Multiple-Firewall环境
Multiple-Firewall环境
在多防火墙环境中,Citrix ADC设备被放置在两组防火墙之间,外部组连接到公共Internet,内部组连接到内部专用网络。外部集合通常处理出口流量。这些防火墙主要实现访问控制列表来允许或拒绝对外部资源的访问。内部集通常处理入口流量。这些防火墙除了对入口流量进行负载均衡外,还实现了保护内网免受恶意攻击的安全。多防火墙环境允许您对来自另一个防火墙的流量进行负载均衡。默认情况下,来自防火墙的流量不会在Citrix ADC设备上的另一个防火墙上进行负载均衡。在Citrix ADC两侧启用防火墙负载均衡,可以在出口和入口两个方向上改善流量,确保更快地处理流量。
下图展示了一个多防火墙负载均衡环境
图1。防火墙负载均衡(多防火墙)
使用如图1所示的配置,您可以配置Citrix ADC使流量通过内部防火墙进行负载平衡,即使流量由外部防火墙进行负载平衡。例如,配置了此特性后,来自外部防火墙(防火墙1、2和3)的流量在内部防火墙(防火墙4、5和6)上实现负载均衡,反之亦然。
仅MAC模式的LB虚拟服务器支持防火墙负载分担。
服务类型ANY配置Citrix ADC接受所有流量。
要利用与HTTP和TCP相关的好处,请将服务和虚拟服务器配置为HTTP或TCP类型。为了使FTP工作,需要配置类型为FTP的服务。
在多防火墙环境下配置Citrix ADC
要在多防火墙环境中配置Citrix ADC设备,您必须启用负载均衡特性,配置虚拟服务器以跨外部防火墙负载均衡出口流量,配置虚拟服务器以跨内部防火墙负载均衡入口流量,并在Citrix ADC设备上启用防火墙负载均衡。在多防火墙环境下,配置虚拟服务器实现跨防火墙负载均衡,需要:
- 为每个防火墙配置通配符服务
- 为每个通配符服务配置一个监视器
- 配置通配符虚拟服务器,负载均衡发送到防火墙的流量
- 配置虚拟服务器为MAC重写模式
- 将防火墙服务绑定到通配符虚拟服务器
启用负载均衡特性
为了配置和实现负载均衡实体(如服务和虚拟服务器),需要在Citrix ADC设备上启用负载均衡特性。
使用实例通过CLI启用负载均衡功能。
在命令提示符下,输入以下命令启用负载均衡并验证配置:
enable ns feature show ns feature
例子:
enable ns feature LoadBalancing Done show ns feature feature缩合词Status ------- ------- ------ 1) Web Logging WL OFF 2) Surge Protection SP ON 3) LoadBalancing LB ON…24) NetScaler Push Push OFF Done
使用实例通过图形界面开启负载均衡功能。
- 在左侧导航区中,展开“系统”,单击“设置”。
- 在“设置”窗格的“模式和功能”下,单击“更改基本功能”。
- 2 .在“配置基本功能”对话框中,选中“负载均衡”前的复选框,单击“确定”。
为每个防火墙配置通配符服务
为了接受来自所有协议的流量,您需要为每个防火墙配置通配符服务,指定对所有协议和端口的支持。
使用实例通过CLI为每台防火墙配置通配符服务。
在命令提示符下,输入以下命令配置对所有协议和端口的支持:
add service @
例子:
add service fw-svc1 10.102.29.5——NeedCopy >
使用GUI为每台防火墙配置通配符服务:
“流量管理>负载均衡>服务”。
在详细信息窗格中,单击Add。
在“创建服务”对话框中,为如下参数指定值,如下所示:
- 服务Name-name
- Server-serverName
-*必选参数
在“协议”中选择“任意”,在“端口”中选择“*”。
单击“创建”,然后单击“关闭”。您创建的服务将出现在“服务”窗格中。
为每个服务配置监视器
缺省情况下,PING监视器与服务绑定。您需要配置一个透明监视器,以便通过各个防火墙监视受信任端上的主机。然后可以将透明监控器绑定到服务。默认的PING监视器只监视Citrix ADC设备和上游设备之间的连通性。透明监视器监视从设备到拥有监视器中指定的目标IP地址的设备的路径中存在的所有设备。如果未配置透明监控器,且防火墙的状态为UP,但来自该防火墙的下一跳设备之一处于关闭状态,则设备在执行负载均衡时包含防火墙并将数据包转发到防火墙。但是由于下一跳设备故障,报文无法到达最终目的地。通过绑定透明监视器,如果任何设备(包括防火墙)关闭,则在设备执行防火墙负载平衡时,服务将标记为down,防火墙将不包括在内。
绑定透明监视器将覆盖PING监视器。在创建并绑定透明监控器之后,要在透明监控器之外配置PING监控器,还需要将PING监控器绑定到服务。
使用实例通过CLI配置透明监视器。
在命令提示符下,键入以下命令来配置透明监控器并验证配置:
add lb monitor [-destIP ] [-transparent (YES | NO)] bind lb monitor
例子:
add monitor monitor-HTTP-1 HTTP -destip 10.10.10.11 -transparent YES绑定monitor monitor-HTTP-1 fw-svc1
Citrix ADC设备从绑定到服务的监视器学习服务器L2参数。对于UDP-ECV监控器,配置接收字符串以使设备能够学习服务器的L2参数。如果未配置接收字符串且服务器没有响应,则设备不会学习L2参数,但将服务设置为UP。该服务的流量是黑洞。
使用实例通过CLI配置接收字符串。
在命令提示符下,输入以下命令:
add lb monitor [-destIP ] [-transparent (YES | NO)] [-send ] [-recv ]
例子:
add lb monitor monitor-udp-1 udp-ecv - desp 10.10.10.11 -transparent YES -send "test message" -recv "site_is_up"
使用GUI创建并绑定一个透明监视器:
“流量管理>负载均衡>监控”。
在详细信息窗格中,单击Add。
在“创建监控器”对话框中,设置如下参数,如下所示:
- 名称*
- *类型类型
- 目的地IP
- 透明的
-*必选参数
单击“创建”,然后单击“关闭”。在Monitors窗格中,选择刚刚配置的监视器,并验证屏幕底部显示的设置是否正确。
配置虚拟服务器对发送到防火墙的流量进行负载均衡
为了负载平衡任何类型的流量,您需要配置一个通配符虚拟服务器,将协议和端口指定为任意值。
通过命令行配置虚拟服务器对上传到防火墙的流量进行负载分担:
在命令提示符下,输入以下命令:
add lb vserver @
例子:
添加lb vserver vserver - lb -1 ANY * *
使用实例以图形方式配置虚拟服务器负载均衡。
- 进入“流量管理>负载均衡>虚拟服务器”。
- 在详细信息窗格中,单击Add。
- 在“协议”中选择“任意”,在“IP地址和端口”中选择“*”。
- 单击“创建”,然后单击“关闭”。您创建的虚拟服务器显示在“负载平衡虚拟服务器”窗格中。
配置虚拟服务器为MAC重写模式
如果要配置虚拟服务器使用MAC地址转发进入的流量,则需要启用MAC重写模式。
使用实例使用CLI设置虚拟服务器为MAC重写模式。
在命令提示符下,输入以下命令:
set lb vserver @ -m <重定向模式>
例子:
set lb vserver vserver - lb -1 -m MAC
使用实例以GUI方式配置虚拟服务器为MAC重写模式。
- 进入“流量管理>负载均衡>虚拟服务器”。
- 在详细信息窗格中,选择需要配置重定向模式的虚拟服务器(例如Vserver-LB1),单击“打开”。
- 在“高级”页签中,在“重定向模式”模式下,单击“打开”。
- 单击Ok。
将防火墙服务绑定到虚拟服务器
要访问Citrix ADC设备上的服务,需要将其绑定到通配符虚拟服务器。
使用实例通过CLI将防火墙业务绑定到虚拟服务器。
在命令提示符下,输入以下命令:
绑定lb vserver @
例子:
bind lb vserver vserver - lb -1 Service-HTTP-1
使用GUI方式将防火墙服务绑定到虚拟服务器上。
- 进入“流量管理>负载均衡>虚拟服务器”。
- 在详细信息窗格中,选择需要配置重定向模式的虚拟服务器(例如Vserver-LB1),单击“打开”。
- 2 .在“配置虚拟服务器(负载均衡)”对话框的“服务”页签中,选中需要绑定到虚拟服务器的服务(例如“服务- http -1”)后的“活动”复选框。
- 单击Ok。
在Citrix ADC设备上配置多防火墙负载均衡
要使用防火墙负载均衡在Citrix ADC两侧负载均衡流量,需要使用vServerSpecificMac参数启用多防火墙负载均衡。
使用实例通过CLI配置多防火墙负载分担。
在命令提示符下,输入以下命令:
设置lb参数-vServerSpecificMac
例子:
设置lb参数-vServerSpecificMac ENABLED
使用实例以图形方式配置多防火墙负载均衡。
- 进入“流量管理>负载均衡>虚拟服务器”。
- 在详细信息窗格中,选择需要配置重定向模式的虚拟服务器(例如“配置负载均衡参数”)。
- 在“设置负载均衡参数”对话框中,选中“虚拟服务器特定MAC”前的复选框。
- 单击Ok。
保存并验证配置
当您完成配置任务时,请确保保存配置。您还应该检查以确保设置正确。
使用实例通过CLI保存和校验配置。
在命令提示符下,键入以下命令来配置透明监控器并验证配置:
- 保存ns config
- 显示vserver
例子:
save config show lb vserver FWLBVIP2 FWLBVIP2 (*:*) - ANY Type: ADDRESS State: UP Last State change was at Mon Jun 14 07:22:54 2010 Time since Last State change: 0 days, 00:00:32.760生效状态:UP Client Idle Timeout: 120 sec Down State flush: ENABLED Disable主vserver On Down: DISABLED否绑定的服务:2(总)2(主动)配置方法:LEASTCONNECTION当前方法:循环赛,理由:一个新的服务绑定模式:MAC持久性:没有连接故障转移:1)禁用fw-int-svc1(10.102.29.5: *)——任何国家:重量:1 2)fw-int-svc2(10.102.29.9: *)——任何国家:重量:1完成显示服务fw-int-svc1 fw-int-svc1(10.102.29.5: *)——任何国家:最后的状态变化是在2010年7月8日14:44:51星期四以来最后的状态变化:0天,00:01:50.240服务器名称:10.102.29.5服务器ID: 0监控阈值:0马克斯康涅狄格州:0马克斯点播:0最大带宽:0来使用源IP:没有客户Keepalive (CKA):没有访问服务:没有TCP缓冲(TCPB):没有HTTP压缩(CMP):没有闲置超时:客户:120秒服务器:120秒客户机IP:禁用缓存:没有SC:从SP:掉下状态刷新:1)启用监控名称:monitor-HTTP-1状态:重量:1调查:9失败(总数:9电流:9)最后的反应:Failure - TCP连接建立阶段超时响应时间:2000.0毫秒2)Monitor Name: ping State: UP Weight: 1 Probes: 3 Failed [Total: 0 Current: 0] Last Response: Success -收到ICMP echo reply。响应时间:1.275毫秒完成
使用GUI保存并验证配置。
- 在详细信息窗格中,单击Save。
- 2 .在“Save Config”对话框中单击“Yes”。
- 进入“流量管理>负载均衡>虚拟服务器”。
- 在详细信息窗格中,选择在步骤5中创建的虚拟服务器,并验证在详细信息窗格中显示的设置是否正确。
- “流量管理>负载均衡>服务”。
- 在详细信息窗格中,选择在步骤5中创建的服务,并验证在详细信息窗格中显示的设置是否正确。
在多防火墙环境中监控防火墙负载均衡设置
配置完成并运行后,您应该查看每个服务和虚拟服务器的统计信息,以检查可能的问题。
查看虚拟服务器统计信息
为了评估虚拟服务器的性能或解决问题,您可以显示在Citrix ADC设备上配置的虚拟服务器的详细信息。您可以显示所有虚拟服务器的统计信息摘要,也可以指定虚拟服务器的名称以只显示该虚拟服务器的统计信息。显示如下详细信息:
- 的名字
- IP地址
- 港口
- 协议
- 虚拟服务器的状态
- 收到的请求率
- 命中率
使用命令行显示虚拟服务器的统计信息
要在命令提示符处显示当前在Citrix ADC设备上配置的所有虚拟服务器或单个虚拟服务器的统计信息摘要,请输入:
统计lb vserver [-detail] []
例子:
>stat lb vserver -detail Virtual Server(s) Summary vsvrIP port Protocol State Req/s Hits/s One * 80 HTTP UP 5/s 0/s Two * 0 TCP DOWN 0/s 0/s Three * 2598 TCP DOWN 0/s 0/s dnsVirtualNS 10.102.29.90 53 DNS DOWN 0/s 0/s BRVSERV 10.10.1.1 80 HTTP DOWN 0/s 0/s LBVIP 10.102.29.66 80 HTTP UP 0/s 0/s Done
使用实例以图形方式查询虚拟服务器的统计信息。
- “流量管理>负载均衡>虚拟服务器>统计”。
- 如果只显示一台虚拟服务器的统计信息,请在详细信息窗格中选择该虚拟服务器,然后单击“statistics”。
查看单个服务统计信息
您可以使用业务统计信息查看请求速率、响应速率、请求字节数、响应字节数、当前客户端连接数、激增队列中的请求数、当前服务器连接数等。
使用实例使用CLI查询指定服务的统计信息。
在命令提示符下,输入:
统计服务
例子:
stat service service - http -1
使用实例以GUI方式查询服务统计信息。
- “流量管理>负载均衡>服务>统计”。
- 如果只显示某一项服务的统计信息,选中该服务,单击“统计”。