找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 5403|回复: 0

Citrix NetScaler特点与网络

[复制链接]

224

主题

313

帖子

1899

积分

超级版主

Rank: 8Rank: 8

积分
1899
QQ
发表于 2016-2-27 12:59:04 | 显示全部楼层 |阅读模式
转自微信公众好号“思杰之路”

1.5 NetScaler模式和特点
现在,我们已经添加了许可和配置了最基本特性,如DNS,NTP,SNMP,接下来需要仔细看看在不同模式下通过NetScaler能够处理的流量。查看不同的模式可以通过导航到System | Settings | Change Modes
在这里,我们可以根据以下参数配置模式:
  • 我们希望NetScaler处理网络流量在L2还是L3?
  • NetScaler放置在哪里?

NetScaler模式分为L2 模式和L3模式。
1.5.1 L2 模式
作为 L2 设备的 NetScaler 被称作以 L2 模式工作。在 L2 模式下, NetScaler 在以下所有条件得到满足时在网络接口之间转发数据包:
  • 数据包被送往另一个设备的媒体访问控制 (MAC) 地址。
  • 目标 MAC 地址位于不同的网络接口上。
  • 该网络接口是同一虚拟 LAN (VLAN) 的成员。

默认情况下,所有网络接口都是预定义 VLAN (VLAN 1)的成员。地址解析协议 (ARP) 请求和响应被转发到作为同一虚拟 LAN (VLAN) 成员的所有网络接口。为避免桥接环路,如果另一个 L2 设备与 NetScaler 并行工作,则必须禁用 L2 模式。
1.5.2 L3 模式
NetScaler 可以作为数据包转发设备,此工作模式被称为 L3 模式。当 L3 模式的 NetScaler 在其MAC 地址上收到送往未知 IP 地址的单播数据包时,如果存在通往目标地址的正确路由,则它会转发它们。NetScaler 还可以在 VLAN 之间路由数据包。
在 L2 和 L3 两种工作模式中, NetScaler 通常丢弃符合以下条件的数据包:
  • 多播帧
  • 送往 NetScaler 的 MAC 地址(非 IP 和非 ARP)的未知协议帧
  • 跨树协议

关于其他功能如何作用在不同的模式下,可在Citrix文章位于http://support.citrix.com/article/CTX121149中找到。这里的不同模式决定了NetScaler应该如何处理不同类型的流量。因此,不同模式的快速概述如下:
  • Fast Ramp:该模式绕过TCP协议的慢启动机制,并允许更快的增加的TCPwindowing(注:在讨论TCP Window的时候, 我们几乎总是指的是TCP Receive Window. 简单来说, TCP Receive Window是在TCP连接两端都有的缓冲区, 用于暂时保存到来的数据. 在这个缓冲区中的数据会被发送到应用程序中, 为新到来的数据腾出空间. 如果这个缓冲满了, 那么数据的接收方会警告发送方在缓冲去清空之前已经不能在收取更多的数据了. 这其中涉及到一些细节, 但那都是很基本的东西. 一般, 设备会在TCP Header信息中通知对方当前它的TCPWindows的大小。一般TCP windowing默认大小是65536。),从而允许更快的数据包传输。此功能默认情况下启用。
  • Layer 2 mode:这种模式就是上面说的L2模式,NetScaler就像交换机,NetScaler和服务器之间存在与一个网络vlan内,是直接连接;或者如果NetScaler被用作一个透明的桥,例如,CloudBridge。
  • Use Source IP:默认情况下,当NetScaler连接到一个后端服务器,它使用一个自己的地址建立连接。通过使使用源IP模式,最终客户端IP地址是用于连接到后端服务器。这应该用于你需要从客户端直接连接,或当你有一个IDS环境中使用。确保当启用此功能时,后端服务器需要有NetScaler的IP地址中的一个被用来作为网关IP地址。

Client Keep-Alive:这个功能主要作用于,当后端服务器或服务不支持客户端保持活动。即使后端服务器关闭设备的连接,它也将允许客户端保持连接。这消除了需要客户端和后端服务器之间的重新建立连接的过程,并且将降低客户机重新打开连接所需要的时间。
401.JPG
       ClientKeep-Alive模型
  • TCP buffering:这个特性主要作用于这样的环境,高速的服务器和缓慢的客户端之间进行调整。如果一个后端服务器的客户端响应过快,则设备将缓冲的数据包以及发送基于所述客户机的速度进行调整。这允许后端服务器拨出CPU资源进行其他任务。更多信息科参考:http://support.citrix.com/proddo ... wrapper-92-con.html
  • MAC based forwarding:这种模式允许NetScaler根据接收到的数据包的MAC地址返回数据包。例如,在环境中有多个路由器,你需要确保返回的数据包通过相同的路,我们需要启用基于MAC的转发模式。如果禁用此功能,返回路径是基于路由来进行查找的。更多信息参考:http://support.citrix.com/article/CTX132952

l  Edge Configuration:如果客户使用链路负载均衡的功能,那么就需要启用此功能。信息参考http://support.citrix.com/proddo ... ig-edg-mod-tsk.html
  • Use Subnet IP:这个特性允许使用子网IP地址。
  • Layer 3 mode:当启用3层模式下,NetScaler设备执行路由表查找并进行数据包转发,但是并不转发那些没有去往NetScaler拥有的IP地址的数据包。此模式是默认启用的,但如果不是出于安全目的应该禁用。
  • Path MTU Discovery:该模式允许网络设备共享信息,以确定可允许网络上的最大层大小。此模式是默认启用的。
  • Static Route Advertisement:使用动态路由协议时,该模式允许在静态路由通告。
  • Direct Route Advertisement:使用动态路由协议时,该模式允许直接路由通告。
  • Intranet Route Advertisement:使用动态路由协议时,该模式允许内部网络路由通告。
  • IPv6 Static Route Advertisement:使用动态路由协议时,该模式允许IPv6静态路由通告。
  • IPv6 Direct Route Advertisement:使用动态路由协议时,该模式允许IPv6的直连路由通告。

Bridge BDPUs:这种模式用于生成树协议,允许NetScaler参与或不参与STP状态。
1.6 NetScaler的网络
我们已经通过NetScaler的基本设置及介绍了不同的模式,以及它的基本特征。现在,我们将深入到NetScaler的内部,了解NetScaler网络以及它们如何运作的。
NetScaler 通常部署在服务器群的前面,作为客户端和服务器之间的透明 TCP 代理,不需要任何客户端配置。此基本操作模式称为请求交换技术,它是 NetScaler 功能的核心。请求交换技术使NetScaler 可以多路复用和卸载 TCP 连接、保持持久的连接并在请求(应用层)级别管理流量,因为 NetScaler 可以将 HTTP 请求与传送请求的 TCP 连接分离。
根据配置, NetScaler 可能在将请求转发至服务器之前处理流量。例如,如果客户端尝试访问服务器上的安全应用,则 NetScaler 可能在将流量发送到服务器之前执行必要的 SSL 处理。为便于安全有效地访问服务器资源, NetScaler 使用一组被称为 NetScaler 自有 IP 地址的 IP 地址。
为用作代理, NetScaler 使用多种 IP 地址。主要的 NetScaler 自有 IP 地址包括:
  • 映射 IP 地址 (MIP)。MIP 用于服务器端连接。它不是 NetScaler 的 IP 地址。在大多数情况下,当收到数据包时, NetScaler 会在将数据包发送给服务器之前使用 MIP 替换来源 IP 地址。由于服务器抽象化自客户端, NetScaler 可以更有效地管理连接。
  • 虚拟服务器 IP 地址 (VIP)。VIP 是与虚拟服务器关联的 IP 地址。它是客户端连接到后端服务器的公共 IP的地址。是直接暴露给客户端进行访问的IP地址。
  • NetScaler IP 地址 (NSIP)。NSIP 是用于对 NetScaler 本身进行一般的系统和管理访问的 IP地址。
  • 子网 IP 地址 (SNIP)。当 NetScaler 连接至多个子网时,SNIP 可以配置为用作向这些子网提供访问的 MIP。
  • GSLBIP:这是全局负载均衡的站点IP地址。
  • CLIP:这是群集IP地址。

1.6.1 NSIP
正如我们前面所讨论的,这个IP地址用于管理目的,但是当NetScaler需要对服务进行身份验证,如AD,LDAP进行验证时,我们需要确认防火墙中开启了NSIP地址与这些服务的访问。
默认情况下,NSIP地址被允许用于使用多个协议管理服务,例如SSH,HTTP和HTTPS。我们可以限制只允许安全连接安全级别,导航到System | Network | IPs | NSIP,然后选择Secure Access(安全访问)。这样就需要我们导入信任的证书,因为默认情况下它使用自签名的证书。如果我们只允许安装连接之后,在浏览器使用它的自签名证书连接时,浏览器会弹出警告消息,所以选择该安全级别是需要导入证书的。
1.6.2 MIP
MIP地址,这是用于和后端服务器连接的。当我们添加一个MIP地址到NetScaler网络,它会自动创建一个路由表项,其地址以到达该特定网络的网关。
1.6.3 SNIP
SNIP地址也是用于和后端服务器连接的。当设置了一个NetScaler设备时,在启动向导的时候要求您输入SNIP地址。该SNIP地址还创建了一个路由条目,其地址为达到特定网络的网关。该SNIP地址也可以用于对DNS/ WINS服务器的连接。如果需要使用SNIP地址,使用IP子网(USNIP)功能必须启用。
这两个地址的共同特点是,它们都是用户连接到一个服务时,经由VIP地址到转换到该地址与后端服务器的代理连接。随着NetScaler的版本升级,就没有必要使用MIP地址的功能。在后来的部署中,我们就可以不使用MIP而使用SNIP地址即可。
当我们想跟NetScaler添加一个SNIP或MIP地址的,我们可以通过导航到System | Network | IP addresses | Add。同时,我们也可以使用以下CLI命令:

add ns ip 10.0.0.0 255.255.255.0 –type    SNIP

我们可以根据我们的需要改变类型的名称。这里有效参数是SNIP,VIP,MIP和NSIP。
1.6.4 VIP
VIP是一个虚拟的IP地址。它根据配置信息进行创建,由IP地址,端口和协议及不同的服务等组成,例如是一个负载均衡的服务。这是客户端用于访问服务的IP地址。我们将在第2章NetScaler的网关™和第3章负载均衡介绍VIP地址如何工作。
由于 NetScaler 用作 TCP 代理,因此它会在将数据包发送到服务器之前翻译 IP 地址。如果您配置虚拟服务器,客户端连接至 NetScaler 上的 VIP,而非直接连接至服务器。根据虚拟服务器上的设置, NetScaler 选择适当的服务器,并将客户端的请求发送给该服务器。
举一个例子:有一2台Web服务器运行于我们的内部子网10.0.0.x.这个网段内,我们希望外部用户通过NetScaler来访问我们的这个Web服务。NetScaler放置在DMZ拓扑结构中,并和内部网一个NIC进行通信,并设置IP地址。在这个例子中,我们建立了一个SNIP与地址为10.0.0.2,它用于和后端服务器进行连接。我们的用户会通过互联网,并会使用www.service1.company.com访问该服务。这FQDN解析成NetScaler VIP地址是80.80.80.80。
402.JPG
这样,当一个客户端连接到NetScaler的VIP,NetScaler将接管该链接,并重定向该链接,使用其SNIP转发连接到后端的Web服务器,如所示。下表显示了数据包的路由。

HTTP request

Source

Destination


IP

Client  IP address

NetScaler  VIP address


MAC

Default  router

NetScaler  MAC

然后在这里,NetScaler可建立代表客户端请求内容与后端服务器的连接。

HTTP request

Source

Destination


IP

NetScaler  SNIP address

Backend  web server 1


MAC

NetScaler  MAC

Backend  web server 1

其返回流量变为在转换为VIP发送回客户端。
同时针对网络接口我们也可以对其进行VLAN标签的设置,导航到Network | VLANs | Add,在这里,我们可以输入一个VLAN ID,并给它起一个别名。然后,我们可以将一个接口和一个IP地址绑定到该VLAN。一个IP地址只允许被绑定到一个特定的虚拟接口。
我们也可以通过CLI使用以下命令执行此操作:

add vlan 20 –aliasName "Network    1"

接下来,我们需要把它绑定到一个接口。

bind vlan 2 -ifnum 1/8

注意:有一个选项,可以选择标记的VLAN使用802.1标准,但它不支持NetScaler VPX。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表