Documentación de productos
Application Delivery Management
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Habilitar la recopilación de datos de HDX Insight

January 30, 2024
Contribución de: 
C

HDX Insight permite a TI ofrecer una experiencia de usuario excepcional al proporcionar una visibilidad end-to-end sin precedentes del tráfico ICA que pasa a través de las instancias Citrix ADC o los dispositivos Citrix SD-WAN, y forma parte de Citrix Application Delivery Management (ADM) Analytics. HDX Insight ofrece capacidades de análisis de fallos y de inteligencia empresarial atractivas y potentes para la red, los escritorios virtuales, las aplicaciones y la estructura de aplicaciones. HDX Insight puede analizar al instante los problemas de los usuarios, recopilar datos sobre las conexiones de escritorio virtual y generar registros de AppFlow y presentarlos como informes visuales.

La configuración para habilitar la recopilación de datos en Citrix ADC difiere según la posición del dispositivo en la topología de implementación.

Habilitar la recopilación de datos para monitorear los dispositivos de Citrix ADC implementados en modo de usuario LAN

Los usuarios externos que accedan a las aplicaciones de escritorio y aplicaciones virtuales de Citrix deben autenticarse en Citrix Gateway. Sin embargo, es posible que los usuarios internos no necesiten ser redirigidos a Citrix Gateway. Además, en una implementación de modo transparente, el administrador debe aplicar manualmente las directivas de redirección para que las solicitudes se redirijan al dispositivo Citrix ADC.

Para superar estos desafíos y para que los usuarios de LAN se conecten directamente a las aplicaciones Citrix Virtual App y Desktop, puede implementar el dispositivo Citrix ADC en modo de usuario LAN configurando un servidor virtual de redirección de caché, que actúa como proxy SOCKS en el dispositivo Citrix Gateway.

Implementar ADC en modo de usuario LAN

Nota Citrix ADM y el dispositivo Citrix Gateway residen en la misma subred.

Para supervisar los dispositivos Citrix ADC implementados en este modo, primero agregue el dispositivo Citrix ADC al inventario de NetScaler Insight, habilite AppFlow y, a continuación, consulte los informes en el panel.

Después de agregar el dispositivo Citrix ADC al inventario de Citrix ADM, debe habilitar AppFlow para la recopilación de datos.

Nota

  • En una instancia de ADC, puede desplazarse a Sistema > AppFlow > Colectorespara comprobar si el recopilador (es decir, NetScaler ADM) está o no. La instancia Citrix ADC envía registros AppFlow a Citrix ADM mediante NSIP. Sin embargo, la instancia usa su SNIP para verificar la conectividad con Citrix ADM. Por lo tanto, asegúrese de que el SNIP esté configurado en la instancia.
  • No puede habilitar la recopilación de datos en un Citrix ADC implementado en modo de usuario de LAN mediante la utilidad de configuración de Citrix ADM.
  • Para obtener información detallada sobre los comandos y su uso, consulte lareferencia de comandos.
  • Para obtener información sobre las expresiones de directiva, consulteDirectivas y expresiones.

Para configurar la recopilación de datos en un dispositivo Citrix ADC mediante la interfaz de línea de comandos:

En el símbolo del sistema, haga lo siguiente:

  1. Inicie sesión en un dispositivo.

  2. Agregue un servidor virtual de redirección de caché de proxy de reenvío con la IP y el puerto proxy, y especifique el tipo de servicio como HDX.

    add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]
<!--NeedCopy-->

    Ejemplo

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
<!--NeedCopy-->

    Nota: Si accede a la red LAN mediante un dispositivo Citrix Gateway, agregue una acción para que la aplique una directiva que coincida con el tráfico de la VPN.

    add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )]

add vpn trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

    Ejemplo

    add vpn trafficAction act1 tcp -HDX ON

add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
<!--NeedCopy-->

  3. Agregue Citrix ADM como un recopilador AppFlow en el dispositivo Citrix ADC.

    add appflow collector <name> -IPAddress <ip_addr>
<!--NeedCopy-->

    Example:

    ``` add appflow collector MyInsight -IPAddress 192.168.1.101 ```

  4. Cree una acción AppFlow y asocie el recopilador con la acción.

    add appflow action <name> -collectors <string>

    Ejemplo :

    add appflow action act -collectors MyInsight

  5. Cree una directiva de AppFlow para especificar la regla para generar el tráfico.

    add appflow policy <policyname> <rule> <action>

    Ejemplo :

    add appflow policy pol true act

  6. Enlace la directiva de AppFlow a un punto de enlace global.

    bind appflow global <policyname> <priority> -type <type>

    Ejemplo :

    bind appflow global pol 1 -type ICA_REQ_DEFAULT

    Nota

    El valor de tipo debe ser ICA_REQ_OVERRIDE o ICA_REQ_DEFAULT para aplicar al tráfico ICA.

  7. Establezca el valor del parámetro flowRecordInterval para AppFlow en 60 segundos.

    set appflow param -flowRecordInterval 60

    Ejemplo :

    set appflow param -flowRecordInterval 60

  8. Guarde la configuración. Tipo: save ns config

Habilitar la recopilación de datos para los dispositivos Citrix Gateway implementados en modo de salto único

Cuando implementa Citrix Gateway en modo de salto único, se encuentra en el borde de la red. La instancia de Gateway proporciona conexiones ICA de proxy a la infraestructura de entrega de escritorio. El salto único es la implementación más simple y común. El modo de salto único proporciona seguridad si un usuario externo intenta acceder a la red interna de una organización. En el modo de salto único, los usuarios acceden a los dispositivos Citrix ADC a través de una red privada virtual (VPN).

Para empezar a recopilar los informes, debe agregar el dispositivo Citrix Gateway al inventario de Citrix Application Delivery Management (ADM) y habilitar AppFlow en ADM.

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En la lista Seleccionar acción, seleccione Configurar análisis.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar análisis.

  6. Seleccione HDX Insight y, a continuación, ICA.

  7. Haga clic en Aceptar.

Nota

cuando habilita AppFlow en modo de salto único, los siguientes comandos se ejecutan en segundo plano. Estos comandos se especifican explícitamente aquí para solucionar problemas.

-  add appflow collector <name> -IPAddress <ip_addr>

-  add appflow action <name> -collectors <string>

-  set appflow param -flowRecordInterval <secs>

-  disable ns feature AppFlow

-  enable ns feature AppFlow

-  add appflow policy <name> <rule> <expression>

-  set appflow policy <name> -rule <expression>

-  bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>

-  set vpn vserver <name> -appflowLog ENABLED

-  save ns config

Los datos de canal virtual de EUEM forman parte de los datos de HDX Insight que el Citrix ADM recibe de instancias de Gateway. El canal virtual EUEM proporciona los datos sobre ICA RTT. Si el canal virtual de EUEM no está habilitado, los datos restantes de HDX Insight se mostrarán en Citrix ADM.

Habilitar la recopilación de datos para los dispositivos Citrix Gateway implementados en modo de doble salto

El modo de salto doble de Citrix Gateway proporciona protección adicional a la red interna de una organización porque un atacante necesitaría penetrar varias zonas de seguridad o zonas desmilitarizadas (DMZ) para llegar a los servidores de la red segura. Si quiere analizar el número de saltos (dispositivos Citrix Gateway) a través de los cuales pasan las conexiones ICA, así como los detalles sobre la latencia en cada conexión TCP y cómo se compara con la latencia total de ICA percibida por el cliente, debe instalar Citrix ADM para que los dispositivos Citrix Gateway reportar estas estadísticas vitales.

Habilitar análisis

Citrix Gateway en la primera DMZ maneja las conexiones de usuario y realiza las funciones de seguridad de una VPN SSL. Citrix Gateway cifra las conexiones de los usuarios, determina cómo se autentican los usuarios y controla el acceso a los servidores de la red interna.

Citrix Gateway en la segunda DMZ sirve como dispositivo proxy de Citrix Gateway. Este Citrix Gateway permite que el tráfico ICA atraviese la segunda DMZ para completar las conexiones de usuario a la comunidad de servidores.

El Citrix ADM se puede implementar en la subred que pertenece al dispositivo Citrix Gateway en la primera DMZ o en la subred que pertenece a la segunda DMZ del dispositivo Citrix Gateway. En la imagen de arriba, Citrix ADM y Citrix Gateway de la primera DMZ se implementan en la misma subred.

En modo de salto doble, Citrix ADM recopila los registros TCP de un dispositivo y los registros ICA del otro dispositivo. Después de agregar los dispositivos Citrix Gateway al inventario de Citrix ADM y habilitar la recopilación de datos, cada uno de los dispositivos exporta los informes realizando un seguimiento del recuento de saltos y del ID de la cadena de conexiones.

Para que Citrix ADM identifique qué dispositivo está exportando registros, cada dispositivo se especifica con un recuento de saltos y cada conexión se especifica con un ID de cadena de conexiones. El recuento de saltos representa la cantidad de dispositivos Citrix Gateway a través de los cuales fluye el tráfico desde un cliente a los servidores. El ID de cadena de conexión representa las conexiones de extremo a extremo entre el cliente y el servidor.

Citrix ADM utiliza el recuento de saltos y el ID de la cadena de conexiones para correlacionar los datos de los dispositivos Citrix Gateway y generar los informes.

Para supervisar los dispositivos Citrix Gateway implementados en este modo, primero debe agregar Citrix Gateway al inventario de Citrix ADM, habilitar AppFlow en Citrix ADM y, a continuación, ver los informes en el panel de Citrix ADM.

Configure HDX Insight en los servidores virtuales utilizados para Optimal Gateway

Pasos para configurar HDX Insight en servidores virtuales utilizados para Optimal Gateway:

  1. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  2. En la lista Seleccionar acción, seleccione Configurar análisis.

  3. Seleccione el servidor virtual VPN configurado para la autenticación y haga clic en Habilitar análisis.

  4. Seleccione HDX Insight y, a continuación, ICA.

  5. Seleccione otras opciones avanzadas según sea necesario.

  6. Haga clic en Aceptar.

  7. Repita los pasos 3 a 6 en el otro servidor virtual VPN.

Habilitar la recopilación de datos en Citrix ADM

Si habilita Citrix ADM para comenzar a recopilar los detalles de ICA de ambos dispositivos, los detalles recopilados serán redundantes. Es decir, tanto los dispositivos informan de las mismas métricas. Para superar esta situación, debe habilitar AppFlow para ICA en uno de los primeros dispositivos Citrix Gateway y, a continuación, habilitar AppFlow para TCP en el segundo dispositivo. Al hacerlo, uno de los dispositivos exporta registros ICA AppFlow y el otro dispositivo exporta registros TCP AppFlow. Esto también ahorra tiempo de procesamiento al analizar el tráfico ICA.

Para habilitar la función AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP del Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar el análisis.

  4. En la lista Seleccionar acción, seleccione Configurar análisis.

  5. Seleccione los servidores virtuales VPN y haga clic en Habilitar análisis.

  6. Seleccione HDX Insight y, a continuación, seleccione ICA o TCP para el tráfico ICA o el tráfico TCP, respectivamente.

    Nota

    Si el registro de AppFlow no está habilitado para los servicios o grupos de servicios respectivos en el dispositivo Citrix ADC, el panel Citrix ADM no muestra los registros, incluso si la columna Insight muestra Habilitado.

  7. Haga clic en Aceptar.

Configuración de dispositivos Citrix Gateway para exportar datos

Después de instalar los dispositivos Citrix Gateway, debe configurar las siguientes opciones en los dispositivos Citrix Gateway para exportar los informes a Citrix ADM:

  • Configure los servidores virtuales de los dispositivos Citrix Gateway en la primera y la segunda DMZ para que se comuniquen entre sí.

  • Enlazar el servidor virtual de Citrix Gateway en la segunda DMZ con el servidor virtual de Citrix Gateway en la primera DMZ.

  • Habilite el salto doble en Citrix Gateway en la segunda DMZ.

  • Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

  • Habilite uno de los dispositivos Citrix Gateway para exportar registros ICA

  • Habilite el otro dispositivo Citrix Gateway para exportar registros TCP:

  • Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

Configure Citrix Gateway mediante la interfaz de línea de comandos:

  1. Configure el servidor virtual de Citrix Gateway en la primera DMZ para comunicarse con el servidor virtual de Citrix Gateway en la segunda DMZ.

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON or OFF)] [-imgGifToPng]

add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON

  2. Enlazar el servidor virtual de Citrix Gateway en la segunda DMZ con el servidor virtual de Citrix Gateway en la primera DMZ. Ejecute el siguiente comando en Citrix Gateway en la primera DMZ:

    bind vpn vserver <name> -nextHopServer <name>

bind vpn vserver vs1 -nextHopServer nh1

  3. Habilite el salto doble y AppFlow en Citrix Gateway en la segunda DMZ.

    set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]

set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED

  4. Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

    set vpn vserver <name> [-authentication (ON or OFF)]

set vpn vserver vs -authentication OFF

  5. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]

bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST

  6. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA:

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]

bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST

  7. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway:

    set appFlow param [-connectionChaining (ENABLED or DISABLED)]

set appflow param -connectionChaining ENABLED

Configurar Citrix Gateway mediante la Utilidad de configuración:

  1. Configure Citrix Gateway en la primera DMZ para comunicarse con Citrix Gateway en la segunda DMZ y enlazar Citrix Gateway en la segunda DMZ a Citrix Gateway en la primera DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado, expanda Aplicaciones publicadas.

    3. Haga clic enServidor de salto siguiente y vincule un servidor de salto siguiente al segundo dispositivo Citrix Gateway.

  2. Habilite el salto doble en Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Amplíe más, seleccioneDouble Hopy haga clic enAceptar.

  3. Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoConfiguración básica, haga clic en el icono de edición.

    3. Amplíemásy desactive la opciónHabilitar autenticación.

  4. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado, expanda Directivas.

    3. Haga clic en el icono + y, en la listaElegir directiva, seleccioneAppFlowy, en la lista Elegir tipo, seleccioneOtra solicitud de TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar.

  5. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA:

    1. En la ficha Configuración, expanda Citrix Gateway y haga clic en Servidores virtuales.

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupoAvanzado, expandaDirectivas.

    3. Haga clic en el icono + y, en la listaElegir directiva, seleccione AppFlow y, en la lista Elegir tipo, seleccioneOtrasolicitud de TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar.

  6. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

    1. En la ficha Configuración, vaya a Sistema > Appflow.

    2. En el panel derecho, en el grupoConfiguración, haga doble clic enCambiar la configuración de Appflow.

    3. Seleccione Conexión encadenamiento y haga clic en Aceptar.

  7. Configure Citrix Gateway en la primera DMZ para comunicarse con Citrix Gateway en la segunda DMZ y enlazar Citrix Gateway en la segunda DMZ a Citrix Gateway en la primera DMZ.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado , expanda Aplicaciones publicadas .

    3. Haga clic enServidor de siguiente saltoy vincule un servidor de siguiente salto al segundo dispositivo Citrix Gateway.

  8. Habilite el salto doble en Citrix Gateway en la segunda DMZ.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.

    3. Amplíe Más, seleccioneDouble Hopy pulseAceptar.

  9. Inhabilite la autenticación en el servidor virtual de Citrix Gateway en la segunda DMZ.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Configuración básica, haga clic en el icono de edición.

    3. Amplíemásy desactive la opciónHabilitar autenticación.

  10. Habilite uno de los dispositivos Citrix Gateway para exportar registros TCP.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado, expanda Directivas.

    3. Haga clic en el icono+y, en la lista Elegir directiva, seleccione AppFlow y, en la lista Elegir tipo, seleccioneOtra solicitud de TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar.

  11. Habilite el otro dispositivo Citrix Gateway para exportar registros ICA.

    1. En la pestaña Configuración , expanda Citrix Gateway y haga clic en Servidores virtuales .

    2. En el panel derecho, haga doble clic en el servidor virtual y, en el grupo Avanzado, expandaDirectivas.

    3. Haga clic en el icono+y, en la listaElegir directiva, seleccione AppFlow y, en la lista Elegir tipo, seleccioneOtra solicitud de TCP.

    4. Haga clic en Continuar.

    5. Agregue un enlace de directiva y haga clic en Cerrar.

  12. Habilite el encadenamiento de conexiones en ambos dispositivos Citrix Gateway.

Habilitar la recopilación de datos para supervisar los dispositivos de Citrix ADC implementados en modo transparente

Cuando un Citrix ADC se implementa en modo transparente, los clientes pueden acceder a los servidores directamente, sin que intervenga ningún servidor virtual. Si un dispositivo Citrix ADC se implementa en modo transparente en un entorno de Citrix Virtual Apps and Desktop, el tráfico ICA no se transmite a través de una VPN.

Después de agregar Citrix ADC al inventario Citrix ADM, debe habilitar AppFlow para la recopilación de datos. Habilitar la recopilación de datos depende del dispositivo y del modo. En ese caso, debe agregar Citrix ADM como un recopilador de AppFlow en cada dispositivo Citrix ADC y debe configurar una directiva de AppFlow para recopilar todo o el tráfico ICA específico que fluye a través del dispositivo.

Nota

  • No puede habilitar la recopilación de datos en un Citrix ADC implementado en modo transparente mediante la utilidad de configuración de Citrix ADM.
  • Para obtener información detallada sobre los comandos y su uso, consulte lareferencia de comandos.
  • Para obtener información sobre las expresiones de directiva, consulteDirectivas y expresiones.

La siguiente ilustración muestra la implementación en red de un Citrix ADM cuando un Citrix ADC se implementa en modo transparente:

Modo transparente

Para configurar la recopilación de datos en un dispositivo Citrix ADC mediante la interfaz de línea de comandos:

En el símbolo del sistema, haga lo siguiente:

  1. Inicie sesión en un dispositivo.

  2. Especifique los puertos ICA en los que el dispositivo Citrix ADC escucha el tráfico.

    set ns param --icaPorts <port>...

    Ejemplo:

    set ns param -icaPorts 2598 1494

    Nota

    • Puede especificar hasta 10 puertos con este comando.
    • El número de puerto predeterminado es 2598. Puede modificar el número de puerto según sea necesario.

  3. Agregue NetScaler Insight Center como un recopilador AppFlow en el dispositivo Citrix ADC.

    add appflow collector <name> -IPAddress <ip_addr>

    Ejemplo:

    add appflow collector MyInsight -IPAddress 192.168.1.101

    Nota Para ver los recopiladores AppFlow configurados en el dispositivo Citrix ADC, utilice el comandoshow appflow collector.

  4. Cree una acción AppFlow y asocie el recopilador con la acción.

    add appflow action <name> -collectors <string> ...

    Ejemplo:

    agregar acción AppFlow act-colectores MyInsight

  5. Cree una directiva de AppFlow para especificar la regla para generar el tráfico.

    add appflow policy <policyname> <rule> <action>

    Ejemplo:

    add appflow policy pol true act

  6. Enlace la directiva de AppFlow a un punto de enlace global.

    bind appflow global <policyname> <priority> -type <type>

    Ejemplo:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT

    Nota

    El valor de tipo debe ser ICA_REQ_OVERRIDE o ICA_REQ_DEFAULT para aplicarlo al tráfico ICA.

  7. Establezca el valor del parámetro flowRecordInterval para AppFlow en 60 segundos.

    set appflow param -flowRecordInterval 60

    Ejemplo:

    set appflow param -flowRecordInterval 60

  8. Guarde la configuración. Tipo: save ns config ```

Habilitar la recopilación de datos de HDX Insight
January 30, 2024
Contribución de: 
C
January 30, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.