-
-
-
-
-
-
启用 HDX Insight 数据收集
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
启用 HDX Insight 数据收集
HDX Insight 通过 Citrix ADC 实例或 Citrix SD-WAN 设备传递的 ICA 流量提供前所未有的端到端可见性,使 IT 部门能够提供卓越的用户体验,并且是 Citrix Application Delivery Management (ADM) 分析的一部分。HDX Insight 针对网络、虚拟桌面、应用程序及应用程序结构提供令人信服的强大业务智能和故障分析功能。HDX Insight 可以即时鉴别分类用户问题、收集有关虚拟桌面连接的数据、生成 AppFlow 记录并将其呈现为可视报告。
在 Citrix ADC 中启用数据收集的配置因设备在部署拓扑中的位置而异。
启用数据收集以监视在局域网用户模式下部署的 Citrix ADC
访问 Citrix Virtual Apps and Desktops 应用程序的外部用户必须在 Citrix Gateway 上进行身份验证。但是,内部用户可能不需要重定向到 Citrix Gateway。此外,在透明模式部署中,管理员必须手动应用路由策略,以便将请求重定向到 Citrix ADC 设备。
要克服这些挑战,并让局域网用户直接连接到 Citrix Virtual Apps and Desktops 应用程序,您可以通过配置缓存重定向虚拟服务器(该服务器充当 Citrix Gateway 设备上的 SOCKS 代理)以 LAN 用户模式部署 Citrix ADC 设备。
注意: Citrix ADM 和 Citrix Gateway 设备位于同一子网中。
要监视在此模式下部署的 Citrix ADC 设备,请先将 Citrix ADC 设备添加到 NetScaler Insight 清单,启用 AppFlow,然后在控制面板上查看报告。
将 Citrix ADC 装置添加到 Citrix ADM 清单后,必须为数据收集启用 AppFlow。
注意
要使用命令行界面在 Citrix ADC 装置上配置数据收集,请执行以下操作:
在命令提示窗口中执行以下操作:
-
登录设备。
-
添加转发代理缓存重定向虚拟服务器并提供代理 IP 和端口,指定服务类型为 HDX。
add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]
示例
add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180 <!--NeedCopy-->注意: 如果您使用 Citrix Gateway 设备访问 LAN 网络,请添加要由匹配 VPN 流量的策略应用的操作。
add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )]
add vpn trafficPolicy <name> <rule> <action>
示例
add vpn trafficAction act1 tcp -HDX ON add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1 <!--NeedCopy--> -
将 Citrix ADM 添加为 Citrix ADC 设备上的 AppFlow 收集器。
add appflow collector <name> -IPAddress <ip_addr>
示例:
add appflow collector MyInsight -IPAddress 192.168.1.101 <!--NeedCopy--> -
创建 AppFlow 操作,并将收集器与该操作关联。
add appflow action <name> -collectors <string> …
示例:
add appflow action act -collectors MyInsight <!--NeedCopy--> -
创建 AppFlow 策略以指定用于生成流量的规则。
add appflow policy <policyname> <rule> <action>
示例:
add appflow policy pol true act <!--NeedCopy--> -
将 AppFlow 策略绑定到全局绑定点。
bind appflow global <policyname> <priority> -type <type>
示例:
bind appflow global pol 1 -type ICA_REQ_DEFAULT <!--NeedCopy-->注意 要应用于 ICA 流量,类型的值应为 ICA_REQ_OVERRIDE 或 ICA_REQ_DEFAULT。
-
将 AppFlow 的 flowRecordInterval 参数值设置为 60 秒。
set appflow param -flowRecordInterval 60
示例:
set appflow param -flowRecordInterval 60 <!--NeedCopy--> -
保存配置。类型:
save ns config
为在单跃点模式下部署的 Citrix Gateway 设备启用数据收集
在单跃点模式下部署 Citrix Gateway 时,它位于网络的边缘。网关实例提供与桌面交付基础架构的代理 ICA 连接。单跃点是最简单、最常见的部署。如果外部用户尝试访问组织中的内部网络,单跃点模式可提供安全性。 在单跃点模式下,用户通过虚拟专用网络 (VPN) 访问 Citrix ADC 设备。
要开始收集报告,必须将 Citrix Gateway 设备添加到 Citrix Application Delivery Management (ADM) 清单中,并在 ADM 上启用 AppFlow。
要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:
-
在 Web 浏览器中,键入 Citrix ADM 的 IP 地址(例如,http://192.168.100.1)。
-
在 User Name(用户名)和 Password(密码)中,输入管理员凭据。
-
导航到“网络”>“实例”,然后选择要启用分析的 Citrix ADC 实例。
-
从选择操作下拉列表中,选择配置分析。
-
选择 VPN 虚拟服务器,然后单击启用 AppFlow。
-
在“启用 AppFlow”字段中,键入 true,然后选择 ICA。
-
单击确定。
注意:在单跃点模式下启用 AppFlow 时,以下命令在后台执行。此处显式指定这些命令是为了进行故障排除。
- add appflow collector <name> -IPAddress <ip_addr>
- add appflow action <name> -collectors <string>
- set appflow param -flowRecordInterval <secs>
- disable ns feature AppFlow
- enable ns feature AppFlow
- add appflow policy <name> <rule> <expression>
- set appflow policy <name> -rule <expression>
- bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>
- set vpn vserver <name> -appflowLog ENABLED
- save ns config
EUEM 虚拟通道数据是 Citrix ADM 从网关实例接收到的 HDX Insight 能分析数据的一部分。EUEM 虚拟通道提供有关 ICA RTT 的数据。如果未启用 EUEM 虚拟通道,则 Citrix ADM 上仍会显示剩余的 HDX Insight 数据。
为在双跃点模式下部署的 Citrix Gateway 设备启用数据收集
Citrix Gateway 双跳模式为组织的内部网络提供额外的保护,因为攻击者需要穿透多个安全区域或非军事区域 (DMZ) 才能访问安全网络中的服务器。如果要分析 ICA 连接通过的跃点数(Citrix Gateway 装置),以及有关每个 TCP 连接上延迟的详细信息,以及它如何与客户端感知到的总 ICA 延迟展开,则必须安装 Citrix ADM,以便 Citrix Gateway 设备报告这些生命统计数据。
第一个 DMZ 中的 Citrix Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 Citrix Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。
第二个 DMZ 中的 Citrix Gateway 充当 Citrix Gateway 代理设备。此 Citrix Gateway 使 ICA 流量能够遍历第二个 DMZ,从而完成用户与服务器场的连接。
Citrix ADM 可以部署在属于第一个 DMZ 中 Citrix Gateway 设备的子网中,也可以部署在属于 Citrix Gateway 设备的第二个 DMZ 的子网中。在上图中,第一个 DMZ 中的 Citrix ADM 和 Citrix Gateway 部署在同一个子网中。
在双跃点模式下,Citrix ADM 从一台装置收集 TCP 记录,从另一台装置收集 ICA 记录。将 Citrix Gateway 设备添加到 Citrix ADM 清单并启用数据收集后,每台设备都会通过跟踪跳数和连接链 ID 来导出报告。
为了让 Citrix ADM 识别哪个装置正在导出记录,每个装置都会使用跳数指定,并使用连接链 ID 指定每个连接。跃点数表示流量从客户端流向服务器的 Citrix Gateway 设备的数量。连接链 ID 表示客户端与服务器之间的端到端连接。
Citrix ADM 使用跳数和连接链 ID 来关联来自两个 Citrix Gateway 设备的数据并生成报告。
要监视在此模式下部署的 Citrix Gateway 设备,必须先将 Citrix Gateway 添加到 Citrix ADM 清单,在 Citrix ADM 上启用 AppFlow,然后在 Citrix ADM 控制面板上查看报告。
在 Citrix ADM 上启用数据收集
如果启用 Citrix ADM 开始从两个装置收集 ICA 详细信息,则收集的详细信息将是冗余的。即两个设备报告相同的指标。要克服这种情况,您必须在第一台 Citrix Gateway 设备上启用适用于 ICA 的 AppFlow,然后在第二台设备上启用适用于 TCP 的 AppFlow。这样做,其中一个设备导出 ICA AppFlow 记录,另一个设备导出 TCP AppFlow 记录。这还节省解析 ICA 通信的处理时间。
要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:
-
在 Web 浏览器中,键入 Citrix ADM 的 IP 地址(例如,http://192.168.100.1)。
-
在 User Name(用户名)和 Password(密码)中,输入管理员凭据。
-
导航到“网络”>“实例”,然后选择要启用分析的 Citrix ADC 实例。
-
从选择操作下拉列表中,选择配置分析。
-
选择 VPN 虚拟服务器,然后单击启用 AppFlow。
-
在启用 AppFlow 字段中,键入 true ,然后分别为 ICA 流量和 TCP 流量选择 ICA/TCP。
注意 如果未在 Citrix ADC 设备上为相应的服务或服务组启用 AppFlow 日志记录,则即使“洞察”列显示已启用,Citrix ADM 控制面板也不会显示记录。
-
单击确定。
配置 Citrix Gateway 设备以导出数据
安装 Citrix Gateway 设备后,必须在 Citrix Gateway 设备上配置以下设置,以便将报告导出到 Citrix ADM:
- 在第一个和第二个 DMZ 中配置 Citrix Gateway 设备的虚拟服务器以相互通信。
- 将第二个 DMZ 中的 Citrix Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix Gateway 虚拟服务器。
- 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。
- 在第二个 DMZ 中的 Citrix Gateway 虚拟服务器上禁用身份验证。
- 允许其中一个 Citrix Gateway 设备导出 ICA 记录
- 允许其他 Citrix Gateway 设备导出 TCP 记录:
- 在两个 Citrix Gateway 设备上启用连接链接。
使用命令行界面配置 Citrix Gateway:
-
将第一个 DMZ 中的 Citrix Gateway 虚拟服务器配置为与第二个 DMZ 中的 Citrix Gateway 虚拟服务器进行通信。
add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure(ON or OFF)] [-imgGifToPng] …
add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
-
将第二个 DMZ 中的 Citrix Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix Gateway 虚拟服务器。在第一个 DMZ 中的 Citrix Gateway 上运行以下命令:
bind vpn vserver <name> -nextHopServer <name>
bind vpn vserver vs1 -nextHopServer nh1
-
在第二个 DMZ 中的 Citrix Gateway 上启用双跃点和 AppFlow。
set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]
set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
-
在第二个 DMZ 中的 Citrix Gateway 虚拟服务器上禁用身份验证。
set vpn vserver<name> [-authentication (ON or OFF)]
set vpn vserver vs -authentication OFF
-
启用其中一个 Citrix Gateway 设备以导出 TCP 记录。
bind vpn vserver<name> [-policy<string>-priority<positive_integer>] [-type<type>]
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
-
启用其他 Citrix Gateway 设备以导出 ICA 记录:
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
-
在两个 Citrix Gateway 设备上启用连接链接:
set appFlow param [-connectionChaining (ENABLED or DISABLED)]
set appflow param -connectionChaining ENABLED
使用配置实用程序配置 Citrix Gateway:
-
将第一个 DMZ 中的 Citrix Gateway 配置为与第二个 DMZ 中的 Citrix Gateway 进行通信,并将第二个 DMZ 中的 Citrix Gateway 绑定到第一个 DMZ 中的 Citrix Gateway。
-
在“配置”选项卡上展开Citrix Gateway ,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,并在“Advanced”(高级)组中,展开 Published Applications(发布的应用程序)。
-
单击下一跳服务器 并将下一跳服务器绑定到第二个 Citrix Gateway 设备。
-
-
在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。
-
在“配置”选项卡上展开Citrix Gateway ,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。
-
展开 More(更多),选择 Double Hop(双跃点)并单击 OK(确定)。
-
-
在第二个 DMZ 中的 Citrix Gateway 上禁用虚拟服务器上的身份验证。
-
在“配置”选项卡上,展开 Citrix Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。
-
展开 More(更多),并取消选中 Enable Authentication(启用身份验证)。
-
-
启用其中一个 Citrix Gateway 设备导出 TCP 记录。
-
在“配置”选项卡上,展开 Citrix Gateway,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,在“Advanced”(高级)组中,展开“Policies”(策略)。
-
单击 + 图标,然后在“选择策略”下拉列表中选择AppFlow,然后从“选择类型”下拉列表中选择“其他 TCP 请求”。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
启用其他 Citrix Gateway 设备以导出 ICA 记录:
-
在“配置”选项卡上,展开 Citrix Gateway,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在高级组中 展开策略。
-
单击 + 图标,然后在“选择策略”下拉列表中选择 AppFlow ,然后从“选择类型”下拉列表中选择“其他 TCP 请求”。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
在两个 Citrix Gateway 设备上启用连接链接。
-
在 Configuration(配置)选项卡上,导航到 System(系统)> Appflow。
-
在右侧窗格的“设置”组中,单击“更改 AppFlow 设置”。
-
选择 Connection Chaining(连接链)并单击 OK(确定)。
-
-
将第一个 DMZ 中的 Citrix Gateway 配置为与第二个 DMZ 中的 Citrix Gateway 进行通信,并将第二个 DMZ 中的 Citrix Gateway 绑定到第一个 DMZ 中的 Citrix Gateway。
-
在“配置”选项卡上展开Citrix Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在“高级”组中展开“已发布的应用程序”。
-
单击下一跳服务器,然后将下一跳服务器绑定到第二台 Citrix Gateway 设备。
-
-
在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。
-
在“配置”选项卡上展开Citrix Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。
-
展 开“更多 ”,选 择“双跳 ”,然后单击“**确定”。
-
-
在第二个 DMZ 中的 Citrix Gateway 上禁用虚拟服务器上的身份验证。
-
在“配置”选项卡上,展开 Citrix Gateway,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。
-
展开 More(更多),并取消选中 Enable Authentication(启用身份验证)。
-
-
启用其中一个 Citrix Gateway 设备导出 TCP 记录。
-
在“配置”选项卡上展开Citrix Gateway,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在高 级 组中展 开策略。
-
单击+ 图标,然后在“选择策略”下拉列表中选择 AppFlow,然后从“选择类型”下拉列表中选择“其他 TCP 请求”。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
允许其他 Citrix Gateway 设备导出 ICA 记录。
-
在“配置”选项卡上展开Citrix Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开策略。
-
单击+ 图标,然后在“选择策略”下拉列表中选择 AppFlow,然后从“选择类型”下拉列表中选 择“其他 TCP 请求”。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
在两个 Citrix Gateway 设备上启用连接链接。
启用数据收集以监视在透明模式下部署的 Citrix ADC
当以透明模式部署 Citrix ADC 时,客户端可以直接访问服务器,而无需干预虚拟服务器。如果 Citrix ADC 设备在 Citrix Virtual Apps and Desktops 环境中以透明模式部署,ICA 流量不会通过 VPN 传输。
将 Citrix ADC 添加到 Citrix ADM 清单后,必须为数据收集启用 AppFlow。启用数据收集依赖于设备和模式。在这种情况下,您必须在每台 Citrix ADC 设备上将 Citrix ADM 作为 AppFlow 收集器添加,并且必须配置 AppFlow 策略以收集流经该设备的全部或特定 ICA 流量。
注意
下图显示了在透明模式下部署 Citrix ADC 时,Citrix ADM 的网络部署情况:
要使用命令行界面在 Citrix ADC 装置上配置数据收集,请执行以下操作:
在命令提示窗口中执行以下操作:
-
登录设备。
-
指定 Citrix ADC 设备监听流量的 ICA 端口。
set ns param --icaPorts <port>... <!--NeedCopy-->示例:
set ns param -icaPorts 2598 1494 <!--NeedCopy-->注意
- 可以使用此命令最多指定 10 个端口。
- 默认端口号为 2598。可以根据需要修改端口号。
-
在 Citrix ADC 设备上添加 NetScaler Insight Center 作为 AppFlow 收集器。
add appflow collector <name> -IPAddress <ip_addr> <!--NeedCopy-->示例:
add appflow collector MyInsight -IPAddress 192.168.1.101 <!--NeedCopy-->注意要查看在 Citrix ADC 设备上配置的 AppFlow 收集器,请使用 show appflow collector 命令。
-
创建 AppFlow 操作,并将收集器与该操作关联。
add appflow action <name> -collectors <string> ... <!--NeedCopy-->示例:
add appflow action act -collectors MyInsight
-
创建 AppFlow 策略以指定用于生成流量的规则。
add appflow policy <policyname> <rule> <action> <!--NeedCopy-->示例:
add appflow policy pol true act <!--NeedCopy--> -
将 AppFlow 策略绑定到全局绑定点。
bind appflow global <policyname> <priority> -type <type> <!--NeedCopy-->示例:
bind appflow global pol 1 -type ICA_REQ_DEFAULT <!--NeedCopy-->注意要应用于 ICA 流量,type 的值应为 ICA_REQ_OVERRIDE 或 ICA_REQ_DEFAULT。
-
将 AppFlow 的 flowRecordInterval 参数值设置为 60 秒。
set appflow param -flowRecordInterval 60 <!--NeedCopy-->示例:
set appflow param -flowRecordInterval 60 <!--NeedCopy--> -
保存配置。类型:
save ns config
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.