Netsclaer配置
從 CLI配置 NetScaler 1. 將工作站連線至 NetScaler。 A. 將隨附的串列電纜插入串列連線埠。 B. 將串列電纜的另一端插入串列連線埠。 C. 運行您選擇的 vt100 終端仿真程式。 例如, Microsoft Windows 用戶可以使用“超級終端”,它包括在 Windows 的所有現代 版本中。 D. 連線至 NetScaler。 2. 出現登錄提示時,鍵入用戶名 nsroot 和密碼 nsroot,然後按 ENTER 鍵。 3. 在 CLI 中鍵入下列命令以更改密碼,然後按 ENTER 鍵。 set system user nsroot password 4. 在 CLI 中鍵入下列命令以添加 MIP,然後按 ENTER 鍵。 add ns ip IPaddress netmask -type MIP 5. 在 CLI 中鍵入下列命令以設定默認網關,然後按 ENTER 鍵。 add network route network netmask gateway 6. 在 CLI 中鍵入下列命令以設定 NSIP,然後按 ENTER 鍵。 set ns config -IPAddress IPaddress -netmask netmask 7. 複查您所做的更改以確保它們反映您的部署目標。 8. 在 CLI 中鍵入下列命令以保存配置,然後按 ENTER 鍵。 save ns config 9. 在 CLI 中鍵入下列命令以重新啟動 NetScaler,然後按 ENTER 鍵。 reboot
參數設定
連線埠您將串列電纜連線至的連線埠,通常是 COM1 位/ 秒 (BPS) 9600 數據位8 奇偶校驗N (無) 結束位1 流量控制無 32 入門指南 10. NetScaler 提示您確認重新啟動。鍵入 Y,然後按 ENTER 鍵確認重新啟動。 11. 使用新的管理密碼,以 nsroot 身份重新登錄到工作站。 12. 鍵入下列命令並按 Enter 鍵以確認與 NetScaler 的連線性。 ping NSIP
概述
CITRIX NETSCALER常用的功能有:LB,CS,GSLB,SSL。LB實現的功能是伺服器負載均衡,CS實現基於七層(域名,IP等)的負載均衡,GSLB實現的功能是全局負載均衡,SSL實現的功能是SSL加速。
配置步驟
系統配置的幾個重要步驟
配置feature
<一>、Systemàsettingàbasic featureàfeature 選擇需要的feature,不用的都關閉 Advanced featureàfeature <二>、修改nsroot用戶的密碼 Netscaler 的默認密碼是nsroot 修改密碼:systemàusersà雙擊nsrootà修改 Set system user nsroot password
配置mode
Netscaler默認是不啟用2層轉發的,如果需要啟用2層功能,需要在mode中配置 Systemàsettingàmodeà修改
配置系統時間
用shell命令進入系統的作業系統,然後用date命令修改當前系統時間 輸入tzsetup命令設定時區,輸入date yymmddhhmm命令修改系統時間,格式為:年 月 天小時 分鐘
配置時間同步
用文本編輯兩個檔案,ntp.conf和rc.conf,內容如下: Ntp.conf: server 61.129.42.44 burst restrict default ignore restrict 127.0.0.1 mask 255.255.255.255 #corresponds to ''server'' entry above restrict 61.129.42.44 mask 255.255.255.255 註:61.129.42.44為ntp伺服器,此類伺服器在網際網路上可以搜到 Rc.conf: ntpd_enable="YES" 編輯完兩個檔案後,用WinSCP3工具登入Netscaler,然後將這兩個檔案拷貝到/nsconfig目錄下。然後重啟Netscaler
IP配置
配置NSIP 配置一個NSIP,保證這個IP不會和其他IP位址發生衝突,這個IP為設備的IP,可以用於管理系統。配置完NSIP後需要重啟設備。 如:在命令行下輸入set ns config -ipAddress 192.168.2.3 -netmask 255.255.255.0,然後輸入save config來保存配置,最後輸入reboot重啟,設備重啟後NSIP變為192.168.2.3 配置SNIP和路由 配置SNIP,即接口ip.然後在配置下聯路由和默認路由。 進入選單network,點擊ips,再點擊add來添加SNIP,如:IP位址為219.142.6.94,掩碼為24位。如果希望通過這個IP里來管理Netscaler的話,在application access control下的方框打上勾。 進入network-routing-routes,點擊add添加路由和默認網關,如:網關為219.142.6.93;到192.168.3.0網段的下一跳為192.168.2.1
配置HA
HA雙機熱備配置前提條件是兩台設備的NSIP能夠互相訪問,進入如下選單: Systemàhigh availability默認的Netscaler將自己做為一個節點(node)加入到HA中,只需要將另一台設備做為不同的節點加入到HA中即可 在這裡需要注意的是ID必須不同,IP位址必須是NSIP。 在建立好HA後,需要將不使用的接口的狀態disable, 單擊一個接口,點擊下方的DISABLE按鈕,將這個接口的狀態設定為disable狀態。 然後在非流量接口的要關閉HA monitoring,雙擊一個非流量接口 將HA monitoring設定為off。所謂的流量接口是指業務的數據流經過的接口。 例如:管理接口不屬於流量接口 配置Load Balance 配置servers 添加物理伺服器的ip地址
配置service
添加套用,包括協定,套用連線埠,由哪個server提供的等信息 進入advanced,添加客戶端IP到header中。 配置Vserver 添加Vserver,並將相關services加入到Vserver中,如圖:如果只做四層負載均衡,則在IP address處添加VIP,port處添加套用連線埠, 如果需要做七層負載的話,就需要將directly addressable處將勾去掉 進入method and persistence選單中,設定負載均衡方式和會話保持模式,如:負載方式為最小連線數;保持模式為cookie insert,時間可以隨意調整
配置SSL
配置證書 將申請好的根證書和伺服器證書導入到netscaler中,並安裝這兩個證書。如圖: 進入ssl-sercificates,點擊add。點擊browse,選中一個證書,創建根證書不需要密鑰。 製作伺服器證書的時候需要證書和密鑰綁定, 配置CRL 1. 首先進入選單ssl-crl,然後點擊add,出現如下界面。 2. 然後將crl檔案選中,這個檔案事先已從cfca的ldap伺服器下載完並copy到netscaler中3. 的/var/netscaler/ssl目錄中。 4. 格式為der,ca證書選擇這個crl列表的頒發者的證書。 5. 開啟自動更新,模式為http,連線埠為80,url要寫入下載crl的絕對url路徑,時間間隔為每天,更新時間為3點50 創建完畢後,刷新狀態顯示成功,使用狀態顯示為可用的。 用命令行查看crl的狀態如下: 配置SSL OFFLOAD 配置SSL OFFLOAD的server和service與Load Balance一樣,並且在Load Balance中創建的server和service都可以在SSL OFFLOAD中使用,直接創建Vserver即可 然後進入SSL Setting選單中 在這裡伺服器證書直接add即可,CA證書和根證書需要add as CA來添加, 有時候用戶會需要證書的雙向認證,這時候需要點擊展開SSL Parameters選單 將客戶端認證啟用,並且選擇強制(mandatory)認證 配置Content Switch 配置CS Vserver 創建Vserver,例如協定為SSL,並且配置VIP和連線埠號。如果只是http協定的話是不需要配置ssl選項的。 綁定創建號的證書,根證書作為CA添加,伺服器證書直接添加即可 如果需要設定客戶端證書的強制認證,則在ssl parameters中 創建HTTP協定的Vserver。創建方法和創建SSL協定的vserver一樣,區別在於協定和連線埠號 配置policy 添加policy,如創建兩中一種為基於域名+url(目錄),如圖: 先創建域名+目錄的policy 再創建一個URL的expressions 然後將匹配條件設定為match all expressions 然後點擊create創建即可。 policy綁定 將創建好的policy綁定到CS Vserver上,並且指定target的Load Balance的Vserver,並設定好優先權,policy的優先權值越低越優先,如圖 展開已創建的ssl協定的CS Vserver 配置GSLB 配置ADNS伺服器 在Load Balance中的service,添加ADNS服務 ADNS使用了netscaler的接口地址。 配置site節點 創建local site 本地site要配置自己的ADNS地址。 創建remote site與創建本地site一樣,區別就是site type為remote,同時site ip為remote端adns的公網地址。 配置GSLB location 配置location,將電信和網通的地址段分別寫到不同的location中,在系統判斷一個用戶的local DNS的地址屬於電信來訪問還是網通的時候,先查找location表。這個表的作用就是靜態就近性判斷的依據。 事先寫好一個location文本檔案,然後將其傳到netscaler的/var/netscaler/locdb/目錄下,然後在web界面載入這個檔案,如圖: 在GSLB-location中的static database中添加 配置GSLB service 配置local service,將兩個節點的Vserver配置到各自的service中 在virtual server上選擇在需要做GSLB的vserver。 配置remote service與local service一樣,區別是需要預先在loadbalance中的servers中創建一個remote server,IP位址為remote端vserver的公網IP;site name要選擇remote sit的name,virtual server中的server name要選擇預先創建好的remote server。 在loadbalance中創建remote server 在GSLB中創建remote service 配置GSLB Vserver 配置GSLB Vserver,將GSLB service加入GSLB Vserver中,負載均衡算法為:靜態就近性和動態就近性,當靜態表location中沒有用戶local DNS的地址時,則採用動態就近性來判斷用戶該走哪條鏈路;然後在配置站點對外提供服務的域名。 如圖: 協定選擇ssl,並將所建立的service加入到GSLB Vserver中。 然後配置域名,點擊domains,添加, 然後配置GSLB Vserver的算法,採用靜態就進性為第一算法,動態就進性為第二算法,當第一算法失敗就會啟用第二算法 從 CLI 配置 NetScaler 1. 將工作站連線至 NetScaler。 A. 將隨附的串列電纜插入串列連線埠。 B. 將串列電纜的另一端插入串列連線埠。 C. 運行您選擇的 vt100 終端仿真程式。 例如, Microsoft Windows 用戶可以使用“超級終端”,它包括在 Windows 的所有現代 版本中。 D. 連線至 NetScaler。 2. 出現登錄提示時,鍵入用戶名 nsroot 和密碼 nsroot,然後按 ENTER 鍵。 3. 在 CLI 中鍵入下列命令以更改密碼,然後按 ENTER 鍵。 set system user nsroot password 4. 在 CLI 中鍵入下列命令以添加 MIP,然後按 ENTER 鍵。 add ns ip IPaddress netmask -type MIP 5. 在 CLI 中鍵入下列命令以設定默認網關,然後按 ENTER 鍵。 add network route network netmask gateway 6. 在 CLI 中鍵入下列命令以設定 NSIP,然後按 ENTER 鍵。 set ns config -IPAddress IPaddress -netmask netmask 7. 複查您所做的更改以確保它們反映您的部署目標。 8. 在 CLI 中鍵入下列命令以保存配置,然後按 ENTER 鍵。 save ns config 9. 在 CLI 中鍵入下列命令以重新啟動 NetScaler,然後按 ENTER 鍵。 reboot 參數設定 連線埠您將串列電纜連線至的連線埠,通常是 COM1 位/ 秒 (BPS) 9600 數據位8 奇偶校驗N (無) 結束位1 流量控制無 32 入門指南 10. NetScaler 提示您確認重新啟動。鍵入 Y,然後按 ENTER 鍵確認重新啟動。 11. 使用新的管理密碼,以 nsroot 身份重新登錄到工作站。 12. 鍵入下列命令並按 Enter 鍵以確認與 NetScaler 的連線性。