas. De forma predeterminada, es de 10 segundos y se puede configurar entre 1 y 600 segundos mediante el fragmento

Comando:

 set ns timeout –halfclose 10
<!--NeedCopy-->

Cuando se activa el tiempo de espera de medio cierre, la conexión pasa al estado zombi. Cuando vence el tiempo de espera de zombis, se activa la limpieza de zombis y, de forma predeterminada, T1 envía RST tanto al lado del cliente como al del servidor para una conexión determinada.

  • Tiempo de espera de Zombie: intervalo en el que debe ejecutarse el proceso de limpieza de zombis para limpiar las conexiones TCP inactivas. El valor de tiempo de espera predeterminado es de 120 segundos y se puede configurar entre 1 s y 600 s.

Comando:

set ns timeout –zombie 120
<!--NeedCopy-->

Tabla de tamaños máximos de segmentos

Un dispositivo NetScaler T1 se defiende contra los ataques de inundación de SYN mediante el uso de cookies SYN en lugar de mantener las conexiones semiabiertas en la pila de memoria del sistema. El dispositivo envía una cookie a cada cliente que solicita una conexión TCP, pero no mantiene los estados de las conexiones semiabiertas. En cambio, el dispositivo asigna la memoria del sistema para una conexión solo al recibir el paquete ACK final o, para el tráfico HTTP, al recibir una solicitud HTTP. Esto evita los ataques SYN y permite que las comunicaciones TCP normales con los clientes legítimos continúen sin interrupciones. La función específica está habilitada de forma predeterminada sin la opción de inhabilitarla.

Sin embargo, hay una salvedad, ya que las cookies SYN estándar limitan las conexiones al uso de solo ocho valores de tamaño máximo de segmento (MSS). Si el MMS de conexión no coincide con ningún valor predefinido, recogerá el siguiente valor inferior disponible tanto en el lado del cliente como del servidor.

Los valores predefinidos del tamaño máximo de segmento (MSS) de TCP son los siguientes y se pueden configurar mediante un nuevo mando nsapimgr.

               
1460 1440 1330 1220 956 536 384 128

La nueva tabla MSS:

  • No es necesario que contenga soporte Jumbo-Frame. Aunque de forma predeterminada se reservan 8 valores en la tabla MSS para fotogramas gigantes, la configuración de la tabla se puede modificar para incluir solo marcos de tamaño Ethernet estándar.
  • Debe tener 16 valores
  • Debe tener los valores en orden descendente
  • Debe incluir 128 como último valor

Si la nueva tabla MSS es válida, la tabla se almacena y los valores antiguos se cambian en el momento de rotación de la cookie de sincronización. De lo contrario, la nueva tabla devolverá un error. Los cambios se aplican a las conexiones nuevas, mientras que las conexiones existentes conservan la tabla MSS anterior hasta que las conexiones caduquen o finalicen.

Para mostrar la tabla MSS actual en un dispositivo NetScaler, escriba el siguiente comando.

Comando:

>shell

#nsapimgr -d mss_table

Ejemplo:

#nsapimgr -d mss_table

MSS table

{9176,9156,8192,7168,6144,4196,3072,2048,1460,1440,1330,1212,956,536,384,128}

Done.

Para cambiar la tabla mss, escriba el siguiente comando:

Comando:

>shell

#nsapimgr -s mss_table=<16 comma seperated values>

Ejemplo:

#nsapimgr -ys mss_table=9176,9156,8192,7168,6144,4196,3072,2048,1460,1400,1330,1212,956,536,384,128

# nsapimgr -d mss_table

MSS table

{9176,9156,8192,7168,6144,4196,3072,2048,1460,1400,1330,1212,956,536,384,128}

Done.

A continuación se muestra un ejemplo que utiliza valores estándar de tamaño Ethernet:

Ejemplo:

#nsapimgr -ys mss_table=1460,1440,1420,1400,1380,1360,1340,1320,1300,1280,1260,1212,956,536,384,128

# nsapimgr -d mss_table

MSS table

{1460,1440,1420,1400,1380,1360,1340,1320,1300,1280,1260,1212,956,536,384,128}

Done.

Para que este cambio sea permanente incluso después de que se reinicie el dispositivo NetScaler, incluya el comando#nsapimgr -ys mss_table=<16 comma seperated values> en el archivo “/nsconfig/rc.netscaler”. Si el archivo “rc.netscaler” no existe, créelo en la carpeta “/nsconfig” y, a continuación, añada el comando.

Protección contra sobrecarga de memoria

Un motor de procesamiento de paquetes (PPE) de NetScaler comienza a omitir las conexiones de la optimización de TCP si la memoria que utiliza ese PPE supera un valor de marca de agua alto especificado. Si el uso de memoria de un PPE supera los ~2,6 GB, comienza a omitir cualquier conexión nueva de la optimización. Las conexiones existentes (las admitidas anteriormente para la optimización) siguen optimizándose. Este valor de marca de agua se seleccionó a propósito y no se recomienda su ajuste.

Nota

Si crees que hay una buena razón para cambiar el valor de la marca de agua, ponte en contacto con el servicio de atención al cliente.

Soporte para clientes de Happy Eyeballs

Si el dispositivo NetScaler recibe un SYN para un destino cuyo estado es desconocido, primero comprueba la accesibilidad del servidor y, a continuación, reconoce al cliente. Este mecanismo de sondeo permite a los clientes con pilas de IP dobles descubrir la accesibilidad de los servidores de Internet de doble pila. Si el cliente descubre que hay acceso a IPv6 e IPv4, establece una conexión con el servidor que responde más rápidamente y restablece la otra. Si se restablece la conexión del dispositivo NetScaler, se restablecerá la conexión correspondiente del lado del servidor.

Nota: Esta función no tiene ninguna configuración de TCP configurable por el usuario para inhabilitarla o habilitarla en el dispositivo NetScaler.

Para obtener más información sobre la compatibilidad con Happy Eyeballs, consulte RFC 6555.

Preguntas frecuentes