Documentación de productos
Application Delivery Management
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Habilitar la recopilación de datos de HDX Insight

January 30, 2024
Contribución de: 
C

HDX Insight permite a TI ofrecer una experiencia de usuario excepcional al proporcionar una visibilidad end-to-end sin precedentes del tráfico ICA que pasa a través de las instancias Citrix ADC o los dispositivos Citrix SD-WAN, y forma parte de Citrix Application Delivery Management (ADM) Analytics. HDX Insight ofrece capacidades potentes y convincentes de inteligencia empresarial y análisis de fallos para la red, los escritorios virtuales, las aplicaciones y la estructura de aplicaciones. HDX Insight puede analizar al instante los problemas de los usuarios, recopilar datos sobre las conexiones de escritorio virtual y generar registros de AppFlow y presentarlos como informes visuales.

La configuración para habilitar la recopilación de datos en Citrix ADC difiere según la posición del dispositivo en la topología de implementación.

Habilitar la recopilación de datos para monitorear los dispositivos de Citrix ADC implementados en modo de usuario LAN

Los usuarios externos que acceden a las aplicaciones de Citrix Virtual Apps and Desktops deben autenticarse en Citrix Gateway. Sin embargo, es posible que los usuarios internos no necesiten ser redirigidos a Citrix Gateway. Además, en una implementación de modo transparente, el administrador debe aplicar manualmente las directivas de redirección para que las solicitudes se redirijan al dispositivo Citrix ADC.

Para superar estos desafíos y para que los usuarios de LAN se conecten directamente a aplicaciones de Citrix Virtual Apps and Desktops, puede implementar el dispositivo Citrix ADC en modo de usuario de LAN configurando un servidor virtual de redirección de caché, que actúa como proxy SOCKS en el dispositivo Citrix Gateway.

imagen traducida

Nota Citrix ADM y el dispositivo Citrix Gateway residen en la misma subred.

Para supervisar los dispositivos Citrix ADC implementados en este modo, primero agregue el dispositivo Citrix ADC al inventario de NetScaler Insight, habilite AppFlow y, a continuación, consulte los informes en el panel.

Después de agregar el dispositivo Citrix ADC al inventario de Citrix ADM, debe habilitar AppFlow para la recopilación de datos.

Nota

  • En una instancia de ADC, puede ir a Sistema > AppFlow**Collectors para comprobar si el recopilador (es decir, Citrix ADM) está activo o no. La instancia Citrix ADC envía registros AppFlow a Citrix ADM mediante NSIP. Sin embargo, la instancia usa su SNIP para verificar la conectividad con Citrix ADM. Por lo tanto, asegúrese de que el SNIP esté configurado en la instancia.
  • No puede habilitar la recopilación de datos en un Citrix ADC implementado en modo de usuario de LAN mediante la utilidad de configuración de Citrix ADM.
  • Para obtener información detallada sobre los comandos y su uso, consulte lareferencia de comandos.
  • Para obtener información sobre las expresiones de directiva, consulteDirectivas y expresiones.

Para configurar la recopilación de datos en un dispositivo Citrix ADC mediante la interfaz de línea de comandos:

En el símbolo del sistema, haga lo siguiente:

  1. Inicie sesión en un dispositivo.

  2. Agregue un servidor virtual de redirección de caché de proxy de reenvío con la IP y el puerto proxy, y especifique el tipo de servicio como HDX.

    add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]

    Ejemplo

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
<!--NeedCopy-->

    Nota Si accede a la red LAN mediante un dispositivo Citrix Gateway, agregue una acción que aplique una directiva que coincida con el tráfico VPN.

    add vpn trafficAction <name> <qual> [-HDX ( ON u OFF )]

    add vpn trafficPolicy <name> <rule> <action>

    Ejemplo

    add vpn trafficAction act1 tcp -HDX ON

add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
<!--NeedCopy-->

  3. Agregue Citrix ADM como recopilador de flujo de aplicaciones en el dispositivo Citrix ADC.

    add appflow collector <name> -IPAddress <ip_addr>

    Ejemplo :

    add appflow collector MyInsight -IPAddress 192.168.1.101
<!--NeedCopy-->

  4. Cree una acción de flujo de aplicaciones y asocie el recopilador con la acción.

    add appflow action <name> -collectors <string> …

    Ejemplo :

    add appflow action act -collectors MyInsight
<!--NeedCopy-->

  5. Cree una directiva de flujo de aplicaciones para especificar la regla para generar el tráfico.

    add appflow policy <policyname> <rule> <action>

    Ejemplo :

    add appflow policy pol true act
<!--NeedCopy-->

  6. Enlazar la directiva de flujo de aplicaciones a un punto de enlace global.

    bind appflow global <policyname> <priority> -type <type>

    Ejemplo :

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
<!--NeedCopy-->

    Nota: El valor del tipo debe ser ICA_REQ_OVERRIDE o ICA_REQ_DEFAULT para poder aplicarse al tráfico ICA.

  7. Establezca el valor del parámetro flowRecordInterval para Appflow en 60 segundos.

    set appflow param -flowRecordInterval 60

    Ejemplo :

    set appflow param -flowRecordInterval 60
<!--NeedCopy-->

  8. Guarde la configuración. Tipo: save ns config

Habilitar la recopilación de datos para los dispositivos Citrix Gateway implementados en modo de salto único

Cuando implementa Citrix Gateway en modo de salto único, se encuentra en el borde de la red. La instancia de Gateway proporciona conexiones ICA de proxy a la infraestructura de entrega de escritorio. El salto único es la implementación más simple y común. El modo de salto único proporciona seguridad si un usuario externo intenta acceder a la red interna de una organización. En el modo de salto único, los usuarios acceden a los dispositivos Citrix ADC a través de una red privada virtual (VPN).

Para empezar a recopilar los informes, debe agregar el dispositivo Citrix Gateway al inventario de Citrix Application Delivery Management (ADM) y habilitar AppFlow en ADM.

imagen traducida

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En el menú desplegable Seleccionar acción, seleccione Configurar Analytics.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar AppFlow.

  6. En el campo Habilitar AppFlow, escriba true y seleccione ICA.

  7. Haga clic en Aceptar.

Nota: Los siguientes comandos se ejecutan en segundo plano cuando se habilita AppFlow en modo de salto único. Estos comandos se especifican explícitamente aquí para solucionar problemas.

  • add appflow collector <name> -IPAddress <ip_addr>
  • add appflow action <name> -collectors <string>
  • set appflow param -flowRecordInterval <secs>
  • disable ns feature AppFlow
  • enable ns feature AppFlow
  • add appflow policy <name> <rule> <expression>
  • set appflow policy <name> -rule <expression>
  • bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>
  • set vpn vserver <name> -appflowLog ENABLED
  • save ns config

Los datos de canal virtual de EUEM forman parte de los datos de HDX Insight que el Citrix ADM recibe de instancias de Gateway. El canal virtual EUEM proporciona los datos sobre ICA RTT. Si el canal virtual de EUEM no está habilitado, los datos restantes de HDX Insight se mostrarán en Citrix ADM.

Habilitación de la recopilación de datos para los dispositivos Citrix Gateway implementados en modo de doble salto

El modo de salto doble de Citrix Gateway proporciona protección adicional a la red interna de una organización porque un atacante necesitaría penetrar varias zonas de seguridad o zonas desmilitarizadas (DMZ) para llegar a los servidores de la red segura. Si quiere analizar el número de saltos (dispositivos Citrix Gateway) a través de los cuales pasan las conexiones ICA, así como los detalles sobre la latencia en cada conexión TCP y cómo se compara con la latencia total de ICA percibida por el cliente, debe instalar Citrix ADM para que los dispositivos Citrix Gateway reportar estas estadísticas vitales.

imagen traducida

Citrix Gateway en la primera DMZ maneja las conexiones de usuario y realiza las funciones de seguridad de una VPN SSL. Citrix Gateway cifra las conexiones de los usuarios, determina cómo se autentican los usuarios y controla el acceso a los servidores de la red interna.

Citrix Gateway en la segunda DMZ sirve como dispositivo proxy de Citrix Gateway. Este Citrix Gateway permite que el tráfico ICA atraviese la segunda DMZ para completar las conexiones de usuario a la comunidad de servidores.

El Citrix ADM se puede implementar en la subred que pertenece al dispositivo Citrix Gateway en la primera DMZ o en la subred que pertenece a la segunda DMZ del dispositivo Citrix Gateway. En la imagen de arriba, Citrix ADM y Citrix Gateway de la primera DMZ se implementan en la misma subred.

En modo de salto doble, Citrix ADM recopila los registros TCP de un dispositivo y los registros ICA del otro dispositivo. Tras agregar los dispositivos Citrix Gateway al inventario de Citrix ADM y habilitar la recopilación de datos, cada uno de los dispositivos exporta los informes realizando un seguimiento del recuento de saltos y del identificador de la cadena de conexiones.

Para que Citrix ADM identifique qué dispositivo está exportando registros, cada dispositivo se especifica con un recuento de saltos y cada conexión se especifica con un ID de cadena de conexiones. El recuento de saltos representa la cantidad de dispositivos Citrix Gateway a través de los cuales fluye el tráfico desde un cliente a los servidores. El ID de cadena de conexión representa las conexiones de extremo a extremo entre el cliente y el servidor.

Citrix ADM utiliza el recuento de saltos y el ID de la cadena de conexiones para correlacionar los datos de los dispositivos Citrix Gateway y generar los informes.

Para supervisar los dispositivos Citrix Gateway implementados en este modo, primero debe agregar Citrix Gateway al inventario de Citrix ADM, habilitar AppFlow en Citrix ADM y, a continuación, ver los informes en el panel de Citrix ADM.

Habilitar la recopilación de datos en Citrix ADM

Si habilita Citrix ADM para comenzar a recopilar los detalles de ICA de ambos dispositivos, los detalles recopilados serán redundantes. Es decir, tanto los dispositivos informan de las mismas métricas. Para superar esta situación, debe habilitar AppFlow para ICA en uno de los primeros dispositivos Citrix Gateway y, a continuación, habilitar AppFlow para TCP en el segundo dispositivo. Al hacerlo, uno de los dispositivos exporta registros ICA AppFlow y el otro dispositivo exporta registros TCP AppFlow. Esto también ahorra tiempo de procesamiento al analizar el tráfico ICA.

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En el menú desplegable Seleccionar acción, seleccione Configurar Analytics.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar AppFlow.

  6. En el campo Habilitar AppFlow, escriba true y seleccione ICA/TCP para tráfico ICA y tráfico TCP respectivamente.

    Nota Si el registro de AppFlow no está habilitado para los servicios o grupos de servicios respectivos del dispositivo Citrix ADC, el panel de control de Citrix ADM no muestra los registros, incluso si la columna Insight muestra Habilitado.

  7. Haga clic en Aceptar.

Configuración de dispositivos Citrix Gateway para exportar datos

Después de instalar los dispositivos Citrix Gateway, debe configurar las siguientes opciones en los dispositivos Citrix Gateway para exportar los informes a Citrix ADM:

  • Configure los servidores virtuales de los dispositivos Citrix Gateway en la primera y la segunda DMZ para que se comuniquen entre sí.
  • Enlazar el servidor virtual de Citrix Gateway en la segunda DMZ con el servidor virtual de Citrix Gateway en la primera DMZ.
  • Habilite el salto doble en Citrix Gateway en la segunda DMZ.
  • Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.
  • Habilite uno de los dispositivos Citrix Gateway para exportar registros ICA
  • Habilite el otro dispositivo Citrix Gateway para exportar registros TCP:
  • Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

Configuración de Citrix Gateway mediante la interfaz de línea de comandos:

  1. Configure el servidor virtual de Citrix Gateway en la primera DMZ para comunicarse con el servidor virtual de Citrix Gateway en la segunda DMZ.

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure(ON u OFF)] [-imgGifToPng] …

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON

  2. Enlazar el servidor virtual de Citrix Gateway en la segunda DMZ con el servidor virtual de Citrix Gateway en la primera DMZ. Ejecute el siguiente comando en Citrix Gateway en la primera DMZ:

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1

  3. Habilite el salto doble y AppFlow en Citrix Gateway en la segunda DMZ.

    set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED

  4. Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

    set vpn vserver<name> [-authentication (ON or OFF)]

    set vpn vserver vs -authentication OFF

  5. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    vincular vpn vserver<type\ >\ <name\ >\ [-policy\ -priority<string\ ] [-type**<positive_integer>\\]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST

  6. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA:

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST

  7. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway:

    set appFlow param [-connectionChaining (ENABLED or DISABLED)]

    set appflow param -connectionChaining ENABLED

Configuración de Citrix Gateway mediante la Utilidad de configuración:

  1. Configure Citrix Gateway en la primera DMZ para comunicarse con Citrix Gateway en la segunda DMZ y enlazar Citrix Gateway en la segunda DMZ a Citrix Gateway en la primera DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expandaAplicaciones publicadas.

    3. Haga clic enServidor de salto siguiente y vincule un servidor de salto siguiente al segundo dispositivo Citrix Gateway.

  2. Habilite el salto doble en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Expanda Más, seleccione Doble salto y haga clic en Aceptar.

  3. Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda NetScaler Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Expanda Más y desmarque Habilitar autenticación.

  4. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzadas, expanda Directivas.

    3. Haga clic en el icono + y, en la lista desplegableElegir directiva, seleccioneAppFlow y, en la lista desplegable Elegir tipo, seleccioneOtra solicitud de TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar.

  5. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA:

    1. En la ficha Configuración, expanda NetScaler Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoAvanzado, expandaDirectivas.

    3. Haga clic en el icono + y, en la lista desplegableElegir directiva, seleccione AppFlowy, en la lista desplegable Elegir tipo , seleccione Otra solicitud de TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar.

  6. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

    1. En la ficha Configuración, vaya a Sistema > Appflow.

    2. En el panel derecho, en el grupoConfiguración, haga clic enCambiar la configuración de Appflow.

    3. Seleccione Conexión encadenamiento y haga clic en Aceptar.

  7. Configure Citrix Gateway en la primera DMZ para comunicarse con Citrix Gateway en la segunda DMZ y enlazar Citrix Gateway en la segunda DMZ a Citrix Gateway en la primera DMZ.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en elgrupo Avanzado , expandaAplicaciones publicadas.

    3. Haga clic enServidor de siguiente saltoy vincule un servidor de siguiente salto al segundo dispositivo Citrix Gateway.

  8. Habilite el salto doble en Citrix Gateway en la segunda DMZ.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.

    3. Amplíe Más , seleccione Double Hop y haga clic en Aceptar .

  9. Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Expanda Más y desmarque Habilitar autenticación.

  10. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado , expandaDirectivas.

    3. Haga clic en el icono+ y, en la lista desplegable Elegir directiva , seleccioneAppFlow y, en la lista desplegable Elegir tipo, seleccioneOtra solicitud de TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar.

  11. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado, expanda Políticas .

    3. Haga clic en el icono+ y, en la lista desplegableElegir directiva , seleccioneAppFlow y, en la lista desplegable Elegir tipo , seleccioneOtra solicitud de TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar.

  12. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

Habilitar la recopilación de datos para supervisar los dispositivos de Citrix ADC implementados en modo transparente

Cuando un Citrix ADC se implementa en modo transparente, los clientes pueden acceder a los servidores directamente, sin que intervenga ningún servidor virtual. Si un dispositivo Citrix ADC se implementa en modo transparente en un entorno de Citrix Virtual Apps and Desktop, el tráfico ICA no se transmite a través de una VPN.

Después de agregar Citrix ADC al inventario Citrix ADM, debe habilitar AppFlow para la recopilación de datos. Habilitar la recopilación de datos depende del dispositivo y del modo. En ese caso, debe agregar Citrix ADM como recopilador de AppFlow en cada dispositivo Citrix ADC y debe configurar una directiva de Appflow para recopilar todo el tráfico ICA que fluye a través del dispositivo o uno específico.

Nota

  • No puede habilitar la recopilación de datos en un Citrix ADC implementado en modo transparente mediante la utilidad de configuración de Citrix ADM.
  • Para obtener información detallada sobre los comandos y su uso, consulte lareferencia de comandos.
  • Para obtener información sobre las expresiones de directiva, consulteDirectivas y expresiones.

La siguiente ilustración muestra la implementación en red de un Citrix ADM cuando un Citrix ADC se implementa en modo transparente:

imagen traducida

Para configurar la recopilación de datos en un dispositivo Citrix ADC mediante la interfaz de línea de comandos:

En el símbolo del sistema, haga lo siguiente:

  1. Inicie sesión en un dispositivo.

  2. Especifique los puertos ICA en los que el dispositivo Citrix ADC escucha el tráfico.

    set ns param --icaPorts <port>...
<!--NeedCopy-->

    Ejemplo:

    set ns param -icaPorts 2598 1494
<!--NeedCopy-->

    Nota

    • Puede especificar hasta 10 puertos con este comando.
    • El número de puerto predeterminado es 2598. Puede modificar el número de puerto según sea necesario.

  3. Agregue NetScaler Insight Center como recopilador de flujo de aplicaciones en el dispositivo Citrix ADC.

    add appflow collector <name> -IPAddress <ip_addr>
<!--NeedCopy-->

    Ejemplo:

    add appflow collector MyInsight -IPAddress 192.168.1.101
<!--NeedCopy-->

    Nota Para ver los recopiladores de flujo de aplicaciones configurados en el dispositivo Citrix ADC, utilice el comandoshow appflow collector.

  4. Cree una acción de flujo de aplicaciones y asocie el recopilador con la acción.

    add appflow action <name> -collectors <string> ...
<!--NeedCopy-->

    Ejemplo:

    add appflow action act -collectors MyInsight

  5. Cree una directiva de flujo de aplicaciones para especificar la regla para generar el tráfico.

    add appflow policy <policyname> <rule> <action>
<!--NeedCopy-->

    Ejemplo:

    add appflow policy pol true act
<!--NeedCopy-->

  6. Enlazar la directiva de flujo de aplicaciones a un punto de enlace global.

    bind appflow global <policyname> <priority> -type <type>
<!--NeedCopy-->

    Ejemplo:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
<!--NeedCopy-->

    Nota :El valor deltipo debe ser ICA_REQ_OVERRIDE o ICA_REQ_DEFAULT para poder aplicarse al tráfico ICA.

  7. Establezca el valor del parámetro flowRecordInterval para Appflow en 60 segundos.

    set appflow param -flowRecordInterval 60
<!--NeedCopy-->

    Ejemplo:

    set appflow param -flowRecordInterval 60
<!--NeedCopy-->

  8. Guarde la configuración. Tipo: save ns config

Habilitar la recopilación de datos de HDX Insight
January 30, 2024
Contribución de: 
C
January 30, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.