09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Страница 1 CNS-218-3I Citrix ADC 12.x Essentials Образование CNS-218-3I Citrix ADC 12.x Основы Лабораторное руководство Версия 3.00 1 Страница 2 CNS-218-3I Citrix ADC 12.x Essentials Страница кредитов заглавие Архитектор название Джесси Уилсон https://translate.googleusercontent.com/translate_f 1/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Менеджеры по продукту Лиссетт Хименес Разработчики технических решений Ума Упрайти Аман Шарма Шрути В. Дхамале Менеджер по предложениям Учебный конструктор Графический дизайнер Издательские услуги Равиндра Джи Хунашимарад Амит Бен-Чанох Джейшри Наир Райан Флауэрс Рахул Мохандас 2 Стр. 3 CNS-218-3I Citrix ADC 12.x Essentials Содержание Страница кредитов ................................................ .................................................. .................................................. ............... 2 Обзор лабораторного руководства ............................................... .................................................. .................................................. . 5 Обзор лабораторной среды ............................................... .................................................. .......................................... 6 Модуль 1. Начало работы ............................................. .................................................. .............................................. 9 Упражнение 1-1: Выполнение начальной настройки (GUI) ...................................... .................................................. .. 10 Упражнение 1-2: Выполнение базового администрирования (GUI) ....................................... .................................................. ..... 19 Упражнение 1-1: Выполнение начальной настройки (CLI) ...................................... .................................................. .. 23 Упражнение 1-2: Выполнение базового администрирования (CLI) ....................................... .................................................. ...... 31 Модуль 2: Основы работы в сети ............................................. .................................................. ......................................... 36 Упражнение 2-1: Настройка сети (GUI) ........................................ .................................................. .................. 38 Упражнение 2-1: Настройка сети (CLI) ........................................ .................................................. ................... 42 Модуль 4: Высокая доступность ............................................. .................................................. ........................................... 45 Упражнение 4-1: Настройка пары высокой доступности (GUI) ...................................... .................................................. ...................... 47 Упражнение 4-2: Управление парой высокой доступности (GUI) ...................................... .................................................. ........................ 53 Упражнение 4-1: Настройка пары HA (CLI) ...................................... .................................................. ....................... 56 Упражнение 4-2: Управление парой HA (CLI) ...................................... .................................................. .......................... 61 https://translate.googleusercontent.com/translate_f 2/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Модуль 5: Балансировка нагрузки ............................................. .................................................. ............................................ 63 Упражнение 5-1: Балансировка нагрузки HTTP (GUI) ....................................... .................................................. ........................ 65 Упражнение 5-2: DNS с балансировкой нагрузки (GUI) ...................................... .................................................. .......................... 77 Упражнение 5-3: Балансировка нагрузки LDAP (GUI) ....................................... .................................................. ....................... 82 Упражнение 5-4: Балансировка нагрузки баз данных MYSQL (GUI) ...................................... .................................................. .... 85 Упражнение 5-1: Балансировка нагрузки HTTP (CLI) ....................................... .................................................. ......................... 95 Упражнение 5-2: DNS с балансировкой нагрузки (CLI) ....................................... .................................................. ........................ 102 Упражнение 5-3: Балансировка нагрузки LDAP (CLI) ....................................... .................................................. ....................... 105 Упражнение 5-4: Балансировка нагрузки баз данных MYSQL (CLI) ..................................... .................................................. .... 109 Модуль 6: Разгрузка SSL ............................................. .................................................. ................................................ 114 Упражнение 6-1: Настройка сертификатов SSL (GUI) ....................................... .................................................. ........... 115 Упражнение 6-2: Настройка разгрузки SSL (GUI) ....................................... .................................................. ................. 121 Упражнение 6-3: Настройка сквозного шифрования (GUI) ................................... .................................................. ... 124 Упражнение 6-4: Настройка перенаправления HTTP на HTTPS с помощью URL-адреса перенаправления (GUI) ................................. ............... 127 Упражнение 6-1: Настройка сертификатов SSL (CLI) ....................................... .................................................. ............ 131 Упражнение 6-2: Настройка разгрузки SSL (CLI) ....................................... .................................................. .................. 134 Упражнение 6-3: Настройка сквозного шифрования (CLI) ................................... .................................................. .... 137 Упражнение 6-4: Настройка перенаправления HTTP на HTTPS с помощью URL-адреса перенаправления (CLI) .................................. .................... 139 3 Стр. 4 CNS-218-3I Citrix ADC 12.x Essentials Модуль 7: Защита Citrix ADC ........................................... .................................................. ............................... 141 Упражнение 7-1: Настройка локальной аутентификации и делегированного администрирования (GUI) .................................... ...... 143 Упражнение 7-2: Настройка внешней аутентификации с помощью LDAP (GUI) ..................................... ................................ 147 Упражнение 7-3: Разделы администратора (GUI) ........................................ .................................................. ........................... 150 Упражнение 7-1: Локальная аутентификация (CLI) ........................................ .................................................. ...................... 156 Упражнение 7-2: Внешняя аутентификация (CLI) ........................................ .................................................. ................. 160 Упражнение 7-3: Разделы администратора (CLI) ........................................ .................................................. ............................ 163 Модуль 8: Мониторинг и устранение неполадок ............................................ .................................................. ............... 168 Упражнение 8-1: Просмотр журналов и сетевых трассировок Citrix ADC (GUI) ................................... ...................................... 169 Упражнение 8-2: Настройка внешнего системного журнала и политик аудита (GUI) .................................... ................................... 175 Упражнение 8-3: Настройка SNMP (GUI) ........................................ .................................................. ......................... 178 Упражнение 8-4: Устранение неполадок (GUI) ......................................... .................................................. .......................... 181 Упражнение 8-1: Просмотр журналов и сетевых трассировок Citrix ADC (CLI) ................................... ....................................... 194 Упражнение 8-2: Настройка внешнего системного журнала и политик аудита (CLI) .................................... .................................... 198 Упражнение 8-3: Настройка SNMP (CLI) ........................................ .................................................. .......................... 201 Упражнение 8-4: Устранение неполадок (CLI) ......................................... .................................................. ............................ 204 https://translate.googleusercontent.com/translate_f 3/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 4 Стр. 5 CNS-218-3I Citrix ADC 12.x Essentials Обзор лабораторного руководства В этом руководстве вы получите ценный практический опыт работы с Citrix ADC и его функциями. Это лабораторное руководство будет позволяют работать с компонентами продукта и выполнять необходимые шаги для начальной настройки, Высокая Доступность, балансировка нагрузки и разгрузка SSL. Лабораторные упражнения представлены как для Citrix ADC Configuration Utility (GUI), так и для Citrix ADC CLI. Ученики необходимо выполнить только один набор лабораторных работ, либо весь графический интерфейс, либо весь интерфейс командной строки для данного модуля. Другой комплекс упражнени используется для справки. Определите, как подключиться к Citrix ADC для каждого набора лабораторных упражнений. Мы рекомендуем вам использовать Chrome для подключения к Citrix ADC Configuration Utility при использовании графического интерфейса для выполнять лабораторные работы При тестировании веб-контента можно использовать любой браузер. Однако вам может быть проще сделать управление подключений в одном браузере, например Chrome, и выполнять тестирование приложений в другом браузере, например Firefox. При выполнении лабораторных упражнений из интерфейса командной строки вам потребуется подключиться к IP-адресам управления Citrix ADC (см. Выше) используя SSH. В лабораторной среде PuTTY используется в качестве клиента SSH, а WinSCP - в качестве клиента SFTP / SCP. Перед тем, как приступить к упражнениям в каждом модуле, определите, будете ли вы работать с этим модулем в графическом интерфейсе или в интерфейсе командной строки. Вы рекомендуется изучить обе версии лабораторных упражнений, но упражнения составлены таким образом, что только один набор упражнения (GUI или CLI) можно выполнять одновременно, но не одновременно. Каждое упражнение будет определять, к какому Citrix ADC или Management IP подключаться и какую учетную запись использовать для входа в систему, если не учетная запись по умолчанию (nsroot / nsroot). Мы также рекомендуем сохранять конфигурацию в конце каждого упражнение, если в упражнении не указано иное. 5 Стр. 6 CNS-218-3I Citrix ADC 12.x Essentials Обзор лабораторной среды https://translate.googleusercontent.com/translate_f 4/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials ЛАБОРАТОРНАЯ ДИАГРАММА СПИСОК СЕРВЕРОВ Полное доменное имя домена виртуальной машины Айпи адрес Описание NYC-ADS-001 Нью-Йорк-ADS001.workspacelab.com 192.168.30.11 Контроллер домена (Workspacelab.com) NYC-ADS-002 Нью-Йорк-ADS- 192.168.30.12 Контроллер домена 2 NYC-LMP-001 002.workspacelab.com NYC-LMP- 192.168.30.61 (Workspacelab.com) Сервер базы данных MYSQL NYC-LMP-002 001.workspacelab.com NYC-LMP- 192.168.30.62 Сервер базы данных MYSQL NYC-WEB-RED 002.workspacelab.com NYC-WEB- 192.168.30.51 Веб сервер RED.workspacelab.com 6 Стр.7 CNS-218-3I Citrix ADC 12.x Essentials NYC-WEB-BLU NYC-WEB- 192.168.30.52 Веб сервер NYC-WEB-GRN BLUE.workspacelab.com NYC-WEB- 192.168.30.53 Веб сервер NYC-WEB-REMOTE GREEN.workspacelab.com NYC-WEB- 172.22.15.41 Веб сервер Рабочий стол для студентов REMOTE.workspacelab.com - 192.168.10.254 Хост Hyper-V и рабочий стол. Все лабораторные работы выполнены из этого система. Список Citrix ADC Виртуальная машина Адрес NSIP название NYC-ADC-001 (Начальный) IP-адрес подсети (SNIP) 192.168.100.1 / 16 НЕТ Описание Начальная настройка Citrix ADC запускается как готовое устройство MPX с адресом NSIP по умолчанию указано. Это будет изменено в первое упражнение. NYC-ADC-001 192.168.10.101 https://translate.googleusercontent.com/translate_f SNIP1: 192.168.10.111 (трафик) СНиП2: 192.168.10.103 (mgmt) NYC-ADC-001 является основным Citrix ADC для большинства упражнений. Это будет в 5/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials пара HA с управляться NYC-ADC-002, и они будут с помощью общий SNIP 192.168.10.103. NYC-ADC-002 192.168.10.102 Вторичный член пары HA с NYC-ADC-001. СПИСОК ПОЛНОМОЧИЙ: пользователи и группы домена обучения Имя пользователя Группы пароль Описание администратор Администраторы домена Пароль1 Учетная запись администратора домена, которая может использоваться для доступа к контроллерам домена. В противном случае в классе не нужен. trainNSAdmin Training_NSAdmins Пароль1 Учетная запись домена, используемая в Citrix ADC делегированные административные упражнения. поездNSOоператор Обучение_NSПароль оператора1 Учетная запись домена, используемая в Citrix ADC делегированные административные упражнения. trainADUser Пользователи домена Пароль1 Учетная запись домена используется как LDAP BindDN сервисный аккаунт. Пароль1 Учетная запись домена доступна для Citrix ADC обучение \ Подрядчики Подрядчики демонстрации. 7 Стр. 8 CNS-218-3I Citrix ADC 12.x Essentials СПИСОК УЧЕТА: Локальные учетные записи Citrix ADC Имя пользователя Делегированный администратор пароль Описание Роль nsroot суперпользователь nsroot Встроенная учетная запись Citrix ADC, которая будет тестовый пользователь обычай Пароль1 Тестовая учетная запись для делегированного администрирования. padmin1 Администратор раздела Пароль1 Тестовая учетная запись для разделов администратора padmin2 Администратор раздела Пароль1 используется для всех упражнений. упражнение. Тестовая учетная запись для разделов администратора упражнение. https://translate.googleusercontent.com/translate_f 6/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 8 Стр.9 CNS-218-3I Citrix ADC 12.x Essentials Модуль 1. Начало работы. Обзор: Компания ABC недавно установила два дополнительных Citrix ADC в своем основном офисе. Ваша работа как Администратор должен завершить начальную настройку устройств и подготовить их к использованию в режиме HighКонфигурация доступности (реализована в более поздних модулях). В этом модуле вы будете выполнять практические упражнения для выполнения начальной настройки Citrix ADC и выполнение таких задач, как настройка NSIP, SNIP, DNS-сервера, имени хоста и синхронизации времени. Вы также выполнять дополнительные административные задачи на Citrix ADC, такие как управление лицензированием, просмотр, редактирование и резервное копирование настройте Citrix ADC. После завершения этого лабораторного модуля вы сможете: • Определите задачи, необходимые для завершения начальной настройки и основных сетевых настроек Citrix. Устройство ADC. • Обновите Citrix ADC. • Управление лицензированием Citrix ADC. • Управляйте конфигурациями Citrix ADC и сохраняйте их. • Выполните резервное копирование конфигурации. Этот модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и Citrix ADC CLI. • Упражнение 1-1: Выполнение начальной настройки • Упражнение 1-2: Выполнение базового администрирования Прежде чем вы начнете: Приблизительное время для завершения этого лабораторного модуля: 20 минут Виртуальные машины, необходимые для этого модуля Для модуля 1 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что следующие виртуальные машины бегут. Если какая-либо из виртуальных машин не запущена, включите их с помощью диспетчера Hyper-V. В противном случае, Для остальной части модуля диспетчер Hyper-V не понадобится. • NYC-ADC-001 • NYC-ADC-002 • NYC-ADS-001 . URL-адреса управления для Citrix ADC: • NYC-ADC-001 NSIP (начальный): http://192.168.100.1 • NYC-ADC-001 NSIP (окончательный): http://192.168.10.101 • NYC-ADC-002 (NSIP): http://192.168.10.102 • ADCMGMT SNIP (для NYC-ADC-001 и NYC-ADC-002): http://192.168.10.103. 9 Стр.10 CNS-218-3I Citrix ADC 12.x Essentials https://translate.googleusercontent.com/translate_f 7/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 1-1: Выполнение начальной настройки (GUI) Введение: В этом упражнении вы научитесь выполнять настройку Citrix ADC с помощью начальной Мастер настройки и другие связанные задачи в графическом интерфейсе программы настройки Citrix ADC. После В этой начальной конфигурации вы обновите существующий Citrix ADC до Citrix ADC Citrix NYC-ADC-001 начинается с адреса NSIP по умолчанию 192.168.100.1 с маской подсети / 16. Во время начальной настройки вы измените NSIP со значения по умолчанию на назначенное Адрес NSIP для этой среды 192.168.10.101 с маской подсети / 24. В этом упражнении вы будете выполнять следующие задачи: • Настроить начальный NSIP и SNIP. • Настроить DNS, имя хоста и синхронизацию времени • Лицензировать Citrix ADC Appliance • Обновление с Citrix ADC до Citrix ADC Хотя обычно пароль для nsroot также должен быть изменен, этот пароль не будет изменились в лабораторных упражнениях. Шаг 1. Действие Откройте веб-браузер, чтобы подключиться к NYC-ADC-001, используя адрес NSIP по умолчанию. Просмотрите к http://192.168.100.1. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Примечание : Если вы получите запрос от Google Chrome на сохранение пароля, нажмите « Никогда» . NSIP по умолчанию адрес будет изменен в этом упражнении. В результате URL-адрес подключения изменится на постоянный IP-адрес на более поздних этапах. 2. Щелкните Пропустить, чтобы выйти из программы улучшения взаимодействия с пользователем Citrix, если будет предложено. 3. Откроется мастер начальной настройки. Это позволит новому администратору выполнять такие задачи, как как изменение адреса NSIP и настройка IP-адреса подсети, имени хоста, DNS и других настройки. 10 Стр. 11 CNS-218-3I Citrix ADC 12.x Essentials 4. Щелкните IP-адрес NetScaler в разделе 1, чтобы изменить адрес NSIP: • Введите 192.168.10.101 в поле IP-адрес NetScaler. • Введите 255.255.255.0 в поле Маска сети. • Снимите флажок изменить пароль администратора. Нажмите " Перезагрузить" . Изменение адреса NSIP вступит в силу только после перезапуска. Примечание . В производственной среде настоятельно рекомендуется всегда менять пароль nsroot. Мы пропустим этот шаг в этой лабораторной работе. 5. Дождитесь завершения перезагрузки. Затем вам нужно будет подключиться к новому адресу NSIP, чтобы возобновить https://translate.googleusercontent.com/translate_f 8/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials настройка Citrix ADC. Браузер не будет автоматически подключаться к новому адресу, когда таймер перезапуска истекает, и вместо этого будет продолжаться попытка использования старого адреса. Подключитесь к Citrix ADC Configuration Utility для NYC-ADC-001, используя новый адрес NSIP по адресу http://192.168.10.101 . Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Примечание . Если появляется всплывающее окно с вопросом « Хотите ли вы, чтобы Google Chrome сохранил ваш пароль для этого сайта?» Щелкните Сохранить. Если появится всплывающее окно с просьбой войти в Chrome, нажмите Нет, спасибо. 11 Стр.12 CNS-218-3I Citrix ADC 12.x Essentials 6. Щелкните IP-адрес подсети в разделе 2, чтобы назначить адрес SNIP: • Введите 192.168.10.111 в поле IP-адрес подсети. • Введите 255.255.255.0 в поле Маска сети. Щелкните Готово . Этот протокол SNIP будет использоваться для трафика приложений между Citrix ADC и внутренними серверами. 7. Щелкните Имя хоста, IP-адрес DNS и Часовой пояс в разделе 3, чтобы настроить дополнительные параметры: • Введите NYC-ADC-001 в поле Host Name. • Введите 192.168.30.11 в поле IP-адрес DNS. Пусть часовой пояс будет по умолчанию. Щелкните Готово . 8. Щелкните Лицензии в разделе 4, чтобы загрузить файлы лицензий в Citrix ADC: • Выберите Загрузить файлы лицензии. • Щелкните Обзор, чтобы выбрать файл на локальном компьютере. • Перейдите в папку C: \ Resources \ Citrix ADC License \ • Выберите CitrixADC_VPX1_PLT_Citrix_Education_Expires_20191201.lic и нажмите « Открыть» . Нажмите Reboot и нажмите Yes, чтобы сохранить конфигурацию. 9. Подождите, пока Citrix ADC перезапустится. 10. Подключитесь к программе настройки Citrix ADC NYC-ADC-001 по адресу http://192.168.10.101 . Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot https://translate.googleusercontent.com/translate_f 9/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 12 Стр. 13 CNS-218-3I Citrix ADC 12.x Essentials 11. Примечание. Если у вас возникли проблемы с часовым поясом, вы можете вручную установить часовой пояс в интерфейсе командной строки. путем доступа через значок PuTTY.exe на рабочем столе HOST. Используйте следующие команды ниже: показать параметр ns | grep <city> -i # для городов с пробелами в названиях искать только часть или предполагать разделенные знаком подчеркивания "_" set ns param -timezone "<timezonestring>" # включить кавычки Примеры: США EST / EDT: GMT-05: 00-EST-America / New_York США PST / PDT: GMT-08: 00-PST-America / Los_Angeles Лондон GMT / BST: GMT + 00: 00-GMT-Европа / Лондон 12. Убедитесь, что файл лицензии применен правильно. Окно Лицензии должно отображаться по умолчанию и содержать список всех лицензионных функций, кроме Позвони домой. Закройте окно «Лицензии». 13. Теперь отображается консоль конфигурации вместо мастера начальной настройки. 13 Стр. 14 https://translate.googleusercontent.com/translate_f 10/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials CNS-218-3I Citrix ADC 12.x Essentials 14. Настройте маршрут и шлюз по умолчанию для сети 192.168.10.0 / 24: • Перейдите в Система> Сеть> Маршруты . • Щелкните Добавить . Настроить маршрут: • Введите 0.0.0.0 в поле «Сеть». • Введите 0.0.0.0 в поле Маска сети. • Выберите Нет для ПУСТОГО маршрута. • Введите 192.168.10.254 в поле Шлюз. • Щелкните " Создать" . Примечание . Мы используем внутренний маршрут по умолчанию, потому что собираемся настраивать Mac. На основе пересылки. 14 Стр. 15 CNS-218-3I Citrix ADC 12.x Essentials 15. Настройте сервер NTP для синхронизации на Citrix ADC с помощью AD.workspacelab.com (192.168.30.11) в качестве сервера NTP: • Перейдите в раздел Система> Серверы NTP . • Нажмите « Добавить» на панели «Серверы NTP». Создайте NTP-сервер: • Введите 192.168.30.11 в поле NTP-сервер. • Щелкните " Создать" . https://translate.googleusercontent.com/translate_f 11/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 16. Установите предпочтительный сервер NTP: • Выберите 192.168.30.11 на панели «Серверы NTP» и нажмите « Изменить» . • Выберите « Установить как предпочтительный сервер NTP» . • Щелкните ОК . 17. Включить синхронизацию NTP: • Щелкните правой кнопкой мыши 192.168.30.11 на панели «Серверы NTP» и выберите « Синхронизация NTP» . • Выберите « Включено» для состояния синхронизации. • Щелкните ОК . 18. Измените параметры тайм-аута сеанса бездействия с 900 секунд (15 минут) по умолчанию на 43200 (24 часа). • Перейдите в раздел Система> Настройки . • Щелкните « Изменить глобальные параметры системы» . • Найдите тайм-аут простоя сеанса в разделе интерфейса командной строки (CLI). • Введите 43200 в поле Тайм-аут простоя (сек) в интерфейсе командной строки. раздел. • Щелкните OK (внизу страницы). Примечание . Увеличение тайм-аута простоя сеанса может представлять угрозу безопасности. Это увеличивается в лаборатории для упрощения конфигурации лаборатории во время упражнений. Не увеличивайте стоимость производства сверх разумное окно для защиты от несанкционированного доступа через устаревшие консоли администратора. 15 Стр.16 CNS-218-3I Citrix ADC 12.x Essentials 19. Сохраните конфигурацию Citrix ADC. • Щелкните значок гибкого диска в правом верхнем углу Утилиты настройки, чтобы сохранить рабочая конфигурация. • Щелкните Да, чтобы подтвердить сохранение текущей конфигурации. Примечание. В следующих шагах будет указано только: «Сохраните конфигурацию Citrix ADC и подтвердите». (Необязательно) Установите время вручную на устройстве Citrix ADC 1. Примечание . Если выбранный часовой пояс не сохранился, выполните следующие действия. для ручной установки времени на Citrix ADC> Подключитесь к NYC-ADC-001 через PuTTY, чтобы получить доступ к CLI. Откройте сеанс PuTTY на NYC-ADC-001. • Запустите значок PuTTY.exe с рабочего стола HOST. • Выберите NYC-ADC-001 и нажмите « Открыть». • Войдите, используя nsroot / nsroot 2. Подтвердите текущие настройки даты и времени, введя следующие команды: Оболочка Дата https://translate.googleusercontent.com/translate_f 12/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 16 Стр.17 CNS-218-3I Citrix ADC 12.x Essentials 3. Вручную настройте время и дату на Citrix ADC в соответствии с выбранным часовым поясом. Примечание. Чтобы изменить время на устройстве Citrix ADC, используйте команду date с + параметр val (значение), за которым следует полная дата и время. ПРИМЕР: дата + значение ГГММДДЧЧММ запрошенные дата и время - 09.10.18 в 15:47, команда будет выглядеть следующим образом: date + val1810091547 Куда : YY = год MM = Месяц DD = День HH = час MM = Минуты Используйте следующую команду, заменив ГГММДДЧЧММ на дату и время. информацию о зоне, которую вы выбрали. date + val ГГММДДЧЧММ 4. Подтвердите текущие настройки даты и времени, введя следующие команды: Дата Заметка: 5. Вернитесь в графический интерфейс и сохраните конфигурацию Citrix ADC. 17 https://translate.googleusercontent.com/translate_f 13/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр.18 CNS-218-3I Citrix ADC 12.x Essentials Обновите NetScaler до Citrix ADC 6. Откройте браузер и подключитесь к утилите настройки NetScaler. • NYC-ADC-001: http://192.168.10.101 7. Определите, что на NetScaler установлена текущая версия прошивки. В графическом интерфейсе версия отображается рядом с опцией выхода. NetScaler NYC-ADC-001 находится на версии 12.0 51.24.nc 8. В графическом интерфейсе NetScaler: • Перейдите к системе . • Щелкните Обновление системы . • Щелкните стрелку вниз справа от кнопки « Обзор» и выберите « Устройство» . • Дважды щелкните build-12.1-51.19_nc в каталоге / var / nsinstall /. • Выберите build-12.1-51.19_nc_64.tgz и нажмите « Открыть» . Настройте дополнительные параметры: • Щелкните Еще . • Отключите Включить CallHome . • Щелкните « Обновить» . Примечание. Это займет от 1 до 5 минут. Если процесс дольше зависает при извлечении Процесс Python nitro Нажмите Stop, затем Close и снова нажмите Upgrade, чтобы завершить обновление. процедура. 18 Стр.19 CNS-218-3I Citrix ADC 12.x Essentials 9. Дождитесь завершения процесса обновления. Прогресс можно наблюдать во всплывающем окне. • Когда консоль запрашивает root-доступ, что установка завершена. Требуется перезагрузка чтобы изменения конфигурации вступили в силу , нажмите « Закрыть» в окне « Обновление системы» . • Закройте снова. • Нажмите « Перезагрузить» на панели « Информация о системе» . • Снимите флажок « Сохранить конфигурацию» и нажмите « ОК» . • Дождитесь завершения перезапуска. • После перезагрузки закройте окно браузера. https://translate.googleusercontent.com/translate_f 14/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 10. Повторно подключитесь к NYC-ADC-001 NSIP (192.168.10.101). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Ключевые выводы : • Мастер начальной настройки можно использовать для изменения адреса NSIP в любое время. Эквивалент в интерфейсе командной строки - это команда config ns. Для изменения NSIP требуется начать сначала. • Сохраненная конфигурация Citrix ADC, файлы лицензирования и настройки синхронизации NTP. хранятся во флэш-памяти в каталогах / nsconfig / и / nsconfig / licenses /. Упражнение 1-2: Выполнение базового администрирования (GUI) Введение: 19 Стр.20 CNS-218-3I Citrix ADC 12.x Essentials В этом упражнении вы научитесь выполнять важные административные задачи с помощью Citrix ADC. Графический интерфейс служебной программы настройки. В этом упражнении вы будете выполнять следующие задачи: • Включить функции Citrix ADC • Просмотр текущих и сохраненных конфигураций и различий конфигураций • Резервное копирование конфигурации Citrix ADC (/ nsconfig) О Citrix ADC Configuration Management Под текущей конфигурацией понимается конфигурация Citrix ADC в памяти. Конфигурация изменения активны в момент их выполнения и являются частью текущей конфигурации. Текущую конфигурацию можно просмотреть в узле Система> Диагностика или запустив "показать ns runningConfig" в CLI. Применяются графический интерфейс утилиты настройки Citrix ADC и интерфейс командной строки. изменения относительно текущей рабочей конфигурации. Чтобы сохранить настройки, необходимо ввести команду сохранения конфигурации в графическом интерфейсе пользователя или в интерфейс Команда configuration заставляет Citrix ADC записать текущую конфигурацию в файл. Этот файл находится в /nsconfig/ns.conf (во флэш-памяти) и называется сохраненным файлом конфигурации. когда Citrix ADC перезагружается, установленное ядро загружается в ОЗУ, а затем настройки из сохраненного файл конфигурации применяется как новая рабочая конфигурация. Все несохраненные изменения теряются во время перезапуска системы. При изменении конфигурации текущую и сохраненную конфигурации можно сравнить с посмотреть, какие настройки новые или еще не сохранены. Это может быть полезно при устранении неполадок. В этом упражнении показано, как управлять сохраненной конфигурацией и сравнивать сохраненные и рабочие конфигурации на Citrix ADC. https://translate.googleusercontent.com/translate_f 15/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Включить функции Citrix ADC Шаг 1. Действие Подключитесь к утилите настройки NYC-ADC-001 по адресу http://192.168.10.101. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 20 Стр.21 CNS-218-3I Citrix ADC 12.x Essentials 2. Включите функции Citrix ADC (Basic): • Перейдите в раздел « Система»> «Настройки» на левой панели. • Выберите « Настроить основные функции» на правой панели. • Установите флажок и включите следующие функции: Разгрузка SSL Балансировки нагрузки Фильтр содержимого Переписать HTTP-сжатие Переключение контента Щелкните ОК . 3. Включите функции Citrix ADC (Дополнительно): • Перейдите в раздел « Система»> «Настройки» на левой панели. • Выберите « Настроить дополнительные функции» на правой панели. • Выберите (отметьте) и включите следующую функцию: Ответчик Щелкните ОК . 4. Не сохраняйте конфигурацию на этом этапе. Просмотр запущенных и сохраненных конфигураций Шаг 1. Действие Перейдите в Система> Диагностика . ВАЖНО : Не сохраняйте конфигурацию, пока не получите инструкции в этом упражнении. 2. Щелкните Сохраненная конфигурация, чтобы отобразить текущую сохраненную конфигурацию. Обратите внимание, что нет команды «включить функцию ns» рядом с «включить режим ns» (строка 4) в текущая сохраненная конфигурация. 3. Щелкните Close . 4. Щелкните Текущая конфигурация, чтобы отобразить текущую рабочую конфигурацию. Обратите внимание, что на этот раз строка «enable ns feature» присутствует (строка 4) над «enable ns mode» строка и включает в себя список функций, включенных в предыдущей задаче. 5. Щелкните Close . 6. Щелкните Saved v / s running, чтобы сравнить сохраненную и работающую конфигурации. Убедитесь, что конфигурации идентичны, за исключением команды «enable ns feature». 7. Щелкните Close . 8. Сохраните конфигурацию Citrix ADC и подтвердите. 9. Убедитесь, что сохраненная и текущая конфигурации совпадают: • Перейдите в раздел Система> Диагностика . • Щелкните Saved v / s running, чтобы сравнить сохраненную и работающую конфигурации. • Убедитесь, что отображается сообщение «разница не обнаружена». • Щелкните ОК . • Щелкните " Закрыть" . 21 год https://translate.googleusercontent.com/translate_f 16/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр. 22 CNS-218-3I Citrix ADC 12.x Essentials 10. Просмотр сведений о системе Citrix ADC: • Перейдите к системе . (Выберите корневой узел.) • Просмотр системной информации и информации об оборудовании на правой панели. Выполнение резервного копирования конфигурации Шаг 1. Действие Метод резервного копирования 1. Использование интерфейса командной строки и ручной команды tar. Этот метод будет использовать tar для создания архива всего каталога / nsconfig. Доступ к Citrix ADC CLI из программы настройки: • Перейдите в раздел Система> Диагностика . • Щелкните « Интерфейс командной строки» в разделе «Утилиты». • Это позволяет получить доступ к сеансу CLI через SSH через окно веб-браузера. В качестве альтернативы, SSH-соединение может быть выполнено с помощью PuTTY или другой программы для доступа к CLI. 2. Создайте архив. Введите следующую команду в поле команды и нажимайте Go после каждого команда для отправки: оболочка tar -cvzf /var/tmp/backup.tgz / flash / nsconfig / 3. Убедитесь, что резервная копия была создана: Продолжайте использовать служебную программу интерфейса командной строки (CLI). Щелкните Go после каждой команды для отправки. cd / var / tmp / ls 4. Щелкните Close . 5. Используйте WinSCP для подключения к Citrix ADC NYC-ADC-001 (192.168.10.101): • Откройте WinSCP с помощью ярлыка на рабочем столе. • Дважды щелкните сохраненный сеанс NYC-ADC-001, чтобы подключиться к 192.168.10.101 . • Войдите в систему с учетными данными, указанными ниже, и примите предупреждение системы безопасности, когда оно появится. Имя пользователя: nsroot Пароль: nsroot 6. Скопируйте файл резервной копии с Citrix ADC на рабочий стол HOST: • На правой панели перейдите в каталог / var / tmp / . Используйте верхний значок, чтобы перейти на уровень каталога вверх, пока не дойдете до "/" (корень), затем перейдите к / var / tmp /. • На левой панели перейдите к C: \ Resources \ на рабочем столе HOST. • Скопируйте файл backup.tgz с Citrix ADC на рабочий стол HOST, перетащив файл из правую панель в левую. 7. Закройте WinSCP и нажмите OK для подтверждения. 22 Стр. 23 CNS-218-3I Citrix ADC 12.x Essentials 8. Метод резервного копирования 2 - Использование функции резервного копирования и восстановления в графическом интерфейсе утилиты настройки. • Перейдите в раздел Система> Резервное копирование и восстановление . • Щелкните Резервное копирование. Укажите файл резервной копии для создания: • Введите backup1 в поле имени файла . • Выберите « Полный» в раскрывающемся списке « Уровень» . • Щелкните Резервное копирование . Встроенная функция резервного копирования и восстановления выполняет двухуровневое резервное копирование: базовое или полное. «Базовая» резервная копия создает резервные копии только файлов конфигурации в / nsconfig / и других файлов из выбранного каталоги в / var / и / netscaler /. Он не включает сертификаты SSL или файлы лицензий. Полный" https://translate.googleusercontent.com/translate_f 17/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials резервное копирование включает их. Подробную информацию см. В Руководстве администратора Citrix ADC . Резервная копия создается в / var / ns_sys_backup / на Citrix ADC. 9. Щелкните правой кнопкой мыши backup1.tgz и выберите Загрузить . 10. Просмотрите загруженную папку. • В зависимости от браузера у вас должна быть возможность выбрать файл для загрузки и выбрать Показать. в папке . • Или перейдите в каталог загрузок по умолчанию: C: \ users \ localuser \ Downloads . • Убедитесь, что загрузка существует. Ключевые выводы : • Все изменения конфигурации применяются к текущей конфигурации в памяти. Несохраненный настройки могут быть потеряны при перезапуске системы. • Чтобы сохранить настройки, необходимо сохранить конфигурацию. Сохраненная конфигурация находится во флэш-памяти в /flash/nsconfig/ns.conf. • Следует выполнять резервное копирование конфигурации для резервного копирования сохраненной конфигурации и другие важные настройки. Упражнение 1-1: Выполнение начальной настройки (CLI) Введение: В этом упражнении вы будете выполнять задачи начальной настройки из интерфейса командной строки через SSH. 23 Стр. 24 CNS-218-3I Citrix ADC 12.x Essentials Citrix ADC, NYC-ADC-001 начинается с адреса NSIP по умолчанию 192.168.100.1 с подсетью / 16 маска. Во время начальной настройки вы измените NSIP со значения по умолчанию на назначенный NSIP-адрес для этой среды 192.168.10.101 с маской подсети / 24. В этом упражнении вы будете выполнять следующие задачи: • Настройте исходный NSIP и SNIP. • Настройте DNS, имя хоста и синхронизацию времени. • Лицензируйте устройство Citrix ADC. Хотя обычно пароль для nsroot также должен быть изменен, этот пароль не будет изменились в лабораторных упражнениях. Шаг 1. Действие Подключитесь к NYC-ADC-001, используя NSIP-адрес по умолчанию (192.168.100.1), используя SSH (PuTTY): • Используйте ярлык PuTTY на рабочем столе рабочего стола HOST ИЛИ Пуск> Выполнить> шпатлевка 192.168.100.1 Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Примечание . В этом упражнении будет изменен адрес NSIP по умолчанию. В результате URL-адрес подключения будет измените на постоянный IP-адрес на более поздних этапах. 2. Используйте команду config ns, чтобы начать начальную настройку Citrix ADC: config ns 3. Настройте NSIP, маску подсети и шлюз по умолчанию. https://translate.googleusercontent.com/translate_f 18/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Используйте config ns для начального адреса NSIP. Затем он запросит маску подсети. + Изменить значения по умолчанию нанастройки новые значения, необходимые для класса. • Чтобы начать, введите вариант 1 : • Введите IP-адрес Citrix ADC [192.168.100.1]: 192.168.10.101 • Введите маску сети (255.255.255.0): 255.255.255.0 • Введите опцию 7, чтобы применить изменения и выйти. • Вы хотите сохранить новую конфигурацию? [Да]: введите Да • Хотите перезагрузить систему сейчас? [НЕТ], введите « Да», чтобы перезагрузить сейчас. Citrix ADC перезапустится. После перезапуска вступает в силу новый NSIP (192.168.10.101). 24 Стр.25 CNS-218-3I Citrix ADC 12.x Essentials 4. Подключитесь к NYC-ADC-001, используя новый NSIP (192.168.10.101), используя SSH (PuTTY): • Используйте ярлык PuTTY на рабочем столе рабочего стола HOST ИЛИ Пуск> Выполнить> шпатлевка 192.168.10.101 • При появлении запроса нажмите Да в предупреждении системы безопасности. • Войдите в систему со следующими учетными данными: Имя пользователя: nsroot Пароль: nsroot 5. Настройте маршрут и шлюз по умолчанию: Добавьте шлюз по умолчанию в Citrix ADC для сети 192.168.10.0/24: добавить маршрут 0.0.0.0 0.0.0.0 192.168.10.254 Примечание . Мы используем внутренний маршрут по умолчанию, потому что собираемся настраивать Mac. На основе пересылки. 6. Назначьте SNIP (192.168.10.111): добавить ns ip 192.168.10.111 255.255.255.0 -тип SNIP 7. Загрузите файл лицензии в Citrix ADC: • Откройте WinSCP с помощью ярлыка на рабочем столе. Подключиться к NYC-ADC-001 (192.168.10.101). • При необходимости нажмите Да в предупреждении системы безопасности. • При необходимости войдите в систему с помощью nsroot / nsroot . • На левой панели перейдите к C: \ Resources \ Citrix ADC License. • На правой панели перейдите к / nsconfig / license /. • Скопируйте файл лицензии CitrixADC_VPX1_PLT_Citrix_Education_Expires_20201201.lic из C: \ Resources \ Citrix ADC license \ to / nsconfig / license / на Citrix ADC. 8. Вернитесь в сеанс PuTTY и сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 9. Выполните теплый перезапуск, чтобы применить изменения файла лицензии: перезагрузка-теплая При появлении запроса Вы действительно хотите перезапустить Citrix ADC (Да / Нет)? [N]: введите Y 10. Повторно подключитесь к NYC-ADC-001, используя новый NSIP (192.168.10.101), используя SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot https://translate.googleusercontent.com/translate_f 19/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 25 Стр. 26 CNS-218-3I Citrix ADC 12.x Essentials 11. Убедитесь, что лицензия была применена: показать лицензию ns Должны быть доступны почти все функции, включая балансировку нагрузки, разгрузку SSL, сжатие, Ответчик и перезапись. Единственными недоступными функциями будут CallHome и Delta Compression. 12. Настройте имя хоста Citrix ADC: установить ns hostname NYC-ADC-001 13. Настройте Citrix ADC с DNS-сервером (для разрешения имен): добавить DNS-сервер 192.168.30.11 26 Стр. 27 CNS-218-3I Citrix ADC 12.x Essentials 14. Настройте синхронизацию времени NTP. Используйте контроллер домена ad.workspacelab.com (192.168.30.11) в качестве сервера NTP. Добавьте NTP-сервер: добавить ntp сервер 192.168.30.11 Установить как предпочтительный сервер: установить ntp server 192.168.30.11 -preferredNtpServer ДА https://translate.googleusercontent.com/translate_f 20/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Включить синхронизацию NTP: включить синхронизацию ntp Примечание . Параметры синхронизации NTP находятся в файле /nsconfig/ntp.conf, а не в Citrix ADC. запущенная или сохраненная конфигурация (/nsconfig/ns.conf). 15. Увеличьте тайм-аут простоя интерфейса командной строки. Измените глобальный параметр (чтобы повлиять на всех пользователей): установить системный параметр -timeout 43200 Измените параметры отображения режима CLI и тайм-аут сеанса (свойство пользователя для этого пользователя): установить режим cli -color on -page off -timeout 43200 ВНИМАНИЕ: Этот шаг делается для упрощения управления подключением только в лабораторных целях. Увеличение времени ожидания позволит сеансам CLI оставаться подключенными в течение более длительных периодов времени без прекращение. Это позволит студентам продолжать сеансы SSH между лабораторными упражнениями. Этот тайм-аут может быть неприемлемым в производственной среде, так как это может привести к безопасности уязвимость, позволяя неавторизованным пользователям получить доступ к Citrix ADC через существующий сеанс подключения администратора. 16. Отключите программу улучшения взаимодействия с пользователем Citrix: установить системный параметр -doppler disabled 17. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns Ручная установка времени на устройстве Citrix ADC 11. Подключитесь к NYC-ADC-001 через PuTTY, чтобы получить доступ к CLI. Откройте сеанс PuTTY на NYC-ADC-001. • Запустите значок PuTTY.exe с рабочего стола HOST. • Выберите NYC-ADC-001 и нажмите « Открыть». • Войдите, используя nsroot / nsroot 27 Стр.28 CNS-218-3I Citrix ADC 12.x Essentials 12. Подтвердите текущие настройки даты и времени, введя следующие команды: Оболочка Дата 13. Вручную настройте время и дату на Citrix ADC в соответствии с выбранным часовым поясом. Примечание. Чтобы изменить время на устройстве Citrix ADC, используйте команду date с + параметр val (значение), за которым следует полная дата и время. ПРИМЕР: дата ГГММДДЧЧММ запрошенные дата и время - 09.10.18 в 15:47, команда будет выглядеть следующим образом: дата 1810091547 Куда : YY = год MM = Месяц DD = День HH = час MM = Минуты https://translate.googleusercontent.com/translate_f 21/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Используйте следующую команду, заменив ГГММДДЧЧММ на дату и время. информация о зоне, которую вы выбрали, в 24-часовом формате дата ГГММДДЧЧММ 14. Подтвердите текущие настройки даты и времени, введя следующие команды: Дата 15. Сохраните конфигурацию Citrix ADC 28 Стр.29 CNS-218-3I Citrix ADC 12.x Essentials Обновите NetScaler до Citrix ADC 16. Откройте сеанс SSH с помощью PuTTY: • Подключитесь к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как nsroot / nsroot. 17. NYC-ADC-001 - обновление Citrix ADC NYC-ADC-001 Извлечь файлы сборки: Оболочка cd /var/nsinstall/build-12.1-51.19_nc ls tar -zxvf build-12.1-51.19_nc_64.tgz 18. После извлечения файлов запустите обновление: ./installns После завершения установки выберите Y при появлении запроса на перезагрузку. 19. Повторно подключитесь к Citrix ADC NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Проверить версию: показать версию ns Ключевые выводы: • Из интерфейса командной строки задачи начальной настройки обрабатываются как отдельные задачи вместо использования универсального мастера, как в конфигурации графического интерфейса. • NSIP можно настроить из интерфейса командной строки с помощью утилиты config ns. Изменение NSIP требуется перезагрузка. • Все команды в Citrix ADC активны и используются в тот момент, когда они настроены как часть работающей конфигурации. При сохранении конфигурации сохраняются настройки и https://translate.googleusercontent.com/translate_f 22/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials записывает их в файл. Сохранение конфигурации обязательно для сохранения текущих настроек. 29 Стр.30 CNS-218-3I Citrix ADC 12.x Essentials • Сохраненная конфигурация Citrix ADC, файлы лицензирования и параметры синхронизации NTP. хранятся во флэш-памяти в каталогах / nsconfig / и / nsconfig / licenses /. 30 Стр.31 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 1-2: Выполнение базового администрирования (CLI) Введение: В этом упражнении вы научитесь выполнять важные административные задачи с помощью командной строки. https://translate.googleusercontent.com/translate_f 23/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials интерфейс. В этом упражнении вы будете выполнять следующие задачи: • Включить функции. • Просмотр текущих и сохраненных конфигураций и различий в конфигурациях. • Создайте резервную копию конфигурации Citrix ADC (/ nsconfig). О Citrix ADC Configuration Management Под текущей конфигурацией понимается конфигурация Citrix ADC в памяти. Конфигурация изменения вступают в силу в момент их настройки и являются частью текущей конфигурации. В текущую конфигурацию можно просмотреть в узле Система> Диагностика или запустив "show ns runningConfig "в интерфейсе командной строки. Применяются графический интерфейс программы настройки Citrix ADC и интерфейс кома изменения относительно текущей рабочей конфигурации. Чтобы сохранить настройки, необходимо ввести команду сохранения конфигурации в графическом интерфейсе пользователя или в интерфейс Команда configuration заставляет Citrix ADC записать текущую конфигурацию в файл. Этот файл находится в /nsconfig/ns.conf (во флэш-памяти) и называется сохраненным файлом конфигурации. когда Citrix ADC перезагружается, установленное ядро загружается в ОЗУ, а затем настройки из сохраненного файл конфигурации применяется как новая рабочая конфигурация. Все несохраненные изменения теряются во время перезапуска системы. При изменении конфигурации текущую и сохраненную конфигурации можно сравнить с посмотреть, какие настройки новые или еще не сохраненные. Это может быть полезно в исправление проблем. В этом упражнении показано, как управлять сохраненной конфигурацией и сравнивать сохраненные и рабочие конфигурации на Citrix ADC. Шаг 1. Действие Подключитесь к Citrix ADC NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как nsroot / nsroot. ВАЖНО: Не сохраняйте конфигурацию, пока не получите инструкции в этом упражнении. 31 год Стр.32 CNS-218-3I Citrix ADC 12.x Essentials 2. Функции дисплея, лицензированные на Citrix ADC: показать лицензию ns 3. Функции отображения, включенные или отключенные на Citrix ADC: показать нс особенность https://translate.googleusercontent.com/translate_f 24/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 32 Стр. 33 CNS-218-3I Citrix ADC 12.x Essentials 4. Включить функции Citrix ADC: • Балансировка нагрузки (LB) • Переключение контента (CS) • Сжатие HTTP (CMP) • Разгрузка SSL (SSL) • Фильтрация содержимого (CF) • Ответчик • Переписать включить функцию ns LB CS CMP SSL CF Responder Rewrite 5. Просмотрите текущую рабочую конфигурацию: показать ns runningConfig Для просмотра или поиска текущей конфигурации можно использовать дополнительные команды: показать ns runningConfig | Больше показать ns runningConfig -withDefaults | Больше Grep можно использовать для поиска в запущенной конфигурации. Grep обычно чувствителен к регистру; -я заставляет делонечувствительный поиск. показать ns runningConfig | функция grep показать ns runningConfig | grep route показать ns runningConfig | grep "ns ip" –i Примечание: если вам нужно получить результат, нажмите CTRL + C 6. Просмотрите текущую сохраненную конфигурацию: показать ns ns.conf показать ns ns.conf | Больше 7. Сравните текущую запущенную и сохраненную конфигурацию (вручную): Запуск конфигурации: показать ns runningConfig | функция grep Сохраненная конфигурация: показать ns ns.conf | функция grep https://translate.googleusercontent.com/translate_f 25/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 33 Стр. 34 CNS-218-3I Citrix ADC 12.x Essentials 8. Используйте команду diff для сравнения текущей и сохраненной конфигурации: diff ns config -outtype cli diff ns config -outtype cli | Больше 9. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 10. Убедитесь, что нет разницы в запущенной и сохраненной конфигурации: diff ns config -outtype cli 11. Определите оборудование / тип продукта Citrix ADC: показать оборудование ns Результаты будут похожи на: Платформа: Citrix ADC Virtual Appliance 450000 Дата выпуска: 17.02.2009 Процессор: 3500 мГц Идентификатор хоста: XXXXXXXXXXX Серийный номер: XXXXXXXXXXX Закодированный серийный номер: XXXXXXXXXXXXXXXXXXXX UUID Netscaler: xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 12. Метод резервного копирования 1. Использование интерфейса командной строки и ручной команды tar. Этот метод будет использовать tar для создания архива всего каталога / nsconfig. Доступ к оболочке BSD: оболочка Просмотрите каталог / flash / nsconfig /: cd / flash / nsconfig / ls Создайте tar-архив каталога / flash / nsconfig / (и всех подкаталогов) в / var / tmp / каталог: tar -cvzf /var/tmp/backup.tgz / flash / nsconfig / Примечание . Все команды, пути и имена файлов в BSD Shell чувствительны к регистру. 34 Стр. 35 CNS-218-3I Citrix ADC 12.x Essentials 13. Убедитесь, что резервная копия была создана: cd / var / tmp / ls https://translate.googleusercontent.com/translate_f 26/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 14. Убедитесь, существует файл с именем backup.tgz. Выйдите изчто Shell и вернитесь в CLI: Выход Примечание . Повторный запуск exit приведет к выходу из интерфейса командной строки и завершению сеанса SSH, закрыв PuTTY. 15. Загрузите файл резервной копии из Citrix ADC с помощью WinSCP: • Откройте WinSCP с помощью ярлыка на рабочем столе. Подключиться к NYC-ADC-001 (192.168.10.101) и войдите в систему с именем пользователя nsroot и паролем nsroot. • На левой панели перейдите к C: \ Resources \. • На правой панели перейдите к / var / tmp /. • Скопируйте файл backup.tgz из / var / tmp / (правая панель) в C: \ Resources \ (левая панель). Копировать файл, перетаскивая его с одной панели на другую. Закройте WinSCP . 16. Метод резервного копирования 2: Использование команды резервного копирования системы. Этот метод аналогичен использованию утилиты резервного копирования и восстановления в графическом интерфейсе. создать резервную копию системы backup1 - уровень полный О резервном копировании и восстановлении Option выполняет двухуровневое резервное копирование: базовое или полное. Basic выполняет резервное копирование только файлов конфигурации в / nsconfig / и других файлов из выбранных каталогов на / var / и / netscaler /. Он не включает сертификаты SSL или файлы лицензий. Полная резервная копия включает эти. Подробные сведения см. В Руководстве администратора Citrix ADC . Расположение резервной копии: / var / ns_sys_backup 17. ДОПОЛНИТЕЛЬНО - Загрузите файл резервной копии из Citrix ADC с помощью WinSCP: • Откройте WinSCP с помощью ярлыка на рабочем столе. Подключиться к NYC-ADC-001 (192.168.10.101). • Войдите в систему с учетными данными nsroot / nsroot. • На левой панели перейдите к C: \ Resources \ • На правой панели перейдите к / var / ns_sys_backup / • Скопируйте файл backup1.tgz из / var / tmp / (правая панель) в C: \ Resources \ (левая панель). Перетащите файл, чтобы скопировать его с одной панели на другую. Закройте WinSCP. Ключевые выводы: • Все изменения конфигурации применяются к текущей конфигурации в памяти. Несохраненный настройки могут быть потеряны при перезапуске системы. • Чтобы сохранить настройки, необходимо сохранить конфигурацию. Сохраненная конфигурация находится во флэш-памяти в /flash/nsconfig/ns.conf. Резервное копирование конфигурации должно выполняться для резервного копирования сохраненной конфигурации и других основные настройки. 35 год Стр.36 CNS-218-3I Citrix ADC 12.x Essentials Модуль 2: Основы работы в сети. Введение: После первоначальной настройки Citrix ADC вам предстоит настроить Citrix ADC с доступ к сети. Citrix ADC имеет встроенную конфигурацию с двумя интерфейсами. Citrix ADC необходимо настроить со шлюзом по умолчанию для Citrix ADC Management. сеть (192.168.10.0/24). Через сеть управления Citrix ADC также будет иметь доступ к Backend сети (192.168.30.0/24). Виртуальные IP-адреса будут размещены в Фронтенд-сеть (172.21.10.0/24). В этой среде интерфейс 1/1 связан с сетью внешнего интерфейса, а интерфейс 1/2 связанные с сетями управления и серверной частью. https://translate.googleusercontent.com/translate_f 27/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Рисунок 1: Упрощенная схема лабораторной сети Во время сетевой конфигурации NYC-ADC-001 вам необходимо адресовать несколько цели конфигурации. Первоначальная работа в сети уже завершена в Модуле 1: • Настройте SNIP для трафика приложений (192.168.10.111/24). • Настройте маршрут по умолчанию для Citrix ADC Management Network (шлюз 192.168.10.1). Требования для этого сценария: • Проверьте возможность подключения к внутренней сети (192.168.30.0/24). 36 Стр. 37 CNS-218-3I Citrix ADC 12.x Essentials • Внедрить конфигурацию VLAN и предотвратить доступ к адресу NSIP из Frontend Network и связанный интерфейс (1/1 ). • Включите пересылку на основе MAC-адресов, чтобы трафик возвращался через тот же интерфейс, на котором он был получен. О конфигурации VLAN: Этот Citrix ADC развертывается во встроенной конфигурации, где интерфейс 1/1 будет действовать как интерфейс с доступом к сети 172.21.10.0/24 (Frontend) и интерфейс 1/2 будет выступать в качестве внутреннего интерфейса с доступом к 192.168.10.0/24 (Управление) и 192.168.30.0/24 (Backend) сети. NSIP будет по-прежнему связан с собственной VLAN (VLAN 1). Но интерфейс интерфейс (1/1) будет связан с VLAN 2, что удалит его из собственной VLAN. Этот изолирует интерфейс 1/1 от доступа к NSIP. Остался только один интерфейс с VLAN 1 это эффективно изолирует NSIP (и другие управляющие SNIP), чтобы доступный из VLAN 1 через интерфейс 1/2. Дополнительные требования для этого сценария: • Настройте VLAN 2 на Citrix ADC и ограничьте его только интерфейсом 1/1. • Свяжите сеть с VLAN 2 и интерфейсом 1/1 для внешних ресурсов. Фронтенд В сети будут размещаться только виртуальные IP-адреса, поэтому дополнительных IP-адресов подсети не будет. потребуется. Вместо этого создайте начальный виртуальный IP-адрес 172.21.10.101 с 255.255.255.0 Netmask и привяжите ее к VLAN 2. Это ограничит доступ ко всем виртуальным IP-адресам. адреса в сети 172.21.10.0 / 24, которые будут настроены в последующих упражнениях на только интерфейс 1/1 и VLAN 2. Сводка конфигурации VLAN: VLAN 1 Интерфейс 1/2 IP-адрес и сетевая маска <По умолчанию> Детали NSIP и SNIP в сети 192.168.10.0 / 24. Доступен для серверных ресурсов 2 1/1 172.21.10.101 / 24 https://translate.googleusercontent.com/translate_f Фронтенд VIP-сеть 28/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials После завершения этого лабораторного модуля вы сможете: • Настроить интерфейс, IP-адрес и свойства маршрута на Citrix ADC. • Свяжите IP-адреса и интерфейсы с VLAN для управления потоком трафика. 37 Стр.38 CNS-218-3I Citrix ADC 12.x Essentials Этот модуль содержит следующее упражнение с использованием графического интерфейса Citrix ADC Configuration Utility и интерфейс командной строки Citrix ADC: • Упражнение 2-1: Настройка сети Прежде чем вы начнете: Приблизительное время для выполнения этой лабораторной работы: 10 минут. Виртуальные машины, необходимые для этого модуля Для модуля 2 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что следующие виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V. Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части модуль. • NYC-ADC-001 Упражнение 2-1: Настройка сети (GUI) Введение: В этом упражнении вы научитесь настраивать виртуальный IP-адрес, виртуальные локальные сети и пересылку на базе Mac. Вы будет использовать графический интерфейс программы настройки Citrix ADC для выполнения этого упражнения. В этом упражнении вы будете выполнять следующие задачи: • Проверьте подключение к сети. • Настройте VLAN 2 и ограничьте доступ к интерфейсу 1/1 и диапазону виртуальных IP-адресов. • Включите режим пересылки на основе MAC. Шаг 1. Действие Подключитесь к утилите настройки Citrix ADC NYC-ADC-001 по адресу http://192.168.10.101. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 38 Стр. 39 CNS-218-3I Citrix ADC 12.x Essentials 2. Протестируйте подключение от Citrix ADC к внутреннему сетевому адресу: • Перейдите в раздел Система> Диагностика . https://translate.googleusercontent.com/translate_f 29/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Щелкните Ping (в разделе «Утилиты»). Используйте следующие параметры: • Введите 192.168.30.51 в поле Имя хоста . • Тип 3 в Графе поле. • Щелкните Выполнить . Подождите несколько секунд, пока отобразится вывод ping, и подтвердите подключение к серверной части. адреса (в сети 192.168.30.0/24). • Нажмите « Закрыть» и « Закрыть», чтобы закрыть утилиту ping. 3. Настройте диапазон виртуальных IP-адресов, используя виртуальный IP-адрес с маской подсети. Добавьте виртуальный IP: • Перейдите в раздел Система> Сеть> IP-адреса . • Щелкните Добавить . Создайте IP-адрес (VIP1): • Введите 172.21.10.101 в поле IP-адрес . • Введите 255.255.255.0 в поле Маска сети . • Выберите Virtual IP из раскрывающегося списка IP Type . • Снимите флажок «Включить контроль доступа к управлению» для поддержки перечисленных ниже приложений . • Щелкните Да, чтобы подтвердить настройку. • Щелкните " Создать" . Примечание . Все виртуальные IP-адреса на этом узле Citrix ADC будут находиться в подсети 172.21.10.0 / 24. В этом упражнении добавляется начальный VIP 172.21.10.101 и определяется подсеть. Подсеть находится настроен для связи с VLAN в более позднем упражнении. 4. Убедитесь, что следующие IP-адреса отображаются в списке IP-адресов IPV4 в разделе Система> Сеть> IP-адреса : • 192.168.10.101 (NSIP) • 192.168.10.111 (SNIP) • 172.21.10.101 (VIP) 5. Создайте VLAN для Frontend Network, в которой находятся VIP, и свяжите ее с внешний интерфейс 1/1. • Перейдите в раздел Система> Сеть> VLAN . • Щелкните Добавить . 39 Стр. 40 CNS-218-3I Citrix ADC 12.x Essentials 6. Создайте VLAN 2 и привяжите его к интерфейсу 1/1 и IP-подсети 172.21.10.101 / 24: • Введите 2 в поле VLAN ID . • Установите флажок 1/1 на вкладке « Привязки интерфейса ». Tagged поле флажок должен оставаться невыделенным. • Щелкните вкладку « Привязки IP-адресов ». • Установите флажок 172.21.10.101, чтобы связать VIP и его подсеть с VLAN. • Щелкните " Создать" . Примечание . При привязке интерфейса 1/1 к VLAN 2 он удаляется из VLAN 1 по умолчанию на Citrix ADC. Связывание виртуального IP-адреса 172.21.10.101 / 24 с VLAN также приводит к принудительному использованию всех виртуальных IP-адресов в этой сети. быть связанным только с MAC-адресом интерфейса 1/1. Если к VLAN 2 привязан неправильный интерфейс или IP-адрес, учащиеся могут потерять доступ к Citrix. Интерфейс управления АЦП. Используйте Hyper-V Manager для доступа к консоли NYC-ADC-001 и удалите VLAN и заново настройте правильную VLAN с помощью интерфейса командной строки. 7. Проверьте конфигурацию VLAN: • Просмотрите сводку VLAN, выбрав Система> Сеть> VLAN . • Убедитесь, что VLAN 1 связана с привязанными интерфейсами 0/1 и LO / 1. • Убедитесь, что VLAN 2 связана с привязанным интерфейсом 1/1. РЕЗУЛЬТАТ: NSIP, SNIP и VLAN 1 доступны из внутреннего интерфейса 0/1. Все VIP и VLAN 2 доступны через интерфейс 1/1. https://translate.googleusercontent.com/translate_f 30/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 8. Включите режим пересылки на основе MAC-адресов (MBF): • Перейдите в раздел Система> Настройки . • Щелкните « Настроить режимы» . • Установите флажок Пересылка на основе MAC . • Оставьте выбранными существующие режимы. • Щелкните ОК . Примечание . Мы включаем переадресацию на базе Mac, чтобы упростить нашу таблицу маршрутизации. MBF должен быть используется в определенных средах и определенных сетевых настройках. Некоторые функции, такие как PBR, не будут работа с МБФ. 9. Протестируйте подключение от Citrix ADC к внутреннему сетевому адресу: • Перейдите в раздел Система> Диагностика . • Щелкните Ping (в разделе «Утилиты»). Используйте следующие параметры: • Введите 192.168.30.51 в поле Host Name . • Тип 3 в Графе поле. • Щелкните R un . Подождите несколько секунд, пока отобразится вывод ping, и подтвердите подключение к серверной части. адреса (в сети 192.168.30.0/24). • Нажмите « Закрыть» и « Закрыть», чтобы выйти из утилиты ping. 10. Сохраните конфигурацию Citrix ADC и подтвердите. Ключевые выводы : 40 Стр. 41 CNS-218-3I Citrix ADC 12.x Essentials • Указан маршрут по умолчанию, чтобы гарантировать доступ к NSIP и управлению сеть. • IP-адреса на Citrix ADC принадлежат всем интерфейсам (по умолчанию). Чтобы ограничить доступ для определенных IP-адресов и определенного интерфейса используйте VLAN. • NSIP связан с NSLAN. По умолчанию NSVLAN является собственной VLAN на устройство, VLAN 1. Хотя NSVLAN можно изменить, желательно оставить ее включенной. VLAN1. Поскольку все интерфейсы также связаны с VLAN 1, NSIP доступен из все интерфейсы по умолчанию. • Интерфейс может одновременно участвовать только в одной VLAN на основе порта. Связывая интерфейс с VLAN, вы можете ограничить, какие интерфейсы имеют или не имеют доступ к родной VLAN. В результате доступ к NSIP может быть ограничен только определенными интерфейсами, как соответствующий. https://translate.googleusercontent.com/translate_f 31/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 41 год Стр. 42 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 2-1: Настройка сети (CLI) Введение: В этом упражнении вы научитесь настраивать виртуальный IP-адрес, виртуальные локальные сети и пересылку на основе MAC-адресов. Вы будет использовать интерфейс командной строки для выполнения этого упражнения. В этом упражнении вы будете выполнять следующие задачи: • Проверьте подключение к сети. • Настройте VLAN 2 и ограничьте доступ к интерфейсу 1/1 и диапазону виртуальных IP-адресов. • Включите режим пересылки на основе MAC. Шаг 1. Действие Подключитесь к NYC-ADC-001, используя новый NSIP (192.168.10.101), используя SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Проверить подключение: пинг -c 3 192.168.30.51 3. Добавьте виртуальный IP-адрес в Citrix ADC: добавить ns ip 172.21.10.101 255.255.255.0 -тип VIP Примечание . Все виртуальные IP-адреса, которые будет размещен Citrix ADC, будут находиться в подсети 172.21.10.0 / 24. В этом упражнении добавляется начальный VIP 172.21.10.101 и определяется подсеть. Подсеть находится настроен для связи с VLAN в более позднем упражнении. 42 Стр. 43 CNS-218-3I Citrix ADC 12.x Essentials https://translate.googleusercontent.com/translate_f 32/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 4. Настройте VLAN: • Создайте VLAN: (для внешней сети) добавить vlan 2 • Привяжите VLAN к внешнему интерфейсу: привязать vlan 2 -ifnum 1/1 • Привяжите IP-адрес подсети к этой VLAN (для источника трафика от Citrix ADC к бэкэнд-серверы): привязать vlan 2 -ipAddress 172.21.10.101 255.255.255.0 РЕЗУЛЬТАТ: NSIP, SNIP и VLAN 1 доступны из «внутреннего» интерфейса (1/2). Все VIP доступны через интерфейс "внешнего интерфейса" (1/1). Примечание . При привязке интерфейса 1/1 к VLAN 2 он удаляется из VLAN 1 по умолчанию на Citrix ADC. Связывание виртуального IP-адреса 172.21.10.101 / 24 с VLAN также приводит к принудительному использованию всех виртуальных IP-адресов в этом сеть должна быть связана только с MAC-адресом интерфейса 1/1. Если к VLAN 2 привязан неправильный интерфейс или IP-адрес, студенты могут потерять доступ к Citrix. Интерфейс управления АЦП. В этом случае используйте Hyper-V Manager для доступа к консоли для NYCADC-001, удалите VLAN и переконфигурируйте правильную VLAN с помощью интерфейса командной строки. 5. Проверьте конфигурацию VLAN: показать влан Убедитесь, что интерфейсы 1/2 и интерфейс обратной связи (LO / 1) по-прежнему являются частью VLAN 1. Убедитесь, что интерфейс 1/1 и IP-адрес подсети связаны с VLAN 2. 6. Включите пересылку на основе MAC: включить режим ns mbf или включить пересылку на основе MAC-адресов в режиме ns Примечание . Мы включаем переадресацию на базе Mac, чтобы упростить нашу таблицу маршрутизации. MBF должен быть используется в определенных средах и определенных сетевых настройках. Некоторые функции, такие как PBR, не будут работа с МБФ. 7. Протестируйте конфигурацию: пинг -c 3 192.168.30.51 8. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns Ключевые выводы: • Указан маршрут по умолчанию, чтобы гарантировать доступ к NSIP и управлению сеть. 43 Стр.44 CNS-218-3I Citrix ADC 12.x Essentials • IP-адреса в Citrix ADC принадлежат всем интерфейсам (по умолчанию). Чтобы ограничить доступ для определенных IP-адресов и определенного интерфейса используйте VLAN. • NSIP связан с NSLAN. По умолчанию NSVLAN является собственной VLAN на устройство, VLAN. 1. Хотя NSVLAN можно изменить, мы рекомендуем оставить его на VLAN1. Поскольку все интерфейсы также связаны с VLAN 1, NSIP доступен. со всех интерфейсов по умолчанию. • Интерфейс может одновременно участвовать только в одной VLAN на основе порта. Связывая интерфейс с VLAN, вы можете ограничить, какие интерфейсы имеют или не имеют доступ к родной VLAN. В результате доступ к NSIP может быть ограничен только определенными интерфейсами, как соответствующий. https://translate.googleusercontent.com/translate_f 33/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 44 Стр.45 CNS-218-3I Citrix ADC 12.x Essentials Модуль 4: Высокая доступность. Введение: Теперь, когда NYC-ADC-001 настроен с адресом NSIP, лицензированием и полностью настроен на сети, ваша задача - настроить NYC-ADC-001 и NYC-ADC-002 в пару с высокой доступностью. с NYC-ADC-001 в качестве основного Citrix ADC. В этом модуле вы будете выполнять практические упражнения по созданию пары высокой доступности. Требования для этого сценария: • Настройте пару HA с помощью NYC-ADC-001 (192.168.10.101) и NYC-ADC-002 (192.168.10.102). • Используйте NYC-ADC-001 в качестве авторитетного Citrix ADC во время первоначального создания HA. пара, чтобы ее настройки использовались в качестве основной конфигурации. • Настройте управляющий SNIP для пары HA, который можно использовать для администрирования текущий основной Citrix ADC в паре. Ограничьте этот SNIP только доступом для управления. Цель упражнения по высокой доступности - позволить студентам не просто настраивать HA. Сопряжение, но также продолжить работу и администрирование пары высокой доступности на протяжении всего остального курс. Оба члена останутся активными членами пары HA во время предстоящих учений. (за исключением упражнения по устранению неполадок). Вам не нужно будет разрывать пару HA во время курс. После завершения этого лабораторного модуля вы сможете: • Настройте пару высокой доступности и укажите, какой Citrix ADC является основным. • Настройте параметры высокой доступности для управления переключением при отказе, синхронизацией и распространением. • Управляйте парой высокой доступности, используя общий адрес SNIP. Модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и интерфейс командной строки Citrix ADC: https://translate.googleusercontent.com/translate_f 34/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Упражнение: настройка пары высокой доступности. • Упражнение: управление парой HA Прежде чем вы начнете: Приблизительное время для выполнения этой лабораторной работы: 30 минут. Виртуальные машины, необходимые для этого модуля 45 Стр. 46 CNS-218-3I Citrix ADC 12.x Essentials Для модуля 4 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V. Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части модуль. • NYC-ADC-001 • NYC-ADC-002 46 Стр. 47 https://translate.googleusercontent.com/translate_f 35/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials CNS-218-3I Citrix ADC 12.x Essentials Упражнение 4-1: Настройка пары высокой доступности (GUI) Введение: В этом упражнении вы научитесь настраивать пару HA. NYC-ADC-001 имеет начальные конфигурации связанных с сетями, которые необходимо сохранить. Процедура этого упражнения будет продемонстрировать, как создать пару HA и контролировать, какая система определена как первичная в начальная конфигурация. Для выполнения этого вы будете использовать графический интерфейс программы настройки Citrix ADC. упражнение. В этом упражнении вы выполните следующие задачи для настройки пары высокой доступности: • Подготовка: убедитесь, что у обоих Citrix ADC настроен адрес NSIP и что они должным образом лицензирован. Также убедитесь, что все Citrix ADC относятся к одной и той же платформе (VPX, MPX, или экземпляр SDX), модель и версию прошивки Citrix ADC. • Установите для предполагаемого вторичного Citrix ADC значение StaySecondary до создания пары HA. • На предполагаемом первичном Citrix ADC настройте пару HA и укажите на вторичный NSIP Citrix ADC. Через графический интерфейс дополнительный Citrix ADC также настраивается для присоединения пара. • Убедитесь, что оба Citrix ADC входят в пару HA и что синхронизация HA прошла успешно. • Выполните обновление прошивки пары HA • Удалите опцию StaySecondary с вторичного Citrix ADC и восстановите ее до нормальное участие в HA (статус HA включен). • Тестируйте аварийное переключение, чтобы подтвердить работу высокой доступности. • Сохраните конфигурацию. В конце этого упражнения оба члена будут постоянными участниками в HA. пара и аварийное переключение могут происходить свободно. Для следующей пары упражнений обратите внимание на то, подключены к первичному или вторичному члену пары высокой доступности. Устройство Citrix ADC в Вторичное состояние всегда будет выдавать следующее всплывающее окно, когда пользователь входит в систему: 47 Стр. 48 CNS-218-3I Citrix ADC 12.x Essentials Во время этого упражнения команды настройки будут выданы двум разным Citrix ADC. Платить внимание к системе, к которой относится каждый лабораторный шаг или группа шагов. Для достижения наилучших результатов откройте два https://translate.googleusercontent.com/translate_f 36/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials разные окна браузера и расположите их рядом или так, чтобы вы могли легко переключаться обратно и далее между Citrix ADC. Шаг 1. Действие Откройте два разных окна веб-браузера: • В первом браузере подключитесь к программе настройки Citrix ADC NYC-ADC-001 по адресу http://192.168.10.101 . Войдите в систему как nsroot / nsroot. • Во втором браузере подключитесь к утилите настройки Citrix ADC NYC-ADC-002 по адресу 3. Войдите в систему как nsroot / nsroot. Примечание . Если появится всплывающее окно для сохранения пароля в Google Chrome, нажмите « Сохранить» . 2. NYC-ADC-002 - нажмите « Пропустить», чтобы выйти из программы Citrix User Experience Improvement Program. 3. NYC-ADC-002 - отображается мастер начальной настройки, поскольку некоторые важные настройки не пока не настроил. Обойти мастера: • Щелкните IP-адрес подсети (раздел 2) и щелкните Сделать позже . • Щелкните Имя хоста, IP-адрес DNS и Часовой пояс, а затем щелкните Сделать позже . • Нажмите « Продолжить», чтобы перейти к программе настройки Citrix ADC. 48 Стр. 49 CNS-218-3I Citrix ADC 12.x Essentials 4. NYC-ADC-001 - Подготовьтесь к HA, просмотрев начальные настройки: Определите текущие IP-адреса, принадлежащие Citrix ADC: • Перейдите в раздел Система> Сеть> IP-адреса . • Обратите внимание на уже настроенные NSIP, SNIP и VIP. Просмотрите текущее состояние узла для автономного Citrix ADC: • Перейдите в раздел Система> Высокая доступность> Узлы . • Убедитесь, что в списке указан только один узел (узел 0) и ему назначен NSIP NYC-ADC001 (192.168.10.101). 5. NYC-ADC-002 - Подготовьтесь к HA, просмотрев начальные настройки: Определите текущие IP-адреса, принадлежащие Citrix ADC: • Перейдите в раздел Система> Сеть> IP-адреса . • Обратите внимание, что NSIP - единственный настроенный IP-адрес. Просмотрите текущее состояние узла для автономного Citrix ADC: • Перейдите в раздел Система> Высокая доступность> Узел. • Убедитесь, что в списке указан только один узел (узел 0) и ему назначен NSIP NYC-ADC002 (192.168.10.102). 6. NYC-ADC-002 - Настройте Citrix ADC NYC-ADC-002 на StaySecondary: • Перейдите в раздел Система> Высокая доступность . • Выберите узел 0 (192.168.10.102) и нажмите « Изменить» . • Выберите STAY SECONDARY (Оставаться в режиме прослушивания) в раскрывающемся списке High Availability Status список вниз. • Щелкните ОК . Состояние узла отображается Остаться вторичным . Параметр StaySecondary используется перед присоединением к паре высокой доступности, чтобы гарантировать, что эта система не будет стать полноправным участником конфигурации и перезаписать настройки от NYC-ADC001. Если интерфейс не работает на предполагаемом основном сервере, неправильный Citrix ADC может взять на себя управление и может возникнуть неожиданная конфигурация. При настройке StaySecondary, если предполагаемый основной не принимает на себя основную роль, то Citrix ADC не выполняет ее, пока проблема не будет решена. В качестве альтернативы администратор может выбрать настройку статуса высокой доступности NYCADC-001 как ПЕРВИЧНЫЙ https://translate.googleusercontent.com/translate_f 37/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 49 Стр.50 CNS-218-3I Citrix ADC 12.x Essentials 7. NYC-ADC-001 - настройте пару HA, добавив NYC-ADC-002 к NYC-ADC-001 конфигурации. • Перейдите в раздел Система> Высокая доступность> Узел. • Щелкните Добавить . Создать узел высокой доступности: • Введите 192.168.10.102 в поле IP-адрес удаленного узла. (Это NSIP Нью-ЙоркаАЦП-002). • Установите флажок Настроить удаленную систему для участия в настройке высокой доступности . • Установите флажок « Отключить HA Monitor интерфейс / каналы, которые не работают» . • Снимите флажок Включить режим INC (независимая конфигурация сети) при самостоятельной проверке узла. коробка. • Введите nsroot в поле « Имя пользователя» ( в разделе « Учетные данные для входа в удаленную систему»). • Введите nsroot в поле Пароль . • Щелкните " Создать" . В графическом интерфейсе мастер создания узла высокой доступности может настроить партнерскую систему за один шаг, когда Включен параметр «Настроить удаленную систему для участия». Из интерфейса командной строки для этого требуется "добавить ha node ", которая должна выполняться на каждом Citrix ADC отдельно. 8. Проверьте исходный статус высокой доступности. На сводной странице высокой доступности узел 1 (192.168.10.102) изначально отображается как Неизвестный. Нажмите « Обновить», чтобы обновить отображение. Убедитесь, что NYC-ADC-002 (192.168.10.102) указан как: • Состояние магистра: среднее • Состояние узла: Остаться вторичным 9. NYC-ADC-002 - Проверка партнерской системы. Обновите отображение экрана Система> Высокая доступность. Проверьте следующее: • В списке перечислены оба узла в паре высокой доступности. • Узел 0: 192.168.10.102 (NYC-ADC-002) указан как Остаться вторичным. • Узел 1: 192.168.10.101 (NYC-ADC-001) указан как основной. 50 https://translate.googleusercontent.com/translate_f 38/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр. 51 CNS-218-3I Citrix ADC 12.x Essentials 10. NYC-ADC-002 - Убедитесь, что настройки высокой доступности синхронизированы: Посмотреть особенности: • Перейдите в раздел Система> Настройки . • Щелкните « Настроить основные функции» . • Убедитесь, что все функции из предыдущей конфигурации NYC-ADC-001 включены. • Щелкните ОК . Просмотр режимов: • Щелкните « Настроить режимы» . • Убедитесь, что режим переадресации на основе MAC включен, если он не включен. • Щелкните ОК . Посмотреть маршруты: • Перейдите в Система> Сеть> Маршруты . • Убедитесь, что присутствует маршрут по умолчанию: 0.0.0.0 0.0.0.0 192.168.10.254 Просмотр IP-адресов, принадлежащих Citrix ADC: • Перейдите в раздел Система> Сеть> IP-адреса . • Убедитесь, что NSIP по-прежнему уникален: 192.168.10.102. • Убедитесь, что NYC-ADC-002 имеет VIP и SNIP от NYC-ADC-001. 11. NYC-ADC-001 - Тестовое аварийное переключение (попытка 1) • Перейдите в раздел Система> Высокая доступность> Узлы . • Выберите узел 0 192.168.10.101 • Щелкните Действие> Принудительное переключение при отказе . • Щелкните Да для подтверждения. Подтвердить: была получена ошибка: «Операция невозможна из-за недопустимого состояния однорангового узла». Причина: узел, для которого установлено значение StaySecondary, не может выступать в качестве основного Citrix ADC, даже если принудительно выполнить команду аварийного переключения. Следовательно, текущий первичный сервер не будет добровольно переключаться на отказ. 12. NYC-ADC-002 - отключите STAYSECONDARY и включите нормальное участие HA. • Перейдите в раздел Система> Высокая доступность> Узел. • Выберите узел 0 (192.168.10.102) и нажмите « Изменить» . • Выберите Enabled (Участвуйте в HA) в High Availability Status раскрывающемся список. • Щелкните ОК . 13. NYC-ADC-002 - Тестовое аварийное переключение (попытка 2) • Выберите узел 0 (192.168.10.102) • Щелкните Действие> Принудительное переключение при отказе . • Щелкните ДА, чтобы подтвердить аварийное переключение. • Нажмите OK в сообщении об успешном запуске отработки отказа. Примечание . Команду Force Failover можно выполнить с любого Citrix ADC, независимо от текущего состояния. роль в качестве основного или дополнительного. Команда всегда будет делать текущую вторичную запись новой. Первичный, если состояние узла или работоспособность узла не препятствует отработке отказа. 51 Стр.52 CNS-218-3I Citrix ADC 12.x Essentials 14. Проверьте аварийное переключение: • Обновите утилиту настройки Citrix ADC на обоих Citrix ADC, чтобы проверить состояние аварийного переключения. • Либо Citrix ADC укажет 192.168.10.102 (NYC-ADC-002) в качестве текущего основного члена пары HA. 15. NYC-ADC-001 - повторно выполните аварийное переключение, чтобы восстановить роль NYC-ADC-001 в основной роли: • Перейдите в раздел Система> Высокая доступность> Узлы . • Выберите узел 0 (192.168.10.102) и нажмите « Изменить» . • Щелкните Действие> Принудительное переключение при отказе . • Щелкните Да, чтобы подтвердить отработку отказа. • Нажмите OK в сообщении об успешном запуске отработки отказа. Убедитесь, что 192.168.10.101 (NYC-ADC-001) восстановлен как основной Citrix ADC в паре HA. 16. NYC-ADC-001 - Сохраните конфигурацию Citrix ADC и подтвердите. Щелкните правой кнопкой мыши значок Сохранить в правом углу графического интерфейса Citrix ADC. https://translate.googleusercontent.com/translate_f 39/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials При появлении запроса нажмите Да . Примечание. Команда сохранения конфигурации будет распространена на дополнительную систему, сохраняя конфигурации на обоих АЦП Citrix. Ключевые выводы : • Настройка пары HA приведет к созданию двух Citrix ADC с общей конфигурацией, которая может управляться как единое целое из Primary Citrix ADC. • Использование StaySecondary при создании пары HA может помочь администраторам гарантировать какой член является авторитетным в паре и предотвращает неожиданные отказы из-за непредвиденные проблемы на начальном этапе настройки. • Попав в пару HA, изменения конфигурации будут распространяться от первичного к вторичному, включая такие команды, как save ns config. В результате администраторы должны обращать внимание к которому Citrix ADC является основным при выполнении администрирования с помощью NSIP адреса. 52 Стр. 53 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 4-2: Управление парой HA (GUI) Введение: В этом упражнении вы научитесь добавлять SNIP в пару Citrix ADC HA и ограничивать SNIP до только управленческая коммуникация. Это полезно, потому что Management SNIP - это общий IP-адрес. адрес в паре HA и всегда подключается к текущему первичному узлу. Вы будете использовать Citrix Графический пользовательский интерфейс ADC Configuration Utility для выполнения этого упражнения. В этом упражнении вы будете выполнять следующие задачи: • Создайте SNIP в паре HA для трафика управления (192.168.10.103/24). • Включите управляющую связь по этому протоколу SNIP. Разрешите HTTP, HTTPS и SSH. • Управляйте парой HA с помощью этого протокола SNIP в дальнейшем, чтобы обеспечить подключение к основному Citrix ADC. Шаг 1. Действие Держите оба браузера открытыми для утилит настройки Citrix ADC обоих Citrix ADC. • NYC-ADC-001: http://192.168.10.101 • NYC-ADC-002: http://192.168.10.102 2. NYC-ADC-001 (основной) - добавьте второй протокол SNIP для доступа к управлению. • Перейдите в раздел Система> Сеть> IP-адреса . • Щелкните Добавить . Создать IP-адрес: • Введите 192.168.10.103 в поле IP-адрес. https://translate.googleusercontent.com/translate_f 40/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Введите 255.255.255.0 в поле Маска сети. • Убедитесь, что IP-адрес подсети выбран в поле Тип IP. В разделе « Контроль доступа к приложениям» (внизу): • Включите « Включить доступ для управления», чтобы поддержать перечисленные ниже приложения. • Отключить Telnet. Отключить FTP . • Включите SSH . • Включите SNMP . • Включить графический интерфейс . • Включите Разрешить доступ только к управляющим приложениям . • Щелкните " Создать" . Сохраните конфигурацию и подтвердите. 53 Стр.54 CNS-218-3I Citrix ADC 12.x Essentials 3. Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью управляющего протокола SNIP (ADCMGMT СНиП) по адресу http://192.168.10.103 . Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Если вы получаете всплывающее окно с вопросом , хотите ли вы, чтобы Google Chrome сохранил пароль для этого сайта? Щелкните Сохранить. 4. Определите, на каком Citrix ADC активен управляющий SNIP: Метод1 • Перейдите на страницу системы в разделе информации о системе. • Проверьте IP-адрес NetScaler. Способ 2: • Перейдите в раздел Система> Высокая доступность> узлы . • Определите, какой Citrix ADC является узлом 0 (самостоятельным узлом). SNIP NSMGMT всегда активен на текущем основном элементе пары HA. В настоящее время, это NYC-ADC-001 (192.168.10.101). 5. Принудительное переключение при отказе: • Перейдите в раздел Система> Высокая доступность> Узел. • Щелкните Действие> Принудительное переключение при отказе . • Щелкните Да для подтверждения. • Щелкните ОК . 6. Щелкните значок « Обновить» рядом со значком сохранения. Нажмите ОК в случае ошибки. 7. SNIP NSMGMT (192.168.10.103) теперь активен на НОВОМ первичном сервере (NYC-ADC-002). Как В результате ваш существующий сеанс управления истек, и вы должны войти в новую консоль. Повторно подключитесь к Citrix ADC Configuration Utility с помощью NSMGMT SNIP: http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Если вы получаете всплывающее окно с вопросом , хотите ли вы, чтобы Google Chrome сохранил пароль для этого сайта? Нажмите Сохранить. 54 https://translate.googleusercontent.com/translate_f 41/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр.55 CNS-218-3I Citrix ADC 12.x Essentials 8. Определите, на каком Citrix ADC активен управляющий SNIP: • Перейдите в раздел Система> Высокая доступность> Узел. • Определите, какой Citrix ADC является узлом 0 (самостоятельным узлом). Способ 2: • Перейдите к системному узлу (корневой узел) • Обратите внимание, что IP-адрес Citrix ADC - 192.168.10.102. SNIP ADCMGMT теперь активен на NYC-ADC-002 (192.168.10.102). 9. Выполните окончательную отработку отказа HA для восстановления NYC-ADC-001 (192.168.10.101) в качестве основного Citrix ADC. • Перейдите в Система> Высокая доступность> Узел (если это еще не сделано). • Щелкните Действие> Принудительное переключение при отказе . • Щелкните Да для подтверждения. • Щелкните ОК . 10. Повторно подключитесь к Citrix ADC Configuration Utility с помощью ADCMGMT SNIP: http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 11. Сохраните конфигурацию Citrix ADC и подтвердите. ВАЖНО: Citrix ADC NYC-ADC-001 и NYC-ADC-002 останутся в паре HA для остальная часть этого курса. Причина в том, чтобы позволить студентам управлять парой HA, как если бы они производство. Хотя NYC-ADC-001 должен быть основным Citrix ADC до конца курса, этот не может быть гарантирован. В результате вам нужно будет использовать SNIP общего управления. (NSMGMT SNIP: 192.168.10.103) при подключении к Citrix ADC GUI или CLI для остальной части упражнения, если не указано иное. Ключевые выводы: • SNIP могут быть настроены для управления коммуникациями в дополнение к трафику приложений или они могут быть ограничены только доступом управления. • Если управляющий SNIP настроен и ограничен только управляющей связью, тогда также необходимо настроить дополнительный SNIP или SNIP для трафика приложений. • SNIP - это общие IP-адреса в конфигурации высокой доступности, поэтому они всегда активны на Основной Citrix ADC. В результате предпочтительным методом является выделенный протокол управления SNIP. для внесения изменений в конфигурацию, находясь в паре HA, поскольку это гарантирует администратору всегда подключен к текущему первичному Citrix ADC. • Параметры, специфичные для узла, по-прежнему следует применять при подключении к определенному адресу NSIP. 55 Стр.56 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 4-1: Настройка пары высокой доступности (CLI) Введение: В этом упражнении вы научитесь настраивать пару HA. NYC-ADC-001 имеет начальные конфигурации связанных с сетями, которые необходимо сохранить. Процедура этого упражнения будет продемонстрировать, как создать пару HA и контролировать, какая система определена как первичная в начальная конфигурация. Для выполнения этого упражнения вы будете использовать интерфейс командной строки. В этом упражнении вы выполните следующие задачи для настройки пары высокой доступности: https://translate.googleusercontent.com/translate_f 42/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Подготовка: убедитесь, что оба Citrix ADC имеют настроенный адрес NSIP и правильно настроены. лицензированный. Также убедитесь, что все Citrix ADC относятся к одной и той же платформе (VPX, MPX или SDX экземпляр), модель и версию прошивки Citrix ADC. • Установите для предполагаемого вторичного Citrix ADC значение StaySecondary до создания пары HA. • На предполагаемом первичном Citrix ADC настройте пару HA и укажите на NSIP вторичный Citrix ADC. Через графический интерфейс вторичный Citrix ADC также настроен на присоединиться к паре. • Убедитесь, что оба Citrix ADC входят в пару HA и что синхронизация HA прошла успешно. • Удалите параметр StaySecondary с вторичного Citrix ADC и восстановите его до нормальное участие в HA (статус HA включен). • Тестируйте аварийное переключение, чтобы подтвердить работу высокой доступности. • Сохраните конфигурацию. В конце этого упражнения оба члена будут продолжены, участвуя в паре HA. и переключение при отказе могло происходить свободно. Для следующей пары упражнений обратите внимание, насколько вы подключен к первичному или вторичному члену пары высокой доступности. Примечание . Citrix ADC во вторичном приглашении HA всегда будет выдавать следующее всплывающее окно, когда пользователь входит в систему, чтобы указать, что это вторичное устройство в паре высокой доступности, и изменения конфигурации не следует выполнять на этом устройстве 56 Стр.57 CNS-218-3I Citrix ADC 12.x Essentials Во время настройки этого упражнения команды будут отправлены на два разных Citrix ADC. Платить внимание к системе, к которой относится каждый лабораторный шаг или группа шагов. Для достижения наилучших результатов откройте два Сеансы SSH с использованием PuTTY и располагайте их бок о бок или так, чтобы вы могли легко переключиться обратно и далее между Citrix ADC. Шаг 1. Действие Откройте два сеанса SSH с помощью PuTTY: • Подключитесь к Citrix ADC NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как nsroot / nsroot. • Подключитесь к Citrix ADC NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войти как nsroot / nsroot. Для достижения наилучших результатов в этом упражнении расположите окна PuTTY бок о бок, чтобы можно было переключаться обратно. легко переходите между сеансами и при необходимости сравнивайте настройки. 2. NYC-ADC-001 - Подготовьтесь к HA, просмотрев начальные настройки HA: показать узел ha Убедитесь, что NYC-ADC-001 находится в автономной конфигурации, поскольку это единственный узел, идентифицированный ( NSIP). Определите, какие интерфейсы присутствуют в Citrix ADC, а какие являются критически важными. Обратите внимание, что текущее состояние узла и главное состояние - UP и Primary. 3. NYC-ADC-001 - Подготовьтесь к HA, просмотрев исходные IP-адреса, принадлежащие Citrix ADC: показать ns ip Определите текущую конфигурацию для: https://translate.googleusercontent.com/translate_f 43/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • NSIP • СНИП (ы), если таковые имеются • VIP (а), если есть 4. NYC-ADC-001 - Подготовьтесь к HA, проверив версию: показать версию ns 5. NYC-ADC-002 - Подготовьтесь к HA, просмотрев начальные настройки HA: показать узел ha Убедитесь, что NYC-ADC-002 находится в автономной конфигурации, поскольку это единственный узел, идентифицированный ( NSIP). Определите, какие интерфейсы присутствуют в Citrix ADC, а какие являются критически важными. Обратите внимание, что текущее состояние узла и главное состояние - UP и Primary. 57 Стр.58 CNS-218-3I Citrix ADC 12.x Essentials 6. NYC-ADC-002 - Подготовьтесь к HA, просмотрев исходные IP-адреса, принадлежащие Citrix ADC: показать ns ip Определите текущую конфигурацию для: • NSIP • СНИП (ы), если таковые имеются • VIP (а), если есть 7. NYC-ADC-002 - Подготовьтесь к HA, проверив версию: показать версию ns Убедитесь, что версия такая же, как NYC-ADC-001. 8. NYC-ADC-002 - Установите для узла значение STAYSECONDARY: установить узел ha -haStatus STAYSECONDARY Проверить состояние узла: показать узел ha Параметр StaySecondary используется перед присоединением к паре высокой доступности, чтобы гарантировать, что эта система не будет стать полноправным участником конфигурации и перезаписать настройки из NYC-ADC-001. Если интерфейс не работает на предполагаемом основном сервере, неправильный Citrix ADC может взять на себя управление и может возникнуть неожиданная конфигурация. При настройке StaySecondary, если предполагаемый основной не принимает на себя основную роль, то Citrix ADC не возьмет на себя роль, пока проблема не будет решена. 9. NYC-ADC-001 - Настройте основного члена пары высокой доступности и определите его партнерскую систему: добавить узел ha 1 192.168.10.102 Просмотр статуса HA: показать узел ha Проверить статус узла: • Убедитесь, что идентификатор узла 0 (192.168.10.101) указан как основной. • Обратите внимание, что идентификатор узла 1 (192.168.10.102) все еще неизвестен. Статус не изменится, пока NYC-ADC-002 также настроен для участия в паре HA. 10. NYC-ADC-002 - Присоединяйтесь к паре HA в качестве дополнительного участника: добавить узел ha 1 192.168.10.101 Просмотр статуса HA: показать узел ha Убедитесь, что статус получен для обоих узлов (собственный узел, узел 0) и узла-партнера (узел 1): • NS_VPX_0 (192.168.10.101) указан как основной. • NS_VPX_1 (192.168.10.102) указан как вторичный с состоянием узла, установленным на ПРЕБЫВАНИЕ. Состояние синхронизации может отображаться как «Выполняется» до тех пор, пока оно не будет успешно завершено, и в этом случае показывает успех. https://translate.googleusercontent.com/translate_f 44/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 58 Стр.59 CNS-218-3I Citrix ADC 12.x Essentials 11. NYC-ADC-001 - Подтвердите, что конфигурация HA прошла успешно: показать узел ha 12. Убедитесь, что настройки высокой доступности синхронизированы. NYC-ADC-001 - Выполните следующие команды для просмотра деталей конфигурации: показать ns ip NYC-ADC-002 - Выполните следующие команды, чтобы убедиться, что детали конфигурации синхронизированы: показать ns ip Убедитесь, что NYC-ADC-002 сохраняет свой уникальный адрес NSIP (192.168.10.102), но все остальные SNIP VIP унаследованы от конфигурации NYC-ADC-001. NYC-ADC-001 - Выполните следующие команды для просмотра функций: показать нс особенность NYC-ADC-002 - Выполните следующие команды, чтобы убедиться, что функции синхронизированы: показать нс особенность Убедитесь, что NYC-ADC-002 имеет тот же список включенных функций, что и NYC-ADC-001. 13. Проверить отказоустойчивость HA. В настоящее время NYC-ADC-001 является основным. NYC-ADC-002 - StaySecondary. NYC-ADC-001 - Попытка принудительного переключения при отказе: force ha failover -force Подтвердить - получена следующая ошибка 14. NYC-ADC-002 - Удалите параметр StaySecondary и верните узел к нормальному участию HA: установить узел ha -hastatus ENABLED Подтвердите настройки: показать узел ha Убедитесь, что NYC-ADC-002 (192.168.10.102) теперь идентифицируется с состояниями узла UP и Master State Вторичный. 59 Стр. 60 CNS-218-3I Citrix ADC 12.x Essentials 15. Проверить отказоустойчивость HA (2). На этот раз NYC-ADC-001 по-прежнему остается первичным. NYC-ADC-002 - вторичный. NYC-ADC-001 - Попытка принудительного переключения при отказе: force ha failover -force Подтвердить - переключение происходит успешно без ошибок. https://translate.googleusercontent.com/translate_f 45/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Проверьте состояние HA: показать узел ha NYC-ADC-001 (192.168.10.101) теперь является вторичным; синхронизация может быть в процессе. NYC-ADC-002 (192.168.10.102) теперь является основным. 16. Повторите отработку отказа, чтобы вернуть NYC-ADC-001 в основную роль: NYC-ADC-001 - Принудительное переключение при отказе: force ha failover -force Подтвердить - переключение происходит успешно без ошибок. Проверьте состояние HA: показать узел ha NYC-ADC-001 (192.168.10.101) теперь является основным. NYC-ADC-002 (192.168.10.102) теперь является вторичным. 17. Сохраните конфигурацию Citrix ADC. NYC-ADC-001 (192.168.10.101) в качестве основного: сохранить конфигурацию ns Примечание. Команда сохранения конфигурации будет распространена на дополнительную систему, сохраняя конфигурации на обоих АЦП Citrix. Ключевые выводы: • Настройка пары HA приведет к созданию двух Citrix ADC с общей конфигурацией, которая может управляться как единое целое из Primary Citrix ADC. • Использование параметра Staysecondary при создании пары HA может помочь администраторам гарантировать, какой член является авторитетным в паре, и предотвратить неожиданные отработки отказа из-за непредвиденных проблем на этапе начальной настройки. • Попав в пару HA, изменения конфигурации будут распространяться от первичного к вторичному, включая такие команды, как save ns config. В результате администраторы должны обращать внимание к которому Citrix ADC является основным при выполнении администрирования с помощью NSIP адреса. 60 Стр.61 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 4-2: Управление парой HA (CLI) Введение: В этом упражнении вы научитесь добавлять SNIP в пару Citrix ADC HA и ограничивать SNIP до только управленческая коммуникация. Это полезно, потому что Management SNIP - это общий IP-адрес. адрес в паре HA и всегда подключается к текущему первичному узлу. Вы будете использовать интерфейс командной строки для выполнения этого упражнения. В этом упражнении вы будете выполнять следующие задачи: • Создайте SNIP в паре HA для трафика управления (192.168.10.103/24). • Включите связь управления по этому протоколу SNIP. Разрешите HTTP, HTTPS и SSH. • Управляйте парой HA, используя этот протокол SNIP, чтобы обеспечить подключение к основному Citrix ADC. Шаг 1. Действие Откройте два отдельных сеанса SSH с помощью PuTTY: • Подключитесь к Citrix ADC NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как nsroot / nsroot. • Подключитесь к Citrix ADC NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войти как nsroot / nsroot. Для достижения наилучших результатов в этом упражнении расположите окна PuTTY бок о бок, чтобы можно было переключаться обратно. легко переходите между сеансами и при необходимости сравнивайте настройки. 2. Определите, какой Citrix ADC является основным. показать узел ha https://translate.googleusercontent.com/translate_f 46/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Подтвердите, что это NYC-ADC-001. 3. NYC-ADC-001 (основной) - добавьте второй протокол SNIP, который будет включен для доступа к управлению: добавить ns ip 192.168.10.103 255.255.255.0 -тип SNIP -mgmtAccess enabled restrictAccess включен -telnet отключен -ftp отключен 4. Подключитесь к Citrix ADC HA Pair, используя управляющий SNIP (ADCMGMT SNIP) на 192.168.10.103 с использованием SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 5. Определите, к какому Citrix ADC подключен сеанс: показать узел ha Сеанс подключен к текущему первичному члену пары HA. (Нью-Йорк-ADC001: 192.168.10.101). 61 Стр.62 CNS-218-3I Citrix ADC 12.x Essentials 6. Принудительное переключение HA при отказе: force ha failover -force 7. Повторно подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 8. Убедитесь, что вы подключены к НОВОМУ первичному Citrix ADC (NYC-ADC-002: 192.168.10.102): показать узел ha 9. Выполните последнее аварийное переключение HA, чтобы вернуть NYC-ADC-001 в основную роль: force ha failover -force После принудительного переключения при отказе вам необходимо повторно подключиться: 10. Из ADCMGMT SNIP сохраните конфигурацию: сохранить конфигурацию ns ВАЖНО : Citrix ADC NYC-ADC-001 и NYC-ADC-002 останутся в паре HA для оставшуюся часть этого курса, чтобы студенты могли управлять парой HA, как в производство. Хотя NYC-ADC-001 должен быть основным Citrix ADC до конца курса, этот не может быть гарантирован. В результате вам нужно будет использовать SNIP общего управления. (ADCMGMT SNIP: 192.168.10.103) при подключении к Citrix ADC GUI или CLI для остальной части упражнения, если не указано иное. Ключевые выводы: • SNIP могут быть настроены для управленческой связи в дополнение к трафику приложений, или они могут быть ограничены только доступом управления. • Если управляющий SNIP настроен и ограничен только управляющей связью, тогда также необходимо настроить дополнительный SNIP или SNIP для трафика приложений. • SNIP - это общие IP-адреса в конфигурации высокой доступности, поэтому они всегда активны на Основной Citrix ADC. В результате предпочтительным методом является выделенный протокол управления SNIP. для внесения изменений в конфигурацию в паре высокой доступности, поскольку это гарантирует, что администратор всегда подключен к текущему основному ADC Citrix. • Параметры, специфичные для узла, по-прежнему следует применять при подключении к определенному адресу NSIP. https://translate.googleusercontent.com/translate_f 47/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 62 Стр.63 CNS-218-3I Citrix ADC 12.x Essentials Модуль 5: Балансировка нагрузки. Обзор : Компания ABC готова использовать Citrix ADC HA Pair, чтобы обеспечить балансировку нагрузки для четырех различных приложения в среде. Ваша задача как администратора - настроить балансировку нагрузки для веб-приложение, DNS-серверы, аутентификация LDAP и база данных MYSQL. Упражнения в этом модуле демонстрируют основные концепции балансировки нагрузки на Citrix ADC: • Объекты балансировки нагрузки: серверы, службы, группы служб, виртуальные серверы балансировки нагрузки, и мониторы для конкретных приложений. • Настройки балансировки нагрузки: методы балансировки нагрузки и постоянство. • Дополнительные параметры: резервное копирование виртуальных серверов и перенаправление URL-адресов. В этом модуле вы будете выполнять практические упражнения по настройке балансировки нагрузки для Интернета. приложение, DNS, LDAP и база данных MySQL. Вы настроите нагрузку для конкретного приложения методы балансировки, постоянство и настройки монитора для каждого приложения. После завершения этого лабораторного модуля вы сможете: • Настроить балансировку нагрузки для любого приложения с использованием серверов, служб, групп служб и виртуальные серверы. • Настройте методы балансировки нагрузки и параметры сохранения. • Настройте мониторы для конкретных условий применения. Этот модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и интерфейс командной строки Citrix ADC: • Упражнение: балансировка нагрузки HTTP • Упражнение: балансировка нагрузки DNS • Упражнение: балансировка нагрузки LDAP • Упражнение: балансировка нагрузки баз данных MYSQL Прежде чем вы начнете: Приблизительное время для выполнения этой лабораторной работы: 60 минут. Виртуальные машины, необходимые для этого модуля Для модуля 5 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V. Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части модуль. • NYC-ADC-001 • NYC-WEB-BLU • NYC-ADC-002 • NYC-WEB-RED 63 Стр.64 CNS-218-3I Citrix ADC 12.x Essentials • NYC-WEB-GRN • Ad.workspacelab.com • AD02.workspacelab.com • NYC-LMP-001 • NYC-LMP-002 https://translate.googleusercontent.com/translate_f 48/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 64 Стр.65 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 5-1: Балансировка нагрузки HTTP (GUI) Введение: В этом упражнении вы научитесь балансировать нагрузку HTTP-приложения, создавая серверы, службы, и виртуальный сервер балансировки нагрузки. Вы будете использовать графический интерфейс Citrix ADC Configuration Utility для выполните это упражнение. В этом упражнении вы будете выполнять следующие задачи: • Создавать серверы для HTTP. • Создавать сервисы для HTTP. • Создать виртуальный сервер балансировки нагрузки для HTTP. • Протестируйте виртуальный сервер с балансировкой нагрузки. • Настроить и протестировать постоянство. • Настроить и протестировать мониторы для использования с балансировкой нагрузки HTTP. Упражнения по балансировке нагрузки для веб-приложений HTTP в этом модуле используются для продемонстрировать каждую из сущностей и основных принципов балансировки нагрузки ниже. О серверах: Серверные объекты в Citrix ADC используются для представления пунктов назначения трафика. Эти https://translate.googleusercontent.com/translate_f 49/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials назначения определяются IP-адресом. Объекты сервера идентифицируют IP-адрес, на который Citrix ADC будет направлять трафик при балансировке нагрузки. Серверы могут быть созданы как именованные объекты на Citrix ADC, как это сделано в этом упражнении, или они могут быть созданы и названы по месту назначения Айпи адрес. На одном сервере может размещаться несколько приложений, поэтому его можно использовать с несколько услуг. Об услугах: Службы представляют собой приложение, работающее на сервере. Сервис - это способ для Citrix ADC для представления типа трафика с балансировкой нагрузки путем определения IP-адреса, порта и протокол трафика. Службу можно определить, указав на существующий именованный объект сервера. на Citrix ADC (для IP-адреса / назначения трафика) или сервис может быть определен предоставление IP-адреса. Виртуальные серверы Citrix ADC с балансировкой нагрузки распределяют трафик между Сервисы. Таким образом, сервисы воплощают концепцию типа трафика с балансировкой нагрузки. Различные типы трафика (протоколы), которые можно идентифицировать на Citrix ADC, используются для обеспечивают обработку трафика для конкретных приложений. В этом упражнении вы выполните балансировку нагрузки HTTP. В последующих упражнениях вы изучите LDAP, Типы трафика DNS и MYSQL. Каждая служба представляет собой уникальную комбинацию IP: Порт: Протокол. А 65 Стр.66 CNS-218-3I Citrix ADC 12.x Essentials данный сервер может использоваться для размещения нескольких приложений, поэтому могут быть создается для каждого приложения, что позволяет индивидуально балансировать нагрузку на сервисы. О виртуальных серверах с балансировкой нагрузки: Виртуальные серверы с балансировкой нагрузки - это виртуальные сущности, которые распределяют трафик для сопутствующие услуги. Виртуальные серверы с балансировкой нагрузки - это объект на стороне клиента, который получает запросы от клиента. Виртуальные серверы с балансировкой нагрузки определяются виртуальным IP-адресом, протоколом и портом, которые получает исходные запросы. Указанный метод балансировки нагрузки и параметры сохраняемости определить, как трафик распределяется по доступным сервисам. Различная балансировка нагрузки методы и настройки подходят для разных приложений. Каждая виртуальная машина с балансировкой нагрузки server представляет собой уникальный IP-адрес: комбинация портов. Несколько виртуальных серверов с балансировкой нагрузки могут использовать один и тот же IP-адрес, если они настроены на разных портах, что позволяет приложения (порты) должны быть сбалансированы по нагрузке независимо друг от друга. Сервисы привязаны к виртуальным серверам с балансировкой нагрузки. Citrix ADC действует наоборот прокси, виртуальный сервер балансировки нагрузки представляет соединение на стороне клиента и определяет точка входа для трафика, тип трафика и параметры подключения на стороне клиента. Виртуальная балансировка нагрузки Сервер также является механизмом распределения трафика. Используя методы балансировки нагрузки и постоянство, Виртуальный сервер балансировки нагрузки определяет, куда направляется трафик. Сервис представляет собой серверпобочное соединение между Citrix ADC и конечным сервером, выполняющим запрос. О мониторах балансировки нагрузки: Мониторы - это зонды или условия, которые Citrix ADC использует, чтобы определить, находится ли служба в рабочем состоянии. Мониторы привязаны к службам, а не к серверам. Поэтому многие мониторы зависят от конкретного приложения. Мониторы позволяют Citrix ADC выполнять интеллектуальную балансировку нагрузки и отправлять трафик только на сервис, который может выполнить запрос. В базовом мониторинге монитор привязан к службе с установить условие, которое необходимо выполнить, и подробные данные, определяющие частоту зондирования, и другие детали. Если зонд завершается успешно и условие выполнено, служба работает; если зонд выходит из строя, то сервис ВНИЗ. При необходимости с мониторами можно использовать более сложные критерии. Это упражнение укрепит эти концепции с помощью конфигурации балансировки нагрузки HTTP. Другие затем упражнения будут применять эти концепции с дополнительными вариантами использования для конкретных приложений и передовые концепции балансировки нагрузки. https://translate.googleusercontent.com/translate_f 50/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 66 Стр.67 CNS-218-3I Citrix ADC 12.x Essentials Создать серверы для HTTP Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Примечание. Если появляется всплывающее окно с вопросом « Хотите ли вы, чтобы Google Chrome сохранил ваш пароль для этого сайта?» Щелкните Сохранить. Если вы увидите всплывающее окно с просьбой войти в Google Chrome, нажмите Нет, спасибо. 2. Убедитесь, что функция балансировки нагрузки включена: • Перейдите в раздел Система> Настройки . • Щелкните « Настроить основные функции» . • Выберите « Балансировка нагрузки», если он не выбран. • Щелкните ОК . 3. Создайте объект сервера Citrix ADC, представляющий NYC-WEB-RED по адресу 192.168.30.51 в Окружающая среда. Создать сервер для NYC-WEB-RED: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» . • Щелкните Добавить . Откроется диалоговое окно « Создать сервер ». • Введите srv_red в поле Имя . • Введите 192.168.30.51 в поле IP- адрес . • Щелкните " Создать" . 4. Создайте объект сервера Citrix ADC, представляющий NYC-WEB-BLU по адресу 192.168.30.52 в Окружающая среда. Создать сервер для NYC-WEB-BLU: • Щелкните Добавить . Откроется диалоговое окно « Создать сервер ». • Введите srv_blue в поле Имя . • Введите 192.168.30.52 в поле IP- адрес . • Щелкните " Создать" . 5. Создайте объект сервера Citrix ADC, представляющий NYC-WEB-GRN по адресу 192.168.30.53 в Окружающая среда. Создать сервер для NYC-WEB-GRN: • Щелкните Добавить . Откроется диалоговое окно « Создать сервер ». • Введите srv_green в поле Имя . • Введите 192.168.30.53 в поле IP- адрес . • Щелкните " Создать" . 67 Стр.68 CNS-218-3I Citrix ADC 12.x Essentials Создать службы для HTTP Шаг 1. Действие Создайте службу для веб-контента (HTTP) на сервере NYC-WEB-RED. Использовать названный сервер https://translate.googleusercontent.com/translate_f 51/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials объект, созданный в предыдущей задаче при создании служебного объекта в Citrix ADC. Создать службу для NYC-WEB-RED (HTTP): • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Щелкните Добавить . Откроется диалоговое окно « Служба балансировки нагрузки: основные параметры ». • Введите svc_red в поле « Имя службы» . • Выберите существующий сервер. • Выберите srv_red (192.168.30.51) в меню « Сервер» . • Убедитесь , что HTTP выбран для протокола . • Убедитесь, что для порта выбрано 80 . • Щелкните OK, затем щелкните Готово . Убедитесь, что после создания служба отображается в рабочем состоянии. 2. Создайте службу для веб-контента (HTTP) на сервере NYC-WEB-BLU, используя именованный сервер. из предыдущего задания. Создать службу для NYC-WEB-BLU (HTTP): • Щелкните Добавить . Откроется диалоговое окно « Служба балансировки нагрузки: основные параметры ». • Введите svc_blue в поле « Имя службы» . • Выберите существующий сервер. • Выберите srv_blue (192.168.30.52) в меню « Сервер» . • Убедитесь , что HTTP выбран для протокола . • Убедитесь, что для порта выбрано 80 . • Щелкните OK, затем щелкните Готово . Убедитесь, что после создания служба отображается в рабочем состоянии. 3. Создайте службу для веб-контента (HTTP) на сервере NYC-WEB-GRN, используя именованный сервер. из предыдущего задания. Создать службу для NYC-WEB-GRN (HTTP): • Щелкните Добавить . Откроется диалоговое окно « Служба балансировки нагрузки: основные параметры ». • Введите svc_green в поле « Имя службы» . • Выберите существующий сервер. • Выберите srv_green (192.168.30.53) в меню « Сервер» . • Убедитесь , что HTTP выбран для протокола . • Убедитесь, что для порта выбрано 80 . • Щелкните OK, затем щелкните Готово . Убедитесь, что после создания служба отображается в рабочем состоянии. 68 Стр.69 CNS-218-3I Citrix ADC 12.x Essentials Создание виртуальных серверов балансировки нагрузки для HTTP Шаг 1. Действие Настройте виртуальный сервер балансировки нагрузки для HTTP-трафика, который может распределять трафик по услуги для ресурсов NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN. Балансировка нагрузки с помощью циклический метод балансировки нагрузки. Создайте виртуальный сервер балансировки нагрузки: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Щелкните Добавить . Откроется диалоговое окно Виртуальный сервер балансировки нагрузки: основные параметры. • Введите lb_vsrv_rbg в поле «Имя». • Убедитесь, что для протокола выбран HTTP . • Убедитесь, что для порта выбрано 80 . • Введите 172.21.10.101 в поле IP-адрес. • Щелкните ОК . 2. Привязка служб связывает службы с виртуальным сервером и определяет, где находится виртуальный сервер. будет распределять трафик на. Привязать службы к виртуальному серверу балансировки нагрузки: • Щелкните " Нет привязки службы виртуального сервера балансировки нагрузки" в разделе "Службы и служба". Раздел "Группы". Откроется диалоговое окно «Привязка службы». • Щелкните « Щелкните, чтобы выбрать» в разделе «Выбор службы», чтобы привязать существующую службу. (Знак «+» позволит вам создать новую услугу.) • Выберите svc_red , svc_blue и svc_green . https://translate.googleusercontent.com/translate_f 52/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Щелкните Выбрать . • Щелкните « Привязать» . Щелкните Продолжить . Не закрывайте диалоговое окно Виртуального сервера балансировки нагрузки для lb_vsrv_rbg. 3. Установите метод балансировки нагрузки: • Щелкните « Метод» в разделе « Дополнительные параметры» (правая панель). Это добавляет категорию в область конфигурации (левая панель). • Выберите ROUNDROBIN из раскрывающегося списка Метод балансировки нагрузки . • Нажмите « ОК» в разделе « Метод», чтобы применить настройки. 4. Нажмите Готово, чтобы закрыть свойства виртуального сервера балансировки нагрузки виртуального сервера. диалог для lb_vsrv_rbg. ИНФОРМАЦИЯ : Использование графического интерфейса Citrix ADC для настройки и изменения виртуального сервера балансировки нагрузки свойства. При создании виртуального сервера с балансировкой нагрузки (или другого) графический интерфейс Citrix ADC 12 разделяет конфигурацию в отдельные задачи, группируя определенные параметры вместе в графическом интерфейсе. Как результат, создание виртуального сервера балансировки нагрузки разделено на несколько задач, тогда как в CLI его можно создать с помощью одной команды. Таким образом, графический интерфейс представляет создание загрузки: балансировка виртуального сервера в формате мастера. Администраторы должны предоставить начальную конфигурацию настройки, а затем продолжить связывание служб перед остальными свойствами виртуального сервера доступны. 69 Стр.70 CNS-218-3I Citrix ADC 12.x Essentials В графическом интерфейсе начальная процедура создания виртуального сервера балансировки нагрузки включает в себя следующее: • Сначала отображается меню основных настроек. Это позволяет основным свойствам быть настроено: имя виртуального сервера, VIP, протокол и порт, а также другие базовые параметры. • Затем отображается опция привязки служб или групп служб. Теперь это можно настроить, или пропустите его и настройте позже. • Наконец, все свойства виртуального сервера доступны для редактирования или настройки сейчас или позже. Первоначальные задачи должны быть выполнены до того, как остальные свойства виртуального сервера будут отображается. После создания виртуального сервера графический интерфейс Citrix ADC 12 разделяет многие из свойства в категории: мониторы, защита, метод и постоянство. После нажатия продолжить, отобразится полный список свойств. Сконфигурированные настройки по умолчанию будут отображаться слева панель. Доступные настройки, которые еще не настроены, доступны по категориям в расширенных настройках на правой панели. Категории настроек можно отображать или скрывать по мере необходимости. Скрытие категории путем удаления ее из левая панель не удаляет настроенные параметры и не сбрасывает значения по умолчанию. Однако, при настройке или изменении настроек в определенной категории изменения должны применяться щелкнув блок ОК в этом разделе категории, или изменение не применяется. Это возможно для нескольких категорий, чтобы отображать свои собственные блоки ОК одновременно. Помните, что изменения для каждого Категория должна применяться индивидуально, нажав OK. Переход от свойств нажав кнопку Готово в нижней части свойств виртуального сервера или нажав Назад, чтобы вернуться в сводном представлении виртуального сервера будут отменены все непримененные изменения. Графический интерфейс пользователя был разработан для организации настроек, чтобы администраторы могли видеть только эти настройки. настроенные и / или настройки, конкретно интересующие администратора. Другие узлы могут быть скрыто от глаз. Если вы впервые работаете с Citrix ADC 12.0 (или более поздней версии), легко не применять настройки как ожидается. Вы должны ознакомиться с навигацией по графическому интерфейсу и подумать о том, как GUI представляет настройки для успешной работы. Напротив, с помощью интерфейса командной строки все свойства виртуального сервера можно редактировать сразу. Многие из изменения конфигурации, внесенные в графический интерфейс в несколько этапов, можно было выполнить за один Команда CLI. https://translate.googleusercontent.com/translate_f 53/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 70 Стр.71 CNS-218-3I Citrix ADC 12.x Essentials Протестируйте виртуальный сервер балансировки нагрузки Шаг 1. Действие Убедитесь, что lb_vsrv_rbg указан как состояние, так и эффективное состояние как UP . (Обновите Citrix Графический интерфейс ADC, если все еще ВНИЗ.) 2. Тестовая конфигурация балансировки нагрузки: • Откройте браузер и перейдите по адресу http://172.21.10.101/home.php. Для достижения наилучших результатов мы Рекомендуем использовать Chrome для изменения конфигурации и тестирования веб-содержимого в Firefox. • Обновите страницу несколько раз, чтобы проверить активность балансировки нагрузки. С круговой системой указанный как метод балансировки нагрузки, содержимое должно вращаться через красный, синий, и зеленые домашние страницы. ВАЖНО : Веб-серверы в бэкэнде работают на веб-серверах Apache в Linux. Как результат, все пути чувствительны к регистру: • http://172.21.10.101/home.php будет работать. • http://172.21.10.101/Home.php работать не будет. Обратите особое внимание на URL-адреса, указанные в упражнении, поскольку ошибки с регистром вызовут проблемы. 3. Вернитесь в служебную программу настройки Citrix ADC (http://192.168.10.103). Посмотреть балансировку нагрузки статистика, чтобы убедиться, что трафик исходит от всех трех служб. • Выберите lb_vsrv_rbg и щелкните Статистика . • Отображается панель статистики для этого виртуального сервера. Прокрутите вниз и убедитесь, что обращения и запросы службы равномерно распределяются по все три связанные услуги. 4. Выйдите из представления статистики, чтобы вернуться на панель виртуальных серверов с помощью навигации по хлебным крошкам. след над панелью статистики. • Щелкните Виртуальные серверы в навигационном следе: Управление трафиком> Балансировка нагрузки> Виртуальные серверы> Статистика. Настроить и протестировать постоянство Шаг 1. Действие Настройте постоянство на виртуальном сервере балансировки нагрузки. • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите lb_vsrv_rbg и нажмите « Изменить» . • Щелкните « Постоянство» в разделе «Дополнительные параметры», чтобы добавить его в область конфигурации. • Выберите COOKIEINSERT. • Щелкните ОК, затем Готово . 2. Тестовая конфигурация балансировки нагрузки: • Откройте браузер и перейдите по адресу http://172.21.10.101/home.php. • Обновите страницу несколько раз, чтобы проверить активность балансировки нагрузки. С настойчивостью включен, должен отображаться только один цвет сервера. 71 Стр.72 CNS-218-3I Citrix ADC 12.x Essentials 3. Вернитесь в утилиту настройки Citrix ADC (http://192.168.10.103). Посмотреть балансировку нагрузки статистика для проверки того, что трафик исходит от одной службы. https://translate.googleusercontent.com/translate_f 54/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Выберите lb_vsrv_rbg и щелкните Статистика . • Отображается панель статистики для этого виртуального сервера. Прокрутите вниз и проверьте статистику обращений к службе и запросов. Движение от одной службы должно быть значительно выше, чем от других служб. Между обновляется, должен увеличиваться только трафик от одного сервиса. 4. По завершении выйдите из представления « Статистика» и вернитесь в узел « Балансировка нагрузки»> «Виртуальные серверы» . 5. Измените постоянство на отсутствие: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите lb_vsrv_rbg и нажмите « Изменить» . • Щелкните значок « Изменить» (карандаш) в поле « Постоянство» . • Выберите ДРУГИЕ и НЕТ раскрывающегося списка. • Щелкните ОК, затем Готово . 6. Сохраните конфигурацию Citrix ADC и подтвердите. Настроить и протестировать мониторы для использования с балансировкой нагрузки HTTP Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 72 Стр.73 CNS-218-3I Citrix ADC 12.x Essentials 2. Создайте HTTP-монитор балансировки нагрузки для служб RBG. Этот монитор проверяет, что веб-сервер обеспечивает получение ответа 200 OK для запрошенного содержимого. Это обеспечивает основные проверка того, что веб-контент создается, путем изучения кода ответа, полученного в заголовок. • Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы . • Щелкните Добавить . Создать монитор: • Введите mon_rbg_http в поле имени. • Выберите HTTP из раскрывающегося списка Тип . • Щелкните " Создать" . Этот монитор будет использовать значения по умолчанию, настроенные параметры приведены ниже для Справка: Стандартные параметры: (оставить значения по умолчанию) • Интервал : 5 сек. • Тайм-аут ответа : 2 секунды • Время простоя : 30 сек. • Повторных попыток : 3 • Успешных попыток : 1 • Включено Специальные параметры (оставить значения по умолчанию) https://translate.googleusercontent.com/translate_f 55/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • HTTP-запрос : HEAD / • Коды ответа : 200 3. Создайте монитор HTTP-ECV с балансировкой нагрузки для служб RBG. Этот монитор подтверждает, что конкретный значение создается в теле ответа, обеспечивая более подробную проверку того, что веб-контент полностью генерируется. • Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы . • Щелкните Добавить . Создать монитор: • Введите mon_rbg_httpecv в название поля. • Выберите HTTP-ECV из раскрывающегося списка Тип . • Щелкните « Дополнительные параметры» . • Введите Get /home.php в поле « Строка отправки» . • Введите serverinfo в поле Строка получения . • Щелкните " Создать" . 4. Создайте HTTP-ECV-монитор балансировки нагрузки для служб RBG, которые не работают: • Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы . • Щелкните Добавить . Создать монитор: • Тип mon_rbg_httpecv_bad в название поля. • Выберите HTTP-ECV из раскрывающегося списка Тип . • Щелкните « Специальные параметры» . • Введите Get /home.php в поле « Строка отправки» . • Введите badstring в поле Receive String . • Щелкните " Создать" . Ожидается, что этот монитор выйдет из строя при привязке к службе, поскольку он ищет строку, которая не присутствует на странице. Это будет использоваться для имитации сбоя службы из-за монитора. 73 Стр.74 CNS-218-3I Citrix ADC 12.x Essentials 5. Привяжите HTTP-монитор к сервису Red: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Выберите svc_red и нажмите « Изменить» . • Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе «Мониторы». • Щелкните Добавить привязку . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Выберите mon_rbg_http и нажмите Выбрать . • Щелкните « Привязать», затем щелкните « Закрыть» . Щелкните Готово . 6. Убедитесь, что svc_red остается в состоянии UP после привязки монитора. 7. Привяжите монитор HTTP-ECV к службе Blue: • Выберите svc_blue и нажмите « Изменить» . • Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» . • Щелкните Добавить привязку . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Выберите mon_rbg_httpecv и нажмите Выбрать . • Щелкните « Привязать», затем щелкните « Закрыть» . Щелкните Готово . 8. Просмотр состояния монитора для службы: • Выберите svc_blue и нажмите « Изменить» . • Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе «Мониторы». Это отобразит все привязанные мониторы. • Просмотр состояния монитора. Примечание . Когда ответ HTTP-ECV завершается успешно, он возвращает сообщение «Успех - Шаблон». найдено в ответе ". 9. Сменить монитор для svc_blue: • Выберите mon_rbg_httpecv и нажмите « Отменить привязку» . Щелкните Да для подтверждения. (Монитор по умолчанию автоматический отскок; игнорируй это.) • Щелкните Добавить привязку . • Щелкните Щелкните, чтобы выбрать в разделе « Выбрать монитор» . • Выберите mon_rbg_httpecv_bad и нажмите Выбрать . • Щелкните « Привязать», затем щелкните « Закрыть» . • Щелкните Готово . 10. Подождите несколько секунд, пока будут отправлены зонды. Svc_blue должен появиться в неактивном состоянии. (Ты можешь необходимо несколько раз обновить Citrix ADC Configuration Utility.) 11. Просмотр состояния монитора для службы: • Выберите svc_blue и нажмите « Изменить» . • Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» . • Просмотр состояния монитора. https://translate.googleusercontent.com/translate_f 56/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Щелкните " Закрыть и готово". Примечание . В случае сбоя ответа HTTP-ECV он возвращает причину «Ошибка - шаблон не найден. в ответ." 74 Стр.75 CNS-218-3I Citrix ADC 12.x Essentials 12. Открыть живые HTTP-заголовки: • В Firefox откройте заголовки Live HTTP: Инструменты> Заголовки Live HTTP . • Убедитесь, что на вкладке « Заголовки » включен захват . • Щелкните Очистить, чтобы при необходимости очистить окна захвата. Вы также можете запустить Live HTTP Headers из Chrome: • Щелкните значок синего облака рядом с адресной строкой, чтобы открыть заголовки Live HTTP в вкладка браузера. • Убедитесь, что в выбранных параметрах вверху включен захват. • Самые последние объекты отображаются вверху. • Щелкните Очистить, чтобы при необходимости очистить окна захвата. Надстройки Live HTTP-заголовки будут использоваться с Firefox во время этого упражнения. Для удобства, Live HTTP-заголовки также добавляются в браузер Chrome в лабораторных условиях; однако лабораторные шаги не будут явно укажите эту конфигурацию. Для достижения наилучших результатов используйте один браузер для доступа к графическому интерфейсу Citrix ADC и внесения изменений в конфигурацию. и отдельный тип браузера для тестирования веб-страниц и просмотра информации заголовка. 13. Балансировка тестовой нагрузки: • Откройте браузер и перейдите по адресу http://172.21.10.101/home.php. • Обновите несколько раз. • Откройте браузер и перейдите по адресу http://172.21.10.101/. • Обновите несколько раз. Ни один из тестов не будет отображать контент из svc_blue (нет баннеров сервера синего цвета). В зависимости от браузера вы можете видеть или не видеть чередование красного / зеленого на странице /home.php. 14. Просмотрите вывод заголовка в Live HTTP Headers. • Каждый ответ содержит настраиваемый заголовок Served-By, указывающий на исходный сервер. который обслуживает контент. • Убедитесь, что ни один из недавних запросов не содержит синего цвета, пока служба находится в DOWN. Примечание : « Served-на » заголовок был специальный заголовок , настроенный на красный, синий, зеленый веб серверы для лабораторных демонстрационных целей. 15. Просмотр статистики виртуального сервера: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите lb_vsrv_rbg . • Щелкните Статистика . • Просмотрите сводку связанных услуг внизу. Количество обращений за услугами увеличивается для svc_red и svc_green. На svc_blue не отправляется трафик, поэтому количество обращений не увеличивается пока монитор помечает сервис ВНИЗ . 75 Стр.76 CNS-218-3I Citrix ADC 12.x Essentials https://translate.googleusercontent.com/translate_f 57/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 16. Отключите монитор, чтобы восстановить доступ к svc_blue: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Выберите svc_blue и нажмите « Изменить» . • Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» . Это отобразит все привязанные мониторы. • Выберите mon_rbg_httpecv_bad и нажмите « Отменить привязку» . • Щелкните Да, затем щелкните Закрыть . • Щелкните Готово . 17. Привяжите HTTP-монитор к сервису Blue (чтобы он соответствовал сервису Red): • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Выберите svc_blue и нажмите « Изменить» . • Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» . • Щелкните Добавить привязку . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Выберите mon_rbg_http и нажмите Выбрать . • Щелкните « Привязать», затем щелкните « Закрыть» . • Щелкните Готово. 18. Привяжите HTTP-монитор к зеленой службе (чтобы согласованность с красной и синей службами): • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Выберите svc_green и нажмите « Изменить» . • Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» . • Щелкните Добавить привязку . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Выберите mon_rbg_http и нажмите Выбрать . • Щелкните « Привязать», затем щелкните « Закрыть» . • Щелкните Готово . 19. Сохраните конфигурацию Citrix ADC и подтвердите. Ключевые выводы: • Понять, как создавать сервер, службы и виртуальные серверы с балансировкой нагрузки. • Мониторы уровня 7, такие как HTTP и HTTP-ECV, почти всегда лучше подходят для использования. с веб-приложениями, чем мониторы TCP. • Методы балансировки нагрузки и постоянство зависят от приложения и элемента управления. • Просмотр результатов монитора полезен для выявления проблем со службами. • Графический интерфейс Citrix ADC предоставляет инструменты для просмотра свойств серверов, служб и виртуальных серверы, которые полезны для диагностики проблем и понимания Citrix Конфигурация АЦП. 76 Стр.77 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 5-2: DNS с балансировкой нагрузки (GUI) Введение: В этом упражнении вы научитесь балансировать нагрузку на DNS-серверы, создавая сервисные группы DNS, DNS. мониторы и виртуальный сервер балансировки нагрузки DNS (UDP). Вы будете использовать Citrix ADC Графический интерфейс служебной программы настройки для выполнения этого упражнения. О балансировке нагрузки DNS: Балансировка нагрузки DNS позволяет администраторам балансировать нагрузку DNS-запросов через несколько DNS. серверы. Метод балансировки нагрузки обычно циклический, и постоянство не требуется. А Монитор ping может использоваться для базового обнаружения активного состояния. Однако монитор Citrix ADC DNS позволяет администраторам определять доступность DNS-сервера на основе того, возвращает успешный результат. Монитор должен быть настроен на поиск разрешения имен для компонент, который всегда будет присутствовать и чей IP-адрес вряд ли изменится. https://translate.googleusercontent.com/translate_f 58/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Хотя это не показано в упражнении, когда Citrix ADC настроен как загрузка DNS балансировщик (также известный как DNS-прокси), Citrix ADC также будет кэшировать DNS-запросы. В этом упражнении настраивается балансировка нагрузки DNS с использованием протокола DNS, который поддерживает DNS. (UDP: 53) ответы меньше 512 байт. Citrix ADC также может поддерживать пакеты DNS (TCP: 53). с использованием протокола DNS_TCP, который поддерживает ответы размером более 512 байт. Нагрузка DNS балансировка может быть настроена как с виртуальным сервером DNS, так и с виртуальным сервером DNS_TCP в процессе производства таким же образом можно настроить веб-приложение для HTTP и HTTPS. DNS_TCP не продемонстрировано в этом упражнении. О группах услуг: Это упражнение также знакомит с использованием групп обслуживания. Службы представляют собой тип приложения, работающего на данном сервере; услуги определяются как IP-адрес и протокол назначения: порт, указывающий тип трафика в пункте назначения. В предыдущем В упражнении для HTTP был создан уникальный сервис для каждого сервера Red, Blue, Green. Каждая услуга хотя пришлось индивидуально настраивать сервисные настройки и мониторы. Сервисная группа позволяет управлять всеми настройками связанной группы сервисов сразу на уровень сервисной группы. Отдельные члены группы обслуживания определяют тип приложения и назначения трафика (IP: Протокол: Порт). Свойства и мониторы можно привязать один раз в уровень обслуживания группы, но применяется к каждому члену в группе. В этом упражнении вы будете выполнять следующие задачи: • Создайте сервисную группу для DNS. • Создайте виртуальный сервер балансировки нагрузки для DNS. 77 Стр.78 CNS-218-3I Citrix ADC 12.x Essentials • Проверить балансировку нагрузки DNS. • Настроить мониторы для балансировки нагрузки DNS. Создайте сервисную группу для DNS Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте группу обслуживания для DNS-серверов. Сервисная группа идентифицирует два домена контроллеры, использующие DNS в качестве членов сервисной группы: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» . • Щелкните Добавить . Откроется диалоговое окно « Группа служб балансировки нагрузки: основные параметры ». 3. Настройте основные параметры группы служб балансировки нагрузки: • Введите svcg_domain_dns в поле Имя . • Выберите DNS из раскрывающегося списка « Протокол» . • Щелкните ОК . 4. Привяжите участников к сервисной группе: • Щелкните Нет участника группы обслуживания . • Выберите IP-адрес . • Введите 192.168.30.11-12 в поле IP-адрес / Диапазон IP-адресов . • Введите 53 в поле Порт . • Щелкните " Создать", затем " ОК" . • Щелкните Готово . IP-адреса 192.168.30.11-12 - это IP-адреса двух контроллеров домена, на которых запущен DNS. услуги в лабораторной среде. Оба добавляются в сервисную группу в качестве участников по IP. адрес (вместо создания именованных серверов). 5. Нажмите « Обновить» и убедитесь, что группа служб svcg_domain_dns находится в рабочем состоянии (зеленый), указывая всех участников. находятся в состоянии UP . 6. Выберите svcg_domain_dns и нажмите « Управление участниками», чтобы просмотреть индивидуальный статус участника. https://translate.googleusercontent.com/translate_f 59/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 7. Щелкните Close . Создание виртуального сервера балансировки нагрузки для DNS Шаг 1. Действие Создайте виртуальный сервер балансировки нагрузки для DNS-серверов AD.workspacelab.com и AD02.workspacelab.com. Настройте балансировку нагрузки, используя метод циклического перебора. • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки . 78 Стр.79 CNS-218-3I Citrix ADC 12.x Essentials 2. Настройте основные параметры виртуального сервера балансировки нагрузки для виртуального сервера DNS. • Введите lb_vsrv_dns в поле « Имя» . • Выберите DNS из раскрывающегося списка « Протокол» . • Введите 172.21.10.102 в поле IP-адрес . • Убедитесь, что порт 53 . • Щелкните ОК . 3. Привяжите группу служб для служб DNS к виртуальному серверу балансировки нагрузки: • Щелкните Нет привязки группы служб виртуального сервера балансировки нагрузки . • Щелкните Щелкните, чтобы выбрать в разделе « Выбор имени группы служб» . • Выберите svcg_domain_dns и нажмите Выбрать . • Щелкните « Привязать» . • Щелкните Продолжить . Не закрывайте диалоговое окно свойств виртуального сервера балансировки нагрузки . 4. Настройте метод балансировки нагрузки: • Щелкните « Метод» в разделе «Дополнительные параметры» (правая панель). • Выберите ROUNDROBIN в раскрывающемся списке Метод балансировки нагрузки. • Нажмите « ОК» в разделе « Метод», чтобы применить настройки. 5. Щелкните Готово . Тестирование балансировки нагрузки DNS Шаг 1. Действие Откройте запрос CMD на рабочем столе HOST: найдите CMD, затем щелкните его, чтобы начать: Пуск> Командная строка . 2. Используйте nslookup для проверки разрешения DNS с помощью виртуального сервера балансировки нагрузки: nslookup NYC-WEB-RED.workspacelab.com 172.21.10.102 Убедитесь, что получен успешный ответ и разрешает NYC-WEB-RED.workspacelab.com IP-адрес 192.168.30.51. 3. Вернитесь в утилиту настройки Citrix ADC (http://192.168.10.103). 4. Просмотрите статистику балансировки нагрузки: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите lb_vsrv_dns и щелкните Статистика . • Убедитесь, что запросы DNS балансируются по нагрузке. Примечание . Возможно, вам придется быстро повторить команду nslookup 6-8 раз, чтобы сгенерировать данные для просмотра. на этом этапе. Запросы DNS очень короткие по продолжительности, а статистика быстро истекает. И вам нужно углубиться в членов группы обслуживания. Для достижения наилучших результатов расположите окна так, чтобы можно было повторять команды nslookup в CMD. Подсказка. Затем переключите фокус на экран «Статистика» в Citrix ADC Configuration Utility. Нажмите Refresh кнопка для обновления дисплея быстро. 79 Стр. 80 https://translate.googleusercontent.com/translate_f 60/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials CNS-218-3I Citrix ADC 12.x Essentials Настройка мониторов для балансировки нагрузки DNS Шаг 1. Действие Создайте DNS-монитор с балансировкой нагрузки: • Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы . • Щелкните Добавить . Откроется диалоговое окно « Создать монитор ». 2. Настройте тип монитора и стандартные параметры: • Введите mon_dns в поле Имя . • Выберите DNS из раскрывающегося списка Тип . Сохраните значения по умолчанию для основных параметров. Основные настройки приведены ниже: • Интервал : 5 сек. • Тайм-аут ответа : 2 секунды • Время простоя : 30 сек. • Повторных попыток : 3 • Успешных попыток : 1 • Включено 3. Настройте специальные параметры монитора: • Щелкните вкладку Основные параметры . • Введите NYC-WEB-RED.workspacelab.com в поле запроса . • Проверить адрес выбран в раскрывающемся списке Тип запроса . • Введите 192.168.30.51 в поле IP-адреса и нажмите «+», чтобы добавить его в настроенный список. • Щелкните " Создать" . Монитор DNS функционирует, определяя DNS-запрос, который должен выполнять монитор, и IP-адрес. адрес или адреса, которые должен возвращать DNS-сервер. Если ответа не получено, или возвращенный IP-адрес не соответствует списку возвращаемых значений в мониторе, зонд не работает. 4. Привяжите монитор к сервисной группе: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» . • Выберите svcg_domain_dns и нажмите « Изменить» . • Щелкните Мониторы в разделе « Дополнительные настройки» (правая панель). • В разделе « Мониторы» выберите « Нет группы служб для отслеживания привязки» . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Перейдите на страницу 2 списка. • Выберите mon_dns и нажмите Выбрать . • Щелкните « Привязать» . • Щелкните Готово . 5. Убедитесь в том, что группа обслуживания svcg_domain_dns остается UP после связывания нового монитора. 80 Стр. 81 CNS-218-3I Citrix ADC 12.x Essentials 6. Просмотр состояния монитора для членов группы обслуживания. Порядок действий немного отличается от автономных сервисов. • Выберите svcg_domain_dns в узле « Группы служб» и нажмите « Изменить» . • Щелкните « 2 члена группы обслуживания» в категории « Члены группы обслуживания» . • Выберите 192.168.30.11 в списке участников группы служб и щелкните Сведения о мониторе . • Закройте окно и нажмите Готово . Это суммирует количество отправленных зондов, общее количество неудачных зондов и статус последнего ответа для каждый член группы обслуживания. 7. Сохраните конфигурацию Citrix ADC и подтвердите. 8. Убедитесь, что балансировка нагрузки DNS по-прежнему работает после смены монитора: • Откройте запрос CMD на рабочем столе HOST: найдите CMD, затем щелкните его, чтобы начать: Пуск> Командная строка. 9. Используйте nslookup для проверки разрешения DNS с помощью виртуального сервера балансировки нагрузки: nslookup NYC-WEB-BLUE.workspacelab.com 172.21.10.102 https://translate.googleusercontent.com/translate_f 61/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Убедитесь, что получен успешный ответ и разрешает NYC-WEB-BLU.workspacelab.com как IP-адрес 192.168.30.52. 10. Используйте nslookup для проверки разрешения DNS с помощью виртуального сервера балансировки нагрузки: nslookup NYC-WEB-RED.workspacelab.com 172.21.10.102 Убедитесь, что получен успешный ответ и разрешает NYC-WEB-RED.workspacelab.com IP-адрес 192.168.30.51. Ключевые выводы: • Группы служб могут использоваться вместо отдельных служб при балансировке нагрузки. Все свойства, которые влияют на отдельные службы, могут управляться единовременно в группе обслуживания. уровень. Мониторы можно привязать один раз на уровне группы и использовать для всех участников Сервисы. • Просмотр свойств, статуса участников и результатов мониторинга в группах услуг незначительно отличается от просмотра деталей службы в графическом интерфейсе; однако все та же информация подарок. • Мониторы DNS используются для проверки успешного DNS-запроса и разрешения IP-адреса. В монитор должен быть настроен с DNS-именем и IP-адресом для объекта в среда, которая вряд ли будет часто меняться. • Балансировка нагрузки DNS требует создания серверов, служб или групп служб, а также загрузки балансировка виртуальных серверов, как и балансировка нагрузки HTTP. Процесс такой же, но детали, такие как методы балансировки нагрузки и постоянство, могут варьироваться в зависимости от применение. 81 год Стр.82 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 5-3: Балансировка нагрузки LDAP (GUI) Введение: В этом упражнении вы научитесь балансировать нагрузку на серверы аутентификации LDAP (контроллеры домена). путем создания сервисных групп LDAP, мониторов LDAP и виртуального сервера балансировки нагрузки LDAP. Вы будет использовать графический интерфейс программы настройки Citrix ADC для выполнения этого упражнения. О балансировке нагрузки LDAP: Балансировка нагрузки LDAP используется для обеспечения избыточности служб аутентификации. Это упражнение фокусируется на аутентификации LDAP с использованием контроллеров домена Microsoft Active Directory, но балансировку нагрузки аутентификации можно настроить для других служб аутентификации, таких как Радиус. Если контроллер домена отключен, запросы проверки подлинности могут быть направлены другому контроллер домена. Виртуальный сервер балансировки нагрузки LDAP будет использоваться в последующих упражнениях, когда внешний проверка подлинности интегрирована с проверкой подлинности системы Citrix ADC как часть делегированной конфигурация администрирования. В этом упражнении вы будете выполнять следующие задачи: • Создайте сервисную группу для LDAP. • Создайте виртуальный сервер балансировки нагрузки для LDAP. • Настроить мониторы для балансировки нагрузки LDAP. Создайте сервисную группу для LDAP Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. https://translate.googleusercontent.com/translate_f 62/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте группу служб для аутентификации LDAP, используя контроллеры домена в качестве службы. Участники группы: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» . • Щелкните Добавить . Откроется диалоговое окно « Группа служб балансировки нагрузки : основные параметры ». 82 Стр. 83 CNS-218-3I Citrix ADC 12.x Essentials 3. Настройте основные параметры группы служб балансировки нагрузки: • Введите svcg_domain_ldap в поле Имя . • Выберите TCP в раскрывающемся меню Протокол . • Щелкните ОК . 4. Привяжите участников к сервисной группе: • Щелкните Нет участников группы обслуживания . • Выберите IP-адрес . • Введите 192.168.30.11-12 в поле IP-адрес / Диапазон IP-адресов . • Введите 389 в поле Порт . • Щелкните " Создать", затем " ОК" . • Щелкните Готово . 5. Щелкните Обновить и убедитесь, что группа служб svcg_domain_ldap находится в состоянии UP (зеленый), что означает все участники находятся в состоянии UP. 6. Выберите svcg_domain_ldap и нажмите « Управление участниками», чтобы просмотреть индивидуальный статус участника. 7. Щелкните Close . Создайте виртуальный сервер балансировки нагрузки для LDAP Шаг 1. Действие Создайте виртуальный сервер балансировки нагрузки для серверов LDAP AD.workspacelab.com и AD02.workspacelab.com. Настройте балансировку нагрузки с помощью метода циклического перебора. • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки . 2. Настройте основные параметры виртуального сервера балансировки нагрузки: • Введите lb_vsrv_ldap в поле Имя . • Выберите TCP из раскрывающегося списка « Протокол» . • Введите 172.21.10.103 в поле IP-адрес . • Введите 389 в поле Порт . • Щелкните ОК . 3. Привяжите сервисную группу к виртуальному серверу балансировки нагрузки: • Щелкните Нет привязки группы служб виртуального сервера балансировки нагрузки . • Щелкните Щелкните, чтобы выбрать в разделе « Выбор имени группы служб» . • Выберите svcg_domain_ldap и нажмите Выбрать . • Щелкните « Привязать» . • Щелкните Продолжить . Не закрывайте диалоговое окно Виртуальный сервер балансировки нагрузки . 4. Настройте метод балансировки нагрузки: • Щелкните « Метод» в разделе « Дополнительные параметры» (правая панель). • Выберите ROUNDROBIN из раскрывающегося списка Метод балансировки нагрузки . • Нажмите « ОК» в разделе « Метод», чтобы применить настройки. 5. Щелкните Готово . 83 https://translate.googleusercontent.com/translate_f 63/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр. Решебника 84 CNS-218-3I Citrix ADC 12.x Essentials Настройка мониторов для балансировки нагрузки LDAP Шаг 1. Действие Создайте монитор LDAP с балансировкой нагрузки, чтобы убедиться, что службы аутентификации работают на целевой сервер LDAP: • Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы . • Щелкните Добавить . Откроется диалоговое окно « Создать монитор ». 2. Настройте тип монитора и стандартные параметры: • Введите mon_ldap в поле Имя . • Выберите LDAP в раскрывающемся списке Тип . Сохраните значения по умолчанию для стандартных параметров. Основные настройки приведены ниже: • Интервал : 5 сек. • Тайм-аут ответа : 2 секунды • Время простоя: 30 сек. • Повторных попыток: 3 • Успешных попыток: 1 • Включено 3. Настройте специальные параметры монитора: • Щелкните вкладку « Дополнительные параметры ». • Выберите nsldap.pl из раскрывающегося списка « Имя сценария» . • Введите dc = workspacelab, dc = com в поле Base DN . • Введите trainADUser@workspacelab.com в поле Bind DN . • Введите cn = Builtin в поле Filter . • Введите memberOf в поле Атрибут . • Введите Пароль1 в поле Пароль . • Щелкните " Создать" . Монитор выполняет аутентификацию LDAP, используя предоставленную учетную запись службы, чтобы проверить если сервер LDAP отвечает на запросы. Учетная запись должна существовать в каталоге LDAP. оказание услуг. Примечание . Этот монитор не сработает, если используемая учетная запись службы отключена или изменится пароль. Параметр filter используется для ограничения количества объектов, возвращаемых запросом монитора. Этот действие помогает избежать задержки ответа монитора в средах с большим количеством объекты служб каталогов. 84 Стр.85 CNS-218-3I Citrix ADC 12.x Essentials 4. Измените количество объектов монитора для отображения на странице в списке мониторов. • Нажмите « Обновить», чтобы обновить представление Citrix ADC. • Выберите 250 на страницу из раскрывающегося списка объектов на странице внизу панель. По умолчанию 25. • Это предпочтение сохранится. Примечание . Графический интерфейс Citrix ADC по умолчанию показывает только 25 мониторов на странице, и теперь это 26- е место. монитор в списке. Используйте параметр «следующая страница» или измените максимальное количество отображаемых на странице элементов на посмотреть остальную часть доступного монитора. Вы также можете использовать опцию поиска для фильтрации по мониторам начиная с mon_. Значение элементов на странице запоминается как предпочтение сайта (через файл cookie). и будет сохраняться между сеансами. 5. Привяжите монитор к сервисной группе: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» . • Выберите svcg_domain_ldap и нажмите « Изменить» . • Щелкните Мониторы в разделе « Дополнительные настройки» (правая панель). https://translate.googleusercontent.com/translate_f 64/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • В разделе « Мониторы» выберите « Нет группы служб для отслеживания привязки» . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Выберите mon_ldap и нажмите Выбрать . • Щелкните « Привязать» . • Щелкните Готово . 6. Убедитесь, что группа служб svcg_domain_ldap остается в рабочем состоянии после привязки нового монитора. Это подтверждает, что параметры аутентификации в мониторе работают правильно. В виртуальный сервер аутентификации будет протестирован в ходе следующих лабораторных упражнений. 7. Сохраните конфигурацию Citrix ADC и подтвердите. Ключевые выводы: • Citrix ADC не имеет предопределенного типа приложения для LDAP, поэтому настройка нагрузки балансировка виртуальных серверов и служб или групп служб, поскольку TCP: 389 будет работать для LDAP общение. • Пользовательский монитор LDAP может использоваться для проверки состояния UP серверов аутентификации. путем выполнения тестового запроса аутентификации. Учетная запись службы должна иметь как минимум разрешения пользователей домена для перечисления объектов в домене. Упражнение 5-4: Балансировка нагрузки баз данных MYSQL (GUI) 85 Стр.86 CNS-218-3I Citrix ADC 12.x Essentials Введение: В этом упражнении вы научитесь настраивать базовую балансировку нагрузки для серверов баз данных MYSQL. Конфигурация балансировки нагрузки в этом упражнении основана на базе данных только для чтения, в которой все запросы могут активно распределяться по обоим серверам баз данных. База данных балансировки нагрузки трафик также требует настройки учетной записи базы данных. Для мониторинга базы данных требуется настройка SQL-запросов. Вы будете использовать графический интерфейс программы настройки Citrix ADC для выполнения это упражнение. Упражнение начинается с настройки балансировки нагрузки «активный-активный» на двух серверах баз данных, аналогично другим упражнениям по балансировке нагрузки в этом модуле. Затем упражнение демонстрирует настройка конфигурации активной / пассивной балансировки нагрузки для серверов баз данных с помощью Пример основного виртуального сервера с резервным виртуальным сервером. В этом упражнении вы будете выполнять следующие задачи: • Создание объектов пользователя и сервера базы данных для MYSQL. • Создавать сервисы для MYSQL. • Создать виртуальный сервер балансировки нагрузки для MYSQL. • Протестируйте балансировку нагрузки MYSQL. • Настроить мониторы для балансировки нагрузки MYSQL. • Настроить балансировку нагрузки базы данных с помощью резервного виртуального сервера. Создать пользователя базы данных и объекты сервера для MYSQL Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: https://translate.googleusercontent.com/translate_f 65/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Имя пользователя: nsroot Пароль: nsroot 2. Создайте пользователя базы данных на Citrix ADC: • Перейдите в раздел Система> Администрирование пользователей> Пользователи базы данных . • Щелкните Добавить . Откроется диалоговое окно « Создать пользователя базы данных ». • Введите netscalerql в поле «Имя пользователя». • Введите netscaler в поле «Пароль» и «Подтвердите пароль». - → пароль как citrixadc? • Щелкните " Создать" . 86 Стр. 87 CNS-218-3I Citrix ADC 12.x Essentials 3. Создайте сервер для NYC-LMP-001: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» . • Щелкните Добавить . Откроется диалоговое окно « Создать сервер ». • Введите srv_NYC-LMP-001 в поле « Имя» . • Введите 192.168.30.61 в поле IP-адреса . • Снимите флажок Включить после создания, чтобы отключить сервер. • Щелкните " Создать" . ВАЖНО : Создавайте объекты сервера в отключенном состоянии до тех пор, пока не будут отключены службы с мониторами PING. настроен. Это позволяет избежать сценария, в котором зонд монитора TCP по умолчанию создает ошибка на серверах MYSQL, когда серверы видят только трехстороннее рукопожатие и обрабатывают зонд как ошибка подключения. Серверы будут включены после того, как мониторы будут правильно настроены. настроен. 4. Создайте сервер для NYC-LMP-002: • Щелкните Добавить . Откроется диалоговое окно « Создать сервер ». • Введите srv_NYC-LMP-002 в поле « Имя» . • Введите 192.168.30.62 в поле IP-адрес . • Снимите флажок Включить после создания, чтобы отключить сервер. • Щелкните " Создать" . 5. Убедитесь, что объекты сервера для NYC-LMP-001 и NYC-LMP-002 отключены. Если вы пропустили шаг по отключению серверов при их создании, отключите их сейчас, чтобы предотвратить проблемы с подключением позже. Серверы NYC-LMP-001 и NYC-LMP-002 можно перезапустить в Hyper-V. При необходимости, менеджер во время последующих упражнений. Чтобы отключить серверы: • Выберите srv_NYC-LMP-001 , srv_NYC-LMP-002 или оба в списке серверов . • Щелкните « Действие»> «Отключить» . Создать сервисы для MYSQL Шаг 1. Действие Создать сервис для NYC-LMP-001 (MySQL): • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Щелкните Добавить . Откроется диалоговое окно « Служба балансировки нагрузки: основные параметры ». • Введите svc_NYC-LMP-001 в поле « Имя службы» . • Выберите существующий сервер. • Выберите srv_NYC-LMP-001 (192.168.30.61) в меню « Сервер» . • Выберите MYSQL для протокола . • Выберите 3306 в качестве порта . • Щелкните OK, чтобы завершить основные настройки. Не закрывайте диалоговое окно свойств службы балансировки нагрузки . 87 https://translate.googleusercontent.com/translate_f 66/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр.88 CNS-218-3I Citrix ADC 12.x Essentials 2. Привяжите к сервису ping-монитор: • Щелкните 1 Служба для привязки монитора балансировки нагрузки . • Щелкните Добавить привязку . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Выберите ping из списка Monitors Name и нажмите Select . Не используйте ping-default. • Щелкните « Привязать», затем щелкните « Закрыть» . • Щелкните Готово . 3. Создать службу для NYC-LMP-002 (MySQL): • Щелкните Добавить . Нагрузки - основные настройки: Balancing Service открывает диалоговое окно. • Введите svc_NYC-LMP-002 в поле « Имя службы» . • Выберите существующий сервер. • Выберите srv_NYC-LMP-002 (192.168.30.62) в меню « Сервер» . • Выберите MYSQL для протокола . • Выберите 3306 в качестве порта . • Щелкните OK, чтобы завершить основные настройки. Не закрывайте диалоговое окно свойств службы балансировки нагрузки . 4. Привяжите к сервису ping-монитор: • Щелкните 1 Служба для привязки монитора балансировки нагрузки . • Щелкните Добавить привязку . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Выберите команду ping из списка мониторинга и нажмите Выбрать . Не используйте ping-default. • Щелкните « Привязать», затем щелкните « Закрыть» . • Щелкните Готово . 5. Включите объекты сервера для NYC-LMP-001 и NYC-LMP-002: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» . • Выберите как srv_NYC-LMP-001, так и srv_NYC-LMP-002 в списке серверов . • Щелкните Действие> Включить . • Щелкните Да, чтобы подтвердить. Теперь, когда монитор ping должен заменить монитор tcp_default, серверы могут быть включенным. 6. Подтвердите, что сервисы работают: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Убедитесь, что состояние svc_NYC-LMP-001 и svc_NYC-LMP-002 - UP . Создайте виртуальный сервер балансировки нагрузки для MYSQL Шаг 1. Действие Создайте vServer с балансировкой нагрузки, который будет связан с NYC-LMP-001 и NYC-LMP-002. серверы баз данных. Балансировка нагрузки служб с использованием метода балансировки нагрузки наименьшего количества подключений. • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Щелкните Добавить . Откроется диалоговое окно Виртуальный сервер балансировки нагрузки: основные параметры . 88 Стр.89 CNS-218-3I Citrix ADC 12.x Essentials 2. Настройте основные параметры виртуального сервера балансировки нагрузки: • Введите lb_vsrv_mysql в поле « Имя» . • Выберите MYSQL из раскрывающегося списка « Протокол» . • Введите 172.21.10.104 в поле IP-адрес . • Введите 3306 в поле Порт . • Щелкните ОК . 3. Привяжите службы к виртуальному серверу балансировки нагрузки: • Щелкните Без привязки службы виртуального сервера балансировки нагрузки . • Нажмите кнопку Нажмите , чтобы выбрать под Select Service . • Выберите svc_NYC-LMP-001 . • Выберите svc_NYC-LMP-002 . https://translate.googleusercontent.com/translate_f 67/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Щелкните Выбрать . • Щелкните « Привязать» . • Щелкните Продолжить . Не закрывайте диалоговое окно свойств виртуального сервера балансировки нагрузки . 4. Установите метод балансировки нагрузки: • Щелкните « Метод» в разделе « Дополнительные параметры» (правая панель). • Выберите LEASTCONNECTION из раскрывающегося списка Метод балансировки нагрузки . Это метод балансировки нагрузки по умолчанию, если он не настроен. • Нажмите « ОК» в разделе « Метод», чтобы применить настройки. 5. Щелкните Готово, чтобы закрыть диалоговое окно свойств виртуального сервера балансировки нагрузки для lb_vsrv_mysql. 6. Сохраните конфигурацию Citrix ADC и подтвердите. 89 Стр. 90 CNS-218-3I Citrix ADC 12.x Essentials Тестирование балансировки нагрузки MYSQL Шаг 1. Действие Тестирование балансировки нагрузки MySQL • Откройте HeidiSQL с помощью ярлыка на рабочем столе (если появится всплывающее окно для обновления HeidiSQL, нажмите Пропустить, чтобы продолжить упражнение ..) • Выберите MySQLTest на левой панели. • Щелкните " Открыть" . • HeidiSQL должен успешно подключиться к базе данных с помощью балансировки нагрузки. виртуальный сервер. Настройки подключения MySQLTest: (для справки) • MySQL (TCP / IP) • Имя хоста / IP : 172.21.10.104 (это VIP для lb_vsrv_mysql) • Пользователь : netscalerql. • Пароль : netscaler • Базы данных : imdb 2. Проверить подключение к базе данных: На панели подключения отобразится MySQLTest> imdb . Таблицы базы данных отображаются слева панель. • Выберите imdb на левой панели. Выберите вкладку « Запрос » на правой панели. • Введите следующий запрос на панели запросов, чтобы проверить соединение: выберите * из актеров, где актеры.last_name = "Tazova" • Нажмите кнопку « Воспроизвести» на панели задач (над панелью запроса). • Убедитесь, что запрос возвращает 1 запись для актера. Не закрывайте Heidi SQL и повторно используйте это соединение для последующих тестов. Вы воспроизведете этот запрос несколько раз раз. https://translate.googleusercontent.com/translate_f 68/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Настройка мониторов для балансировки нагрузки MySQL Шаг 1. Действие Создайте монитор MySQL с балансировкой нагрузки: • Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы . • Щелкните Добавить . Откроется диалоговое окно создания монитора. 2. Настройте тип монитора и стандартные параметры (которые теперь разделены на базовые и Расширенные параметры): • Введите mon_mysql в поле Имя . • Выберите MYSQL-ECV из раскрывающегося списка « Тип» (прокрутите ВВЕРХ, чтобы щелкнуть « Выбрать» ). Сохраните значения по умолчанию для стандартных параметров. • Интервал : 5 сек. • Тайм-аут ответа : 2 секунды • Время простоя : 30 сек. • Повторных попыток : 3 • Успешных попыток : 1 • Включено 90 Стр.91 CNS-218-3I Citrix ADC 12.x Essentials 3. Настроить специальные параметры монитора (теперь в разделе «Основные параметры» после выбора «Монитор»). Тип): • • Введите netscalerql в поле « Имя пользователя» . • Введите imdb в поле « База данных» . • Введите следующее выражение в поле « Выражение» (вы можете ввести вручную или использовать Редактор выражений для построения выражения): MYSQL.RES.ATLEAST_ROWS_COUNT (1) • Щелкните " Создать" . Примечание . Убедитесь, что выражение правильное, прежде чем переходить к следующему шагу. Выражение основано на синтаксисе политики по умолчанию Citrix ADC и используется для проверки того, что SQL запрос возвращает по крайней мере 1 строку как способ определить, что база данных работает. Политика синтаксис будет подробно объяснен позже. Выражение можно ввести вручную с помощью встроенного редактора, который будет предоставлять параметры синтаксиса каждый раз, когда вводится точка ("."). За более структурированный подход, щелкните Редактор выражений и создайте выражение с помощью выпадающего вниз списки. При правильном вводе окончательное выражение будет выглядеть так, как показано выше. Пояснение: Этот монитор будет выполнять запрос (Select * from users…) к базе данных (IMDB) и затем использует выражение (MYSQL.RES.ATLEAST_ROWS_COUNT (1)), чтобы определить, выполнен и вернул действительный ответ, который в данном случае представляет собой как минимум одну возвращенную строку. Однако в этой сборке параметр Query нельзя настроить в графическом интерфейсе, и он будет добавлен в следующий шаг. 4. ПРИМЕЧАНИЕ. Из-за ошибки графического интерфейса в сборке 12.1.49.23 поле параметра запроса не отображается. отображается для монитора MYSQL-ECV, это значение необходимо установить через интерфейс командной строки: Откройте Putty, получив доступ к значку PuTTY.exe на рабочем столе HOST и подключитесь к ADC_HA_MGMT (192.168.30.103) как nsroot / nsroot: Выполните следующую команду в интерфейсе командной строки, чтобы установить дополнительный параметр монитора для установки запроса Параметр: установить lb monitor mon_mysql mysql-ecv -sqlquery 'выбрать * из актеры, где актеры.last_name = "Тазова" ' Введите следующий запрос в поле Query : (Это тот же запрос, который использовался в тесте HeidiSQL, поэтому скопируйте запрос: выберите * из актеров, где актеры.last_name = "Tazova" https://translate.googleusercontent.com/translate_f 69/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 91 Стр.92 CNS-218-3I Citrix ADC 12.x Essentials 5. Привяжите монитор MYSQL и отключите монитор ping для службы NYC-LMP-002: • Выберите svc_NYC-LMP-002 и нажмите « Изменить» . • Щелкните 1 Привязка монитора балансировки нагрузки службы в разделе « Мониторы» . • Щелкните Добавить привязку . • Щелкните « Щелкните для выбора» в разделе « Выбор монитора» . • Выберите mon_mysql и нажмите Выбрать. • Щелкните « Привязать» . • Выберите ping , нажмите « Отменить привязку» и « Да» для подтверждения. • Щелкните Закрыть> Готово. 6. Тестирование балансировки нагрузки MySQL (тест 2) • Повторно подключитесь к MySQLTest и базе данных imdb , если еще не подключены. • Нажмите « Воспроизвести», чтобы повторить следующий запрос , при необходимости повторно введите его: выберите * из актеров, где актеры.last_name = "Tazova" • Убедитесь, что запрос возвращает 1 запись для актера. Настройка балансировки нагрузки базы данных с помощью резервного виртуального сервера Шаг 1. Действие Настройте балансировку нагрузки vServer lb_vsrv_mysql, чтобы он указывал на одну первичную базу данных (NYC-LMP001). • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите lb_vsrv_mysql и нажмите « Изменить» . • Щелкните 2 «Привязки служб виртуального сервера балансировки нагрузки» в разделе « Службы и службы». Группы. • Выберите svc_NYC-LMP-002 и нажмите « Отменить привязку» . • Щелкните Да . • Убедитесь, что svc_NYC-LMP-001 все еще привязан, и нажмите « Закрыть» . • Щелкните Готово . 2. Создайте новый виртуальный сервер балансировки нагрузки, указывающий на резервную базу данных (NYC-LMP-002). • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки . 3. Настройте основные параметры виртуального сервера балансировки нагрузки: • Введите lb_vsrv_mysql_backup в поле « Имя» . • Выберите MYSQL из раскрывающегося списка « Протокол» . • Выберите « Безадресный» в раскрывающемся списке Тип IP-адреса . • Щелкните ОК . Неадресуемый виртуальный сервер не имеет назначенного VIP или порта. Это внутренняя организация на Citrix ADC. 92 Стр.93 CNS-218-3I Citrix ADC 12.x Essentials 4. Привяжите службы к виртуальному серверу балансировки нагрузки: • Щелкните Без привязки службы виртуального сервера балансировки нагрузки . • Нажмите кнопку Нажмите , чтобы выбрать под Select Service . • Выберите svc_NYC-LMP-002 и нажмите « Выбрать» . • Щелкните « Привязать» . • Щелкните Продолжить . • Щелкните Готово . 5. Настройте lb_vsrv_mysql_backup в качестве резервного виртуального сервера для lb_vsrv_mysql (основного). https://translate.googleusercontent.com/translate_f 70/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Выберите lb_vsrv_mysql и нажмите « Изменить» . • Щелкните Защита в разделе « Дополнительные параметры» (правая панель). • Выберите lb_vsrv_mysql_backup из раскрывающегося списка Backup Virtual Server и нажмите ОК . • Щелкните Готово . 6. Отключите сервер NYC-LMP-001 для имитации сбоя: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» . • Выберите srv_NYC-LMP-001 и нажмите « Действие»> «Отключить» . • Щелкните ОК . 7. Проверьте состояние lb_vsrv_mysql и lb_vsrv_mysql_backup: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • lb_vsrv_mysql государство является DOWN , но эффективное государство является UP . • lb_vsrv_msyql_backup государства является UP и эффективное государство является UP . 8. Тестирование балансировки нагрузки MySQL (Тест 3) • Повторно подключитесь к MySQLTest и базе данных imdb , если еще не подключены. • Нажмите « Воспроизвести», чтобы повторить следующий запрос, при необходимости введите его повторно: выберите * из актеров, где актеры.last_name = "Tazova" • Убедитесь, что запрос возвращает 1 запись для актера. 9. Включите сервер svc_NYC-LMP-001: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» . • Выберите srv_NYC-LMP-001 и нажмите « Действие»> «Включить» . • Щелкните Да для подтверждения. 10. Сохраните конфигурацию Citrix ADC и подтвердите. 11. Закройте HeidiSQL. Если вы получили всплывающее окно для сохранения содержимого вкладки «Запрос *»? Щелкните Нет . Если нет, переходите к следующему шагу. Ключевые выводы: • Балансировка нагрузки базы данных позволяет мультиплексировать TCP-соединение для трафика базы данных, аналогичного TCP. мультиплексирование соединений для HTTP-трафика. • Для подключения к базам данных MYSQL (и MSSQL) требуется, чтобы Citrix ADC был настроен с действительным учетная запись базы данных. Даже если не используется конкретный монитор базы данных, Citrix ADC аутентифицируется на установить допустимое соединение для службы. Имена учетных записей пользователей базы данных и пароли оба регистра чувствительный. 93 Стр.94 CNS-218-3I Citrix ADC 12.x Essentials • Свойство резервного виртуального сервера виртуального сервера с балансировкой нагрузки вызывается, когда основной виртуальный сервер находится в состоянии DOWN, потому что службы недоступны. Настроенный резервный виртуальный сервер в UP может привести к тому, что основное рабочее состояние виртуального сервера останется в рабочем состоянии и обеспечит плавное переключение при отказе для трафик направляется на основной виртуальный сервер. https://translate.googleusercontent.com/translate_f 71/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 94 Стр.95 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 5-1: Балансировка нагрузки HTTP (CLI) Введение: В этом упражнении вы научитесь балансировать нагрузку HTTP-приложения, создавая серверы, службы, и виртуальные серверы с балансировкой нагрузки. Вы будете использовать интерфейс командной строки для выполнения это упражнение. В этом упражнении вы будете выполнять следующие задачи: • Настроить серверы, службы и виртуальные серверы балансировки нагрузки для HTTP. • Настроить и протестировать постоянство. • Настроить и протестировать мониторы для использования с балансировкой нагрузки HTTP. Упражнения по балансировке нагрузки для веб-приложений HTTP в этом модуле используются для продемонстрировать сущности и основные принципы балансировки нагрузки. О серверах: Серверные объекты в Citrix ADC используются для представления пунктов назначения трафика. Эти назначения определяются IP-адресом. Объекты сервера идентифицируют IP-адрес, на который Citrix ADC будет направлять трафик при балансировке нагрузки. Серверы могут быть созданы как именованные объекты на Citrix ADC, как это сделано в этом упражнении, или они могут быть созданы и названы по месту назначения Айпи адрес. На одном сервере может размещаться несколько приложений, поэтому его можно использовать с несколько услуг. Об услугах: Службы представляют собой приложение, работающее на сервере. Сервис - это способ для Citrix ADC для представления типа трафика с балансировкой нагрузки путем определения IP-адреса, порта и протокол трафика. Службу можно определить, указав на существующий именованный объект сервера. на Citrix ADC (для IP-адреса / назначения трафика) или сервис может быть определен предоставление IP-адреса. Виртуальные серверы Citrix ADC с балансировкой нагрузки распределяют трафик между Сервисы. Таким образом, сервисы воплощают концепцию типа трафика с балансировкой нагрузки. Различные типы трафика (протоколы), которые можно идентифицировать на Citrix ADC, используются для обеспечивают обработку трафика для конкретных приложений. В этом упражнении будет выполняться балансировка нагрузки HTTP. В следующих упражнениях мы рассмотрим LDAP, Типы трафика DNS и MYSQL. Каждая служба представляет собой уникальную комбинацию IP: Порт: Протокол. А данный сервер может использоваться для размещения нескольких приложений. Таким образом, разные сервисы могут быть создается для каждого приложения, что позволяет индивидуально балансировать нагрузку на сервисы. О виртуальных серверах с балансировкой нагрузки: https://translate.googleusercontent.com/translate_f 72/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 95 Стр.96 CNS-218-3I Citrix ADC 12.x Essentials Виртуальные серверы с балансировкой нагрузки - это виртуальные объекты, которые выполняют распределение трафика для сопутствующие услуги. Виртуальный сервер балансировки нагрузки - это объект на стороне клиента, который получает запросы от клиента. Виртуальные серверы с балансировкой нагрузки определяются виртуальным IP-адресом, протоколом и портом, которые получает исходные запросы. Указанный метод балансировки нагрузки и параметры сохраняемости определить, как трафик распределяется по доступным сервисам. Различная балансировка нагрузки методы и настройки подходят для разных приложений. Каждая виртуальная машина с балансировкой нагрузки server представляет собой уникальную комбинацию IP-адрес: порт. Несколько виртуальных серверов с балансировкой нагрузки могут использовать один и тот же IP-адрес, если они настроены на разных портах, что позволяет приложения (порты) должны быть сбалансированы по нагрузке независимо друг от друга. Сервисы привязаны к виртуальным серверам с балансировкой нагрузки. Citrix ADC действует наоборот прокси, виртуальный сервер балансировки нагрузки представляет соединение на стороне клиента и определяет точка входа для трафика, тип трафика и параметры подключения на стороне клиента. Виртуальная балансировка нагрузки Сервер также является механизмом распределения трафика. Используя методы балансировки нагрузки и постоянство, Виртуальный сервер балансировки нагрузки определяет, куда направляется трафик. Сервис представляет собой серверпобочное соединение между Citrix ADC и конечным сервером, выполняющим запрос. О мониторах балансировки нагрузки: Мониторы - это зонды или условия, которые Citrix ADC использует для определения того, находится ли служба в состоянии ВВЕРХ или ВНИ Мониторы привязаны к сервисам (не серверам). Поэтому многие мониторы являются прикладными. конкретный. Мониторы позволяют Citrix ADC выполнять интеллектуальную балансировку нагрузки и отправлять только трафик к службе, которая может выполнить запрос. При базовом мониторинге монитор привязан к сервис с установленным условием, которое должно быть выполнено, и детали, определяющие, как часто проверять, и другие Детали. Если зонд завершается успешно и условие выполняется, служба работает; если зонд выходит из строя, то служба ВЫКЛЮЧЕНА. При необходимости с мониторами можно использовать более сложные критерии. Это упражнение укрепит эти концепции с помощью конфигурации балансировки нагрузки HTTP. Другие затем упражнения будут применять эти концепции с дополнительными вариантами использования для конкретных приложений и передовые концепции балансировки нагрузки . Настройка серверов, служб и виртуальных серверов балансировки нагрузки для HTTP Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Включите функцию балансировки нагрузки: включить функцию ns LB 96 Стр.97 CNS-218-3I Citrix ADC 12.x Essentials 3. Создайте объекты сервера, представляющие каждый из целевых веб-серверов в среде: NYC-WEB-RED (192.168.30.51), NYC-WEB-BLU (192.168.30.52) и NYC-WEB-GRN (192.168.30.53) Создайте серверы для NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN: добавить сервер srv_red 192.168.30.51 https://translate.googleusercontent.com/translate_f 73/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials добавить сервер srv_blue 192.168.30.52 добавить сервер srv_green 192.168.30.53 4. Создавайте службы для веб-содержимого (HTTP) на NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN серверы. При создании служб используйте именованные серверные объекты, созданные в предыдущей задаче. Эти службы представляют собой тип трафика, для которого выполняется балансировка нагрузки. Создайте службы HTTP для NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN: добавить службу svc_red srv_red http 80 добавить службу svc_blue srv_blue http 80 добавить службу svc_green srv_green http 80 5. Настройте виртуальный сервер балансировки нагрузки для HTTP-трафика, который может распределять трафик по услуги для ресурсов NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN. Балансировка нагрузки с помощью циклический метод балансировки нагрузки. Создайте виртуальный сервер балансировки нагрузки: добавить lb vserver lb_vsrv_rbg HTTP 172.21.10.101 80 -lbMethod ROUNDROBIN Свяжите Услуги: привязать lb vserver lb_vsrv_rbg svc_red привязать lb vserver lb_vsrv_rbg svc_blue привязать lb vserver lb_vsrv_rbg svc_green 6. Тестовая конфигурация балансировки нагрузки: • Откройте браузер и найдите http://172.21.10.101/. • Обновите страницу пару раз и обратите внимание на результат. • В браузере найдите http://172.21.10.101/home.php. • Обновите страницу пару раз и обратите внимание на результат. Примечание . Попробуйте использовать Chrome в режиме инкогнито и обновите страницу, чтобы увидеть поведение без никакого кеширования. 7. Просмотрите статистику балансировки нагрузки: stat lb vserver stat lb vserver lb_vsrv_rbg Настроить и протестировать постоянство Шаг Действие 97 Стр.98 CNS-218-3I Citrix ADC 12.x Essentials 1. Включить постоянство: установить lb vserver lb_vsrv_rbg -persistenceType COOKIEINSERT -timeout 2 2. Тестовая конфигурация балансировки нагрузки: • Откройте браузер и найдите http://172.21.10.101/. • Обновите страницу несколько раз и обратите внимание на результат. • В браузере найдите http://172.21.10.101/home.php. • Обновите страницу несколько раз и обратите внимание на результат. В Firefox и Chrome в лаборатории установлены LiveHTTPHeaders, которые позволят вам просматривать заголовки, такие как Persistence Cookie, который устанавливается Citrix ADC (и Served by Header) В IE это плагин DisplayIEHeaders. 3. Просмотрите статистику балансировки нагрузки: stat lb vserver stat lb vserver lb_vsrv_rbg Обратите внимание, что при использовании постоянства налогом облагается только одна служба, а не все три. 4. Отключите постоянство на vServer с балансировкой нагрузки: установить lb vserver lb_vsrv_rbg -persistenceType NONE 5. Сохраните конфигурацию: сохранить конфигурацию ns Настройка и тестирование мониторов для использования с балансировкой нагрузки HTTP https://translate.googleusercontent.com/translate_f 74/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Шаг 1. Действие Создайте HTTP-монитор балансировки нагрузки для служб RBG: добавить lb monitor mon_rbg_http HTTP -respCode 200 -httpRequest "Head /" -LRTM DISABLED -interval 5 SEC -respTimeout 2 секунды -downTime 30 секунд-retries 3 Этот монитор проверяет, предоставляет ли веб-сервер ответ 200 OK для запрошенного содержимого. Это обеспечивает базовую проверку того, что веб-контент создается путем изучения ответа. код получен в шапке. 2. Создайте HTTP-ECV-монитор балансировки нагрузки для RBG Services: добавить lb monitor mon_rbg_httpecv HTTP-ECV -send "Get /home.php" -recv "serverinfo" -LRTM Disabled -interval 5 SEC -respTimeout 2 SEC -downTime 30 сек -повторяет 3 Этот монитор подтверждает, что в теле ответа генерируется определенное значение, обеспечивая более детальная проверка того, что веб-контент полностью генерируется. 98 Стр. 99 CNS-218-3I Citrix ADC 12.x Essentials 3. Создайте HTTP-ECV-монитор балансировки нагрузки для службы RBG, которая завершится ошибкой: добавить lb monitor mon_rbg_httpecv_bad HTTP-ECV -send "Get /home.php" -recv "badstring" -LRTM Disabled -interval 5 SEC -respTimeout 2 SEC -downTime 30 сек -повторяет 3 4. Привяжите HTTP-монитор к сервису Red: привязать службу svc_red -monitorName mon_rbg_http 5. Убедитесь, что служба Red продолжает работать после смены мониторов: показать сервис svc_red Проверьте состояние службы. Проверьте состояние монитора, отправленные зонды и сбой зондов. 6. Привяжите монитор HTTP-ECV к службе Blue: привязать службу svc_blue -monitorName mon_rbg_httpecv 7. • Убедитесь, что служба Blue продолжает работать после смены мониторов: показать сервис svc_blue • Проверьте состояние службы. • Проверьте состояние монитора, отправленные датчики и сбой датчиков. 8. • Откройте веб-браузер и найдите http://172.21.10.101/home.php. • Обновите страницу несколько раз и убедитесь, что вы видите контент со всех трех серверов: Красный, синий и зеленый. 9. Отключите монитор HTTP-ECV от службы Blue: отвязать службу svc_blue -monitorName mon_rbg_httpecv 10. Привяжите плохой монитор к сервису Blue: привязать службу svc_blue -monitorName mon_rbg_httpecv_bad 11. • Убедитесь, что синий сервис ВЫКЛЮЧЕН: показать сервис svc_blue • Проверьте состояние службы и состояние монитора, отправленные и неисправные зонды. Возможно, вам придется повторить команду несколько раз, поскольку начальные датчики не работают и монитор состояние сообщается как Неизвестное до того, как будет выполнено минимальное количество повторных попыток, и монитор не будет уценен вместе с услугой. 12. Просмотрите статистику виртуального сервера с балансировкой нагрузки: stat lb vserver lb_vsrv_rbg https://translate.googleusercontent.com/translate_f 75/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 99 Стр. 100 CNS-218-3I Citrix ADC 12.x Essentials 13. Открыть живые HTTP-заголовки: • В Firefox откройте заголовки Live HTTP: Инструменты> Заголовки Live HTTP . • Убедитесь, что на вкладке «Заголовки» включен захват . • Щелкните Очистить, чтобы при необходимости очистить окна захвата. Live HTTP-заголовки также можно запускать из Chrome: • Щелкните значок синего облака рядом с адресной строкой, чтобы открыть заголовки Live HTTP в вкладка браузера. • Убедитесь, что в выбранных параметрах вверху включен захват. • Самые последние объекты отображаются вверху. • Щелкните Очистить, чтобы при необходимости очистить окна захвата. Надстройки Live HTTP-заголовки будут использоваться с Firefox во время этого упражнения. Для удобства, Live HTTP-заголовки также добавляются в браузер Chrome в лабораторных условиях; однако лабораторные шаги не будут явно укажите эту конфигурацию. Для достижения наилучших результатов используйте один браузер для доступа к графическому интерфейсу Citrix ADC и внесения изменений в конфигурацию. и отдельный тип браузера для тестирования веб-страниц и просмотра информации заголовка. 14. Откройте веб-браузер и найдите: http://172.21.10.101/home.php. Обновите страницу несколько раз. Обратите внимание, что вы не видите контент с сервера Blue. Откройте веб-браузер и найдите: http://172.21.10.101/. Обновите страницу несколько раз. Обратите внимание, что вы не видите контент с сервера Blue. Ни один из тестов не будет отображать контент из svc_blue (нет баннеров сервера синего цвета). В зависимости от браузера вы можете видеть или не видеть чередование красного / зеленого на /home.php. страница. 15. Просмотрите вывод заголовка в Live HTTP Headers. • Каждый ответ содержит настраиваемый заголовок Served-By, указывающий на исходный сервер. • Убедитесь, что ни один из недавних запросов не содержит синего цвета, пока служба находится в DOWN. Примечание . Заголовок «Обслужено» был настраиваемым заголовком, настроенным для красного, синего и зеленого цветов. серверы для лабораторных демонстрационных целей. 16. Просмотрите статистику виртуального сервера с балансировкой нагрузки: stat lb vserver lb_vsrv_rbg Убедитесь, что и красный, и зеленый сервисы увеличили количество попаданий по сравнению с предыдущим показателем. команда. Убедитесь, что для службы Blue не записывается никаких дополнительных обращений, пока она находится в DOWN. 17. Отвяжите плохой монитор от сервиса Blue: отвязать службу svc_blue -monitorName mon_rbg_httpecv_bad 100 Стр.101 CNS-218-3I Citrix ADC 12.x Essentials 18. Обновите службы для синего и зеленого, чтобы использовать монитор HTTP (то же самое, что и красный): Привяжите mon_rbg_http к svc_blue: привязать службу svc_blue -monitorName mon_rbg_http https://translate.googleusercontent.com/translate_f 76/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Привяжите mon_rbg_http к svc_green: привязать службу svc_green -monitorName mon_rbg_http 19. Сохраните конфигурацию Citrix ADC. сохранить конфигурацию ns Ключевые выводы: • Балансировка нагрузки состоит из создания сервера, служб и виртуальных серверов с балансировкой нагрузки. • Мониторы уровня 7, такие как HTTP и HTTP-ECV, почти всегда лучше подходят для использования. с веб-приложениями, чем мониторы TCP. • Методы балансировки нагрузки и постоянство зависят от приложения и элемента управления. • Команды stat и show полезны для просмотра балансировки нагрузки, обслуживания и мониторинг статистики для проверки распределения трафика по сервисам. 101 Стр.102 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 5-2: DNS с балансировкой нагрузки (CLI) Введение: В этом упражнении вы научитесь балансировать нагрузку на DNS-серверы, создавая сервисные группы DNS, DNS. мониторы и виртуальный сервер балансировки нагрузки DNS (UDP). Вы будете использовать командную строку интерфейс для выполнения этого упражнения. О балансировке нагрузки DNS: Балансировка нагрузки DNS позволяет администраторам балансировать нагрузку DNS-запросов через несколько DNS. серверы. Метод балансировки нагрузки обычно циклический, и постоянство не требуется. А Монитор ping может использоваться для определения базового состояния UP. Однако монитор Citrix ADC DNS позволяет администраторам определять доступность DNS-сервера на основе того, возвращает успешный результат. Монитор должен быть настроен на поиск разрешения имен для компонент, который всегда будет присутствовать и чей IP-адрес вряд ли изменится. Хотя это не показано в упражнении, когда Citrix ADC настроен как загрузка DNS балансировщик (также известный как DNS-прокси), Citrix ADC также будет кэшировать DNS-запросы. В этом упражнении настраивается балансировка нагрузки DNS с использованием протокола DNS, который поддерживает DNS. https://translate.googleusercontent.com/translate_f 77/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials (UDP: 53) ответы меньше 512 байт. Citrix ADC также может поддерживать DNS. (TCP: 53) пакетов с использованием протокола DNS_TCP, который поддерживает ответы более 512 байтов размером. Балансировку нагрузки DNS можно настроить как с виртуальным сервером DNS, так и с DNS_TCP. в производстве почти так же, как веб-приложение может быть настроено для HTTP и HTTPS. DNS_TCP в этом упражнении не демонстрируется. О группах услуг: Это упражнение также знакомит с использованием групп обслуживания. Службы представляют собой тип приложения, работающего на данном сервере; услуги определяются как IP-адрес и протокол назначения: порт, указывающий тип трафика в пункте назначения. В предыдущем В упражнении для HTTP был создан уникальный сервис для каждого сервера Red, Blue, Green. Каждая услуга, однако необходимо было индивидуально настроить параметры службы и мониторы. Сервисная группа позволяет управлять всеми настройками связанной группы сервисов сразу на уровень сервисной группы. В то время как отдельные члены группы обслуживания определяют тип приложения и назначения трафика (IP: Протокол: Порт), мониторы можно привязать один раз к группе услуг уровень, но применимо к каждому члену в группе. Шаг Действие 102 Стр.103 CNS-218-3I Citrix ADC 12.x Essentials 1. Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте сервисную группу для контроллеров домена для DNS: • AD.workspacelab.com: 192.168.30.11 • AD02.workspacelab.com: 192.168.30.12 Группы служб могут ссылаться на существующие именованные серверные объекты или могут указывать на безымянные серверы посредством Айпи адрес. Для этого упражнения создайте сервисную группу, ссылаясь на серверы по IP-адресу. вместо имени объекта сервера. Создайте сервисную группу: добавить serviceGroup svcg_domain_dns DNS Привяжите направления трафика к сервисной группе: привязать serviceGroup svcg_domain_dns 192.168.30.11 53 привязать serviceGroup svcg_domain_dns 192.168.30.12 53 Альтернативный метод: привяжите несколько последовательных пунктов назначения трафика к группе услуг в одном шаг с использованием ранжированной нотации (для последовательных диапазонов IP-адресов): привязать serviceGroup svcg_domain_dns 192.168.30. [11-12] 53 3. Просмотр конфигурации сервисной группы: показать serviceGroup svcg_domain_dns Просмотреть команды настройки группы сервисов: показать ns runningconfig | grep svcg_domain_dns -i 4. Создайте vserver с балансировкой нагрузки для сервисной группы DNS: добавить lb vserver lb_vsrv_dns DNS 172.21.10.102 53 -lbMethod ROUNDROBIN Привязать сервисную группу: привязать lb vserver lb_vsrv_dns svcg_domain_dns 5. Тестовая балансировка нагрузки DNS: Откройте командную строку CMD на рабочем столе HOST. Используйте nslookup для проверки поиска DNS по DNS виртуальный сервер. Выполните следующую команду: nslookup NYC-WEB-RED.workspacelab.com 172.21.10.102 Предоставляя виртуальный сервер DNS виртуального сервера в запросе, nslookup направляет поиск по этот конкретный DNS-сервер, а не другой DNS-сервер, доступный для рабочего стола HOST. https://translate.googleusercontent.com/translate_f 78/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 6. Вернитесь к сеансу SSH для Citrix ADC. 103 Стр.104 CNS-218-3I Citrix ADC 12.x Essentials 7. Просмотрите статистику виртуального сервера DNS: показать lb vserver lb_vsrv_dns stat lb vserver lb_vsrv_dns 8. Создайте монитор DNS: Этот монитор выполняет поиск в DNS по отслеживаемым службам, используя значение в запросе. параметр и подтверждает, что ответ получен и что он соответствует результатам IP адресный параметр. Если ответа не получено или возвращенный IP-адрес не соответствует список возвращаемых значений в мониторе, зонд не работает. добавить lb monitor mon_dns DNS -query NYC-WEB-RED.workspacelab.com -queryType Address -IPAddress 192.168.30.51 -LRTM DISABLED -interval 5 SEC respTimeout 2 SEC -downTime 30 SEC - повторений 3 9. Привяжите Монитор к сервисной группе: привязать serviceGroup svcg_domain_dns -monitorName mon_dns 10. Просмотрите группу обслуживания и участников, чтобы убедиться, что монитор работает: показать serviceGroup svcg_domain_dns Обратите внимание, как монитор связан с каждым членом группы обслуживания. Кроме того, убедитесь, что оба члена службы DNS работают из-за монитора и не дают сбоев. 11. Тестовая балансировка нагрузки DNS: Откройте командную строку CMD на рабочем столе HOST. Используйте nslookup для проверки поиска DNS по DNS виртуальный сервер. Выполните следующую команду: nslookup NYC-WEB-BLUE.workspacelab.com 172.21.10.102 Указав в запросе VIP-адрес DNS vserver, nslookup направит поиск по этому адресу. конкретный DNS-сервер, а не другой DNS-сервер, доступный для рабочего стола HOST. 12. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns Ключевые выводы: • Группы служб могут использоваться вместо отдельных служб при балансировке нагрузки. Все свойства, которые влияют на отдельные службы, могут управляться единовременно в группе обслуживания. уровень. Мониторы можно привязать один раз на уровне группы и использовать для всех участников Сервисы. • Просмотр свойств, статуса участников и результатов мониторинга в группах обслуживания незначительно отличается от просмотра деталей службы в графическом интерфейсе; однако все та же информация подарок. 104 Стр.105 CNS-218-3I Citrix ADC 12.x Essentials • Мониторы DNS используются для проверки успешного DNS-запроса и разрешения IP-адреса. В https://translate.googleusercontent.com/translate_f 79/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials монитор должен быть настроен с DNS-именем и IP-адресом для объекта в среда, которая вряд ли будет часто меняться. • Балансировка нагрузки DNS требует создания серверов, служб или групп служб, а также загрузки балансировка виртуальных серверов, как и балансировка нагрузки HTTP. Процесс такой же, но детали, такие как методы балансировки нагрузки и постоянство, могут варьироваться в зависимости от применение. Упражнение 5-3: Балансировка нагрузки LDAP (CLI) 105 Стр.106 CNS-218-3I Citrix ADC 12.x Essentials Введение: В этом упражнении вы научитесь балансировать нагрузку на серверы аутентификации LDAP (контроллеры домена). путем создания сервисных групп LDAP, мониторов LDAP и виртуального сервера балансировки нагрузки LDAP. Вы будет использовать интерфейс командной строки для выполнения этого упражнения. О балансировке нагрузки LDAP: Балансировка нагрузки LDAP используется для обеспечения избыточности служб аутентификации. Это упражнение фокусируется на аутентификации LDAP с использованием контроллеров домена Microsoft Active Directory, но балансировку нагрузки аутентификации можно настроить для других служб аутентификации, таких как Радиус. Если контроллер домена отключен, запросы проверки подлинности могут быть направлены другому контроллер домена. Виртуальный сервер балансировки нагрузки LDAP будет использоваться в последующих упражнениях, когда внешний проверка подлинности интегрирована с проверкой подлинности системы Citrix ADC как часть делегированной конфигурация администрирования. В этом упражнении вы будете выполнять следующие задачи: https://translate.googleusercontent.com/translate_f 80/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Создайте сервисную группу для LDAP. • Создайте виртуальный сервер балансировки нагрузки для LDAP. • Настроить мониторы для балансировки нагрузки LDAP. Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте сервисную группу для контроллеров домена для аутентификации LDAP. Сервисная группа для Аутентификация LDAP отделена от сервисной группы для DNS, хотя они ссылаясь на те же места назначения сервера. Каждая группа услуг предназначена для отдельного приложения (сервер IP-адрес, протокол и порт). Создать группу обслуживания: добавить serviceGroup svcg_domain_ldap TCP Привязать члена сервисной группы (индивидуально): привязать serviceGroup svcg_domain_ldap 192.168.30.11 389 привязать serviceGroup svcg_domain_ldap 192.168.30.12 389 Или привяжите членов группы обслуживания (используя ранжированную нотацию): привязать serviceGroup svcg_domain_ldap 192.168.30. [11-12] 389 106 Стр.107 CNS-218-3I Citrix ADC 12.x Essentials 3. Просмотр конфигурации сервисной группы: показать serviceGroup svcg_domain_ldap Просмотреть команды настройки группы сервисов: показать ns runningConfig | grep svcg_domain_ldap 4. Создайте vserver балансировки нагрузки для сервисной группы LDAP: добавить lb vserver lb_vsrv_ldap TCP 172.21.10.103 389 -lbMethod ROUNDROBIN Привязать сервисную группу: привязать lb vserver lb_vsrv_ldap svcg_domain_ldap 5. Создайте монитор LDAP: добавить lb monitor mon_ldap LDAP -scriptName nsldap.pl -baseDN "dc = workspacelab, dc = com" -bindDN trainADUser@workspacelab.com -filter cn = Встроенный -attribute memberOf -password Password1 -LRTM ОТКЛЮЧЕН Этот монитор попытается подключиться к серверу аутентификации LDAP с помощью предоставленной службы. Счет. Учетная запись должна существовать в службе каталогов LDAP. ПРИМЕЧАНИЕ: этот монитор выйдет из строя, если используемая учетная запись службы отключена или пароль изменится. Параметр filter используется для ограничения количества объектов, возвращаемых запросом монитора, до избежать проблем с откликом монитора, который требуется слишком долго для возврата в средах с большим количество объектов справочной службы. Если не указано, значения по умолчанию: Интервал измерения : 5 сек. Тайм-аут ответа : 2 секунды Время простоя : 30 сек. Повторные попытки : будет использовано 3 попытки 6. Привяжите монитор LDAP к сервисной группе: привязать serviceGroup svcg_domain_ldap -monitorName mon_ldap 7. Просмотрите сервисную группу и участников, чтобы убедиться, что монитор работает: показать serviceGroup svcg_domain_ldap Аутентификация LDAP с помощью LDAP vServer будет продемонстрирована позже. 8. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns https://translate.googleusercontent.com/translate_f 81/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Выводы: • Citrix ADC не имеет предопределенного типа приложения для LDAP, поэтому настройка виртуального распределения нагрузки серверы и службы / группы служб как TCP: 389 будут работать для связи LDAP. 107 Стр.108 CNS-218-3I Citrix ADC 12.x Essentials • Настраиваемый монитор LDAP можно использовать для проверки состояния UP серверов аутентификации путем выполнения тестовый запрос аутентификации. Учетная запись службы должна иметь минимум разрешений пользователя домена, чтобы для перечисления объектов в домене. 108 Стр.109 CNS-218-3I Citrix ADC 12.x Essentials https://translate.googleusercontent.com/translate_f 82/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 5-4: Базы данных MYSQL с балансировкой нагрузки (CLI) Введение: В этом упражнении вы научитесь настраивать базовую балансировку нагрузки для серверов баз данных MYSQL. Балансировка нагрузки Конфигурация в этом упражнении основана на базе данных только для чтения, в которой все запросы могут активно распределяться на обоих серверах баз данных. Трафик базы данных балансировки нагрузки также требует настройки учетной записи базы данных. Для мониторинга базы данных требуется настройка SQL-запросов. Вы будете использовать интерфейс командной строки для выполнения это упражнение. Упражнение начинается с настройки балансировки нагрузки «активный-активный» на двух серверах баз данных, аналогично другим. упражнения по балансировке нагрузки в этом модуле. Затем в упражнении демонстрируется настройка активно-пассивной нагрузки. балансировка конфигурации для серверов баз данных с использованием основного виртуального сервера с примером резервного виртуального сервера. В этом упражнении вы будете выполнять следующие задачи: • Создайте пользователя базы данных, службы и виртуальный сервер балансировки нагрузки для MYSQL. • Настроить балансировку нагрузки базы данных с помощью резервного виртуального сервера. Создание пользователя базы данных, служб и виртуального сервера балансировки нагрузки для MYSQL Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте учетную запись SQL в качестве учетных данных пользователя БД на Citrix ADC: добавить пользователя db netscalerql -password netscaler 3. Создайте серверные объекты для серверов MySQL: • NYC-LMP-001: 192.168.30.61 добавить сервер srv_NYC-LMP-001 192.168.30.61 -state DISABLED • NYC-LMP-002: 192.168.30.62 добавить сервер srv_NYC-LMP-002 192.168.30.62 -state DISABLED ВАЖНО : Создавайте объекты сервера в отключенном состоянии до тех пор, пока не будут отключены службы с мониторами PING. настроен. Это позволяет избежать сценария, в котором зонд монитора TCP по умолчанию создает ошибка на серверах MYSQL, потому что серверы видят только трехстороннее рукопожатие и обрабатывают зонд как ошибка подключения. Серверы будут включены после того, как мониторы будут правильно настроены. настроен для служб. 109 Стр.110 CNS-218-3I Citrix ADC 12.x Essentials 4. Создайте службы для NYC-LMP-001 и NYC-LMP-002: добавить службу svc_NYC-LMP-001 srv_NYC-LMP-001 MYSQL 3306 добавить службу svc_NYC-LMP-002 srv_NYC-LMP-002 MYSQL 3306 Эти серверы работают под управлением MySQL, а не MSSQL. 5. Создайте vserver балансировки нагрузки для служб MySQL: добавить lb vserver lb_vsrv_mysql MYSQL 172.21.10.104 3306 -lbmethod наименьшее соединение Привяжите службы к vServer с балансировкой нагрузки: привязать lb vserver lb_vsrv_mysql svc_NYC-LMP-001 привязать lb vserver lb_vsrv_mysql svc_NYC-LMP-002 6. Привязать ping-мониторы к сервисам лампы: привязать службу svc_NYC-LMP-001 -monitorName ping привязать службу svc_NYC-LMP-002 -monitorName ping https://translate.googleusercontent.com/translate_f 83/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 7. Включите объекты сервера: включить сервер srv_NYC-LMP-001 включить сервер srv_NYC-LMP-002 Теперь, когда монитор ping должен заменить монитор tcp_default, серверы могут быть включенным. 8. Убедитесь, что службы работают: показать сервис svc_NYC-LMP-001 показать сервис svc_NYC-LMP-002 9. Проверьте балансировку нагрузки MySQL: • Откройте HeidiSQL с помощью ярлыка на рабочем столе. • Выберите MySQLTest на левой панели. • Щелкните " Открыть" . • HeidiSQL должен успешно подключиться к базе данных с помощью балансировки нагрузки. виртуальный сервер. Настройки подключения MySQLTest (для справки): • MySQL (TCP / IP) • Имя хоста / IP : 172.21.10.104 (это VIP для lb_vsrv_mysql) • Пользователь : netscalerql. • Пароль : netscaler • Базы данных : imdb 110 Стр. Решебника 111 CNS-218-3I Citrix ADC 12.x Essentials 10. Проверить подключение к базе данных: На панели подключения отобразится MySQL> imdb. Таблицы базы данных отображаются на левой панели. • Выберите imdb на левой панели. Выберите вкладку « Запрос » на правой панели. • Введите следующий запрос на панели запросов, чтобы проверить соединение: выберите * из актеров, где актеры.last_name = "Tazova" • Нажмите кнопку « Воспроизвести» на панели задач (над панелью запроса). • Убедитесь, что запрос возвращает 1 запись для актера. Не закрывайте Heidi SQL и повторно используйте это соединение для последующих тестов. Вы воспроизведете этот запрос несколько раз раз. 11. Верните SSH-соединение к NSMGMT SNIP (192.168.10.103). 12. Создайте монитор MySQL: добавить lb monitor mon_mysql_ecv MYSQL-ECV -userName netscilersql -lrTM disABLED -database imdb -sqlQuery 'выберите * из актеров, где акторы.last_name = "Tazova"' -evalRule "mysql.RES.ATLEAST_ROWS_COUNT (1)" 13. Привязать MYSQL Monitor к службам. Привязать монитор к сервису svc_NYC-LMP-001: привязать службу svc_NYC-LMP-001 -monitorName mon_mysql_ecv Привязать монитор к сервису svc_NYC-LMP-002: привязать службу svc_NYC-LMP-002 -monitorName mon_mysql_ecv 14. Отключить PING Monitor от сервисов. Привязать монитор к сервису svc_NYC-LMP-001: отвязать службу svc_NYC-LMP-001 -monitorName ping Привязать монитор к сервису svc_NYC-LMP-002: отвязать службу svc_NYC-LMP-002 -monitorName ping 15. Убедитесь, что монитор правильный: показать lb vserver lb_vsrv_mysql Убедитесь, что в списке служб работают обе службы. 16. Тестирование балансировки нагрузки MySQL (тест 2): • Повторно подключитесь к MySQLTest и базе данных imdb, если они еще не подключены. https://translate.googleusercontent.com/translate_f 84/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Щелкните Play, чтобы повторить следующий запрос. (При необходимости войдите повторно.) выберите * из актеров, где актеры.last_name = "Tazova" • Убедитесь, что запрос возвращает 1 запись для актера. 17. Вернитесь к сеансу SSH для NSMGMT SNIP (192.168.10.103). 18. Просмотреть статистику балансировки нагрузки: stat lb vserver lb_vsrv_mysql Настройка балансировки нагрузки базы данных с помощью резервного виртуального сервера 111 Стр.112 CNS-218-3I Citrix ADC 12.x Essentials Шаг 1. Действие Подключитесь к Citrix ADC HA Pair, используя NSMGMT SNIP (192.168.10.103), используя SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Отключите svc_NYC-LMP-002 от lb_vsrv_mysql: отвязать lb vserver lb_vsrv_mysql svc_NYC-LMP-002 Lb_vsrv_mysql теперь привязан к одной службе svc_NYC-LMP-001. 3. Создайте новый виртуальный сервер с балансировкой нагрузки в качестве резервного виртуального сервера для базы данных. подключение. добавить lb vserver lb_vsrv_mysql_backup mysql Это неадресный виртуальный сервер. VIP или ПОРТ не назначены. Это будет действовать как Citrix ADC. только для внутреннего использования. 4. Привяжите svc_NYC-LMP-002 к виртуальному серверу балансировки нагрузки в качестве резервной базы данных. привязать lb vserver lb_vsrv_mysql_backup svc_NYC-LMP-002 5. Проверьте конфигурацию виртуального сервера балансировки нагрузки: показать lb vserver lb_vsrv_mysql показать lb vserver lb_vsrv_mysql_backup Убедитесь, что каждая виртуальная служба имеет только одну привязку службы (svc_NYC-LMP-001 и svc_NYCLMP-002 соответственно). 6. Настройте резервный виртуальный сервер на lb_vsrv_mysql: установить lb vserver lb_vsrv_mysql -backupvServer lb_vsrv_mysql_backup 7. Тестирование балансировки нагрузки MySQL (Тест 3): • Повторно подключитесь к MySQLTest и базе данных imdb, если они еще не подключены. • Щелкните Play, чтобы повторить следующий запрос. (При необходимости войдите повторно.) выберите * из актеров, где актеры.last_name = "Tazova" • Убедитесь, что запрос возвращает 1 запись для актера. Повторите запрос несколько раз. 8. Проверить обращения к сервису: stat lb vserver lb_vsrv_mysql stat lb vserver lb_vsrv_mysql_backup Статистика для svc_NYC-LMP-001 сообщается на lb_vsrv_mysql. Статистика (совпадения) для svc_NYC-LMP-002 на lb_vsrv_mysql_backup. 9. Отключите сервер NYC-LMP-001 для имитации сбоя: отключить сервер srv_NYC-LMP-001 112 Стр.113 https://translate.googleusercontent.com/translate_f 85/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials CNS-218-3I Citrix ADC 12.x Essentials 10. Убедитесь, что виртуальный сервер балансировки нагрузки указывает: показать lb vserver lb_vsrv_mysql Убедитесь, что на lb_vsrv_mysql указано состояние DOWN, а эффективное состояние UP : показать lb vserver lb_vsrv_mysql_backup Убедитесь, что lb_vsrv_mysql_backup находится в состоянии UP. 11. Тестирование балансировки нагрузки MySQL (Тест 4): • Повторно подключитесь к MySQLTest и базе данных imdb , если еще не подключены. • Нажмите « Воспроизвести», чтобы повторить следующий запрос: (При необходимости введите заново.) выберите * из актеров, где актеры.last_name = "Tazova" • Убедитесь, что запрос возвращает 1 запись для актера. Этот тест был обработан svc_NYC-LMP-002 через lb_vsrv_mysql_backup. HeidiSQL подключение к 172.21.10.104 (lb_vsrv_mysql) даже не нужно было закрывать и повторно открывать. 12. Проверить обращения к сервису: stat lb vserver lb_vsrv_mysql stat lb vserver lb_vsrv_mysql_backup Статистика для svc_NYC-LMP-002 представлена на lb_vsrv_mysql_backup. Нет новой статистики (хитов) происходит для svc_NYC-LMP-001 на lb_vsrv_mysql. 13. Сохраните конфигурацию Citrix ADC сохранить конфигурацию ns Ключевые выводы: • Балансировка нагрузки базы данных позволяет мультиплексировать TCP-соединения для трафика базы данных. аналогично мультиплексированию TCP-соединения для HTTP-трафика. • Для подключения к базам данных MYSQL (и MSSQL) требуется настройка Citrix ADC. с действующей учетной записью в базе данных. Даже если не используется монитор для конкретной базы данных, Citrix ADC выполняет аутентификацию, чтобы установить действительное соединение для службы. Пользователь базы данных Имена учетных записей и пароли чувствительны к регистру. Свойство резервного виртуального сервера виртуального сервера с балансировкой нагрузки вызывается, когда первичный виртуальный сервер находится в ВЫКЛЮЧЕННОМ состоянии, поскольку службы недоступны. Настроенный резервный виртуальный сервер в состоянии UP может привести к изменению рабочего состояния основного виртуального сервера. оставаться в рабочем состоянии и обеспечивать плавное переключение при отказе для трафика, направленного на основной виртуальный серв 113 Стр. Решебника 114 CNS-218-3I Citrix ADC 12.x Essentials Модуль 6: Разгрузка SSL. Обзор: Компании ABC необходимо настроить доступ к веб-приложению через HTTPS. Ваша работа как администратор будет использовать инструменты сертификата Citrix ADC для создания исходного сертификата SSL. и закрытый ключ для нового веб-приложения. Настройте разгрузку SSL с использованием только внешнего SSL и затем обновите конфигурацию до сквозной конфигурации SSL. Наконец, настройте перенаправление для всего HTTP-трафика на виртуальный сервер HTTPS с помощью виртуального сервера балансировки нагрузки с URL перенаправления. После завершения этого лабораторного модуля вы сможете: https://translate.googleusercontent.com/translate_f 86/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Настраивать и управлять сертификатами SSL. • Настройте разгрузку SSL и сквозное шифрование с помощью виртуальных серверов с балансировкой нагрузки. • Настройте HTTP-запросы для перенаправления на HTTPS. Этот модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и интерфейс командной строки Citrix ADC: • Упражнение: настройка сертификатов SSL. • Упражнение: настройка разгрузки SSL • Упражнение: настройка сквозного шифрования • Упражнение: настройка перенаправления HTTP на HTTPS с использованием URL-адреса перенаправления. Прежде чем вы начнете: Приблизительное время для выполнения этой лабораторной работы: 30 минут. Виртуальные машины, необходимые для этого модуля Для модуля 6 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V. Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части модуль. • NYC-ADC-001 • NYC-ADC-002 • NYC-WEB-BLU • NYC-WEB-RED • NYC-WEB-GRN 114 Стр.115 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 6-1: Настройка сертификатов SSL (GUI) Введение: В этом упражнении вы научитесь использовать инструменты самозаверяющего сертификата Citrix ADC для создания SSL. ключи, запросы на подпись сертификатов и файлы сертификатов. Это упражнение также продемонстрирует, как создать объект сертификата SSL (пара сертификат-закрытый ключ), чтобы сделать сертификат доступным для использования в Citrix ADC. Для выполнения этого вы будете использовать графический интерфейс программы настройки Citrix ADC. упражнение. Все операции SSL будут выполняться, пока Citrix ADC находится в активной паре высокой доступности. В качестве в результате также будет продемонстрирована синхронизация файлов сертификатов и конфигураций SSL. В этом упражнении вы будете выполнять следующие задачи: • Создайте ключ RSA. • Создайте запрос на подпись сертификата. • Просмотр запроса на сертификат (для отправки в центр сертификации). • Создать сертификат. • Настройте пару сертификат-ключ. Создание ключа RSA Шаг 1. Действие Подключитесь к утилите настройки Citrix ADC HA Pair с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot https://translate.googleusercontent.com/translate_f 87/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 2. Создайте ключ RSA: • Перейдите в Управление трафиком> SSL . • Щелкните Мастер сертификатов сервера на панели SSL в разделе « Приступая к работе» . • Откроется диалоговое окно « Создать ключ ». 3. Выберите RSA. Введите colors.key в поле Key Filename . Примечание . Файл ключей RSA создается в каталоге / nsconfig / ssl / default, если путь не указан. Все имена файлов и пути в Citrix ADC чувствительны к регистру. Обязательно укажите имя, используемое в этот шаг в будущих задачах. 4. Введите 2048 в поле Размер ключа (биты) . 5. Выберите F4 из раскрывающегося списка Public Exponent Value . 6. Выберите PEM из раскрывающегося списка Key Format . 7. Выберите AES256 в качестве алгоритма кодирования PEM . 115 Стр.116 CNS-218-3I Citrix ADC 12.x Essentials 8. Введите Password1 в PEM идентификационной фразы и Confirm PEM PassPhrase поля. Примечание . Для лабораторных целей пароли и парольные фразы, используемые для большинства учетных записей, упрощены. к Password1. Всегда используйте надежные пароли и безопасные парольные фразы при защите доступа к Закрытые ключи SSL. 9. Щелкните " Создать" . Создание запроса на подпись сертификата Шаг 1. Действие Создайте запрос на подпись сертификата: • Откроется шаг 2 мастера создания запроса на выдачу сертификата (CSR) . Эта задача будет ссылаться на ключ RSA, сгенерированный в предыдущей задаче. 2. Введите параметры CSR: 3. Выберите закрытый ключ (colors.key) в поле имени файла ключа : • Введите colors.csr в поле « Имя файла запроса» . (Это выходной файл для этой задачи.) • Разверните « Обзор» и щелкните « Устройство» . • Выберите colors.key и нажмите « Открыть» . 4. Выберите PEM в разделе « Формат ключа» . 5. Введите Password1 в поле PEM Passphrase . 6. Выберите SHA256 в разделе " Метод дайджеста". 7. Заполните поля отличительного имени для запроса сертификата. Это указывает на Центр сертификации сведения о сертификате для выдачи: • Страна : США • Штат или провинция : Калифорния • Название организации : Обучение цветам • Общее название: colors.workspacelab.com 8. Введите Пароль1 в Пароль запроса (для CSR). 9. Щелкните " Создать" . Создание сертификата SSL Шаг 1. Действие Далее следует мастер создания сертификата . • Введите colors.cer в поле « Имя файла сертификата» . Это будет сертификат, созданный Citrix ADC в конце этой задачи. 2. 3. 4. • Выберите PEM в разделе « Формат сертификата» . • В поле Тип аудита должен быть указан Сервер. Поле имени файла запроса сертификата уже должно содержать colors.csr . Отображается полный путь к файлу: /nsconfig/ssl/colors.csr. 116 https://translate.googleusercontent.com/translate_f 88/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр.117 CNS-218-3I Citrix ADC 12.x Essentials 5. Выберите центр сертификации, выдающий сертификат. Это будет собственный корневой центр сертификации Citrix ADC. файл сертификата. • В разделе « Имя файла сертификата ЦС» нажмите « Выбрать файл» и выберите « Устройство» . • Выберите ns-root.cert и нажмите « Открыть» . 6. Выберите файл ключа центра сертификации для корневого центра сертификации Citrix ADC: • В разделе « Имя файла ключа CA» нажмите « Выбрать файл» и выберите « Устройство» . • Выберите ns-root.key и нажмите « Открыть» . • Проверьте PEM в формате имени файла ключа CA. • Оставьте кодовую фразу PEM <пустым> . 117 Стр. Решебника 118 CNS-218-3I Citrix ADC 12.x Essentials 7. Выберите последовательный файл центра сертификации для корневого центра сертификации Citrix ADC: • В разделе « Последовательное имя файла CA» нажмите « Выбрать файл» . • Выберите ns-root.srl и нажмите « Открыть» . См. Пример: https://translate.googleusercontent.com/translate_f 89/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Нажмите " Создать". 118 Стр. Решебника 119 CNS-218-3I Citrix ADC 12.x Essentials Создание пары сертификат-ключ Шаг 1. Действие Шаг 4 Установите мастер сертификатов . ПРИМЕЧАНИЕ. Откроется диалоговое окно «Установить сертификат». Это диалоговое окно можно использовать для создания ssl certkey объекты (пары сертификат-закрытый ключ) из файлов сертификатов и закрытых ключей, уже загруженных в Citrix ADC или его можно использовать для загрузки файлов с локальной рабочей станции в Citrix ADC. любой загруженные сертификаты и файлы ключей хранятся в каталоге / nsconfig / ssl /. Действия с сертификатом выполнение из графического интерфейса (и соответствующих команд CLI) автоматически запускает файл синхронизация с партнером Citrix ADC в паре высокой доступности. 2. • Введите colors.workspacelab.com в поле « Имя пары сертификат-ключ» . 3. • Введите Пароль1 в поле Пароль . Примечание . Если поле «Пароль *» не отображается, щелкните стрелку вниз под « Имя файла ключа» и выберите Appliance , кнопку colors.key и щелкните Открыть . 4. • Щелкните " Создать" . 5. • Щелкните Готово . 6. Синхронизируйте файлы HA: • Перейдите в Управление трафиком> SSL . • Щелкните Запустить сертификат SSL, синхронизация файла ключа для высокой доступности в разделе Инструменты на правой панели. • Проверять сертификаты и ключи SSL выбран. • Щелкните ОК . Явная синхронизация файлов сертификатов между Citrix ADC в паре высокой доступности помогает избежать ожидания следующее событие синхронизации. 7. Сохраните конфигурацию Citrix ADC и подтвердите. Просмотр запроса на сертификат (для отправки в центр сертификации) ДОПОЛНИТЕЛЬНО Шаг https://translate.googleusercontent.com/translate_f Действие 90/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 1. 2. 3. • Щелкните Управление сертификатами / ключами / CSR на панели SSL (в разделе « Инструменты» ). • Выберите файл colors.csr и нажмите « Просмотр» . Отображается запрос на подпись сертификата. Примечание . Утилиту настройки Citrix ADC можно использовать для просмотра, выгрузки или загрузки сертификатов. и CSR прямо из Citrix ADC. Просматривая CSR, вы можете скопировать содержимое запрос для вставки в форму запроса сертификата. CSR также можно загрузить с сайта Citrix. ADC для доставки в центр сертификации. В этом упражнении мы продолжим создание подписанного сертификата из встроенного SSL Citrix ADC. Инструменты в виде самозаверяющего сертификата. В производстве эту утилиту можно использовать для загрузки CSR в завершите процесс запроса сертификата с помощью ЦС домена или другого стороннего общедоступного ЦС в качестве соответствующий. • Щелкните Close, чтобы закрыть диалоговое окно CSR View File . 4. • Нажмите « Закрыть», чтобы закрыть панель « Управление сертификатами» . 119 Стр. Решебника 120 CNS-218-3I Citrix ADC 12.x Essentials Ключевые выводы: • Управление задачами сертификата SSL с помощью графического интерфейса Citrix ADC автоматически приведет к необходимые файлы сертификатов и настройки SSL распространяются или синхронизируются с вторичный Citrix ADC в паре высокой доступности. • При необходимости может быть запущена ручная синхронизация файлов для сертификатов и ключей SSL. • Citrix ADC содержит полный набор инструментов SSL для генерации RSA и DSA. закрытые ключи, запросы на подпись сертификатов и файлы сертификатов SSL. Эти инструменты могут быть используется для создания самозаверяющих сертификатов Citrix ADC или как часть сертификата процесс запроса с использованием доменных или сторонних центров сертификации. 120 https://translate.googleusercontent.com/translate_f 91/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр. Решебника 121 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 6-2: Настройка разгрузки SSL (GUI) Введение: В этом упражнении вы научитесь настраивать виртуальный сервер с балансировкой нагрузки для разгрузки SSL. (только интерфейс SSL). Для выполнения этого вы будете использовать графический интерфейс программы настройки Citrix ADC. упражнение. Во время конфигурации SSL Offload создается виртуальный сервер балансировки нагрузки типа SSL и привязаны к службам HTTP. Это позволит поддерживать связь между клиентом и Citrix ADC (VIP). зашифрованным, но оставит незашифрованную связь Citrix ADC (SNIP) с сервером. Citrix ADC является точкой завершения SSL для трафика и, как результат, расшифровывает и может затем проверьте или даже измените запросы. Citrix ADC может обеспечивать повышенную безопасность проверки и фильтрация трафика с использованием таких функций, как брандмауэр приложений, ответчик, перезапись, Переключение контента и фильтрация контента. Citrix ADC также может выполнять такие оптимизации, как сжатие и кеширование. Чтобы настроить разгрузку SSL, функция SSL должна быть включена и сертификат должен быть привязан к виртуальному серверу. Наконец, в упражнении показано, как отключить SSLv3 на уровне виртуального сервера, поскольку он включен. по умолчанию. Отключение SSLv3 - это рекомендация по безопасности, чтобы избежать связанных уязвимостей. с протоколом SSLv3. В этом упражнении вы будете выполнять следующие задачи: • Создайте виртуальный сервер балансировки нагрузки для SSL и привяжите его к службам HTTP. • Привяжите сертификат SSL к виртуальному серверу. • Протестируйте соединение SSL. Шаг 1. Действие Подключитесь к утилите настройки Citrix ADC HA Pair с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте виртуальный сервер балансировки нагрузки для разгрузки SSL (Frontend SSL; Backend HTTP). • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки . 121 Стр. Решебника 122 CNS-218-3I Citrix ADC 12.x Essentials 3. Настройте основные параметры виртуального сервера балансировки нагрузки: • Введите ssl_vsrv_rbg в поле Имя . • Выберите SSL в раскрывающемся списке « Протокол» . • Введите 172.21.10.105 в поле IP-адрес . • Введите 443 в поле Порт . • Щелкните ОК . Примечание . Этот виртуальный сервер SSL будет использоваться вместе с отдельным виртуальным сервером HTTP, чем lb_vsrv_rbg (172.21.10.105) в более поздних упражнениях. 4. Привяжите службы HTTP к виртуальному серверу балансировки нагрузки SSL: • Щелкните Без привязки службы виртуального сервера балансировки нагрузки . • Щелкните « Щелкните для выбора» в разделе « Выбор службы» . https://translate.googleusercontent.com/translate_f 92/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Выберите svc_red . • Выберите svc_blue . • Выберите svc_green . • Щелкните Выбрать . • Щелкните « Привязать» . • Щелкните Продолжить . 5. Привяжите сертификат SSL к vServer: • Щелкните Нет сертификата сервера в разделе Сертификаты . • Щелкните « Щелкните для выбора» и в разделе « Выбрать сертификат сервера» . • Выберите colors.workspacelab.com и нажмите Выбрать . • Щелкните « Привязать» . • Нажмите OK, если вы получите предупреждающее сообщение о том, что распространение команды не выполнено. вторичный. (См. Примечание ниже). • Щелкните Продолжить . Примечание . Если в паре высокой доступности не удается применить передачу команды от основного к дополнительному вторичной системе генерируется предупреждение. В результате Citrix ADC принудительно выполняет синхронизацию. чтобы убедиться, что произошла синхронизация файлов для каталога / nsconfig / ssl /, а затем полная рабочая конфигурация отправлена в партнерскую систему. В лаборатории это не означает проблема, поскольку процесс синхронизации по-прежнему обеспечивает репликацию команд. Если вы обеспокоены, убедитесь, что синхронизация завершилась успешно: Убедитесь, что SSL сертификаты находятся в каталоге / nsconfig / ssl на вторичном Citrix ADC. Убедитесь, что SSL certkey присутствует в конфигурации на вторичном Citrix ADC. Убедитесь, что сертификат привязан к виртуальному серверу балансировки нагрузки на вторичном Citrix ADC. ВАЖНО : Не прерывайте пару HA, если вы получаете ошибку распространения. Курс предполагает что NYC-ADC-001 и NYC-ADC-002 остаются в паре HA для остальных упражнений. Нарушение пара HA без соблюдения надлежащих процедур может привести к конфликтам IP-адресов и другим вопросы. 122 Стр. 123 CNS-218-3I Citrix ADC 12.x Essentials 6. Отключить SSLv3: • Щелкните Изменить рядом с параметрами SSL. • Снимите флажок SSLv3 . • Щелкните ОК . • Щелкните Готово, чтобы закрыть виртуальный сервер балансировки нагрузки виртуального сервера балансировки нагрузки. свойства. Убедитесь в том, что ssl_vsrv_rbg балансировки нагрузки виртуального сервера UP . 7. Сохраните конфигурацию Citrix ADC и подтвердите. 8. Тестовая разгрузка SSL: • Откройте веб-браузер и найдите https://172.21.10.105/home.php . Вы получите предупреждение о том, что сертификат не является надежным или что полное доменное имя не соответствует Сертификат. Скажите браузеру, что нужно все равно продолжить подключение. • В Chrome: нажмите « Дополнительно» и выберите «Все равно продолжить подключение» . • В Firefox: нажмите « Дополнительно» и выберите « Добавить исключение» . Обновите веб-сайт несколько раз. Выполняется балансировка нагрузки с красным, синим и зеленым содержимым. Связь между клиентом и Citrix ADC защищена через SSL. Citrix ADC-to-Server связь по-прежнему HTTP. Ключевые выводы: • Связь SSL может быть интегрирована с балансировкой нагрузки, переключением контента, SSLVPN, и виртуальные серверы управления трафиком на Citrix ADC. Процедуры привязки Сертификат SSL для виртуального сервера с балансировкой нагрузки можно использовать с другими виртуальными серверами. на Citrix ADC. • SSL Offload обеспечивает повышение производительности за счет того, что Citrix ADC обрабатывает все задачи шифрования и дешифрования на стороне клиента, оставляя на стороне сервера https://translate.googleusercontent.com/translate_f 93/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials коммуникация незашифрованная. Хотя это обеспечивает безопасность между клиентом и Citrix ADC, это может не подходить для всех типов трафика, если используется сквозное шифрование. требуется. • Сертификаты SSL и файлы закрытых ключей, связанные с активными объектами сертификатов, должны быть присутствует на вторичном Citrix ADC в паре HA. В противном случае в случае HA аварийного переключения, любые зависимые объекты SSL будут отключены, если требуемые сертификаты отсутствует. • SSlv3 представляет собой угрозу безопасности и может быть отключен на каждом виртуальном сервере. Нет глобального настройка отключения использования SSv3 . 123 Стр. Решебника 124 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 6-3: Настройка сквозного шифрования (GUI) Введение: В этом упражнении вы научитесь настраивать виртуальный сервер с балансировкой нагрузки для сквозного SSL. (внешний и внутренний SSL). Вы будете использовать графический интерфейс программы настройки Citrix ADC для выполнения это упражнение. В этом случае существующий виртуальный сервер SSL из предыдущего упражнения будет обновлен для использования SSL. сервисы на бэкэнде. Это позволит сохранить все коммуникации между клиентом и Citrix ADC (VIP) и Citrix. ADC (SNIP) - зашифрованный на сервере. Citrix ADC по-прежнему будет точкой завершения SSL, поэтому сертификат для трафика все еще требуется на Citrix ADC для виртуального сервера балансировки нагрузки. Хотя это не дает те же преимущества в производительности, что и SSL Offload, мультиплексирование TCP по-прежнему возможно. Сквозной SSL обеспечивает расширенную обработку трафика в Citrix ADC при сохранении сквозной безопасности. По-прежнему можно использовать такие функции, как брандмауэр приложений, ответчик, перезапись, сжатие и другие. то же, что и в сценарии разгрузки SSL. В этом упражнении вы будете выполнять следующие задачи: • Создайте сервисную группу SSL для веб-серверов Red, Blue, Green. • Обновите виртуальный сервер балансировки нагрузки для использования группы служб SSL. • Протестируйте виртуальный сервер с балансировкой нагрузки . Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте группу служб SSL для красного, синего и зеленого цветов: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» . • Щелкните Добавить . Откроется диалоговое окно « Группа служб балансировки нагрузки» . 3. Настройте основные параметры группы служб балансировки нагрузки: • Введите svcg_rbg_ssl в поле Имя . • Выберите SSL в раскрывающемся списке « Протокол» . • Щелкните ОК . https://translate.googleusercontent.com/translate_f 94/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 124 Стр. Решебника 125 CNS-218-3I Citrix ADC 12.x Essentials 4. Привяжите участников к сервисной группе: • Щелкните Нет участника группы обслуживания . • Выберите на основе сервера . (Именованные серверы для красного, синего и зеленого уже существуют.) • Щелкните « Щелкните для выбора» в разделе « Выбор сервера» . • Выберите srv_red , srv_blue , srv_green и нажмите Выбрать . • Введите 443 в поле Порт . • Щелкните " Создать", затем " ОК" . • Щелкните Готово . 5. Нажмите Refresh и убедитесь , что Service Group svcg_rbg_ssl является UP (зеленый), что указывает на все участники находятся в состоянии UP . 6. Обновите виртуальный сервер балансировки нагрузки ssl_vsrv_rbg, чтобы использовать группу служб SSL вместо HTTP-сервисы для сквозного шифрования SSL. • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите ssl_vsrv_rbg и нажмите Edit . Откроется диалоговое окно виртуального сервера балансировки нагрузки . 7. Отключите существующие HTTP-сервисы от ssl_vsrv_rbg: • Щелкните 3 Привязки службы виртуального сервера балансировки нагрузки в разделе Службы и службы. Группы. • Выберите svc_red , svc_blue и svc_green и нажмите « Отменить привязку» . • Щелкните Да, затем щелкните Закрыть . 8. Привяжите сервисную группу к виртуальному серверу балансировки нагрузки: • Щелкните Привязка группы служб виртуального сервера без балансировки нагрузки в разделе Службы и Группы услуг . • Щелкните Щелкните, чтобы выбрать в разделе « Выбор имени группы служб» . • Выберите svcg_rbg_ssl и нажмите Выбрать . • Щелкните « Привязать» . 9. • Щелкните Готово . Убедитесь, что состояние ssl_vsrv_rbg все еще в рабочем состоянии. 10. Сохраните конфигурацию Citrix ADC и подтвердите. 11. Протестируйте сквозную балансировку нагрузки SSL: • Откройте веб-браузер и найдите https://172.21.10.105/home.php . Обновите веб-сайт несколько раз. Выполняется балансировка нагрузки с красным, синим и зеленым содержимым. Теперь связь между клиентом и Citrix ADC и Citrix ADC с сервером защищена через SSL. Ключевые выводы: • Для сквозного SSL требуется настройка как виртуальных серверов с балансировкой нагрузки SSL, так и SSL. Сервисы. • Конфигурации сквозного SSL не обеспечивают такого же уровня повышения производительности, как Разгрузка SSL, так как внутренние серверы по-прежнему должны выполнять шифрование и дешифрование операции. Однако возможность поддерживать шифрование для всех точек связи для конфиденциального трафика смягчает любое влияние на производительность, связанное с SSL на бэкэнд-серверы. 125 Стр. Решебника 126 CNS-218-3I Citrix ADC 12.x Essentials • Citrix ADC по-прежнему можно использовать для выполнения функций оптимизации и фильтрации трафика на трафик, поскольку он по-прежнему является точкой завершения SSL. Такие функции, как брандмауэр приложений, перезапись, Можно использовать переключение контента, сжатие и другие. https://translate.googleusercontent.com/translate_f 95/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 126 Стр. 127 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 6-4: Настройка перенаправления HTTP на HTTPS с помощью URL-адрес перенаправления (GUI) Введение: В этом упражнении вы научитесь перенаправлять запросы, отправленные с HTTP, на HTTPS. Вы будете использовать Citrix Графический пользовательский интерфейс ADC Configuration Utility для выполнения этого упражнения. Виртуальный сервер с балансировкой нагрузки прослушивает определенную комбинацию IP: Port. Когда вы настроили виртуальный сервер балансировки нагрузки SSL (ssl_vsrv_rbg), текущая конфигурация виртуального сервера будет отвечать только на запросы, отправленные на HTTPS: 443. Если пользователь пытается подключиться к HTTP вместо HTTPS для этого веб-сайта, их запрос не будет выполнен. Чтобы решить эту проблему, вы создадите дополнительный виртуальный сервер балансировки нагрузки на HTTP: 80, который будет перенаправлять пользователей на HTTPS. В этом упражнении будет использоваться виртуальный сервер с балансировкой нагрузки DOWN по HTTP в качестве слушателя для перенапр трафик на HTTPS. В этом случае незашифрованные сообщения не принимаются, но пользователи, которые забывают включение https: // в URL-адрес не приведет к ошибочным соединениям. Свойство URL-адреса перенаправления виртуального сервера используется только тогда, когда виртуальный сервер находится в DOWN штат. В последующих упражнениях будет продемонстрирован альтернативный метод обработки перенаправления HTTP на HTTPS. В этом упражнении вы будете выполнять следующие задачи: • Создайте виртуальный сервер балансировки нагрузки для HTTP-трафика без привязанных служб. https://translate.googleusercontent.com/translate_f 96/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Настройте URL-адрес перенаправления. • Протестируйте перенаправление HTTP на HTTPS. Шаг 1. Действие Создайте новый виртуальный сервер балансировки нагрузки для HTTP-трафика, используя VIP: 172.21.10.105: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки . 2. Настройте основные параметры виртуального сервера балансировки нагрузки: • Введите lb_vsrv_rbg_sslredirect в поле Имя . • Выберите HTTP из раскрывающегося списка « Протокол» . • Введите 172.21.10.105 в поле IP- адрес . • Введите 80 в поле Порт . • Щелкните ОК . • Щелкните Продолжить . • Щелкните Готово . Этот виртуальный сервер не будет иметь связанных с ним служб, поэтому он останется в состоянии DOWN . 127 Стр. Решебника 128 CNS-218-3I Citrix ADC 12.x Essentials 3. Откройте веб-браузер и попробуйте найти http://172.21.10.105/home.php. Ожидаемый результат: запрос не будет выполнен. Время ожидания браузера истечет, если нет ответа от всервер. 4. Настройте URL-адрес перенаправления для отправки трафика на HTTPS: • Выберите lb_vsrv_rbg_sslredirect и нажмите « Изменить» . • Щелкните Защита в разделе « Дополнительные параметры», чтобы добавить категорию параметров защиты в левая панель. • Введите https://172.21.10.105/home.php в поле URL-адрес перенаправления . • Щелкните ОК . • Щелкните Готово . Примечание . Перенаправления на HTTPS должны выполняться с использованием полного доменного имени вместо IP-адреса, чтобы соединение будет соответствовать полному доменному имени сертификата SSL, что позволяет доверять перенаправлению на HTTPS. В данном упражнении это пропускается. https://translate.googleusercontent.com/translate_f 97/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 128 Стр. 129 CNS-218-3I Citrix ADC 12.x Essentials 5. Проверьте URL-адрес перенаправления. Откройте веб-браузер и проверьте следующие URL-адреса: • http://172.21.10.105/ • http://172.21.10.105/home.php • http://172.21.10.105/remote.php?a1=b1&a2=b2 Ожидаемый результат: все три тестовых URL будут перенаправлены на https://172.21.10.105/home.php. В путь перенаправления "/home.php" переопределяет пути, указанные в исходном HTTP-запросе. 129 Стр.130 CNS-218-3I Citrix ADC 12.x Essentials 6. Измените URL-адрес перенаправления, чтобы при перенаправлении сохранялись исходный путь и запрос запроса. параметры: • Выберите lb_vsrv_rbg_sslredirect и нажмите « Изменить» . • Щелкните значок « Изменить» (карандаш) рядом с полем «Защита», чтобы изменить настройки защиты. • Введите https://172.21.10.105 в URL-адрес перенаправления . • Щелкните ОК . • Щелкните ГОТОВО . https://translate.googleusercontent.com/translate_f 98/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials В этом примере важно, чтобы URL-адрес перенаправления содержал только протокол и серверную часть. URL-адреса. Не включайте элементы пути, включая конечную косую черту "/". 7. Протестируйте измененный URL-адрес перенаправления. Откройте веб-браузер и проверьте следующие URL-адреса: • http://172.21.10.105/ • http://172.21.10.105/home.php • http://172.21.10.105/remote.php?a1=b1&a2=b2 Ожидаемый результат: все ссылки успешно перенаправлены на HTTPS. На этот раз весь трафик перенаправляется на тот же путь и запрос, что и в исходном запросе на https://172.21.10.105/. 8. Сохраните конфигурацию Citrix ADC. Ключевые выводы: • URL-адреса перенаправления - это один из двух методов резервного копирования, связанных с виртуальными серверами. Перенаправит URL-адреса можно использовать только с виртуальными серверами типа HTTP и HTTPS. • URL-адрес перенаправления используется только в том случае, если состояние виртуального сервера и эффективное состояние - ВНИЗ. При использовании URL-адреса перенаправления для перенаправления HTTP на HTTPS виртуальный сервер HTTP в состоянии ВНИЗ. • В примере HTTP на HTTPS URL-адрес перенаправления должен быть настроен с абсолютный путь к https: // <FQDN>. При перенаправлении на HTTPS: // полностью квалифицированный доменное имя, которое может разрешить клиент, необходимо, чтобы клиент не делал ненадежное соединение с сервером, не совпадающим с полным доменным именем сертификата. • Если URL-адрес перенаправления настроен без части пути URL-адреса, перенаправление будет сохранить исходный путь и элементы запроса запроса в новом перенаправлении место назначения. 130 Стр.131 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 6-1: Настройка сертификатов SSL (CLI) Введение: В этом упражнении вы научитесь использовать инструменты самозаверяющего сертификата Citrix ADC для создания SSL. ключи, запросы на подпись сертификатов и файлы сертификатов. Это упражнение также продемонстрирует, как создать объект сертификата SSL (пара сертификат-закрытый ключ), чтобы сделать сертификат доступным для использования в Citrix ADC. Для выполнения этого упражнения вы будете использовать интерфейс командной строки. Все операции SSL будут выполняться, пока Citrix ADC находится в активной паре высокой доступности. В качестве в результате также будет продемонстрирована синхронизация файлов сертификатов и конфигураций SSL. В этом упражнении вы будете выполнять следующие задачи: • Создайте ключ RSA. • Создайте запрос на подпись сертификата. • Просмотр запроса на сертификат (для отправки в центр сертификации). • Создать сертификат. • Настройте пару сертификат-ключ. Создание закрытого ключа SSL, запроса на подпись сертификата и файлов сертификата https://translate.googleusercontent.com/translate_f 99/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте закрытый ключ RSA со следующими данными: • Имя файла : colors.key • Размер ключа : 2048 • Тип ключа : RSA • Алгоритм кодирования : AES256 создать ssl rsakey colors.key 2048 -exponent F4 -keyform PEM –aes256 -password Пароль1 3. Создайте запрос на подпись сертификата (CSR) со следующими данными: • Имя файла (вывод): colors.csr • Имя команды: colors.workspacelab.com создать ssl certReq colors.csr -keyFile colors.key -keyform PEM -PEMPassPhrase Password1 countryName US -stateName California -organizationName "Colors Training" -commonName colors.workspacelab.com -challengePassword Password1 131 Стр. Решебника 132 CNS-218-3I Citrix ADC 12.x Essentials 4. Используйте WinSCP для загрузки или просмотра запроса на сертификат. • Откройте WinSCP и подключитесь к 192.168.10.103. Войдите в систему как nsroot / nsroot. • На правой панели перейдите к / nsconfig / ssl . • Дважды щелкните файл colors.csr, чтобы открыть. • Нажмите CTRL + A, чтобы выделить все содержимое файла, и CTRL + C, чтобы скопировать содержимое. файла. • Закройте редактор. Если запрос на подпись сертификата необходимо отправить в отдельный центр сертификации, Вышеупомянутая процедура позволит вам скопировать и вставить содержимое CSR в запрос сертификата. форму (например, с интегрированными центрами сертификации Active Directory) или файл CSR можно загрузить и отправлено в соответствующий CA. 5. Создайте сертификат SSL с помощью встроенных в Citrix ADC инструментов сертификатов SSL: создать ssl cert colors.cer colors.csr SRVR_CERT -days 1825 -CACert ns-root.cert -CAKey ns-root.key -CASerial ns-root.srl При использовании сертификата create ssl (и других команд управления сертификатами), если путь не указан В зависимости от предоставленных закрытых ключей, CSR или файлов сертификатов предполагается, что путь по умолчанию / nsconfig / ssl /. Установка сертификата и настройка пары сертификат-ключ Шаг 1. Действие Просмотрите файлы сертификатов в Citrix ADC: оболочка cd / nsconfig / ssl / ls 2. Убедитесь, что были созданы следующие файлы: • colors.key • colors.csr • colors.cer 3. Выйдите из оболочки, чтобы вернуться в интерфейс командной строки: Выход 4. Создайте SSL Certkey (пара закрытый ключ-сертификат): добавить ssl certkey colors.workspacelab.com -cert colors.cer -key colors.key -password Пароль1 Примечание . Certkey - это объект CLI Citrix ADC, который действует как указатель на закрытый ключ и сертификат. в файловой системе. Сущности в Citrix ADC могут быть связаны с сертификатом, который, в свою очередь, ссылается на соответствующую пару закрытого ключа и сертификата. 5. Показать объект сертификата ssl: показать ssl certkey https://translate.googleusercontent.com/translate_f 100/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Ключевые выводы: 132 Стр. Решебника 133 CNS-218-3I Citrix ADC 12.x Essentials • Создание сертификатов SSL с помощью команд сертификата в интерфейсе командной строки (создать ssl rsakey, команды create ssl dsakey, create ssl certreq и create ssl cert) будут автоматически привести к распространению или синхронизации необходимых файлов сертификатов на вторичный Citrix ADC в паре высокой доступности. • Ручная загрузка сертификатов в каталог Citrix ADC / nsconfig / ssl с помощью SCP / SFTP не запускает автоматическую синхронизацию файлов, а вместо этого синхронизирует файлы ssl. команду может потребоваться запустить вручную, чтобы обеспечить синхронизацию Появляется узел / nsconfig / ssl. • Citrix ADC содержит полный набор инструментов SSL для генерации RSA и DSA. закрытые ключи, запросы на подпись сертификатов и файлы сертификатов SSL. Эти инструменты могут быть используется для создания самозаверяющих сертификатов Citrix ADC или как часть сертификата процесс запроса с использованием доменных или сторонних центров сертификации. В CLI используйте Команды "create ssl <object>" как оболочки для встроенных инструментов OpenSSL. 133 Стр. Решебника 134 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 6-2: Настройка разгрузки SSL (CLI) https://translate.googleusercontent.com/translate_f 101/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Введение: В этом упражнении вы научитесь настраивать виртуальный сервер с балансировкой нагрузки для разгрузки SSL. (только интерфейс SSL). Для выполнения этого упражнения вы будете использовать интерфейс командной строки. Во время конфигурации SSL Offload создается виртуальный сервер балансировки нагрузки типа SSL и привязаны к службам HTTP. Это позволит поддерживать связь между клиентом и Citrix ADC (VIP). зашифрованным, но оставит незашифрованную связь Citrix ADC (SNIP) с сервером. Citrix ADC - это конечная точка SSL для трафика, которая в результате расшифровывает и может затем проверьте или даже измените запросы. Citrix ADC может обеспечивать повышенную безопасность проверки и фильтрация трафика с использованием таких функций, как брандмауэр приложений, ответчик, перезапись, Переключение контента и фильтрация контента. Citrix ADC также может выполнять такие оптимизации, как сжатие и кеширование. Чтобы настроить разгрузку SSL, функция SSL должна быть включена и сертификат должен быть привязан к виртуальному серверу. Наконец, в упражнении показано, как отключить SSLv3 на уровне виртуального сервера, поскольку он включен. по умолчанию. Отключение SSLv3 - это рекомендация по безопасности, чтобы избежать связанных уязвимостей. с протоколом SSLv3. В этом упражнении вы будете выполнять следующие задачи: • Создайте виртуальный сервер балансировки нагрузки для SSL и привяжите его к службам HTTP. • Привяжите сертификат SSL к виртуальному серверу. • Протестируйте соединение SSL . Шаг 1. Действие Создайте виртуальный сервер балансировки нагрузки для разгрузки SSL (только интерфейс SSL): добавить lb vserver ssl_vsrv_rbg SSL 172.21.10.105 443 2. Привяжите HTTP-сервисы для красного, синего, зеленого к виртуальному серверу балансировки нагрузки: привязать lb vserver ssl_vsrv_rbg svc_red привязать lb vserver ssl_vsrv_rbg svc_blue привязать lb vserver ssl_vsrv_rbg svc_green 3. Привяжите сертификат SSL к vServer: привязать ssl vserver ssl_vsrv_rbg -certkeyName colors.workspacelab.com 134 Стр. Решебника 135 CNS-218-3I Citrix ADC 12.x Essentials 4. Проверьте состояние vServer: показать lb vserver ssl_vsrv_rbg показать ssl vserver ssl_vsrv_rbg Команда виртуального сервера балансировки нагрузки показывает все параметры балансировки нагрузки: UP или DOWN состояние, метод балансировки нагрузки и постоянство, а также связанные службы. Команда ssl vServer показывает все настройки, связанные с конфигурацией SSL: комплекты шифров, Протоколы SSL и привязанные сертификаты. 5. Отключите SSLv3 на vServer: установить ssl vServer ssl_vsrv_rbg -ssl3 disabled SSLv3 включен по умолчанию. Из-за уязвимости в системе безопасности его следует отключить. Увидеть http://support.citrix.com/article/CTX200238 6. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 7. Тестовая разгрузка SSL: • Откройте веб-браузер и найдите https://172.21.10.105/home.php. Вы получите предупреждение о том, что сертификат не является надежным или что полное доменное имя не соответствует Сертификат. Скажите браузеру, что нужно все равно продолжить подключение. https://translate.googleusercontent.com/translate_f 102/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • В Chrome: нажмите « Дополнительно» и выберите «Все равно продолжить подключение» . • В Firefox: нажмите « Дополнительно» и выберите « Добавить исключение»> «Подтвердить исключение безопасности» . Обновите веб-сайт несколько раз. Связь между клиентом и Citrix ADC защищена через SSL. Обмен данными между Citrix ADC и сервером по-прежнему осуществляется по протоколу HTTP. Ключевые выводы: • Связь SSL может быть интегрирована с балансировкой нагрузки, переключением контента, SSLVPN, и виртуальные серверы управления трафиком на Citrix ADC. Процедуры привязки Сертификат SSL для виртуального сервера с балансировкой нагрузки можно использовать с другими виртуальными серверами. на Citrix ADC. • SSL Offload обеспечивает повышение производительности, позволяя Citrix ADC обрабатывать все задачи шифрования и дешифрования на стороне клиента, при этом оставаясь на стороне сервера коммуникация незашифрованная. Хотя это обеспечивает безопасность между клиентом и Citrix ADC, это может не подходить для всех типов трафика, если используется сквозное шифрование. требуется. • Сертификаты SSL и файлы закрытых ключей, связанные с активными объектами сертификатов, должны быть присутствует на вторичном Citrix ADC в паре HA. В противном случае в случае HA аварийного переключения, любые зависимые объекты SSL будут отключены, если требуемые сертификаты отсутствует. 135 Стр.136 CNS-218-3I Citrix ADC 12.x Essentials • SSlv3 представляет собой угрозу безопасности и может быть отключен на каждом виртуальном сервере. Нет глобального настройка отключения использования SSv3. https://translate.googleusercontent.com/translate_f 103/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 136 Стр.137 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 6-3: Настройка сквозного шифрования (CLI) Введение: В этом упражнении вы научитесь настраивать виртуальный сервер с балансировкой нагрузки для сквозного SSL. (внешний и внутренний SSL). Для выполнения этого упражнения вы будете использовать интерфейс командной строки. В этом случае существующий виртуальный сервер SSL из предыдущего упражнения будет обновлен для использования SSL. сервисы на бэкэнде. Это позволит сохранить все коммуникации между клиентом и Citrix ADC (VIP) и Citrix. ADC (SNIP) - к серверу для шифрования. Citrix ADC по-прежнему будет точкой завершения SSL, поэтому сертификат для трафика все еще требуется на Citrix ADC для виртуального сервера балансировки нагрузки. Хотя это не дает те же преимущества в производительности, что и SSL Offload, мультиплексирование TCP по-прежнему возможно. Сквозной SSL обеспечивает расширенную обработку трафика в Citrix ADC при сохранении сквозной безопасности. Такие функции, как брандмауэр приложений, ответчик, перезапись, сжатие и другие, по-прежнему могут использоваться, так же, как и в сценарии разгрузки SSL. В этом упражнении вы будете выполнять следующие задачи: • Создайте сервисную группу SSL для красного, синего и зеленого веб-серверов. • Обновите виртуальный сервер балансировки нагрузки для использования группы служб SSL. • Протестируйте виртуальный сервер с балансировкой нагрузки. Шаг 1. Действие Создайте группу обслуживания SSL (443) для красного, синего, зеленого: добавить serviceGroup svcg_rbg_ssl SSL Привяжите пункты назначения трафика к группе услуг (используя существующие именованные объекты сервера): привязать serviceGroup svcg_rbg_ssl srv_red 443 привязать serviceGroup svcg_rbg_ssl srv_blue 443 привязать serviceGroup svcg_rbg_ssl srv_green 443 2. Проверьте конфигурацию сервисной группы: показать serviceGroup svcg_rbg_ssl Убедитесь, что все участники находятся в состоянии UP. 137 Стр. Решебника 138 CNS-218-3I Citrix ADC 12.x Essentials 3. Отключите HTTP-сервисы от ssl_vsrv_rbg: https://translate.googleusercontent.com/translate_f 104/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials отвязать lb vserver ssl_vsrv_rbg svc_red отвязать lb vserver ssl_vsrv_rbg svc_blue отвязать lb vserver ssl_vsrv_rbg svc_green 4. Привяжите сервисную группу SSL к ssl_vsrv_rbg, включив сквозное шифрование: привязать lb vserver ssl_vsrv_rbg svcg_rbg_ssl 5. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 6. Протестируйте сквозную балансировку нагрузки SSL: • Откройте веб-браузер и найдите https://172.21.10.105/home.php. Обновите веб-сайт несколько раз. Теперь как связь между клиентом и Citrix ADC, так и Обмен данными между Citrix ADC и сервером осуществляется через SSL. Ключевые выводы: • Для сквозного SSL требуется настройка как виртуальных серверов с балансировкой нагрузки SSL, так и SSL. Сервисы. • Конфигурации сквозного SSL не обеспечивают такого же уровня повышения производительности, как Разгрузка SSL, так как внутренние серверы по-прежнему должны выполнять шифрование и дешифрование операции. Однако возможность поддерживать шифрование для всех точек связи для конфиденциального трафика смягчает любое влияние на производительность, связанное с SSL на бэкэнд-серверы. • Citrix ADC по-прежнему можно использовать для выполнения функций оптимизации и фильтрации трафика на трафик, поскольку он по-прежнему является точкой завершения SSL. Такие функции, как брандмауэр приложений, перезапись, Можно использовать переключение контента, сжатие и другие. 138 Стр.139 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 6-4: Настройка перенаправления HTTP на HTTPS с помощью URL перенаправления (CLI) Введение: В этом упражнении вы научитесь перенаправлять запросы, отправленные с HTTP, на HTTPS. Вы будете использовать интерфейс командной строки для выполнения этого упражнения. Виртуальный сервер с балансировкой нагрузки прослушивает определенную комбинацию IP: Port. Когда вы настроили виртуальный сервер балансировки нагрузки SSL (ssl_vsrv_rbg), текущая конфигурация виртуального сервера будет отвечать только на запросы, отправленные на HTTPS: 443. Если пользователь пытается подключиться к HTTP вместо HTTPS для этого веб-сайта, запрос пользователя завершится ошибкой. Чтобы решить эту проблему, вы создадите дополнительный виртуальный сервер балансировки нагрузки на HTTP: 80, который будет перенаправлять пользователей на HTTPS. В этом упражнении будет использоваться виртуальный сервер с балансировкой нагрузки DOWN по HTTP в качестве слушателя для перенапр трафик на HTTPS. В этом случае незашифрованные сообщения не принимаются, но пользователи, которые забывают включение https: // в URL-адрес не приведет к ошибочным соединениям. https://translate.googleusercontent.com/translate_f 105/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Свойство URL-адреса перенаправления виртуального сервера используется только тогда, когда виртуальный сервер находится в DOWN штат. В последующих упражнениях будет продемонстрирован альтернативный метод обработки перенаправления HTTP на HTTPS. В этом упражнении вы будете выполнять следующие задачи: • Создайте виртуальный сервер с балансировкой нагрузки для HTTP-трафика без привязанных служб. • Настройте URL-адрес перенаправления. • Протестируйте перенаправление HTTP на HTTPS. Шаг 1. Действие Создайте новый виртуальный сервер балансировки нагрузки для HTTP-трафика, используя VIP 172.21.10.105: добавить lb vserver lb_vsrv_rbg_sslredirect HTTP 172.21.10.105 80 Этот виртуальный сервер не будет иметь связанных с ним служб, поэтому он останется в состоянии DOWN. 2. Откройте веб-браузер и попробуйте найти http://172.21.10.105/. Ожидаемый результат: запрос не будет выполнен. Время ожидания браузера истечет, если нет ответа от виртуальный сервер. 3. Настройте URL-адрес перенаправления для отправки трафика на HTTPS: установить lb vserver lb_vsrv_rbg_sslredirect -redirectUrl "https://172.21.10.105/home.php" URL-адрес перенаправления позволит этому vServer при DOWN перенаправлять трафик на альтернативный URL-адрес в качестве вариант резервного копирования. 139 Стр. Решебника 140 CNS-218-3I Citrix ADC 12.x Essentials 4. Проверьте URL-адрес перенаправления. Откройте веб-браузер и проверьте следующие URL-адреса: • http://172.21.10.105/ • http://172.21.10.105/home.php • http://172.21.10.105/remote.php?a1=b1&a2=b2 Ожидаемый результат: все три тестовых URL будут перенаправлены на https://172.21.10.105/home.php. В путь перенаправления "/home.php" переопределяет пути, указанные в исходном HTTP-запросе. 5. Измените URL-адрес перенаправления, чтобы при перенаправлении сохранялись исходный путь и запрос запроса. параметры: установить lb vserver lb_vsrv_rbg_sslredirect -redirectUrl "https://172.21.10.105" В этом примере важно, чтобы URL-адрес перенаправления содержал только протокол и сервер. часть URL-адреса. Не включайте элементы пути, включая конечную косую черту "/". 6. Протестируйте измененный URL-адрес перенаправления. Откройте веб-браузер и проверьте следующие URL-адреса: • http://172.21.10.105/ • http://172.21.10.105/home.php • http://172.21.10.105/remote.php?a1=b1&a2=b2 Ожидаемый результат: все ссылки успешно перенаправлены на HTTPS. На этот раз весь трафик перенаправлен по тому же пути и запросу, что и в исходном запросе на https://172.21.10.105/. 7. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns Ключевые выводы: • URL-адреса перенаправления - это один из двух методов резервного копирования, связанных с виртуальными серверами. Перенаправит URL-адреса можно использовать только с виртуальными серверами типа HTTP и HTTPS. • URL-адрес перенаправления используется только в том случае, если состояние виртуального сервера и эффективное состояние - ВНИЗ. При использовании URL-адреса перенаправления для перенаправления HTTP на HTTPS виртуальный сервер HTTP в состоянии ВНИЗ. • В примере HTTP на HTTPS URL-адрес перенаправления должен быть настроен с абсолютный путь к https: // <FQDN>. При перенаправлении на HTTPS: // полный домен имя, которое может разрешить клиент, необходимо, чтобы клиент не делал ненадежных подключение к серверу, не совпадающему с полным доменным именем сертификата. • Если URL-адрес перенаправления настроен без части пути URL-адреса, перенаправление будет https://translate.googleusercontent.com/translate_f 106/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials сохранить исходный путь и элементы запроса запроса в новом перенаправлении место назначения. 140 Стр. Решебника 141 CNS-218-3I Citrix ADC 12.x Essentials Модуль 7: Защита Citrix ADC. Обзор: Компания ABC хочет включить делегированное администрирование на Citrix ADC с помощью Active Учетные записи домена каталога. Ваша задача как администратора - настроить внешние аутентификация с использованием LDAP и управление начальными назначениями групповых разрешений. Впоследствии вы настроите начальные разделы администратора для будущих проектов. В этом модуле вы выполните практические упражнения по настройке базовой системы Citrix ADC. аутентификация. Делегированное администрирование будет рассмотрено, начиная с учетных записей локальной системы. и встроенных командных политик с последующей интеграцией с LDAP с использованием внешних политики аутентификации и извлечение групп. Вы также настроите начальные разделы администратора. настройка для создания отдельных административных границ в рамках одного устройства (в то время как в HA Пара). Сеть на уровне разделов не будет настроена. После завершения этого лабораторного модуля вы сможете: • Настроить делегированное администрирование. • Настроить внешнюю аутентификацию и извлечение групп. • Настроить административные разделы. Этот модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и интерфейс командной строки Citrix ADC: • Упражнение: настройка локальной аутентификации и делегированного администрирования. • Упражнение: настройка внешней аутентификации с помощью LDAP. • Упражнение: разделы администратора Виртуальные машины, необходимые для этого модуля Для модуля 7 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V. Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части модуль. • NYC-ADC-001 • AD02.workspacelab.com • NYC-ADC-002 • NYC-WEB-BLU • NYC-WEB-RED • NYC-WEB-GRN • Ad.workspacelab.com 141 Стр. Решебника 142 CNS-218-3I Citrix ADC 12.x Essentials https://translate.googleusercontent.com/translate_f 107/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Прежде чем вы начнете: Приблизительное время для выполнения этой лабораторной работы: 30 минут. Инфраструктура аутентификации Active Directory Active Directory Значение Контроллер домена AD 192.168.30.11 Контроллер домена AD2 129.168.30.12 Администратор BindDN trainaduser @ workspacelab.com Пароль учетной записи BindDN Пароль1 Группы и учетные записи Active Directory для делегированного администрирования Citrix ADC ГРУППА ПОЛЬЗОВАТЕЛЬ ПАРОЛЬ Политика Training_NSAdmins trainNSAdmin Пароль1 Суперпользователь Обучение_СОоператоры поездNSOоператор Пароль1 Подрядчики подрядчик Пароль1 Пользователи домена trainADuser Пароль1 покажи только Примечание . Во время этого упражнения все имена групп чувствительны к регистру при выполнении группового извлечение на Citrix ADC . 142 Стр. Решебника 143 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 7-1: Настройка локальной и делегированной аутентификации Администрирование (GUI) Введение: В этом упражнении вы научитесь создавать локальные системные учетные записи, назначать пароли и изменять делегированные административные разрешения с помощью встроенных и настраиваемых командных политик. Вы будете используйте графический интерфейс Citrix ADC Configuration Utility для выполнения этого упражнения. Весь административный доступ к Citrix ADC осуществляется системными пользователями или системными группами. Местный учетные записи могут быть созданы на Citrix ADC, где Citrix ADC является локальными учетными данными орган власти. Учетные записи пользователей, пароли и членство в группах принадлежат локальным объектам на Citrix ADC. Все административные разрешения на Citrix ADC контролируются командными политиками. Команда https://translate.googleusercontent.com/translate_f 108/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials политики определяют регулярные выражения (с использованием синтаксиса регулярных выражений PCRE), которые определяют команды, ко разрешено или запрещено работать. Любая явно не разрешенная команда автоматически отклоняется разрешения по умолчанию. Встроенные командные политики обеспечивают базовый административный контроль для штатные администраторы и администраторы разделов. Но настраиваемые политики команд могут быть настроен и привязан к системным пользователям или системным группам. Разрешения, предоставленные политики команд определяют, какая информация отображается в графическом интерфейсе пользователя и какие действия могут выполняться в графическом интерфейсе или в интерфейсе командной строки. Локальную аутентификацию легко настроить. Учетные записи будут синхронизированы между парой высокой доступности. Однако большинство сред будут интегрированы с внешней аутентификацией для более надежной учетная запись, учетные данные и управление группами. В этом упражнении вы будете выполнять следующие задачи: • Создание учетной записи в локальной системе. • Создание настраиваемой командной политики. 143 Стр. Решебника 144 CNS-218-3I Citrix ADC 12.x Essentials Создание учетной записи локальной системы Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте нового пользователя локальной системы: • Перейдите в раздел Система> Администрирование пользователей> Пользователи . • Щелкните Добавить . Откроется диалоговое окно « Добавить системного пользователя ». 3. Создайте локальную учетную запись «testuser» с разрешениями только для чтения: • Введите testuser в поле « Имя пользователя» . • Введите Пароль1 в поля Пароль и Подтверждение пароля . • Щелкните Продолжить . Примечание . Не создавайте локальные учетные записи с именем «test» или какой-либо другой вариант в Citrix ADC. Требовать, чтобы любая учетная запись, используемая для аутентификации в Citrix ADC, соответствовала минимальной сложности требования к паролям. Если настраиваете учетные записи в тестовых целях, не забудьте отключить и удалите учетные записи, когда закончите. Не предоставляйте делегированные учетные записи администратора выше разрешения, чем необходимо. Эти оставшиеся учетные записи с легко угадываемыми именами пользователей или пароли, могут непреднамеренно предоставить несанкционированный доступ к устройству. 4. Назначьте учетной записи testuser разрешения только на чтение: • Щелкните Политика отсутствия системных команд . • Щелкните « Щелкните для выбора» в разделе « Выбор политики» . • Выберите « Только для чтения» и нажмите « Выбрать» в диалоговом окне « Командные политики ». • Щелкните « Привязать» . • Щелкните Сохранить . • Щелкните Готово . 5. Сохраните конфигурацию Citrix ADC и подтвердите. Создание настраиваемой командной политики https://translate.googleusercontent.com/translate_f 109/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Изучите встроенные командные политики: • Перейдите в раздел Система> Администрирование пользователей> Командные политики . 144 Стр. Решебника 145 CNS-218-3I Citrix ADC 12.x Essentials 3. Выберите суперпользователя и нажмите « Изменить» . (Команда не будет изменена.) Обратите внимание на регулярное выражение, указанное в поле Command Spec (спецификация команды). Этот regex позволяет учетным записям с правами суперпользователя запускать все команды. Это эквивалентно nsroot разрешения учетной записи. Нажмите « Закрыть», чтобы выйти без применения изменений. 4. Выберите только для чтения и нажмите « Изменить» . Обратите внимание на регулярное выражение, указанное в поле «Команда». Это регулярное выражение предоставляет разрешения на запуск: • Все команды, начинающиеся с man. (Все команды страницы руководства.) • Все команды, начинающиеся с stat. (Все команды статистики для любого объекта.) • Разрешено большинство команд показа. Синтаксис явно ограничивает определенные шоу такие команды, как команды, начинающиеся с: show system, show configstatus, show ns ns.conf.) • Любая команда, явно не разрешенная в регулярном выражении, автоматически отклоняется. Нажмите « Закрыть», чтобы выйти без применения изменений. 5. Создайте настраиваемую политику команд с именем show_only. Эта политика предоставит доступ всем команды, начинающиеся с "show". • Щелкните Добавить, чтобы создать новую командную политику. • Введите show_only в поле « Имя политики» . • Установите флажок « Разрешить» в поле « Действие» . • Введите следующее регулярное выражение в поле Command Spec (регистр имеет значение): (^ показать \ s +. *) • Щелкните " Создать" . 6. Привяжите команду policy show_only к учетной записи testuser: • Перейдите в раздел Система> Администрирование пользователей> Пользователи . • Выберите testuser и нажмите Edit . Отключите существующую командную политику: • Щелкните 1 Политика системных команд в разделе « Привязки» . • Выберите « Только для чтения» и нажмите « Отменить привязку» и « Да» для подтверждения. Привязать новую командную политику: • Щелкните Добавить привязку . • Выберите show_only и нажмите « Выбрать» в диалоговом окне « Командные политики ». • Щелкните « Привязать» . • Щелкните " Закрыть" . • Щелкните Готово . 7. Сохраните конфигурацию Citrix ADC и подтвердите. 8. Щелкните Выход, чтобы выйти из программы настройки Citrix ADC под учетной записью nsroot. 145 Стр. Решебника 146 https://translate.googleusercontent.com/translate_f 110/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials CNS-218-3I Citrix ADC 12.x Essentials 9. Протестируйте новую учетную запись администратора: testuser. • Подключитесь к утилите настройки Citrix ADC HA Pair с помощью NSMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: testuser Пароль: Пароль1 10. Проверить разрешения только на показ: • Перейдите в раздел Система> Настройки . • Щелкните « Настроить основные функции» . • Выберите функцию, которую нужно включить, и нажмите OK . У пользователя есть разрешения только на чтение, поэтому команда не работает. • Закройте сообщение об ошибке. • Щелкните " Закрыть" . 11. Щелкните Выход, чтобы выйти из текущего сеанса как тестовый пользователь. Ключевые выводы: • Системные пользователи и группы используются для аутентификации и доступа к точкам управления на Citrix ADC, например NSIP и SNIP с поддержкой управления. • Разрешениями можно управлять на уровне учетной записи системного пользователя. Или пользователи системы могут быть помещены в системные группы, а разрешения управляются на уровне группы. • Nsroot - это локальная учетная запись с автоматическими правами суперпользователя. Его нельзя удалить или отключен; поэтому после первоначального запуска Citrix ADC необходимо настроить надежный пароль. настроить. • Политики команд определяют уровень доступных разрешений (управление доступом на основе ролей) к учетной записи или группе в графическом интерфейсе и интерфейсе командной строки. Любая команда, явно не разрешенная политика команд автоматически отклоняется из-за авторизации по умолчанию на Citrix АЦП. • Регулярные выражения - мощное средство, но будьте осторожны при определении пользовательских команд. политик, так как легко предоставить слишком много или слишком мало разрешений и создать безопасность вопрос. Тщательно изучите все настраиваемые политики. • Citrix ADC можно администрировать, создавая локальные учетные записи. Большинство сред интегрировать администрирование Citrix ADC с внешней аутентификацией. 146 Стр. Решебника 147 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 7-2: Настройка внешней аутентификации с помощью LDAP (GUI) Введение: В этом упражнении вы научитесь настраивать и интегрировать внешнюю аутентификацию с помощью LDAP. с Active Directory с Citrix ADC. В упражнении будет продемонстрирована настройка внешнего политики аутентификации и настройка системных групп и управление делегированным администратором права с использованием группового извлечения. Вы будете использовать графический интерфейс программы настройки Citrix ADC для выпол это упражнение. В этом упражнении вы будете выполнять следующие задачи: https://translate.googleusercontent.com/translate_f 111/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Интегрируйте внешнюю аутентификацию с доступом к системе Citrix ADC с помощью политик LDAP. • Управление разрешениями с помощью извлечения групп. Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте системные группы, соответствующие группам в Active Directory. Имена групп в регистре чувствительный на Citrix ADC. • Перейдите в раздел Система> Администрирование пользователей> Группы . • Щелкните Добавить . 3. Создайте System Group Training_NSAdmins с правами суперпользователя. • Введите Training_NSAdmins в поле Group Name . • Щелкните « Привязать» в разделе « Командные политики» . • Выберите суперпользователя, чтобы сделать его активным, и нажмите « Вставить» . • Щелкните " Создать" . 4. Создайте Системную группу Training_NSOperators с разрешениями оператора. • Щелкните Добавить, чтобы добавить новую системную группу. • Введите Training_NSOperators в поле Group Name . • Щелкните « Привязать» в разделе « Командные политики» . • Выберите оператора, чтобы сделать его активным, и нажмите « Вставить» . • Щелкните " Создать" . 147 Стр. Решебника 148 CNS-218-3I Citrix ADC 12.x Essentials 5. Создайте действие аутентификации для внешней аутентификации с помощью LDAP: • Перейдите в раздел Система> Проверка подлинности> Основные политики . • Щелкните LDAP . • Щелкните вкладку Серверы . • Щелкните Добавить . Откроется диалоговое окно « Создать сервер аутентификации LDAP (действие)». 6. Настройте действие аутентификации LDAP со следующими параметрами: • Имя : auth_ldap_srv • Выберите IP-адрес сервера. • IP-адрес : 172.21.10.103 (это VIP для lb_vsrv_ldap.) • Порт : 389 • Тип сервера : AD Настройки соединения: • Базовое DN : dc = workspacelab, dc = com • DN администратора привязки: trainaduser@workspacelab.com • Выберите Bind DN Password. • Пароль администратора и подтверждение пароля : Password1 • Щелкните Проверить доступность Ldap. Другие настройки: • Атрибут имени для входа на сервер : sAMAccountName • Атрибут группы : memberOf • Имя вспомогательного атрибута : cn Щелкните " Создать" . 7. Создайте политику аутентификации для аутентификации LDAP: • Щелкните вкладку Политики . • Щелкните Добавить . • Введите auth_ldap_policy в поле Имя . • Выберите auth_ldap_srv из раскрывающегося списка « Сервер» . • Введите ns_true в поле « Выражение» . (В политиках аутентификации используется классический синтаксис выражения политики.) • Щелкните " Создать" . • Щелкните OK в предупреждении. 8. Привяжите политику к системному глобальному объекту для системной аутентификации: https://translate.googleusercontent.com/translate_f 112/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Щелкните Глобальные привязки . • Щелкните « Щелкните для выбора» в разделе « Привязка политики» . • Выберите auth_ldap_policy и нажмите Выбрать . • Щелкните « Привязать» . • Щелкните Готово . Теперь политика LDAP привязана к объекту System Global. Доступ к IP-адресам управления на Citrix ADC (NSIP и SNIP с поддержкой управления) будет пытаться аутентифицироваться с помощью связанная политика LDAP. Однако доступ к системе все равно будет падать на локальные учетные записи, если политика проверки подлинности не выполняется. (Суперпользователь и другие локальные учетные записи по-прежнему активны.) 9. Сохраните конфигурацию Citrix ADC и подтвердите. 10. Щелкните « Выход», чтобы выйти из программы настройки Citrix ADC под учетной записью nsroot. 148 Стр. Решебника 149 CNS-218-3I Citrix ADC 12.x Essentials 11. Протестируйте новую учетную запись администратора - trainNSAdmin: • Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью NSMGMT SNIP на http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: trainNSAdmin Пароль: Пароль1 Нажмите OK, чтобы закрыть окно с ошибкой, если оно есть. 12. Тестовые права суперпользователя, назначенные при извлечении группы LDAP: • Перейдите в раздел Система> Настройки . • Щелкните « Настроить дополнительные функции» . • Включить глобальную балансировку нагрузки сервера • Щелкните ОК . Команда принята. • Щелкните Сохранить, чтобы сохранить конфигурацию Citrix ADC. Команда тоже принимается. 13. Нажмите « Выйти», чтобы выйти из текущего сеанса как trainNSAdmin. Ключевые выводы: • Политики аутентификации, привязанные к глобальной точке привязки системы; контроль аутентификации привязаны к точкам управления. • Извлечение группы поддерживается с помощью внешней аутентификации LDAP и Radius. • При групповом извлечении на Citrix ADC необходимо создавать только группы. (соответствует именам групп в удаленной службе каталогов). Командные политики могут быть связаны с группами AAA. Создавать отдельных пользователей системы на Citrix ADC. • Аутентификация системы Citrix ADC поддерживает только однофакторный или однофакторный каскад. Если несколько политик связаны, они будут выполняться в порядке приоритета. Для доступа к системе, если политики аутентификации не совпадают, система автоматически вернется к локальному аутентификация. Это приводит к тому, что учетная запись nsroot и любая другая учетная запись локальной системы всегда действителен для доступа к управлению. 149 https://translate.googleusercontent.com/translate_f 113/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр.150 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 7-3: Разделы администратора (GUI) Введение: В этом упражнении вы научитесь создавать и администрировать административные разделы в Citrix ADC. Вы будет использовать графический интерфейс программы настройки Citrix ADC для выполнения этого упражнения. Разделы администратора позволяют разделить Citrix ADC на отдельные конфигурации и административные границы. Каждому разделу может быть назначена собственная сеть через VLAN, и каждый раздел поддерживает отдельную текущую и сохраненную конфигурацию. Раздел Citrix ADC по умолчанию будет содержать все настройки конфигурации, сделанные в ходе выполнения. до этого упражнения. Во время этого упражнения будут созданы два новых раздела, которые будут содержать независимые настройки из раздела по умолчанию: функции, режимы, службы, виртуальные серверы, политики и многое другое. Учетная запись nsroot будет иметь полные административные права на раздел по умолчанию и все права администратора. Разделы созданы. Учетная запись nsroot может переключаться между разделами как в графическом интерфейсе, так и в CLI. Делегированных администраторов можно назначить с правами только на раздел на одном или нескольких перегородки. Эти делегированные администраторы разделов при подключении к графическому интерфейсу Citrix ADC или CLI может только администрировать и видеть раздел или разделы, на которые у них есть разрешения. В этом упражнении вы настроите разделы администратора со следующими параметрами: • Partition1 будет управляться padmin1 (локальная учетная запись). • Partition2 будет управляться padmin2 (локальная учетная запись). • Каждый администратор будет администратором раздела с правами только на свой назначенный раздел. Это упражнение демонстрирует базовую настройку и конфигурацию разделов администратора и раздела. администраторы. Разделы используются для демонстрации базового управления конфигурацией в перегородки. Разделы администратора не будут настроены для полноценной работы в сети или использоваться за пределами этого упражнение. В этом упражнении вы будете выполнять следующие задачи: • Создать администраторов раздела. • Создать разделы. • Настроить ресурсы с разделами. 150 Стр. Решебника 151 CNS-218-3I Citrix ADC 12.x Essentials Создание администраторов раздела Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте нового пользователя локальной системы - padmin1: • Перейдите в раздел Система> Администрирование пользователей> Пользователи . • Щелкните Добавить . Откроется диалоговое окно « Добавить системного пользователя ». https://translate.googleusercontent.com/translate_f 114/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 3. Создайте локальную учетную запись с именем «padmin1»: • Введите padmin1 в поле « Имя пользователя» . • Введите Пароль1 в поля Пароль и Подтверждение пароля . • Щелкните Продолжить . 4. Назначьте доступ только для чтения учетной записи padmin1: • Щелкните Политика отсутствия системных команд . • Щелкните « Щелкните для выбора» в разделе «Выбор политики». • Выберите partition-admin и нажмите Выбрать в диалоговом окне Command Policies . • Щелкните « Привязать» . • Щелкните Сохранить . • Щелкните Готово . 5. Создайте нового пользователя локальной системы - padmin2: • Перейдите в раздел Система> Администрирование пользователей> Пользователи . • Щелкните Добавить . Откроется диалоговое окно « Добавить системного пользователя ». 6. Создайте локальную учетную запись под названием «padmin2»: • Введите padmin2 в поле « Имя пользователя» . • Введите Пароль1 в поля Пароль и Подтверждение пароля . • Щелкните Продолжить . 7. Назначьте доступ только для чтения учетной записи padmin2: • Щелкните Политика отсутствия системных команд . • Щелкните « Щелкните для выбора» в разделе « Выбор политики» . • Выберите partition-admin и нажмите Выбрать в диалоговом окне Command Policies . • Щелкните « Привязать» . • Щелкните Сохранить . • Щелкните Готово . Создать разделы Шаг Действие 151 Стр.152 CNS-218-3I Citrix ADC 12.x Essentials 1. Создайте раздел администратора - Partition1: • Перейдите в раздел Система> Администрирование разделов> Разделы . • Щелкните Настроить . Настроить раздел: • Введите Partition1 в поле Name . • Щелкните Продолжить . Сетевая изоляция: • Нажмите « Продолжить» в разделе « Изоляция сети» . В это время не привязывайте VLAN. Пользователи: • Щелкните Нет пользователя в разделе Пользователи, чтобы добавить нового администратора раздела. • Щелкните « Щелкните для выбора» в разделе « Выбор пользователя» . • Выберите padmin1 и нажмите Выбрать . • Щелкните « Привязать», чтобы привязать пользователя к разделу администратора. • Щелкните Продолжить . Нажмите Готово, чтобы завершить создание Partition1. 2. Создайте раздел администратора - Partition2: • Перейдите в раздел Система> Администрирование разделов> Разделы . • Щелкните Добавить . Настроить раздел: • Введите Partition2 в поле Name . • Щелкните Продолжить . Сетевая изоляция: • Нажмите « Продолжить» в разделе « Изоляция сети» . В это время не привязывайте VLAN. Пользователи: • Щелкните Нет пользователя в разделе Пользователи, чтобы добавить нового администратора раздела. • Щелкните « Щелкните для выбора» в разделе « Выбор пользователя» . https://translate.googleusercontent.com/translate_f 115/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Выберите padmin2 и нажмите Выбрать . • Нажмите « Привязать», чтобы привязать пользователя к разделу администратора. • Щелкните Продолжить . Нажмите Готово, чтобы завершить создание Partition2. 3. Сохраните конфигурацию Citrix ADC и подтвердите. 152 Стр. Решебника 153 CNS-218-3I Citrix ADC 12.x Essentials Настроить ресурсы в разделах Шаг 1. Действие Перейти к разделу 1: • Выберите Partition1 из раскрывающегося списка Partition в верхней части графического интерфейса Citrix ADC. (рядом с кнопкой «Статус высокой доступности» и «Выход из системы»). • Щелкните Да, чтобы подтвердить переключение на Раздел1. 2. Просмотр функций раздела: • Перейдите в раздел Система> Настройки . • Щелкните « Настроить основные функции» . • Убедитесь, что в данный момент не активированы никакие функции. • Щелкните ОК . 3. Просмотр объектов управления трафиком: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Убедитесь, что в разделе Partition1 нет служб. 4. Создайте сервис для сервера NYC-WEB-RED в Partition1: • Щелкните Добавить . • Введите svc_red в поле « Имя службы» . • Введите 192.168.30.51 в поле IP-адрес . • Щелкните ОК . Щелкните Готово . Примечание : служба svc_red будет ВЫКЛЮЧЕНА, так как сеть еще не включена администратором. Перегородка; VLAN не привязана. Из-за ограничений лабораторной конфигурации мы не будем демонстрировать полнофункциональный раздел администратора. Однако Partition1 имеет функции, сеть, службы и другие параметры конфигурации, которые отдельно от раздела по умолчанию. Дубликат службы svc_red может быть создан без конфликт с разделом по умолчанию или другими разделами. 5. Сохраните конфигурацию Citrix ADC и подтвердите. 6. Переключитесь на раздел по умолчанию: • Выберите значение по умолчанию в раскрывающемся списке раздела в верхней части графического интерфейса Citrix ADC. • Щелкните Да для подтверждения. Обратите внимание, что учетная запись nsroot имеет полный доступ к разделу по умолчанию и всем остальным администраторам. Перегородки. 7. Нажмите « Выход», чтобы выйти из Citrix ADC как nsroot. 8. Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью NSMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные. Имя пользователя: padmin2 Пароль: Пароль1 153 https://translate.googleusercontent.com/translate_f 116/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр. Решебника 154 CNS-218-3I Citrix ADC 12.x Essentials 9. Убедитесь, что вы подключены к конфигурации только для Partition2 . Просмотрите раскрывающийся список Разделение в верхней части графического интерфейса Citrix ADC. Убедитесь, что только Partition2 отображается в списке, а padmin2 не может переключиться на раздел по умолчанию или любой другой раздел. 10. Перейдите в Система> Администрирование разделов> Разделы . Убедитесь, что единственный доступный для переключения раздел - это Partition2 . 11. Создайте сервис для сервера NYC-WEB-BLU в Partition2: • Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» . • Щелкните Добавить . • Введите svc_blue в поле « Имя службы» . • Введите 192.168.30.52 в поле IP-адрес . • Щелкните ОК . Щелкните Готово . 12. Сохраните конфигурацию Citrix ADC и подтвердите. Примечание . Это сохраняет конфигурацию только для Раздела 2, но не для любого другого раздела. 13. Щелкните Выход, чтобы выйти из Citrix ADC как padmin2. 14. Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью NSMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Возобновите администрирование раздела по умолчанию до конца курса. Ключевые выводы: • Разделы администратора позволяют управлять отдельными границами конфигурации Citrix ADC и поддерживаются на одном устройстве (или паре HA), не зависят от настроек по умолчанию и других перегородки. • Администраторам может быть предоставлен доступ к одному или нескольким разделам администратора с разделом: уровень делегированного администрирования. • Учетная запись nsroot имеет доступ к разделу по умолчанию и всем разделам администратора. • Некоторыми настройками, такими как высокая доступность, можно управлять только в разделе по умолчанию. уровень. • Конфигурации разделов отличаются от конфигурации по умолчанию. Графический интерфейс и интерфейс командной строки разрешить переключение между разделами. • При поиске сохраненного файла конфигурации помните, что имена разделов деликатный случай. Сохраненные файлы конфигурации находятся здесь: o Сохраненный файл конфигурации раздела по умолчанию: /nsconfig/ns.conf 154 Стр.155 CNS-218-3I Citrix ADC 12.x Essentials o Сохраненные файлы конфигурации разделов администратора: / nsconfig / partitions / <partition имя> /ns.conf https://translate.googleusercontent.com/translate_f 117/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 155 Стр. Решебника 156 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 7-1: Локальная аутентификация (CLI) Введение: В этом упражнении вы научитесь создавать локальные системные учетные записи, назначать пароли и изменять делегированные административные разрешения с помощью встроенных и настраиваемых командных политик. Вы будете используйте интерфейс командной строки для выполнения этого упражнения. Весь административный доступ к Citrix ADC осуществляется системными пользователями или системными группами. Местный учетные записи могут быть созданы на Citrix ADC, где Citrix ADC является локальными учетными данными орган власти. Учетные записи пользователей, пароли и членство в группах принадлежат локальным объектам на Citrix ADC. Все административные разрешения на Citrix ADC контролируются командными политиками. Команда политики определяют регулярные выражения (с использованием синтаксиса регулярных выражений PCRE), которые определяют команды, ко разрешено или запрещено работать. Любая явно не разрешенная команда автоматически отклоняется разрешения по умолчанию. Встроенные командные политики обеспечивают базовый административный контроль для штатные администраторы и администраторы разделов. Но настраиваемые политики команд могут быть настроен и привязан к системным пользователям или системным группам. Разрешения, предоставленные политики команд определяют, какая информация отображается в графическом интерфейсе пользователя и какие действия могут выполняться в графическом интерфейсе или в интерфейсе командной строки. Локальную аутентификацию легко настроить. Учетные записи будут синхронизированы между парой высокой доступности. Однако большинство сред будут интегрированы с внешней аутентификацией для более надежной учетная запись, учетные данные и управление группами. В этом упражнении вы будете выполнять следующие задачи: https://translate.googleusercontent.com/translate_f 118/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Создайте локальную системную учетную запись. • Создайте настраиваемую командную политику. Создание учетной записи локальной системы: Шаг 1. Действие Подключитесь к Citrix ADC HA Pair, используя NSMGMT SNIP (192.168.10.103), используя SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 156 Стр. Решебника 157 CNS-218-3I Citrix ADC 12.x Essentials 2. Создайте новую локальную системную учетную запись с именем "testuser" с разрешениями только для чтения: добавить системный пользователь testuser Password1 Примечание . Не создавайте локальные учетные записи с именем «test» или какой-либо другой вариант в Citrix ADC. Требовать, чтобы любая учетная запись, используемая для аутентификации в Citrix ADC, соответствовала минимальной сложности требования к паролям. Если настраиваете учетные записи в тестовых целях, не забудьте отключить и удалите учетные записи, когда закончите. Не предоставляйте делегированные учетные записи администратора выше разрешения, чем необходимо. Эти оставшиеся учетные записи с легко угадываемыми именами пользователей или пароли, могут непреднамеренно предоставить несанкционированный доступ к устройству. 3. Просмотр доступных командных политик (для Citrix ADC RBAC / делегированного администрирования): показать системную cmdPolicy 4. Привяжите политику команд только для чтения к системной учетной записи testuser: привязать системного пользователя testuser только для чтения 1 5. Протестируйте новую системную учетную запись: • Используйте PuTTY для создания нового подключения к 192.168.10.103. Войдите в систему как testuser. • Имя пользователя: testuser • Пароль: Password1 6. Из сеанса SSH Testuser: Попытайтесь запустить любую из следующих команд, разрешенных только для чтения: показать нс особенность показать lb vserver статистика службы svc_red человек добавить маршрут Убедитесь, что указанные выше команды выполняются успешно и возвращают ожидаемые результаты. 7. В сеансе SSH Testuser попробуйте выполнить любую из следующих команд, запрещенных разрешения только для чтения: включить функцию ns lb показать ns runningConfig сохранить конфигурацию ns оболочка Все вышеперечисленные команды запрещены. 8. Выйдите из сеанса или выйдите из сеанса как тестовый пользователь . Вернитесь к первому сеансу Putty для пользователя nsroot. Создание настраиваемой командной политики Шаг https://translate.googleusercontent.com/translate_f Действие 119/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 157 Стр. Решебника 158 CNS-218-3I Citrix ADC 12.x Essentials 1. Показать политики системных команд по умолчанию: показать системную cmdPolicy 2. Разрешения на отображение (cmdspec) для политики суперпользователя: показать системного суперпользователя cmdPolicy 3. Разрешения на отображение (cmdspec) для политики только для чтения: показать систему cmdPolicy только для чтения 4. Создайте новую настраиваемую политику команд, которая разрешает только команды показа: добавить системную cmdPolicy show_only ALLOW "(^ show \ s +. *)" 5. Отключите существующую политику только для чтения от учетной записи testuser: отвязать системный пользователь testuser только для чтения 6. Привяжите настраиваемую политику к учетной записи testuser: привязать системного пользователя testuser show_only 10 7. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 8. Подключитесь к Citrix ADC HA Pair, используя NSMGMT SNIP (192.168.10.103), используя SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: testuser Пароль: Пароль1 9. Убедитесь, что testuser может просматривать детали конфигурации. Все следующее будет успешным: показать нс особенность показать ns ip показать lb vserver показать ns runningconfig Убедитесь, что testuser не может изменять параметры конфигурации. Все следующее не удастся: сохранить конфигурацию ns оболочка включить функцию ns ssl rm сервис svc_red 10. Закройте сеанс для testuser. 158 Стр. Решебника 159 CNS-218-3I Citrix ADC 12.x Essentials Ключевые выводы: • Системные пользователи и группы используются для аутентификации и доступа к точкам управления на Citrix ADC, например, NSIP и управляющие SNIP. • Разрешениями можно управлять для каждой учетной записи пользователя системы или пользователей системы можно разместить в системные группы и разрешения, управляемые на уровне группы. https://translate.googleusercontent.com/translate_f 120/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Nsroot - это локальная учетная запись с автоматическими правами суперпользователя. Его нельзя удалить или отключен; поэтому после первоначального запуска Citrix ADC необходимо настроить надежный пароль. настроить. • Политики команд определяют уровень разрешений (управление доступом на основе ролей) доступный для учетной записи или группы в графическом интерфейсе и интерфейсе командной строки. Любая команда, которая не явно разрешено командной политикой автоматически запрещается из-за значения по умолчанию авторизация на Citrix ADC. • Регулярные выражения - это мощное средство, но будьте осторожны при определении пользовательской команды. политики, поскольку легко предоставить слишком много или слишком мало разрешений и создать безопасность вопрос. Тщательно изучите все настраиваемые политики. • Citrix ADC можно администрировать, создавая локальные учетные записи, в большинстве сред интегрировать администрирование Citrix ADC с внешней аутентификацией. 159 Стр. Решебника 160 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 7-2: Внешняя аутентификация (CLI) Введение: В этом упражнении вы научитесь настраивать и интегрировать внешнюю аутентификацию с помощью LDAP. с Active Directory с Citrix ADC. В упражнении будет продемонстрирована настройка внешнего политики аутентификации и настройка системных групп и управление делегированным администратором права с использованием группового извлечения. Для выполнения этого упражнения вы будете использовать интерфейс командной строки. В этом упражнении вы будете выполнять следующие задачи: • Интегрируйте внешнюю аутентификацию с доступом к системе Citrix ADC с помощью политик LDAP. • Управление разрешениями с помощью извлечения групп. Шаг 1. Действие Создайте системные группы, соответствующие именам групп в Active Directory. Имена групп на Citrix ADC должен точно соответствовать (включая регистр) имени группы в Active Directory. добавить системную группу Training_NSAdmins добавить системную группу Training_NSOperators добавить системную группу Подрядчики 2. Настройте Training_NSAdmins с разрешениями суперпользователя: https://translate.googleusercontent.com/translate_f 121/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials привязать системную группу Training_NSAdmins -policyName superuser 1 3. Настройте Training_NSOperators с разрешениями show_only: привязать системную группу Training_NSOperators -policyName show_only 10 4. Создайте действие аутентификации для внешней аутентификации с использованием LDAP для домена Контроллеры: добавить аутентификацию ldapaction auth_ldap_srv -serverIP 172.21.10.103 -ldapBase "DC = workspacelab, DC = com" -ldapBindDN trainADuser@workspacelab.com -ldapBindDNPassword Password1 -ldaploginName sAMAccountName -groupAttrName memberOf -subAttributeName CN Политика аутентификации использует виртуальный сервер lb_vsrv_ldap в качестве места назначения для трафик аутентификации. 5. Создайте политику аутентификации для сервера LDAP с выражением ns_true: добавить аутентификацию ldapPolicy auth_ldap_policy ns_true auth_ldap_srv 160 Стр. Решебника 161 CNS-218-3I Citrix ADC 12.x Essentials 6. Привяжите политику к точке привязки глобальной системы. Это включает внешнюю аутентификацию для точки доступа к управлению на Citrix ADC - NSIP и SNIP с поддержкой управления: привязать системную глобальную auth_ldap_policy -priority 100 7. Протестируйте аутентификацию системы с учетной записью домена в новом сеансе: • Подключитесь к паре Citrix ADC HA с помощью NSMGMT SNIP (192.168.10.103) с помощью SSH. (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: trainNSAdmin Пароль: Пароль1 8. Из сеанса SSH trainNSAdmin: Попытайтесь выполнить любую из следующих команд. Все разрешены с разрешениями суперпользователя: показать нс особенность включить функцию ns lb сохранить конфигурацию ns оболочка Убедитесь, что указанные выше команды выполняются успешно и возвращают ожидаемые результаты. 9. Выйдите из сеанса или выйдите из него как trainNSAdmin . Вернитесь к первому сеансу PuTTY для пользователя nsroot. 10. Сохраните конфигурацию Citrix ADC. сохранить конфигурацию ns Ключевые выводы: • Политики аутентификации, привязанные к глобальной точке привязки системы и управлению аутентификация привязана к точкам управления. • Извлечение группы поддерживается с помощью внешней аутентификации LDAP и Radius. • При групповом извлечении на Citrix ADC необходимо создавать только группы. (соответствует именам групп в удаленной службе каталогов). Командные политики могут быть связаны с группами AAA. Создавать отдельных пользователей системы на Citrix ADC. • Аутентификация системы Citrix ADC поддерживает только однофакторный или однофакторный каскад. Если https://translate.googleusercontent.com/translate_f 122/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials несколько политик связаны, они будут выполняться в порядке приоритета. Для доступа к системе, 161 Стр. Решебника 162 CNS-218-3I Citrix ADC 12.x Essentials если политики аутентификации не совпадают, система автоматически вернется к локальному аутентификация. Это приводит к тому, что учетная запись nsroot и любая другая учетная запись локальной системы всегда действителен для доступа к управлению. 162 Стр. Решебника 163 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 7-3: Разделы администратора (CLI) Введение: В этом упражнении вы научитесь создавать и администрировать административные разделы в Citrix ADC. Вы https://translate.googleusercontent.com/translate_f 123/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials будет использовать интерфейс командной строки для выполнения этого упражнения. Разделы администратора позволяют разделить Citrix ADC на отдельные конфигурации и административные границы. Каждому разделу может быть назначена собственная сеть с использованием VLAN и каждый раздел поддерживает отдельную текущую и сохраненную конфигурацию. Раздел Citrix ADC по умолчанию будет содержать все настройки конфигурации, сделанные в ходе этого точка. Во время этого упражнения будут созданы два новых раздела, которые будут содержать независимые настройки из раздела по умолчанию: функции, режимы, службы, виртуальные серверы, политики и Больше. Учетная запись nsroot будет иметь полные административные права на раздел по умолчанию и все права администратора. Разделы созданы. Учетная запись nsroot может переключаться между разделами как в графическом интерфейсе, так и в CLI. Делегированных администраторов можно назначить с правами только на разделы в одном или нескольких разделах. Эти администраторы делегированных разделов при подключении к графическому интерфейсу или интерфейсу командной строки Citrix ADC могу и посмотреть раздел или разделы, на которые у них есть разрешение. В этом упражнении вы настроите разделы администратора со следующими параметрами: • Partition1 будет управляться padmin1 (локальная учетная запись). • Partition2 будет управляться padmin2 (локальная учетная запись). • Каждый администратор будет администратором раздела с правами только на свой раздел. Это упражнение демонстрирует базовую настройку и конфигурацию разделов администратора и раздела. администраторы. Разделы используются для демонстрации базового управления конфигурацией в перегородки. Разделы администратора не будут настроены для полноценной работы в сети или использоваться за пределами этого упражнение. В этом упражнении вы будете выполнять следующие задачи: • Создать администраторов раздела. • Создать разделы. • Настроить ресурсы с разделами. Создание разделов и администраторов разделов 163 Стр. Решебника 164 CNS-218-3I Citrix ADC 12.x Essentials Шаг 1. Действие Подключитесь к Citrix ADC HA Pair, используя NSMGMT SNIP (192.168.10.103), используя SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создать раздел администратора Partition1: добавить раздел ns Partition1 3. Создайте раздел администратора partition2: добавить раздел ns Partition2 4. Создайте локальную учетную запись для администратора раздела: padmin1 с правами администратора раздела: добавить системную панель пользователя min1 Password1 привязать системного пользователя padmin1 partition-admin 10 привязать системного пользователя padmin1 -partitionName Partition1 5. Создайте локальную учетную запись для администратора раздела с именем padmin2 с правами администратора раздела: добавить системную панель пользователя min2 Password1 привязать системного пользователя padmin2 partition-admin 10 https://translate.googleusercontent.com/translate_f 124/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials привязать системного пользователя padmin2 -partitionName Partition2 6. Посмотреть разделы: показать раздел ns показать ns partition Partition1 показать ns partition Partition2 7. Просмотр пользователей системы: показать системный пользовательский padmin1 8. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 164 Стр. Решебника 165 CNS-218-3I Citrix ADC 12.x Essentials Настроить ресурсы в разделах Шаг 1. Действие Переключитесь на раздел 1, оставаясь подключенным как nsroot. переключить ns partition Partition1 2. nsroot @ Partition1: просмотр текущей конфигурации для раздела 1 Посмотреть особенности: показать нс особенность Посмотреть услуги: показать сервис Обратите внимание, что в разделе partition1 нет существующих настроек. Функции и услуги отделены от раздел по умолчанию. Текущая конфигурация также является отдельной. 3. Создайте сервис для NYC-WEB-RED в разделе 1: добавить службу svc_red 192.168.30.51 http 80 Показать сервис: показать сервис svc_red Служба svc_red будет отображаться ВНИЗ, так как сеть не полностью настроена для этого раздела. 4. Сохраните конфигурацию Citrix ADC в разделе 1: сохранить конфигурацию ns 5. Просмотрите сохраненную конфигурацию в файловой системе для раздела по умолчанию: оболочка cd / nsconfig ls Сохраненная конфигурация и сертификаты для раздела по умолчанию находятся здесь: /nsconfig/ns.conf / nsconfig / ssl / https://translate.googleusercontent.com/translate_f 125/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 165 Стр. Решебника 166 CNS-218-3I Citrix ADC 12.x Essentials 6. Просмотрите сохраненную конфигурацию в файловой системе для Partition1: cd / nsconfig / разделы / ls cd Partition1 ls больше ns.conf Сохраненная конфигурация и сертификаты для раздела 1 находятся здесь: /nsconfig/partitions/Partition1/ns.conf / nsconfig / разделы / ssl / Сохраненный файл конфигурации для Раздела 1 содержит svc_red. 7. Выйдите из оболочки, чтобы вернуться в интерфейс командной строки Citrix ADC: Выход 8. Переключитесь на раздел по умолчанию: переключить раздел ns по умолчанию 9. Откройте второй сеанс SSH с помощью PuTTY для NSMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: padmin2 Пароль: Пароль1 Это подключит padmin2 к Partition2, поскольку эта учетная запись имеет права только на Partition2. 10. padmin2 @ Partition2 - Просмотр конфигурации раздела: Посмотреть особенности: показать нс особенность Посмотреть услуги: показать сервис Обратите внимание, что в Partition2 нет существующих настроек. Функции и услуги отделены от раздел по умолчанию. Текущая конфигурация также является отдельной. 11. Просмотр разделов: показать раздел ns Для padmin2 доступен только Partition2. У этой учетной записи нет доступа к разделу по умолчанию или Раздел1. 166 Стр. Решебника 167 CNS-218-3I Citrix ADC 12.x Essentials 12. Настройте службу для сервера NYC-WEB-BLU в Partition2: добавить службу svc_blue 192.168.30.52 http 80 13. Сохраните конфигурацию Citrix ADC (для этого раздела): https://translate.googleusercontent.com/translate_f 126/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials сохранить конфигурацию ns 14. Выйдите и выйдите из сеанса ssh для padmin2: Выход 15. Вернитесь к обычному сеансу SSH, используя ADCMGMT SNIP для пользователя nsroot. 16. Убедитесь, что конфигурация Citrix ADC сохранена: сохранить конфигурацию ns Примечание. Если конфигурация уже сохранена, вы получите предупреждение о том, что запущенный конфигурация не изменилась. Это информация, и ее следует ожидать, когда конфигурация уже сохранен. Ключевые выводы: • Разделы администратора позволяют управлять отдельными границами конфигурации Citrix ADC и поддерживается на одном устройстве (или паре HA). Сущности в каждом разделе администратора независимо от раздела по умолчанию и других разделов. • Администраторам может быть предоставлен доступ к одному или нескольким разделам администратора с разделом: уровень делегированного администрирования. • Учетная запись nsroot имеет доступ к разделу по умолчанию и всем разделам администратора. • Некоторыми настройками, такими как высокая доступность, можно управлять только в разделе по умолчанию. уровень. • Конфигурации разделов отличаются от конфигурации по умолчанию. Графический интерфейс и интерфейс командной строки разрешить переключение между разделами. • При поиске сохраненного файла конфигурации помните, что имена разделов вводятся в регистр чувствительный: o Сохраненный файл конфигурации раздела по умолчанию: /nsconfig/ns.conf o Сохраненные файлы конфигурации разделов администратора: / nsconfig / partitions / <partition имя> /ns.conf 167 Стр. Решебника 168 CNS-218-3I Citrix ADC 12.x Essentials Модуль 8: Мониторинг и устранение неполадок. Обзор: В компании ABC изменения конфигурации, внесенные в Citrix ADC, должны быть проверены, а SNMP уведомление о предупреждениях должно быть включено, чтобы проактивно реагировать на окружающую среду. Ваш Работа администратора заключается в ознакомлении с журналами Citrix ADC. Этот модуль просматривает журналы, управление журналами, предупреждения и устранение неполадок в Citrix ADC. В конце этого модуля вас попросят принять участие в лабораторной работе по устранению неполадок, загрузив новую конфигурацию Citrix ADC и устранение проблем. После завершения этого лабораторного модуля вы сможете: • Просмотр файлов системного журнала и nslog Citrix ADC. • Создание и просмотр трассировки сети. • Настроить оповещения по протоколу SNMP. • Применение опыта настройки для устранения неполадок в конфигурации Citrix ADC. Этот модуль содержит следующие упражнения с использованием Citrix ADC Configuration Utility (GUI) и https://translate.googleusercontent.com/translate_f 127/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials интерфейс командной строки Citrix ADC: • Упражнение: просмотр журналов Citrix ADC и сетевых трассировок. • Упражнение: настройка внешнего системного журнала и политик аудита. • Упражнение: настройка SNMP. • Упражнение: устранение неполадок Виртуальные машины, необходимые для этого модуля Для модуля 8 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V. Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части модуль. • NYC-ADC-001 • NYC-WEB-BLU • NYC-WEB-RED • NYC-WEB-GRN • Ad.workspacelab.com • AD02.workspacelab.com 168 Стр. Решебника 169 CNS-218-3I Citrix ADC 12.x Essentials Прежде чем вы начнете: Приблизительное время для выполнения этой лабораторной работы: 30–45 минут. Упражнение 8-1: Просмотр журналов и сетевых трассировок Citrix ADC (GUI) Введение: В этом упражнении вы научитесь собирать журнал и информацию об устранении неполадок. Вы будете использовать Графический интерфейс программы настройки Citrix ADC для выполнения этого упражнения. В этом упражнении вы будете выполнять следующие задачи: • Просмотрите файл системного журнала (/var/log/ns.log) и его события. • Просмотрите файл nslog (/ var / nslog / newnslog) и просмотрите продолжительность файла журнала, события и консоль Сообщения. • Создайте сетевую трассировку с помощью консоли nstrace в графическом пользовательском интерфейсе Citrix ADC. Просмотреть системный журнал (/var/log/ns.log) Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot https://translate.googleusercontent.com/translate_f 128/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 169 Стр.170 CNS-218-3I Citrix ADC 12.x Essentials 2. Просмотреть текущие недавние события системного журнала: • Перейдите в раздел Система> Аудит . • Щелкните Последние сообщения аудита . • Выберите ВСЕ для уровней журнала. • Введите 20 для количества отображаемых сообщений аудита. • Щелкните Выполнить . • Установите флажок Перенос по словам, чтобы просматривать сообщения в правильном формате. Это отобразит последние 20 сообщений в текущем файле системного журнала. Вывод в основном будет состоять из событий CMD_EXECUTED графического интерфейса или интерфейса командной строки, которые отражают изменения. внесены в конфигурацию и навигацию графического интерфейса. Вы можете увидеть EVENT DEVICEUP или Сообщения DEVICEDOWN. 3. Нажмите кнопку « Закрыть» и « Закрыть» еще раз, чтобы вернуться к узлу аудита. 4. Просмотреть полный текущий файл системного журнала: • Щелкните Сообщения системного журнала . Это отобразит средство просмотра системного журнала в браузере на основе текущего файла системного журнала: /var/log/ns.log. 5. Фильтр системного журнала по событиям или объектам. Фильтр по событиям: • Выберите « Событие» в раскрывающемся списке « Модуль» и нажмите « Применить» . • Нажмите « Очистить» рядом с полем «Фильтровать по», чтобы удалить фильтр. Фильтр по серьезности: • Разверните « Серьезность» в разделе « Фильтровать по» . • Выберите Emergency, Alert , Critical , Err , Warn и Debug. • Не снимайте флажки « Информация» и « Уведомление» . • Щелкните Применить . Это отобразит события, отличные от изменений конфигурации (CMD_EXECUTED), если они есть. Вы можете наблюдать, как объекты движутся ВВЕРХ или ВНИЗ или другие проблемы, возникшие во время конфигурации. • Удалите примененные фильтры, чтобы вернуться к полному журналу. Используйте раздел «Фильтр по» для фильтрации отображаемых событий по модулю, типу события или серьезности. Если в текущем журнале недостаточно событий, попробуйте просмотреть предыдущий файл журнала, используя процедуру в следующий шаг. 6. Просмотр прошлых файлов системного журнала: • Просмотрите предыдущие файлы журнала, развернув раскрывающийся список в разделе Файл на правой панели. • Выберите любой из последних файлов системного журнала за последние 24 часа. 7. Щелкните значок « Назад», чтобы вернуться к узлу аудита. Просмотреть NSLOG (/ var / log / newnslog) Шаг Действие 170 Стр. Решебника 171 CNS-218-3I Citrix ADC 12.x Essentials 1. Просмотреть Nslog в графическом интерфейсе: https://translate.googleusercontent.com/translate_f 129/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Перейдите в раздел Система> Диагностика . Ссылки, доступные в разделах "Управление журналами" и "Данные для устранения неполадок", являются ярлыками для различных nslog. События. Вы можете использовать их вместо выполнения явных команд. Графический интерфейс позволяет легко просматривать событий, статистики и показателей из текущего файла журнала и прошлых файлов журнала. В разделе «Управление журналами» графический интерфейс содержит ярлыки для большинства часто используемых nsconmsg. команды. Эти команды могут быть выполнены для текущего файла nslog или архива: • Просмотр продолжительности файла журнала • Просмотр событий • Просмотр сообщений консоли • Просмотр событий за определенное время • Обрезать файлы журнала В разделе «Данные для устранения неполадок» дополнительные команды nslog обеспечивают доступ к: • Использование памяти • Просмотр dmesg.boot Следующие лабораторные шаги продемонстрируют некоторые из этих задач. 2. Просмотр продолжительности файла журнала для текущего журнала: • Щелкните Просмотр продолжительности файла журнала в разделе « Управление журналами» . • Выберите текущий файл журнала: / var / nslog / newnslog (по умолчанию) • Щелкните Выполнить . Обратите внимание, что отображается команда для получения продолжительности файла журнала: nsconmsg -K / var / nslog / newnslog -d setime Определите период времени для этого журнала. Щелкните Close . Вернитесь в диалоговое окно Длительность файла журнала. 3. Просмотрите продолжительность файла журнала для прошлого журнала: • Щелкните « Выбрать файл» под полем « Файл журнала» . • Выберите предыдущий файл newnslog. ##. Tar.gz в каталоге / var / nslog / из ранее в на этой неделе и нажмите " Открыть" . • Щелкните Выполнить . Отметьте время начала и окончания этого журнала. Файл был извлечен и больше не архивируется на Citrix ADC. 4. Щелкните Close . Вернитесь в диалоговое окно Длительность файла журнала. Еще раз нажмите « Закрыть», чтобы вернуться в узел «Диагностика». 5. Щелкните Просмотр событий из текущего журнала Nslog: • Щелкните Просмотр событий в разделе « Управление журналами» . • Используйте текущий файл журнала (или браузер для предыдущего). • Щелкните Выполнить . Просмотрите отображаемые события. Щелкните Закрыть и закрыть, чтобы вернуться в диалоговое окно «Диагностика». 171 Стр. Решебника 172 CNS-218-3I Citrix ADC 12.x Essentials 6. Щелкните Просмотр сообщений консоли из текущего журнала Nslog: • Щелкните Просмотр сообщений консоли в разделе « Управление журналами» . • Используйте текущий файл журнала (или браузер для предыдущего). • Щелкните Выполнить . Просмотрите отображаемые сообщения. Нажмите « Закрыть и закрыть», чтобы вернуться в диалоговое окно «Диагностика». 7. Загрузите файлы nslog из графического интерфейса: • Щелкните Удалить / загрузить файлы журнала в разделе « Обслуживание» . Можно загрузить любой из файлов журнала в каталоге / var / nslog /. Щелкните Close . Создайте сетевую трассировку с помощью nstrace Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: https://translate.googleusercontent.com/translate_f 130/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Имя пользователя: nsroot Пароль: nsroot 2. Запустите сетевую трассировку с помощью утилиты nstrace: • Перейдите в раздел Система> Диагностика . • Щелкните Начать новую трассировку в разделе Инструменты технической поддержки . 172 Стр. Решебника 173 CNS-218-3I Citrix ADC 12.x Essentials 3. Начните трассировку со следующими критериями: • Размер пакета : 0 • Включить запись трассировки в формате .pcap . • Включить отслеживание однорангового трафика отфильтрованного соединения (под полем выражения и Выпадающий список слияния). • Оставьте значения по умолчанию для других значений. Настройте выражение фильтра для отслеживания трафика, поступающего с рабочего стола HOST (192.168.10.254) только. Это полезно в производственной среде, если вам нужно изолировать трассировку только до одного конкретный клиент: CONNECTION.IP.EQ (192.168.10.254) && CONNECTION.IP.EQ (172.21.10.101) Нажмите Пуск, а затем нажмите ОК. Примечание. В версии ниже 11.1 не нажимайте ОК, пока не будете готовы остановить трассировку. Захват в ходе выполнения. Эта команда сгенерирует трассировку только для трафика между рабочим столом HOST и RBG VIP; это исключит все коммуникации управления, поскольку мы запускаем GUI-соединения из рабочий стол HOST на адреса NSIP / SNIP. "Отслеживать отфильтрованные одноранговые соединения трафик "гарантирует, что весь внутренний трафик, связанный с потоком запросов и ответов, будет также быть захваченным. Примечание о синтаксисе: в графическом интерфейсе логический оператор «&&» должен находиться рядом с двумя выражения без пробела между выражениями и оператором. Это особенно касается Диалоговое окно выражения nstrace в графическом интерфейсе. 4. Сгенерируйте тестовый трафик: • Откройте веб-браузер и найдите http://172.21.10.101/home.php. • Обновите страницу несколько раз. • Откройте веб-браузер и найдите http://172.21.10.105/. 5. Вернитесь в графический интерфейс Citrix ADC и остановите трассировку: • Нажмите « Остановить и загрузить», чтобы остановить текущую трассировку. • Нажмите « Закрыть», чтобы закрыть диалоговое окно « Удалить / загрузить файлы трассировки ». Каталоги загрузки немного различаются в зависимости от того, какой браузер вы используете. Чтобы стандартизировать шаги, WinSCP будет использоваться для загрузки файла трассировки. 6. Используйте WinSCP для загрузки трассировки: • Откройте WinSCP и подключитесь к ADCMGMT SNIP (192.168.10.103). • Если вы получили предупреждение от WinSCP о необходимости добавления ключа хоста в кэш, нажмите « Да», чтобы Продолжать. https://translate.googleusercontent.com/translate_f 131/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • На правой панели перейдите к / var / nstrace / . • Трасса создается в папке, названной по дате / времени. • На левой панели перейдите к папке C: \ resources \. • Скопируйте соответствующий nstrace (обычно: nstrace1.pcap) с правой панели в папку Каталог C: \ resources \ на левой панели. • Закройте WinSCP. 7. На рабочем столе хоста перейдите в папку C: \ resources \. Дважды щелкните файл .pcap, чтобы открыть его в Wireshark. 173 Стр. Решебника 174 CNS-218-3I Citrix ADC 12.x Essentials 8. В трассировке найдите следующее: • Найдите первую ссылку на запрос Get /home.php . • (Вы можете использовать фильтр http.request.uri == "/ home.php" и http.request.method == "GET") Определите исходный IP-адрес как рабочий стол HOST. (192.168.10.254). Определите IP-адрес назначения как VIP (172.21.10.101) • Затем используйте трассировку, чтобы определить, какой SNIP Citrix ADC использовал для отправки трафика на внутренние серверы и какой сервер (красный, синий или зеленый) ответил объектом. Ключевые выводы: • Детали Nslog и Syslog доступны как в графическом интерфейсе, так и в интерфейсе командной строки. • Syslog - это журнал аудита для Citrix ADC, содержащий все изменения конфигурации, внесенные в прибор. Другие конкретные события регистрируются функциями и подсистемами Citrix. АЦП, а это значит, что он может быть полезен для устранения неполадок. • Nslog содержит всю статистику, метрики и счетчики отладки на Citrix ADC в дополнение к событиям и консольному сообщению. • Статистическую и метрическую информацию можно получить из nslog или с помощью статистики. в интерфейсе командной строки, команды статистики в графическом интерфейсе или в представлении панели мониторинга в GUI. • Nslog также содержит полезную информацию об устранении неполадок, такую как события, консоль сообщения, продолжительность файла журнала, вывод dmesg и использование памяти. Все эти счетчики могут можно получить вручную через интерфейс командной строки или с помощью встроенных ярлыков в графическом интерфейсе. В GUI - предпочтительный метод получения этой информации для повседневных операций. • Nstrace - это встроенная утилита трассировки Citrix ADC. Его можно запустить из интерфейса командной строки или графического инте может легко использоваться для захвата сетевой трассировки с необходимыми параметрами для подмножества интересующий трафик с использованием параметров выражения и ссылки. 174 Стр. Решебника 175 CNS-218-3I Citrix ADC 12.x Essentials https://translate.googleusercontent.com/translate_f 132/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 8-2: Настройка внешнего системного журнала и политик аудита (GUI) Введение: В этом упражнении вы научитесь настраивать политики аудита для включения внешнего ведения журнала локальных syslog на внешний сервер syslog. Вы будете использовать графический интерфейс Citrix ADC Configuration Utility для выполните это упражнение. Политики аудита будут настроены таким образом, чтобы Citrix ADC продолжал регистрировать все события в локальный файл системного журнала в /var/log/ns.log. Регистрация на внешний сервер системного журнала выполняется в дополнение к локальное ведение журнала, а не вместо. В этом упражнении политика аудита будет привязана к глобальному системному объекту, чтобы весь системный журнал события регистрируются на внешнем сервере. Политики аудита могут быть привязаны к конкретным виртуальным серверов, групп AAA или пользователей AAA для сбора данных системного журнала, относящихся только к этим объектам. Kiwi Syslog Daemon, запущенный на рабочем столе HOST, будет действовать как внешний сервер Syslog. В этом упражнении вы будете выполнять следующие задачи: • Настройте Kiwi Syslog Daemon для получения сообщений Syslog. • Настройте политики внешнего аудита для системного журнала. • Просмотр сообщения аудита на удаленном сервере (Kiwi). Настройте Kiwi Syslog Daemon для получения сообщений Syslog Шаг 1. Действие Запустите Kiwi Syslog Daemon: • Дважды щелкните ярлык Kiwi Syslog Daemon на рабочем столе. • Или запустите C: \ Program Files \ Syslogd \ Syslogd.exe . 2. Настройте Kiwi для получения сообщений системного журнала (UDP 514): • Щелкните Файл и выберите Настройка . • Разверните « Входы» и выберите « UDP» . • Убедитесь, что выбран параметр « Слушать системный журнал UDP» и что для порта UDP установлено значение 514 . • Оставьте для всех остальных настроек значения по умолчанию. • Щелкните ОК . 3. Продолжайте киви для этого упражнения. 175 Стр.176 CNS-218-3I Citrix ADC 12.x Essentials Настройка политик внешнего аудита для системного журнала Шаг 1. Действие Подключитесь к утилите настройки Citrix ADC HA Pair с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Создайте новый сервер системного журнала (действие политики), который будет регистрироваться на рабочем столе HOST (192.168.10.254). • Перейдите в раздел Система> Аудит> Системный журнал . • Щелкните вкладку Серверы . https://translate.googleusercontent.com/translate_f 133/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Щелкните Добавить . • Введите ext_kiwi в поле Имя . • Введите 192.168.10.254 в поле IP-адрес . Это IP-адрес внешнего Сервер системного журнала для входа. • Убедитесь, что порт - 514 . • Выберите Custom, а затем выберите следующее в разделе Log Levels : EMERGENCY, ALERT, КРИТИЧЕСКИЙ, ОШИБКА, ПРЕДУПРЕЖДЕНИЕ, УВЕДОМЛЕНИЕ, ИНФОРМАЦИОННОЕ. (Исключить DEBUG). • Выберите Local0 в качестве средства ведения журнала . • Щелкните " Создать" . 3. Создайте политику системного журнала: • Щелкните вкладку Политики . • Щелкните Добавить . • Введите ext_kiwi_policy в поле Имя . • Выберите ext_kiwi из раскрывающегося списка « Сервер» . • Щелкните " Создать" . • Щелкните OK в предупреждении . 176 Стр. Решебника 177 CNS-218-3I Citrix ADC 12.x Essentials 4. Привяжите политику к точке привязки System Global. • Перейдите в раздел Система> Аудит> Системный журнал . • Щелкните вкладку Политики . • Щелкните « Действие»> «Глобальные привязки классической политики» . • Щелкните « Щелкните для выбора» в разделе « Выбор политики» . • Выберите ext_kiwi_policy и нажмите Выбрать . • Щелкните « Привязать» . • Щелкните Готово . Примечание . Параметры аудита по умолчанию (Система> Аудит> Изменить настройки системного журнала аудита и изменение параметров аудита Nslog) включить локальное ведение журнала в syslog в /var/log/ns.log и nslog в / var / nslog / newnslog. Привязка политик аудита к глобальной точке привязки системы позволяет вести журнал на внешний сервер аудита. всех глобальных событий, которые фиксируются в локальных файлах журнала. Политики аудита используют политику каскадно (аналогично политикам аутентификации), и связанные политики обрабатываются в приоритетном порядке порядок, за которым следует настройка регистрации глобальных параметров. Следовательно, политики аудита можно использовать для установить дополнительные места ведения журнала, не устраняя локальное ведение журнала. Политики аудита также могут быть привязаны к виртуальным серверам (lb, cs, vpn и др.), Группам AAA и AAA. Пользователи. Политики, привязанные к объектам, отличным от System Global, будут регистрировать только события (конфигурация изменения и другие проверенные события) только для этих организаций. Просмотр сообщений аудита на удаленном сервере (в Kiwi) Шаг Действие 1. Переключитесь на Kiwi Syslog. 2. Просматривайте сообщения системного журнала от Citrix ADC в Kiwi. Вернитесь в Citrix ADC и сгенерируйте проверенные события: • Сохраните конфигурацию Citrix ADC и подтвердите. • Переход к различным узлам графического интерфейса; все команды show проходят аудит. 3. Отключите политику от System Global, чтобы отключить внешнее ведение журнала к этому месту назначения. • Перейдите в раздел Система> Аудит> Системный журнал . • Щелкните вкладку Политики . • Щелкните « Действие»> «Глобальные привязки классической политики» . https://translate.googleusercontent.com/translate_f 134/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Выберите ext_kiwi_policy и нажмите « Отменить привязку» . • Щелкните Да для подтверждения. • Щелкните " Закрыть" . Примечание. Если процесс отмены привязки не работает из графического интерфейса, используйте значок PuTTY на ХОСТЕ. рабочий стол для подключения к Citrix ADC. Войдите в систему с помощью nsroot / nsroot и введите команду unbind системная глобальная ext_kiwi_policy . Ключевые выводы: 177 Стр. Решебника 178 CNS-218-3I Citrix ADC 12.x Essentials • Политики аудита позволяют отправлять данные syslog и nslog на внешний сервер. Обычно это сделано для ведения журналов в течение более длительных периодов хранения, чем позволяет Citrix ADC, или защитить журналы аудита от потери в случае сбоя устройства. Системный журнал Citrix ADC в стандартном формате системного журнала и может быть отправлен на любой сервер системного журнала. • Политики аудита следуют тому же каскаду политик, что и политики аутентификации. Если многократный аудит политики связаны, тогда ведение журнала может происходить в нескольких местах назначения. • При привязке политик аудита к глобальному системному объекту удаленный журнал будет содержать все та же информация, что и в локальном системном журнале Citrix ADC. Хотя политики аудита также могут быть привязаны к виртуальному серверу, группам AAA и пользователям AAA, политика привязки к глобальному системный объект - единственный способ фиксировать все события в Citrix ADC и все проверенные изменения конфигурации, сделанные пользователями системы. Упражнение 8-3: Настройка SNMP (графический интерфейс) Введение: В этом упражнении вы научитесь настраивать интеграцию SNMP в Citrix ADC, чтобы разрешить оба Опрос и оповещение по протоколу SNMP. Это упражнение настроит строки сообщества SNMP, SNMP менеджеры, назначения ловушек SNMP и предупреждения SNMP. Kiwi Syslog Daemon, работающий на HOST рабочий стол будет местом назначения ловушек SNMP для этого сценария. Вы будете использовать Citrix ADC Графический интерфейс служебной программы настройки для выполнения этого упражнения. В этом упражнении вы будете выполнять следующие задачи: • Настройте Kiwi Syslog Daemon для получения предупреждений SNMP. • Настройте параметры SNMP. • Просмотр предупреждений SNMP на удаленном сервере (Kiwi). Настройте Kiwi Syslog Daemon для получения предупреждений SNMP Шаг 1. Действие Отключить системный журнал в Kiwi: • Щелкните Файл и выберите Настройка . • Разверните « Входы» и выберите « UDP» . • Снимите флажок « Прослушивать сообщения системного журнала UDP» . 2. Включите ловушки SNMP в Kiwi: • Разверните « Входы» и выберите « SNMP» . • Выберите « Слушать ловушки SNMP» и убедитесь, что в поле « Порт UDP» отображается 162 . • Щелкните ОК . 3. Четкое отображение в киви: • Щелкните « Просмотр»> «Очистить отображение». 178 Стр. Решебника 179 https://translate.googleusercontent.com/translate_f 135/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials CNS-218-3I Citrix ADC 12.x Essentials Настроить параметры SNMP Шаг 1. Действие Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Настроить строку сообщества SNMP: • Перейдите в раздел Система> SNMP> Сообщество . • Щелкните Добавить . • Введите ctxtrainsnmp в поле Строка сообщества . • Выберите « Все» в раскрывающемся списке « Разрешение» . • Щелкните " Создать". 3. Настройте диспетчер SNMP. Используйте рабочий стол HOST (192.168.10.254) в качестве управления сервер. • Перейдите в раздел Система> SNMP> Менеджеры . • Щелкните Добавить . • Выберите Сеть управления . • Введите 192.168.10.254 в поле IP-адрес . • Держите NETMASK набор для 255.255.255.255 . Это настраивает разрешенный менеджер как единый хост вместо сети. • Щелкните " Создать" . 4. Настройте назначение прерывания SNMP для общих типов прерываний: • Перейдите в раздел Система> SNMP> Ловушки . • Щелкните Добавить . • Выберите Generic под тип . • Проверьте V2 в разделе « Версия» . • Введите 192.168.10.254 в качестве IP-адреса назначения . • Оставьте IP-адрес источника < пустым > . Citrix ADC по умолчанию отправляет прерывания со своего адреса NSIP. • Введите ctxtrainsnmp в поле « Имя сообщества» . • Щелкните " Создать" . 5. Настройте назначение прерывания SNMP для определенных типов прерываний: • Щелкните Добавить . • Выберите « Конкретный» в разделе « Тип» . • Проверьте V2 в разделе « Версия» . • Введите 192.168.10.254 в качестве IP-адреса назначения . • Оставьте IP-адрес источника < пустым > . Citrix ADC по умолчанию отправляет прерывания со своего адреса NSIP. • Введите ctxtrainsnmp в поле « Имя сообщества» . • Щелкните " Создать" . Примечание . «Минимальная серьезность» не указана, поэтому будут отправлены все предупреждения. Уровни серьезности можно настроить на костюм уровень видимости. 179 Стр. Решебника 180 CNS-218-3I Citrix ADC 12.x Essentials 6. Настройте сигнал тревоги SNMP для генерации прерываний при событиях сохранения конфигурации: • Перейдите в раздел Система> SNMP> Сигналы тревоги . • Изменить количество элементов, отображаемых на странице с 25 на странице до 250 на странице (в внизу панели сигналов тревоги) или вы можете использовать опцию поиска . • Щелкните заголовок « Тревога» для сортировки по имени. • Выберите тревогу CONFIG-SAVE и нажмите Edit . • Убедитесь , что Logging будет включен . • Убедитесь в том, что государство будет включено . • Щелкните ОК . 7. Настройте сигнал тревоги SNMP для генерации ловушек при превышении пороговых значений ЦП: • Выберите аварийный сигнал CPU-USAGE и нажмите Edit . • Введите 85 в качестве порога срабатывания сигнализации (загрузка ЦП 85%). • Введите 80 для нормального порога (загрузка ЦП 80%). • Выберите Major под серьезностью . • Убедитесь , что Logging будет включен . https://translate.googleusercontent.com/translate_f 136/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Убедитесь в том, что государство будет включено . • Щелкните ОК . Просмотр предупреждений SNMP на удаленном сервере (в Kiwi) Шаг Действие 1. Переключитесь на Kiwi Syslog. 2. Создание предупреждений SNMP на Citrix ADC для отправки в Kiwi Syslog Daemon. Вернитесь к Citrix ADC и сгенерируйте ловушки SNMP: • Отключить службу svc_red: ENTITY_STATE alarm. • Повторно включить службу svc_red: ENTITY_STATE alarm. • Сохраните конфигурацию Citrix ADC: сигнал тревоги CONFIG_SAVE. 3. Закройте Kiwi Syslog Daemon. Ключевые выводы: • Citrix ADC можно настроить для приема опроса SNMP и отправки предупреждений SNMP для различные события по мере их возникновения. Это позволяет Citrix ADC сообщать о проблемах как часть существующая инфраструктура управления SNMP. • Если менеджеры SNMP не указаны, Citrix ADC ответит любому менеджеру, который запрашивает информацию для опроса. • Ответы SNMP по умолчанию включены для адресов NSIP, SNIP и VIP. SNMP может быть отключены на отдельных адресах. • Citrix ADC поддерживает оповещения SNMP v1, v2 и v3. • При настройке места назначения прерывания Citrix ADC, если исходный IP-адрес пуст, Используется NSIP. В противном случае можно выбрать конкретный СНИП. 180 Стр. Решебника 181 CNS-218-3I Citrix ADC 12.x Essentials • Citrix ADC поставляется с рядом включенных по умолчанию предупреждений SNMP. SNMP предупреждения и пороговые значения предупреждений и другие параметры можно настроить по мере необходимости. Упражнение 8-4: Устранение неполадок (GUI) Введение: В этом упражнении вы научитесь применять то, что узнали о Citrix ADC. конфигурацию и устранение неполадок в другом файле конфигурации Citrix ADC. Вы будете использовать графический интерфейс Citrix ADC Configuration Utility для выполнения этого упражнения. Хотя это упражнение определено как часть графического пользовательского интерфейса Citrix ADC Configuration Utility, упражнений, потребуется некоторое использование интерфейса командной строки для выполнения сценариев прерывания и исправления. Все шаги по устранению неполадок будут представлены на основе информации, доступной в графическом интерфейсе, где возможный. В этом упражнении вы будете выполнять следующие задачи: • Подготовьтесь к устранению неисправностей. • Сценарий устранения неполадок 1. Невозможно подключиться к управляющему SNIP. • Сценарий устранения неполадок 2: невозможно получить доступ к Citrix ADC с учетной записью домена. • Сценарий устранения неполадок 3. Пользователи не могут получить доступ к ресурсам. • Восстановить конфигурацию. Подготовьтесь к устранению неполадок Шаг 1. Действие Подготовьтесь к лабораторной работе по устранению неполадок: Выполните действия, описанные в этом разделе, чтобы подготовить пару HA к настройке устранения неполадок. Чтобы упростить управление конфигурацией, NYC-ADC-002 будет отключен (при получении инструкции) https://translate.googleusercontent.com/translate_f 137/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials и будет использоваться только NYC-ADC-001. Примечание : для этой задачи потребуется некоторый интерфейс командной строки. 2. Подключитесь к NYC-ADC-001 и NYC-ADC-002, используя отдельные сеансы SSH (PuTTY), используя каждый NSIP. Не используйте NSMGT SNIP (192.168.10.103) для этого упражнения, пока не получите инструкции. • Подключитесь к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как nsroot / nsroot. • Подключитесь к Citrix NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войти как nsroot / nsroot. 3. NYC-ADC-001 - Сохраните конфигурацию Citrix ADC, прежде чем продолжить: сохранить конфигурацию ns 181 Стр. Решебника 182 CNS-218-3I Citrix ADC 12.x Essentials 4. NYC-ADC-002 Установите для узла HA значение StaySecondary: установить узел ha -hastatus STAYSECONDARY Сохраните локальную конфигурацию: сохранить конфигурацию ns 5. Используйте Hyper-V Manager, чтобы выключить NYC-ADC-002: • Откройте диспетчер Hyper-V. • Щелкните правой кнопкой мыши NYC-ADC-002 и выберите « Завершение работы» . 6. Вернитесь к сеансу SSH (Putty) для NYC-ADC-001 для выполнения оставшейся части упражнения, пока проинструктирован. 7. Подготовьте NYC-ADC-001 для лабораторной диагностики. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 8. Запустите сценарий Break, чтобы начать лабораторную работу по устранению неполадок: batch -filename /var/labstuff/troubleshoot/break.txt Citrix ADC должен перезапуститься автоматически. Примечание . После перезапуска появится файл /nsconfig/ts_status.txt, содержащий его содержимое. "перемена". Устранение неполадок, сценарий 1 Среда представляет следующую проблему, и вас попросили определить причину. и исправьте проблему. Попытайтесь определить проблему, прежде чем переходить к ее решению. Выпуск 1: • Соединения с ADCMGMT SNIP на 192.168.10.103 не работают для графического интерфейса пользователя и SSH. Администраторы тестируют с помощью nsroot. Прежде чем вы начнете: • Каковы возможные причины проблемы, как описано? • Какие требования должны быть соблюдены, чтобы управляющие связи были успешными СНИП? Чтобы диагностировать эту проблему для сценария 1: Шаг Действие 182 https://translate.googleusercontent.com/translate_f 138/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр. Решебника 183 CNS-218-3I Citrix ADC 12.x Essentials 1. Для этого упражнения вам нужно будет сделать доступными два отдельных окна браузера: Откройте первый браузер и подключитесь к http://192.168.10.101. Войдите в систему как nsroot / nsroot. Мы будем называть это сеансом nsoot@192.168.10.101. Это будет использоваться для управления конфигурацией. 2. Используйте второй браузер и попытайтесь воспроизвести проблему, подключившись к ADCMGMT SNIP на http://192.168.10.103. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Мы будем называть это сеансом nsroot@192.168.10.103. Попытка подключиться успешна или не удалась? ______________________________ 3. В командной строке CMD на рабочем столе HOST: • Можете ли вы пинговать 192.168.10.103? 4. С nsroot@192.168.10.101 Есть СНиП (192.168.10.103): • Включено? • Настроен как SNIP • Правильная маска подсети • Включен ли режим USNIP? Используйте графический интерфейс, чтобы исследовать вышеуказанные настройки. 5. У вас достаточно информации для решения проблемы? Для чего нужны настройки: Доступ к управлению - Ограничить доступ Чтобы решить проблему для сценария 1: Шаг 1. Действие Повторно включите доступ к управлению по SNIP 192.168.10.103: • Перейдите в раздел Система> Сеть> IP-адреса . • Выберите 192.168.10.103 и нажмите « Изменить» . Измените следующие параметры в разделе Контроль доступа к приложениям: • Включите « Включить управление доступом к управлению» для поддержки перечисленных ниже приложений. • Убедитесь, что доступ к SSH и графическому интерфейсу включен. • Включите Разрешить доступ только к управляющим приложениям . • Щелкните ОК . 2. Сохраните конфигурацию Citrix ADC и подтвердите. 183 Стр. Решебника 184 CNS-218-3I Citrix ADC 12.x Essentials 3. Убедитесь, что проблема решена: Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Ожидаемый результат: соединение установлено. 4. Закройте этот сеанс: nsroot@192.168.10.103 https://translate.googleusercontent.com/translate_f 139/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 184 Стр. Решебника 185 CNS-218-3I Citrix ADC 12.x Essentials Устранение неполадок, сценарий 2 Попытайтесь определить проблему, прежде чем переходить к ее решению. Выпуск 2: • Подключения к ADCMGMT SNIP на 192.168.10.103 теперь работают для администраторов. аутентификация с помощью локальных системных учетных записей, таких как nsroot, но пытается подключиться к любому IP управления (NSIP или SNIP) с учетными записями домена (trainNSAdmin) не работает. Для этого сценария используйте ту же информацию учетной записи домена, которая использовалась в Модуле 7: Обеспечение безопасности Citrix ADC. Прежде чем вы начнете: • Каковы возможные причины описанной проблемы? • Каковы требования для использования учетных записей домена для доступа к управляющему IP? адреса на Citrix ADC? • Этот сценарий содержит несколько проблем, а таблица диагностики дает подробные сведения. оценка аутентификации. Вы можете найти проблемы раньше, используя другие методы. Чтобы диагностировать проблему для сценария 2: Шаг 1. Действие Подключитесь к NYC-ADC-001 по адресу http://192.168.10.101. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Мы будем называть это сеансом nsroot@192.168.10.101 . https://translate.googleusercontent.com/translate_f 140/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Продолжайте этот сеанс, чтобы выполнить устранение неполадок и изменить детали конфигурации, когда исправление обнаружено. 2. Воспроизведите проблему - подключитесь к NYC-ADC-001 по адресу http://192.168.10.101. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: trainNSAdmin Пароль: Пароль1 Мы назовем это сеансом trainnsadmin@192.168.10.101 . Примечание : этот сеанс не сможет подключиться, пока проблема не будет решена. Вам нужно будет протестировать подключения несколько раз, пока проблема не будет решена. 185 Стр. Решебника 186 CNS-218-3I Citrix ADC 12.x Essentials 3. nsroot@192.168.10.101 - Просмотр проблемы аутентификации в системном журнале: • Перейдите в раздел Система> Аудит . • Щелкните Последние сообщения аудита . • Щелкните Выполнить . В выводе системного журнала вы должны увидеть события неудачной аутентификации для trainNSAdmin. Событие указывает на то, что аутентификация для пользователя не удалась, но этой информации недостаточно для точно знать причину проблемы. 4. Определите, происходит ли внешняя аутентификация. Есть несколько способов сделать это: • Посмотрите на политики аутентификации в системе и определите, связаны ли они уже и если происходят срабатывания политики. • Из интерфейса командной строки посмотрите, выполняются ли внешние вызовы аутентификации, используя aaad.debug. (что может быть полезно, если вы не знаете, с чего начать.) Этот шаг описан в CLI упражнение, но не в версии с графическим интерфейсом. 5. Выполните диагностику, глядя на привязки политик и попадания в политику: На nsroot@192.168.10.101 Определите следующее: • Присутствуют ли какие-либо политики аутентификации ldap? • Настроены ли политики аутентификации ldap с правильным действием ldap (сервером)? • Является ли ожидаемая политика обязательной? 6. Для просмотра деталей политики аутентификации: • Перейдите в раздел Система> Аутентификация> Основные политики> LDAP . 7. Resolve (2.1) - привязать политику аутентификации к глобальному системному объекту: • Перейдите в раздел Система> Аутентификация> Основные политики> LDAP, если еще нет. • Щелкните Глобальные привязки . • Щелкните « Щелкните для выбора» в разделе « Выбор политики» . • Выберите auth_ldap_policy и нажмите Выбрать . • Щелкните « Привязать» . • Щелкните Готово . Прежде чем продолжить устранение неполадок, эту проблему необходимо решить. 8. Определите, устраняет ли это проблему: Попытайтесь подключиться к NYC-ADC-001 по адресу http://192.168.10.101. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: trainNSAdmin Пароль: Пароль1 На этот раз аутентификация прошла успешно или не удалось? ___________________________________ 186 https://translate.googleusercontent.com/translate_f 141/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр. Решебника 187 CNS-218-3I Citrix ADC 12.x Essentials 9. nsroot@192.168.10.101 - снова просмотреть проблему аутентификации в системном журнале: • Перейдите в раздел Система> Аудит . • Щелкните Последние сообщения аудита . • Щелкните Выполнить . В выводе системного журнала вы должны увидеть события неудачной аутентификации для trainNSAdmin. Это те же события, что и ранее, но они все еще указывают на неверное имя пользователя или пароль. Однако перед сообщением для "user trainnsadmin" есть другое событие, которое указывает на проблема с AAA (внешняя аутентификация): Сообщение AAA 402 «В update_aaa_cntr: Неудачная политика для trainnsadmin = auth_ldap_srv». Это сообщение все еще нечеткое (события aaad.debug более подробно описаны), но оно указывает на то, что что-то в политике аутентификации или действии может влиять на аутентификацию пользователя. 10. Проверьте конфигурацию действия ldap: auth_ldap_srv: • Определить, правильный ли IP-адрес для контроллера домена? • Проверьте учетную запись администратора Bind DN и пароль. • Проверить правильность других настроек аутентификации? • Определите, включена ли функция. В случае сомнений заподозрите неверный пароль. 11. Разрешите учетную запись Bind DN: • Перейдите в раздел Система> Аутентификация> Основные политики> LDAP . • Щелкните вкладку Серверы . • Выберите auth_ldap_srv и нажмите « Изменить» . • Убедитесь, что администратором Bind DN является trainaduser@workspacelab.com . Измените пароль Bind DN: • Проверьте пароль BindDN . • Введите Password1 в поле пароля администратора и подтвердите пароль администратора. поля. Щелкните ОК . 12. Определите, устраняет ли это проблему: Попытайтесь подключиться к NYC-ADC-001 по адресу http://192.168.10.101. Войдите в утилиту, используя следующие учетные данные: Имя пользователя: trainNSAdmin Пароль: Пароль1 На этот раз аутентификация прошла успешно или не удалось? ______________________ 13. Проблема решена. Закройте сессию trainNSAdmin@192.168.10.101. 14. nsroot@192.168.10.101: Сохраните конфигурацию Citrix ADC и подтвердите. 187 Стр. Решебника 188 CNS-218-3I Citrix ADC 12.x Essentials Решить: Шаг Действие 1. Используйте эти шаги, если вы не выполнили решения на этапе диагностики. 2. Проблема 2.1 - Политика аутентификации не привязана к системному глобальному объекту: • Перейдите в раздел Система> Аутентификация> Основные политики> LDAP, если еще нет. • Щелкните Глобальные привязки . • Щелкните « Щелкните для выбора» в разделе « Выбор политики» . • Выберите auth_ldap_policy и нажмите Выбрать . • Щелкните « Привязать» . https://translate.googleusercontent.com/translate_f 142/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Щелкните Готово . 3. Проблема 2.2 - Политика аутентификации неправильно настроена с неверными учетными данными для учетной записи BindDN: • Перейдите в раздел Система> Аутентификация> Основные политики> LDAP . • Щелкните вкладку Серверы . • Выберите auth_ldap_srv и нажмите « Изменить» . • Убедитесь, что администратором Bind DN является trainaduser@workspacelab.com . Измените пароль Bind DN: • Проверьте пароль BindDN . • Введите Password1 в поле пароля администратора и подтвердите пароль администратора. поля. Щелкните ОК . Учетные данные обновляются: Имя пользователя: trainADUser@workspacelab.com Пароль: Пароль1 4. Сохраните конфигурацию Citrix ADC и подтвердите. Устранение неполадок, сценарий 3 Обнаружена следующая проблема, и вас попросили указать причину и устраните проблему или проблемы, влияющие на конфигурацию. Попытайтесь определить проблему, прежде чем переходить к разрешение. Выпуск 3: • Пользователи больше не могут получить доступ к ресурсам на http://172.21.10.101 (lb_vsrv_rbg) или https://172.21.10.101 (ssl_vsrv_rbg). Для диагностики: Шаг Действие 188 Стр. Решебника 189 CNS-218-3I Citrix ADC 12.x Essentials 1. Воспроизвести выпуск: • Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php. • Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php. В этом упражнении вы устраняете неполадки только lb_vsrv_rbg и ssl_vsrv_rbg. 2. Что нужно проверить: • Включена ли функция балансировки нагрузки? • Службы ВВЕРХ или ВНИЗ? • Связанные виртуальные серверы балансировки нагрузки ВВЕРХ или ВНИЗ? Что нужно иметь в виду: • Что требуется для отображения услуги ВВЕРХ или ВНИЗ? • Если HTTP - UP, а SSL - DOWN, каковы различные зависимости в конфигурация? Продолжайте, чтобы получить точные инструкции по устранению неполадок. 3. Определите состояние функции: • Перейдите в раздел Система> Настройки . • Щелкните « Настроить основные функции» . Балансировка нагрузки включена или отключена? _________________________ Включена или отключена разгрузка SSL? ___________________________ 4. Если вы внесли изменения, решило ли это проблему: • Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php. • Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php. Этот тест прошел успешно или не прошел? https://translate.googleusercontent.com/translate_f 143/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 189 Стр. Решебника 190 CNS-218-3I Citrix ADC 12.x Essentials 5. Просмотрите конфигурации виртуального сервера с балансировкой нагрузки: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Какие виртуальные серверы балансировки нагрузки находятся в состоянии ВВЕРХ или ВНИЗ? Службы или группы служб ВВЕРХ или ВНИЗ? • Перейдите к Управление трафиком> Балансировка нагрузки> Службы . • Находятся ли службы или группы служб в автономном режиме? Просмотр сведений о виртуальном сервере для lb_vsrv_rbg: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите lb_vsrv_rbg и нажмите « Изменить» . • Связаны ли услуги или группы услуг? Просмотр сведений о виртуальном сервере для ssl_vsrv_rbg: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите lb_vsrv_rbg и нажмите « Изменить» . • Связаны ли услуги или группы услуг? • Доступен ли сертификат SSL? ___________________________________ • Привязан ли сертификат SSL? ____________________________________ 6. Приступите к устранению выявленных проблем. 7. Разрешение теста: • Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php. • Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php. Проверьте следующее: • Оба URL-адреса доступны. • В конце отображается фактическая балансировка нагрузки (красный / синий / зеленый). Решить: Шаг 1. Действие Включить функцию LB: • Перейдите в раздел Система> Настройки . • Щелкните « Настроить основные функции» . • Выберите « Балансировка нагрузки» и нажмите « ОК» . 2. Привязать сервисы к lb_vsrv_rbg: • Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы . • Выберите lb_vsrv_rbg и нажмите « Изменить» . • Щелкните " Нет привязки службы виртуального сервера балансировки нагрузки" в разделе " Службы и службы". Группы . • Щелкните « Щелкните для выбора» в разделе « Выбор службы» . • Выберите svc_red , svc_blue и svc_green и нажмите « Выбрать» . • Щелкните « Привязать» . • Щелкните Готово . https://translate.googleusercontent.com/translate_f 144/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 190 Стр. Решебника 191 CNS-218-3I Citrix ADC 12.x Essentials 3. Привязать SSL-сертификат к ssl_vsrv_rbg: • Выберите ssl_vsrv_rbg и нажмите Edit . • Щелкните Нет сертификата сервера в разделе Сертификаты. • Щелкните « Щелкните для выбора» в разделе « Выбор сертификата сервера» . • Выберите colors.workspacelab.com и нажмите Выбрать . • Щелкните « Привязать» . • Щелкните Готово . 4. Сохраните конфигурацию Citrix ADC и подтвердите. 191 Стр. Решебника 192 CNS-218-3I Citrix ADC 12.x Essentials Восстановить конфигурацию Используйте следующую процедуру для восстановления конфигурации Citrix ADC до конфигурации перед упражнением по поиску и устранению неисправностей или к альтернативным конфигурациям в соответствии с инструкциями инструктор. Шаг 1. Действие Подключитесь к NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). https://translate.googleusercontent.com/translate_f 145/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Из интерфейса командной строки выполните следующую команду (в соответствии с инструкциями инструктора). Восстановить конфигурацию после лабораторной работы: • Fix1 - для восстановления из предыдущей конфигурации (ns.conf.student.good). batch -filename /var/labstuff/troubleshoot/fix1.txt • Fix2 - для восстановления до конца части 1, дня 3 (part1final.ns.conf) batch -filename /var/labstuff/troubleshoot/fix2.txt Устройство перезагрузится после выполнения сценария. Если вы не уверены, какую точку восстановления использовать, используйте сценарий Fix2.txt для восстановления до конца части 1 - День. 3. 3. Подождите, пока NYC-ADC-001 перезапустится. Прежде чем продолжить, убедитесь, что Citrix ADC по-прежнему является основным членом пары высокой доступности. Ты можешь необходимо подождать минуту или две после перезапуска, чтобы NYC-ADC-001 стал основным. Просмотрите статус HA, чтобы подтвердить: показать узел ha 4. Используйте диспетчер Hyper-V для запуска NYC-ADC-002: • Откройте диспетчер Hyper-V . • На левой панели щелкните правой кнопкой мыши NYC-ADC-002 и выберите Пуск . Подождите, пока запустится NYC-ADC-002. 5. NYC-ADC-001 (Первичный) Принудительная синхронизация с NYC-ADC-002 (StaySecondary): принудительная синхронизация Дождитесь завершения синхронизации высокой доступности: показать узел 6. NYC-ADC-001 (первичный) - Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 192 Стр. Решебника 193 CNS-218-3I Citrix ADC 12.x Essentials 7. Подключитесь к NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 8. NYC-ADC-002 (StaySecondary): Staysecondary) Отключите опцию StaySecondary на NYC-ADC-002 и вернитесь к обычному участию в HA: установить ha node -hastatus enabled Ключевые выводы: • Чтобы устранить неполадки Citrix ADC, начните с определения проблемы и воспроизведения ее, когда возможный. Проверьте требования к конфигурации для данной функции. Всегда начинай с проверка того, что функции лицензированы и правильно включены. Затем разбейте требования к конфигурации для данной функции и убедитесь, что все требования выполнены. o Для виртуальных серверов - работают ли сервисы, связаны ли сервисы и являются ли виртуальные серверы настроен с правильными настройками? o Для функций на основе политик - привязаны ли политики к правильной точке привязки и происходят нарушения политики? o Для сетевых проблем - что требуется для пропускания трафика по сети? Проверьте интерфейсы, маршруты, vlan и проверьте базовое сетевое подключение перед переходом на более сложные вопросы по устранению неполадок. https://translate.googleusercontent.com/translate_f 146/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials • Syslog и Nslog могут помочь в устранении неполадок. Другие журналы и утилиты, такие как aaad.debug и nstrace, могут предоставить дополнительную информацию об устранении неполадок. • Иногда интерфейс командной строки предоставляет больше информации об устранении неполадок, чем GUI. 193 Стр. Решебника 194 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 8-1: Просмотр журналов и сетевых трассировок Citrix ADC (CLI) Введение: В этом упражнении вы научитесь собирать журнал и информацию об устранении неполадок. Вы будете использовать интерфейс командной строки для выполнения этого упражнения. В этом упражнении вы будете выполнять следующие задачи: • Просмотрите файл системного журнала (/var/log/ns.log) и его события. • Просмотрите файл nslog (/ var / nslog / newnslog) и просмотрите продолжительность файла журнала, события и консольные сообщения. • Создайте сетевую трассировку с помощью консоли nstrace в графическом пользовательском интерфейсе Citrix ADC. Просмотреть системный журнал (/var/log/ns.log) Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Просмотрите сообщения аудита в CLI: показать сообщения аудита показать сообщения аудита -numOfMesgs 25 Отображает самые последние сообщения аудита из журнала аудита (файл системного журнала). Возвращает, самое большее, последние 256 событий. 3. Просмотреть последние файлы системного журнала: оболочка cd / var / log / ls Текущий файл системного журнала называется ns.log. Архивные файлы журналов называются ns.log.0.gz-ns.log.25.gz. https://translate.googleusercontent.com/translate_f 147/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 194 Стр. Решебника 195 CNS-218-3I Citrix ADC 12.x Essentials 4. Просмотр событий системного журнала Просмотреть текущий системный журнал: подробнее /var/log/ns.log Поиск событий или сообщений в системном журнале с помощью grep: подробнее /var/log/ns.log | grep svc_red -i подробнее /var/log/ns.log | ошибка grep -i Используйте grep для исключения событий или сообщений с параметром -v: подробнее /var/log/ns.log | grep CMD_EXECUTED -v 5. Просмотр последних событий из текущего файла системного журнала Показать последние 10 записей в текущем файле системного журнала: хвост /var/log/ns.log Отображение недавних событий журнала, содержащих фразу «ошибка»: хвост /var/log/ns.log | ошибка grep -i Отображать события по мере их возникновения, сохраняя ns.log как дескриптор открытого файла: хвост -f /var/log/ns.log 6. Просмотр событий из архивных файлов системного журнала Определите недавний архив системного журнала: ns.log. ##. Gz: ls -l ns.log * Просмотрите содержимое файла журнала, не извлекая его предварительно: zcat /var/log/ns.log.##.gz | Больше Если файл уже был извлечен (без расширения .gz), обычно используйте more / tail / grep: подробнее /var/log/ns.log.## 7. Просмотр системного журнала в графическом интерфейсе: • Последние сообщения системного журнала: Система> Аудит . Щелкните Последние сообщения аудита . • Полные файлы системного журнала: Система> Аудит . Щелкните Сообщения системного журнала . 195 Стр. Решебника 196 CNS-218-3I Citrix ADC 12.x Essentials Просмотр Nslog (/ var / nslog / newnslog) (CLI / GUI) Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: https://translate.googleusercontent.com/translate_f 148/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Имя пользователя: nsroot Пароль: nsroot 2. Просмотрите файлы nslog в Citrix ADC: оболочка cd / var / nslog / ls Текущий nslog - это newnslog . Архивные файлы nslog - это newnslog.0.gz-newnslog.99.gz. 3. Просмотрите текущий или архивный файл nslog и определите: • Продолжительность файла журнала (время начала / окончания) • События • Консольные сообщения Примечание : nsconmsg чувствителен к регистру. • -K (большой) обозначает входной файл • -k (маленький) обозначает поле вывода; вы обычно не используете это при просмотре журнала. Просмотрите текущую продолжительность файла журнала и определите: nsconmsg -K / var / nslog / newnslog -d setime Просмотр событий: nsconmsg -K / var / nslog / newnslog -d событие Просмотр сообщений консоли: nsconmsg -K / var / nslog / newnslog -d consmsg 4. Просмотреть Nslog в графическом интерфейсе: • Перейдите в раздел Система> Диагностика . В разделе «Управление журналами» графический интерфейс содержит ярлыки для большинства часто используемых nsconmsg. команды. Эти команды могут быть выполнены для текущего файла nslog или архива: • Просмотр продолжительности файла журнала • Просмотр событий • Просмотр сообщений консоли • Просмотр событий за определенное время • Обрезать файлы журнала В разделе «Данные для устранения неполадок» дополнительные команды nslog обеспечивают доступ к: • Использование памяти • Просмотр dmesg.boot 196 Стр. Решебника 197 CNS-218-3I Citrix ADC 12.x Essentials Создание сетевой трассировки с помощью nstrace (CLI) Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Убедитесь, что вы находитесь в Citrix ADC CLI (вместо SHELL). 3. Просмотреть синтаксис для nstrace Показать основную справку: помогите начать nstrace Показать главную страницу полностью: человек начинает гонку Примечание . Использование ручной команды nstrace не рекомендуется в NetScaler 11.0. Запустите nstrace и Вместо этого следует использовать Stop nstrace. 4. Начните трассировку со следующими критериями • Размер 0 (полный пакет независимо от размера). • Захватить трассировку в форме PCAP. • Отслеживайте трафик, исходящий с рабочего стола HOST. • Отслеживать весь одноранговый трафик (-ссылка): https://translate.googleusercontent.com/translate_f 149/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials запустить nstrace -size 0 -traceformat pcap фильтр "connection.ip.eq (192.168.10.254) && connection.ip.eq (172.21.10.101)" -ссылка включен Эта команда генерирует трассировку только для трафика между рабочим столом HOST и RBG VIP; это исключит все коммуникации управления, поскольку мы используем SSH и графический интерфейс. подключения с рабочего стола HOST к адресам NSIP / SNIP. Ссылка включена опция гарантирует, что весь внутренний трафик, связанный с потоком запросов и ответов, также будет захвачен. Примечание о синтаксисе: в интерфейсе командной строки составной оператор может быть рядом с выражениями как указан или указан как <пробел> && <пробел>. Оба формата действительны. В графическом интерфейсе это выражение должно быть рядом без пробела между оператором в диалоговом окне nstrace. 5. Генерация тестового трафика • Откройте веб-браузер и перейдите по адресу http://172.21.10.101/home.php. • Обновите страницу несколько раз. • Откройте веб-браузер и перейдите по адресу http://172.21.10.105/. 6. Вернитесь к Citrix ADC CLI (Putty) и остановите трассировку: остановить гонку 197 Стр. Решебника 198 CNS-218-3I Citrix ADC 12.x Essentials 7. Используйте WinSCP для загрузки трассировки: • Откройте WinSCP и подключитесь к ADCMGMT SNIP (192.168.10.103). • Если вы получили предупреждение от WinSCP о необходимости добавления ключа хоста в кэш, нажмите Да, чтобы Продолжать. • На правой панели перейдите к / var / nstrace / . • Трасса создается в папке, названной по дате / времени. • На левой панели перейдите к C: \ resources \. • Скопируйте соответствующий nstrace (обычно: nstrace1.pcap) с правой панели в папку Каталог C: \ resources \ на левой панели. • Закройте WinSCP . 8. На рабочем столе HOST перейдите в папку C: \ resources \. Дважды щелкните файл .pcap, чтобы открыть его в Wireshark. 9. В трассировке найдите следующее: • Найдите первую ссылку на запрос Get /home.php . Определите исходный IP-адрес как рабочий стол HOST (192.168.10.254). Определите IP-адрес назначения как VIP (172.21.10.101). • Затем используйте трассировку, чтобы определить, какой SNIP Citrix ADC использовал для отправки трафика на внутренние серверы и какой сервер (красный, синий или зеленый) ответил объектом. Ключевые выводы: • Детали Nslog и Syslog доступны как в графическом интерфейсе, так и в интерфейсе командной строки. • Syslog - это журнал аудита для Citrix ADC, содержащий все изменения конфигурации, внесенные в прибор. Другие конкретные события регистрируются функциями и подсистемами Citrix. АЦП, что означает, что он может быть полезен для устранения неполадок. • Nslog содержит всю статистику, метрики и счетчики отладки на Citrix ADC в дополнение к событиям и консольному сообщению. • Статистическую и метрическую информацию можно получить из nslog или с помощью статистики. в интерфейсе командной строки, команды статистики в графическом интерфейсе или в представлении панели мониторинга в GUI. • Nslog также содержит полезную информацию об устранении неполадок, такую как события, консоль сообщения, продолжительность файла журнала, вывод dmesg и использование памяти. Все эти счетчики могут можно получить вручную через интерфейс командной строки или с помощью встроенных ярлыков в графическом интерфейсе. Графи - предпочтительный метод получения этой информации для повседневных операций. • Nstrace - это встроенная утилита трассировки Citrix ADC. Его можно запустить из интерфейса командной строки или графического инте может легко использоваться для захвата сетевой трассировки с необходимыми параметрами для подмножества интересующий трафик с использованием параметров выражения и ссылки. https://translate.googleusercontent.com/translate_f 150/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 8-2: Настройка внешнего системного журнала и политик аудита (CLI) 198 Стр. Решебника 199 CNS-218-3I Citrix ADC 12.x Essentials Введение: В этом упражнении вы научитесь настраивать политики аудита для включения внешнего ведения журнала локальных syslog на внешний сервер syslog. Вы будете использовать интерфейс командной строки для выполнения этого упражнение. Политики аудита будут настроены таким образом, чтобы Citrix ADC продолжал регистрировать все события в локальный файл системного журнала в /var/log/ns.log. Запись на внешний сервер системного журнала осуществляется в дополнение к локальн logging, а не вместо. В этом упражнении политика аудита будет привязана к глобальному системному объекту, чтобы весь системный журнал события регистрируются на внешнем сервере. Политики аудита могут быть привязаны к конкретным виртуальным серверов, групп AAA или пользователей AAA для сбора данных системного журнала, относящихся только к этим объектам. Kiwi Syslog Daemon, запущенный на рабочем столе HOST, будет действовать как внешний сервер Syslog. В этом упражнении вы будете выполнять следующие задачи: • Настройте Kiwi Syslog Daemon для получения сообщений Syslog. • Настройте политики внешнего аудита для системного журнала. • Просмотр сообщения аудита на удаленном сервере (Kiwi). Настройте Kiwi Syslog Daemon для получения Syslog Шаг 1. Действие Запустить Kiwi Syslog Daemon • Дважды щелкните ярлык Kiwi Syslog Daemon на рабочем столе. • Или запустите C: \ Program Files \ Syslogd \ Syslogd.exe . 2. Настройте Kiwi для получения сообщений системного журнала (UDP 514) • Щелкните Файл и выберите Настройка . • Разверните « Входы» и выберите « UDP» . • Убедитесь, что выбран параметр « Слушать системный журнал UDP» и что для порта UDP установлено значение 514 . • Оставьте для всех остальных настроек значения по умолчанию. • Щелкните ОК . Настройка политик внешнего аудита для системного журнала Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 199 Стр. Решебника 200 CNS-218-3I Citrix ADC 12.x Essentials 2. Настройте сервер системного журнала (действие политики), чтобы включить внешний аудит для диспетчера системного журнала на Рабочий стол HOST (Kiwi Syslog Daemon). IP-адрес рабочего стола HOST: 192.168.10.254. добавить контрольный syslogAction ext_kiwi 192.168.10.254 -serverPort 514 -logLevel EMERGENCY ALERT https://translate.googleusercontent.com/translate_f 151/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials ПРЕДУПРЕЖДЕНИЕ О КРИТИЧНОЙ ОШИБКЕ УВЕДОМЛЕНИЕ ИНФОРМАЦИОННОЕ -dateFormat MMDDYYYY -logFacility LOCAL0 -tcp NONE -acl DISABLED -timeZone GMT_TIME -userDefinedAuditlog NO appflowExport ОТКЛЮЧЕН -lsn ОТКЛЮЧЕН -alg ОТКЛЮЧЕН -transport UDP -dns ОТКЛЮЧЕН 3. Создайте политику системного журнала для входа на конкретный сервер системного журнала (действие политики): добавить аудит syslogPolicy ext_kiwi_policy ns_true ext_kiwi 4. Привяжите политику системного журнала к глобальному системному объекту, чтобы включить ведение журнала аудита на внешний сервер: привязать глобальную систему ext_kiwi_policy -priority 10 5. Изменения в конфигурации будут проверяться и сообщаться Kiwi Отключить службу svc_red: отключить службу svc_red Включите службу svc_red: включить службу svc_red 6. Сохраните конфигурацию Citrix ADC. сохранить конфигурацию ns 7. Убедитесь, что сообщения аудита отображаются в Kiwi Syslog Daemon. Сообщения будут включать: • Сообщения CMD EXECUTED, которые проверяют изменения конфигурации, сделанные с помощью GUI или CLI. • сообщения СОБЫТИЯ, относящиеся к сервису, поднимающемуся вверх и вниз, мониторы возвращаются к состояние и события сохранения конфигурации. 8. Отмените привязку политики системного журнала, чтобы отключить ведение журнала аудита на сервере Kiwi: отвязать глобальную систему ext_kiwi_policy Это предотвращает отправку сообщений аудита системного журнала из Citrix ADC в Syslog Manager, поэтому ту же утилиту можно использовать для оповещения SNMP в следующем упражнении. 9. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns Ключевые выводы: • Политики аудита позволяют отправлять данные syslog и nslog на внешний сервер. Обычно это сделано для ведения журналов в течение более длительных периодов хранения, чем позволяет Citrix ADC, или защитить журналы аудита от потери в случае сбоя устройства. Системный журнал Citrix ADC в стандартном формате системного журнала и может быть отправлен на любой сервер системного журнала. 200 Стр. Решебника 201 CNS-218-3I Citrix ADC 12.x Essentials • Политики аудита следуют тому же каскаду политик, что и политики аутентификации. Если многократный аудит политики связаны, тогда ведение журнала может происходить в нескольких местах назначения. • При привязке политик аудита к глобальному системному объекту удаленный журнал будет содержать все та же информация, что и в локальном системном журнале Citrix ADC. Хотя политики аудита также могут быть привязаны к виртуальному серверу, группам AAA и пользователям AAA, политика привязки к глобальному системный объект - единственный способ фиксировать все события в Citrix ADC и все проверенные изменения конфигурации, сделанные пользователями системы. Упражнение 8-3: Настройка SNMP (CLI) Введение: В этом упражнении вы научитесь настраивать интеграцию SNMP в Citrix ADC, чтобы разрешить оба Опрос и оповещение по протоколу SNMP. Это упражнение настроит строки сообщества SNMP, SNMP менеджеры, назначения ловушек SNMP и предупреждения SNMP. Kiwi Syslog Daemon, работающий на HOST рабочий стол будет местом назначения ловушек SNMP для этого сценария. Вы будете использовать командную строку интерфейс для выполнения этого упражнения. https://translate.googleusercontent.com/translate_f 152/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials В этом упражнении вы будете выполнять следующие задачи: • Настройте Kiwi Syslog Daemon для получения предупреждений SNMP. • Настройте параметры SNMP. • Просмотр предупреждений SNMP на удаленном сервере (Kiwi). Настройте Kiwi Syslog Daemon для получения предупреждений SNMP Шаг 1. Действие Отключить системный журнал в Kiwi: • Щелкните Файл и выберите Настройка . • Разверните « Входы» и выберите « UDP» . • Снимите флажок « Прослушивать системный журнал UDP» . 2. Включите ловушки SNMP в Kiwi: • Разверните « Входы» и выберите « SNMP» . • Выберите « Слушать ловушки SNMP» и убедитесь, что в поле « Порт UDP» отображается 162 . • Щелкните ОК . 3. Четкое отображение в киви: • Щелкните « Просмотр»> «Очистить отображение». Настроить параметры SNMP 201 Стр. Решебника 202 CNS-218-3I Citrix ADC 12.x Essentials Шаг 1. Действие Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 2. Настройте диспетчер SNMP, используя IP-адрес рабочего стола HOST (192.168.10.254): добавить диспетчер snmp 192.168.10.254 3. Настройте сообщество SNMP со ВСЕМИ разрешениями: добавить сообщество snmp ctxtrainsnmp ВСЕ 4. Настройте рабочий стол HOST (192.168.10.254) как общую и конкретную ловушку SNMPv2 место назначения. Настройте конкретное место назначения ловушки: добавить snmp trap specific 192.168.10.254 -version v2 -communityName ctxtrainsnmp Настройте общее назначение прерывания: добавить snmp trap generic 192.168.10.254 -version v2 -communityName ctxtrainsnmp 5. Настройте сигнал тревоги SNMP типа CONFIG-SAVE, который будет генерировать предупреждение при каждом сохранении конфигурации. событие. установить сигнал тревоги snmp CONFIG-SAVE -state ENABLED 6. Настройте сигнал тревоги SNMP типа CPU-USAGE, который будет генерировать предупреждение при использовании CPU. превышает определенный порог. Этот сигнал тревоги имеет как высокий порог оповещения, так и возврат к нормальному состоянию. порог: установить тревогу snmp CPU-USAGE -thresholdValue 85 -normalValue 80 -severity Major - ведение журнала включено - состояние включено 7. Просмотр дополнительных доступных сигналов тревоги SNMP: показать сигнал тревоги snmp Просмотр предупреждений SNMP на удаленном сервере (в Kiwi) Шаг https://translate.googleusercontent.com/translate_f Действие 153/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 202 Стр. Решебника 203 CNS-218-3I Citrix ADC 12.x Essentials 1. Создание предупреждений SNMP на Citrix ADC для отправки в Kiwi Syslog Daemon. Вернитесь к Citrix ADC и сгенерируйте ловушки SNMP • Отключить службу svc_red: ENTITY_STATE alarm: отключить службу svc_red • Повторно включить службу svc_red: ENTITY_STATE alarm: включить службу svc_red • Сохраните конфигурацию Citrix ADC: сигнал тревоги CONFIG_SAVE: сохранить конфигурацию ns 2. Переключите Kiwi Syslog Daemon и просмотрите отображаемые ловушки SNMP. 3. Закройте Kiwi Syslog Daemon. 4. Просмотр статистики SNMP: stat snmp Ключевые выводы: • Citrix ADC можно настроить для приема опроса SNMP и отправки предупреждений SNMP для различные события по мере их возникновения. Это позволяет Citrix ADC сообщать о проблемах как часть существующая инфраструктура управления SNMP. • Если менеджеры SNMP не указаны, Citrix ADC ответит любому менеджеру, который запрашивает информацию для опроса. • Ответы SNMP по умолчанию включены для адресов NSIP, SNIP и VIP. SNMP может быть отключены на отдельных адресах. • Citrix ADC поддерживает оповещения SNMP v1, v2 и v3. • При настройке места назначения прерывания Citrix ADC, если исходный IP-адрес пуст, Используется NSIP. В противном случае можно выбрать конкретный СНИП. • Citrix ADC поставляется с рядом включенных по умолчанию предупреждений SNMP. SNMP предупреждения и пороговые значения предупреждений и другие параметры можно настроить по мере необходимости. 203 Стр. Решебника 204 CNS-218-3I Citrix ADC 12.x Essentials https://translate.googleusercontent.com/translate_f 154/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Упражнение 8-4: Устранение неполадок (CLI) Введение: В этом упражнении вы научитесь применять то, что узнали о Citrix ADC. конфигурацию и устранение неполадок в другом файле конфигурации Citrix ADC. Вы будете использовать интерфейс командной строки для выполнения этого упражнения. Это упражнение включает в себя следующие задачи: • Подготовьтесь к устранению неисправностей. • Сценарий устранения неполадок 1. Невозможно подключиться к управляющему протоколу SNIP. • Сценарий устранения неполадок 2. Невозможно получить доступ к Citrix ADC с учетной записью домена. • Сценарий устранения неполадок 3. Пользователи не могут получить доступ к ресурсам. • Восстановить конфигурацию. Подготовьтесь к устранению неполадок Шаг 1. Действие Подготовьтесь к лабораторной работе по устранению неполадок: Выполните действия, описанные в этом разделе, чтобы подготовить пару HA к настройке устранения неполадок. Чтобы упростить управление конфигурацией, NYC-ADC-002 будет отключен (при получении инструкции) и будет использоваться только NYC-ADC-001. 2. Подключитесь к NYC-ADC-001 и NYC-ADC-002, используя отдельные сеансы SSH (PuTTY), используя каждый индивидуальный NSIP. Не используйте NSMGT SNIP (192.168.10.103) для этого упражнения, пока не получите инструкции. • Подключитесь к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как nsroot / nsroot. • Подключитесь к Citrix NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войти как nsroot / nsroot. 3. NYC-ADC-001 Прежде чем продолжить, сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 4. NYC-ADC-002 Установите для узла HA значение StaySecondary: установить узел ha -hastatus STAYSECONDARY Сохраните локальную конфигурацию: сохранить конфигурацию ns 204 Стр. Решебника 205 CNS-218-3I Citrix ADC 12.x Essentials 5. Используйте Hyper-V Manager, чтобы выключить NYC-ADC-002: • Откройте диспетчер Hyper-V. • На левой панели щелкните правой кнопкой мыши NYC-ADC-002 и выберите « Завершение работы» . 6. Вернитесь к сеансу SSH (Putty) для NYC-ADC-001 для выполнения оставшейся части упражнения, пока проинструктирован. 7. Подготовьте NYC-ADC-001 для лабораторной диагностики. Сохраните конфигурацию Citrix ADC: сохранить конфигурацию ns 8. Запустите сценарий Break, чтобы начать лабораторную работу по устранению неполадок: batch -filename /var/labstuff/troubleshoot/break.txt Citrix ADC должен перезапуститься автоматически. Примечание . После перезапуска появится файл /nsconfig/ts_status.txt, содержащий его содержимое. "перемена". Сценарий устранения неполадок 1 https://translate.googleusercontent.com/translate_f 155/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Среда представляет следующую проблему, и вас попросили определить причину. и исправьте проблему. Попытайтесь определить проблему, прежде чем переходить к ее решению. Выпуск 1: • Соединения с ADCMGMT SNIP на 192.168.10.103 не работают для графического интерфейса пользователя и SSH. Администраторы тестируют с помощью nsroot. Прежде чем вы начнете: • Какие возможные причины проблемы описаны? • Какие требования должны быть соблюдены, чтобы управляющие связи были успешными СНИП? Чтобы диагностировать проблему для сценария 1: Шаг 1. Действие Подключитесь к NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Мы назовем это вашим nsroot@192.168.10.101 205 Стр. Решебника 206 CNS-218-3I Citrix ADC 12.x Essentials 2. Попытайтесь подключиться к ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Попытка удалась или не удалась: ______________________? 3. В командной строке CMD на рабочем столе HOST: • Можете ли вы пинговать 192.168.10.103? 4. С nsroot@192.168.10.101 Есть СНиП (192.168.10.103): • Включено? • Настроен как СНИП? • Правильная маска подсети? • Включен ли режим USNIP? показать ns ip показать ns ip 192.168.10.103 показать режим нс 5. Какие ограничения на подключение и разрешения в SNIP? показать ns ip 192.168.10.103 Или сравните фактическую команду конфигурации: показать ns runningconfig | grep 192.168.10.103 Для чего нужны настройки: Доступ к управлению - Ограничить доступ Чтобы решить проблему для сценария 1: Шаг 1. Действие Повторно включите доступ к управлению по SNIP 192.168.10.103: установить ns ip 192.168.10.103 -mgmtAccess enabled https://translate.googleusercontent.com/translate_f 156/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 2. Попытайтесь подключиться к ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Ожидаемый результат: соединение установлено. 3. Закройте этот сеанс: nsroot@192.168.10.103 206 Стр. Решебника 207 CNS-218-3I Citrix ADC 12.x Essentials Устранение неполадок, сценарий 2 Обнаружена следующая проблема, и вас попросили указать причину и устраните проблему или проблемы, влияющие на конфигурацию. Попытайтесь определить проблему, прежде чем переходить к разрешение. Выпуск 2: • Подключения к ADCMGMT SNIP на 192.168.10.103 теперь работают для администраторов. аутентификация с помощью локальных системных учетных записей, таких как nsroot, но пытается подключиться к любому IP управления (NSIP или SNIP) с учетными записями домена (trainNSAdmin) не работает. • Для этого сценария используйте ту же информацию учетной записи домена, которая использовалась в Модуль 7: Защита Citrix ADC. Прежде чем вы начнете: • Каковы возможные причины описанной проблемы? • Каковы требования для использования учетных записей домена для доступа к управляющему IP? адреса на Citrix ADC? • В этот сценарий включены несколько проблем. Таблица диагностики дает подробный оценка аутентификации. Вы можете найти проблемы раньше, используя другие методы. Чтобы диагностировать проблему для сценария 2: Шаг 1. Действие Подключитесь к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot Мы назовем это вашим nsroot@192.168.10.101 Продолжайте этот сеанс, чтобы устранить неполадки и изменить детали конфигурации, когда исправление идентифицированы. 207 Стр. Решебника 208 CNS-218-3I Citrix ADC 12.x Essentials https://translate.googleusercontent.com/translate_f 157/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials 2. Воспроизведите проблему: попытайтесь подключиться к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: Имя пользователя: trainNSAdmin Пароль: Пароль1 Мы будем называть эту сессию trainNSAdmin@192.168.10.101 Примечание : этот сеанс не сможет подключиться, пока проблема не будет решена. Вам нужно будет попытаться начать несколько раз во время тестирования. 3. Определите, происходит ли внешняя аутентификация. Есть несколько способов сделать это: • Посмотрите на политики аутентификации в системе и определите, связаны ли они уже и если происходят срабатывания политики. • Или посмотрите, происходят ли внешние вызовы аутентификации, используя aaad.debug; это может быть полезно, если вы не знаете, с чего начать. 4. Диагностика с помощью aaad.debug На nsroot@192.168.10.101 просмотрите aaad.debug: оболочка cd / tmp ls кошка aaad.debug Пока эта команда выполняется, перезапустите сеанс trainNSAdmin@192.168.10.101 (Putty). Если предыдущее окно все еще открыто, щелкните правой кнопкой мыши строку меню и выберите перезапустить сеанс . Если нет, начните новый сеанс на 192.168.10.101 и попробуйте войти в систему как trainNSAdmin / Password1. Вернитесь на nsroot@192.168.10.101 и определите, произошли ли какие-либо события. • Игнорировать события срабатывания таймера (для этого обсуждения). • Если никаких событий не произошло, это означает, что внешняя система аутентификации не вызван. Это, вероятно, указывает на то, что никакие политики внешней аутентификации не привязаны к глобальный системный объект. 5. На nsroot@192.168.10.101: • Введите CTRL + C, чтобы остановить вывод «cat aaad.debug». • Введите Exit, чтобы вернуться в интерфейс командной строки. 208 Стр. Решебника 209 CNS-218-3I Citrix ADC 12.x Essentials 6. Диагностика, глядя на привязки политик и совпадения политик На nsroot@192.168.10.101 определите следующее: • Присутствуют ли какие-либо политики аутентификации ldap? • Настроены ли политики аутентификации ldap с правильным действием ldap (sever)? • Является ли ожидаемая политика обязательной? Определите, существуют ли политики и действия аутентификации: показать аутентификацию ldapAction показать аутентификацию ldapPolicy Используйте имя политики, чтобы узнать, привязана ли она где-либо к Citrix ADC: показать ns runningConfig | grep auth_ldap_policy Возвращаются ли какие-либо команды связывания, ссылающиеся на эту политику? _______________ Альтернативные методы поиска политик, когда вы не знаете, что ищете: показать ns runningConfig | grep ldap -i https://translate.googleusercontent.com/translate_f 158/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials показать ns runningConfig | grep аутентификация -i 7. Resolve (2.1) - привязать политику аутентификации к глобальному системному объекту: привязать системную глобальную auth_ldap_policy -priority 10 Прежде чем продолжить устранение неполадок, эту проблему необходимо решить. 8. Определите, устраняет ли это проблему На nsroot@192.168.10.101 просмотрите aaad.debug: оболочка cd / tmp ls кошка aaad.debug Пока эта команда выполняется, перезапустите сеанс trainNSAdmin@192.168.10.101 (Putty). Если предыдущее окно все еще открыто, щелкните правой кнопкой мыши строку меню и выберите перезапустить сеанс . Если нет, начните новый сеанс на 192.168.10.101 и попробуйте войти в систему как trainNSAdmin / Password1. Аутентификация прошла успешно или не прошла? __________________________________ Вернитесь на nsroot@192.168.10.101 и определите, произошли ли какие-либо события. • Игнорировать события срабатывания таймера (для этого обсуждения). • Обязательные события должны соблюдаться. • Не выходите из этого сеанса, поскольку мы будем использовать этот вывод для дополнительного устранения неполадок. 9. На nsroot@192.168.10.101: • Введите CTRL + C, чтобы остановить вывод «cat aaad.debug». • Не выходите, так как нам нужно посмотреть на вывод. 209 Стр. Решебника 210 CNS-218-3I Citrix ADC 12.x Essentials 10. На этот раз вывод, сгенерированный при входе в систему, в файле aaad.debug, что означает внешний политика проверки подлинности была предпринята. Либо пользователь вводит неверные учетные данные, либо политика действие некорректно сконфигурировано. В общем, вывод aaad.debug может быть полезен в идентифицируя следующее: • Правильно ли направляется политика аутентификации? • Подключается ли политика аутентификации к службе каталогов? Сбои событий BindDN указать возможные проблемы с учетными данными в политике, которую использует Citrix ADC. • Если привязка политики аутентификации оказалась успешной, выходные данные могут определить, учетные данные пользователя недействительны или есть проблемы с извлечением группы. Выходные данные журнала указывают на проблему с учетными данными учетной записи BindDN в действии политики. (auth_ldap_srv): Соответствующие строки: ns ldap check result проверка результата LDAP. Ожидается… (LDAP_RES_BIND) Ошибка действия LDAP: неверные учетные данные 11. Просмотрите ldapAction: показать аутентификацию ldapAction auth_ldap_srv Убедитесь, что имя пользователя отображается правильно: trainaduser@workspacelab.com (имена пользователей не деликатный случай). На этом этапе предположите, что пароль неправильный, и измените действие. 12. Разрешить учетную запись BINDDN: https://translate.googleusercontent.com/translate_f 159/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials установить аутентификацию ldapAction auth_ldap_srv -ldapBindDN trainaduser@workspacelab.com -ldapBindDNPassword Password1 13. Вернитесь на nsroot@192.168.10.101 и определите, произошли ли какие-либо события. Аутентификация прошла успешно? ______________Есть ли у пользователя права администратора (сохранить конфигурацию)? _________________ 14. Проблема решена. Закройте сессию trainNSAdmin@192.168.10.101. 210 Стр. Решебника 211 CNS-218-3I Citrix ADC 12.x Essentials Решить: Шаг Действие 1. Используйте эти шаги, если вы не выполнили решения на этапе диагностики. 2. Проблема 2.1 - Политика аутентификации не привязана к системному глобальному объекту: привязать системную глобальную auth_ldap_policy 3. Проблема 2.2 - неправильно настроена политика проверки подлинности с неверными учетными данными для учетной записи BindDN. Исправьте действие аутентификации с исправленными учетными данными: установить аутентификацию ldapAction auth_ldap_srv -ldapBindDN trainaduser@workspacelab.com -ldapBindDNPassword Password1 Имя пользователя: trainADUser @ Пароль: Пароль1 Устранение неполадок, сценарий 3 Обнаружена следующая проблема, и вас попросили указать причину и устраните проблему или проблемы, влияющие на конфигурацию. Попытайтесь определить проблему, прежде чем переходить к разрешение. Выпуск 3: • Пользователи больше не могут получить доступ к ресурсам на http://172.21.10.101 (lb_vsrv_rbg) или https://172.21.10.101 (ssl_vsrv_rbg). Для диагностики: Шаг 1. Действие Воспроизвести выпуск: • Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php. • Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php. 2. Что нужно проверить: • Включена ли функция балансировки нагрузки? • Службы ВВЕРХ или ВНИЗ? • Связанные виртуальные серверы балансировки нагрузки ВВЕРХ или ВНИЗ? Что нужно иметь в виду: • Что требуется для отображения услуги ВВЕРХ или ВНИЗ? • Если HTTP - UP, а SSL - DOWN, каковы различные зависимости в конфигурация? Продолжайте, чтобы получить точные инструкции по устранению неполадок. 211 https://translate.googleusercontent.com/translate_f 160/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Стр. Решебника 212 CNS-218-3I Citrix ADC 12.x Essentials 3. Определите состояние функции: показать нс особенность Балансировка нагрузки включена или отключена? _________________________ 4. Просмотр конфигураций виртуального сервера с балансировкой нагрузки Показать все виртуальные серверы с балансировкой нагрузки: показать lb vserver -summary Все ли виртуальные серверы с балансировкой нагрузки ВВЕРХ или ВНИЗ? ___________ Показать детали виртуального сервера для lb_vsrv_rbg: показать lb vserver lb_vsrv_rbg Связаны ли услуги или группы услуг? ____________________________ Здоровы ли службы или члены группы обслуживания? ____________________ Показать детали виртуального сервера для ssl_vsrv_rbg: показать lb vserver ssl_vsrv_rbg Связаны ли услуги или группы услуг? _____________________________ Здоровы ли службы или члены группы обслуживания? _____________________ Для SSL привязан ли сертификат? ____________________________________ 5. Приступите к устранению выявленных проблем. 6. Разрешение теста: • Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php. • Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php. Проверьте следующее: • Оба URL-адреса доступны. • В конце отображается фактическая балансировка нагрузки (красный / синий / зеленый). Решить: Шаг 1. Действие Включить функцию LB: включить функцию ns lb 2. Привязать службу lb_vsrv_rbg: привязать lb vserver lb_vsrv_rbg svc_red привязать lb vserver lb_vsrv_rbg svc_blue привязать lb vserver lb_vsrv_rbg svc_green 3. Привязать SSL-сертификат к ssl_vsrv_rbg: привязать ssl vserver ssl_vsrv_rbg -certkeyname colors.workspacelab.com 212 Стр. Решебника 213 CNS-218-3I Citrix ADC 12.x Essentials Восстановить конфигурацию Используйте следующую процедуру для восстановления конфигурации Citrix ADC до конфигурации перед упражнением по поиску и устранению неисправностей или к альтернативным конфигурациям в соответствии с инструкциями инструктор. Шаг 1. Действие Подключитесь к NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войдите в утилиту, используя следующие учетные данные: https://translate.googleusercontent.com/translate_f 161/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials Имя пользователя: nsroot Пароль: nsroot 2. Из интерфейса командной строки выполните следующую команду (в соответствии с инструкциями инструктора): Восстановить конфигурацию после лабораторной работы: • Fix1 - для восстановления из предыдущей конфигурации (ns.conf.student.good): batch -filename /var/labstuff/troubleshoot/fix1.txt • Fix2 - для восстановления до конца части 1, дня 3 (part1final.ns.conf): batch -filename /var/labstuff/troubleshoot/fix2.txt Подтвердите перезагрузку при появлении запроса. Если вы не уверены, какую точку восстановления использовать, используйте сценарий Fix2.txt для восстановления до конца части 1 - День. 3. 3. Подождите, пока NYC-ADC-001 перезапустится. Прежде чем продолжить, убедитесь, что Citrix ADC по-прежнему является основным членом пары высокой доступности. Ты можешь необходимо подождать минуту или две после перезапуска, чтобы NYC-ADC-001 стал основным. Просмотрите статус HA, чтобы подтвердить: показать узел ha 4. Используйте Hyper-V Manager для запуска NYC-ADC-002: • Откройте диспетчер Hyper-V. • На левой панели щелкните правой кнопкой мыши NYC-ADC-002 и выберите Пуск . Подождите, пока запустится NYC-ADC-002. 213 Стр. Решебника 214 CNS-218-3I Citrix ADC 12.x Essentials 5. NYC-ADC-001 (Первичный) Принудительная синхронизация с NYC-ADC-002 (StaySecondary): принудительная синхронизация Дождитесь завершения синхронизации высокой доступности: показать узел ha 6. NYC-ADC-001 (Первичный) Сохраните конфигурацию Citrix ADC: 7. Подключитесь к NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). сохранить конфигурацию ns Войдите в утилиту, используя следующие учетные данные: Имя пользователя: nsroot Пароль: nsroot 8. NYC-ADC-002 (StaySecondary): Staysecondary) Отключите опцию StaySecondary на NYC-ADC-002 и вернитесь к обычному участию в HA: установить ha node -hastatus enabled • Чтобы устранить неполадки Citrix ADC, начните с определения проблемы и воспроизведения ее, когда возможный. Проверьте требования к конфигурации для данной функции. Всегда начинай с проверка того, что функции лицензированы и правильно включены. Затем разбейте требования к конфигурации для данной функции и убедитесь, что все требования встретились. o Для виртуальных серверов: работают ли службы? Связаны ли услуги? И виртуальные серверы настроен с правильными настройками? o Для функций на основе политик: привязаны ли политики к правильной точке привязки и происходят нарушения политики? https://translate.googleusercontent.com/translate_f 162/163 09.11.2020 CNS-218-3I Citrix ADC 12.x Essentials o Для сетевых проблем: что требуется для передачи трафика в сети? Проверьте интерфейсы, маршруты, vlan и проверьте базовое сетевое подключение перед переходом на более сложные вопросы по устранению неполадок. • Syslog и Nslog могут помочь в устранении неполадок. Другие журналы и утилиты, такие как aaad.debug и nstrace, могут предоставить дополнительную информацию об устранении неполадок. • Иногда интерфейс командной строки предоставляет больше информации об устранении неполадок, чем GUI. 214 https://translate.googleusercontent.com/translate_f 163/163