三明治的环境
采用三明治模式部署Citrix ADC可以在两个方向上对通过防火墙的网络流量进行负载均衡:入口(从外部(如internet)进入网络的流量)和出口(从网络进入internet的流量)。
在这种设置中,Citrix ADC位于一组防火墙的每一侧。位于防火墙和Internet之间的Citrix ADC称为外部Citrix ADC,它处理入口流量,根据配置的方法选择最佳的防火墙。防火墙和私有网络之间的Citrix ADC(称为内部Citrix ADC)跟踪从其接收会话的初始包的防火墙。然后,它确保该会话的所有后续数据包都发送到相同的防火墙。
可以将内部Citrix ADC配置为常规的流量管理器,以便跨专用网络服务器负载平衡流量。此配置还允许来自私有网络(出口)的流量在防火墙之间进行负载均衡。
下图显示了夹层防火墙负载均衡环境。
图1。防火墙负载均衡(三明治)
服务类型ANY配置Citrix ADC接受所有流量。
要利用与HTTP和TCP相关的优点,请将服务和虚拟服务器配置为HTTP或TCP类型。要使FTP工作,需要将服务配置为FTP类型。
在三明治环境中配置外部Citrix ADC
在三明治环境中配置外部Citrix ADC,请执行以下任务
- 启用负载均衡特性。
- 为每个防火墙配置通配符服务。
- 为每个通配符服务配置一个监视器。
- 为来自Internet的流量配置通配符虚拟服务器。
- 配置虚拟服务器为MAC重写模式。
- 将服务绑定到通配符虚拟服务器。
- 保存并验证配置。
启用负载均衡特性
通过命令行接口启用负载分担功能
在命令提示符下,输入以下命令启用负载均衡并验证配置:
enable ns feature LB show ns feature 例子:
> enable ns feature LoadBalancing Done > show ns feature feature Acronym Status ------- ------- ------ 1) Web Logging WL OFF 2) Surge Protection SP ON 3) LoadBalancing LB ON…24) NetScaler Push Push OFF Done 使用配置实用程序启用负载均衡
导航到系统>设置,在配置基本特征中,选择负载平衡.
为每个防火墙配置通配符服务
通过命令行接口为每个防火墙配置通配符服务
在命令提示符处,输入:
add service ANY * 例子:
add service service - http -1 10.102.29.5 ANY * 使用配置实用程序为每个防火墙配置通配符服务
导航到流量管理>负载均衡>业务并添加一个服务。指定任何在协议字段和*在Port字段。
为每个通配符服务配置一个监视器
缺省情况下,PING监视器与服务绑定。您需要配置一个透明监视器,以便通过各个防火墙监视受信任端上的主机。然后可以将透明监视器绑定到服务。默认的PING监控器只监视Citrix ADC设备和上游设备之间的连通性。透明监视器监视从设备到拥有监视器中指定的目的IP地址的设备的路径中存在的所有设备。如果没有配置透明监视器,且防火墙的状态是UP,但来自该防火墙的下一跳设备中的一个是down的,则设备在执行负载均衡时包含防火墙,并将包转发到防火墙。但是,由于下一跳设备中有一个设备故障,报文不能到达最终目的地。通过绑定透明监视器,如果任何设备(包括防火墙)关闭,则在设备执行防火墙负载平衡时将服务标记为down,而不包括防火墙。
绑定透明监视器将覆盖PING监视器。在透明监控器的基础上配置PING监控器,在创建并绑定透明监控器后,还需要将PING监控器与服务绑定。
使用命令行接口配置透明监视器
在命令提示符下,键入以下命令来配置透明监视器并验证配置:
add lb monitor [-destIP ] [-transparent (YES | NO)] bind lb monitor 例子:
add monitor monitor-HTTP-1 HTTP -destip 10.10.10.11 -transparent YES bind monitor monitor-HTTP-1 fw-svc1绑定PING监视器,输入以下命令:bind monitor PING fw-svc1 通过使用配置实用程序创建和绑定透明监视器
导航到流量管理>负载均衡>监控,然后创建并绑定一个透明监视器。
为来自Internet的流量配置通配符虚拟服务器
使用命令行接口为来自Internet的流量配置通配符虚拟服务器
在命令提示符处,输入:
add lb vserver ANY * * 例子:
添加lb vserver vserver -1 ANY * * 使用配置实用程序为来自Internet的流量配置通配符虚拟服务器
导航到流量管理>负载均衡>虚拟服务器并创建一个通配符虚拟服务器。指定任何在协议字段和*在Port字段。
配置虚拟服务器为MAC重写模式
使用命令行配置虚拟服务器的MAC重写模式
在命令提示符处,输入:
set lb vserver @ -m <重定向模式> 例子:
set lb vserver vserver - lb -1 -m MAC 使用配置实用程序在MAC重写模式下配置虚拟服务器
- 导航到流量管理>负载均衡>虚拟服务器,并选择需要配置重定向方式的虚拟服务器(如Vserver-LB-1)。
- 编辑基本设置部分,并点击更多的.
- 从重定向模式下拉列表中,选择MAC的基础.
将服务绑定到通配符虚拟服务器
使用命令行接口将服务绑定到通配符虚拟服务器
在命令提示符处,输入:
bind lb vserver 例子:
bind lb vserver vserver -1 Service-HTTP-1 使用配置实用程序将服务绑定到通配符虚拟服务器
- 导航到流量管理>负载均衡>虚拟服务器并选择要为其绑定服务的虚拟服务器。
- 点击服务部分,并选择要绑定的服务。
保存并验证配置
完成配置任务后,一定要保存配置。请确保设置正确。
使用命令行界面保存并验证配置
在命令提示符下,键入以下命令来配置透明监视器并验证配置:
保存ns config show vserver 例子:
save config sh lb vserver FWLBVIP1 FWLBVIP1 (*:*) - ANY Type: ADDRESS State: UP最后一次状态变化是在Mon Jun 14 06:40:14 2010上次状态变化时间:0天,00:00:11.240生效状态:UP ARP:DISABLED Client Idle Timeout: 120秒Down State flush: ENABLED Disable主vserver On Down:DISABLED否绑定的服务:2(总)2(主动)配置方法:SRCIPDESTIPHASH模式:MAC持久性:没有连接故障转移:1)禁用fw_svc_1(10.102.29.251: *)——任何国家:重量:1 2)fw_svc_2(10.102.29.18: *)——任何国家:重量:1完成显示服务fw-svc1 fw-svc1(10.102.29.251: *)——任何国家:最后的状态变化是在2010年7月8日10:04:50星期四以来最后的状态变化:0天,00:00:38.120服务器名称:10.102.29.251服务器ID: 0监控阈值:0马克斯康涅狄格州:0最大要求:0最大带宽:0来使用源IP:没有客户Keepalive (CKA):没有访问服务:没有TCP缓冲(TCPB):是的HTTP压缩(CMP):没有闲置超时:客户:120秒服务器:120秒客户机IP:禁用缓存:没有SC:从SP:掉下状态刷新:1)启用监控名称:monitor-HTTP-1状态:重量:1调查:5失败(目前总数:5:5)最后回应:失败- - - - - -时间在TCP连接建立阶段响应时间:2000.0毫秒2)监控名称:ping State: UP Weight: 1 Probes: 3 Failed [Total: 0 Current: 0] Last response: Success -收到ICMP echo reply。响应时间:1.415毫秒完成在三明治环境中配置内部Citrix ADC
执行以下任务,在三明治环境中配置内部Citrix ADC
对于来自服务器(出口)的流量
- 启用负载均衡特性。
- 为每个防火墙配置通配符服务。
- 为每个通配符服务配置一个监视器。
- 配置通配符虚拟服务器,对发送到防火墙的流量进行负载均衡。
- 配置虚拟服务器为MAC重写模式。
- 将防火墙服务绑定到通配符虚拟服务器。
用于跨私有网络服务器的流量
- 为每个虚拟服务器配置一个服务。
- 为每个服务配置一个监视器。
- 配置HTTP虚拟服务器,以均衡发送到服务器的流量。
- 将HTTP服务绑定到HTTP虚拟服务器。
- 保存并验证配置。
启用负载均衡特性
在不启用负载均衡特性的情况下,可以配置业务、虚拟服务器等负载均衡实体。但是,在您启用该特性之前,它们将无法正常工作。
通过命令行接口启用负载分担功能
在命令提示符下,输入以下命令启用负载均衡并验证配置:
enable ns feature LB show ns feature 例子:
> enable ns feature LoadBalancing Done > show ns feature feature Acronym Status ------- ------- ------ 1) Web Logging WL OFF 2) Surge Protection SP ON 3) LoadBalancing LB ON…24) NetScaler Push Push OFF Done 使用配置实用程序启用负载均衡
导航到系统>设置并在“配置基本特性”中选择负载平衡.
为每个防火墙配置通配符服务
通过命令行接口为每个防火墙配置通配符服务
在命令提示符处,输入:
add service ANY * 例子:
add service service - http -1 10.102.29.5 ANY * 使用配置实用程序为每个防火墙配置通配符服务
导航到流量管理>负载均衡>业务并添加一个服务。指定任何在协议字段和*在Port字段。
为每个通配符服务配置一个监视器
缺省情况下,PING监视器与服务绑定。您需要配置一个透明监视器,以便通过各个防火墙监视受信任端上的主机。然后可以将透明监视器绑定到服务。默认的PING监控器只监视Citrix ADC设备和上游设备之间的连通性。透明监视器监视从设备到拥有监视器中指定的目的IP地址的设备的路径中存在的所有设备。如果没有配置透明监视器,且防火墙的状态是UP,但来自该防火墙的下一跳设备中的一个是down的,则设备在执行负载均衡时包含防火墙,并将包转发到防火墙。但是,由于下一跳设备中有一个设备故障,报文不能到达最终目的地。通过绑定透明监视器,如果任何设备(包括防火墙)关闭,则在设备执行防火墙负载平衡时将服务标记为down,而不包括防火墙。
绑定透明监视器将覆盖PING监视器。在透明监控器的基础上配置PING监控器,在创建并绑定透明监控器后,还需要将PING监控器与服务绑定。
使用命令行接口配置透明监视器
在命令提示符下,键入以下命令来配置透明监视器并验证配置:
add lb monitor [-destIP ] [-transparent (YES | NO)] bind lb monitor 例子:
add monitor monitor-HTTP-1 HTTP -destip 10.10.10.11 -transparent YES bind monitor monitor-HTTP-1 fw-svc1 通过使用配置实用程序创建和绑定透明监视器
- 导航到流量管理>负载均衡>监控并创建一个监视器。
- 在创建监视器对话框中,输入相关参数后,单击“”透明的.
配置通配符虚拟服务器,对发送到防火墙的流量进行负载均衡
配置通配符虚拟服务器,通过命令行接口对发送到防火墙的流量进行负载分担
在命令提示符处,输入:
add lb vserver ANY * * 例子:
添加lb vserver vserver -1 ANY * * 使用配置实用程序为来自Internet的流量配置通配符虚拟服务器
导航到流量管理>负载均衡>虚拟服务器并创建一个通配符虚拟服务器。
指定任何和*在Port字段。
使用配置实用工具配置通配符虚拟服务器,对发送到防火墙的流量进行负载均衡
- 导航到流量管理>负载均衡>虚拟服务器.
- 在详细信息窗格中,单击Add。
- 2 .在“创建虚拟服务器(负载均衡)”对话框中,设置如下参数:
- Name-name
- 协议选择“ANY”,IP地址和端口选择“*”。
- 单击创建,然后单击关闭。创建的虚拟服务器出现在“负载均衡虚拟服务器”窗格中。
配置虚拟服务器为MAC重写模式
使用命令行配置虚拟服务器的MAC重写模式
在命令提示符处,输入:
set lb vserver @ -m <重定向模式> 例子:
set lb vserver vserver - lb -1 -m MAC 使用配置实用程序在MAC重写模式下配置虚拟服务器
- 导航到流量管理>负载均衡>虚拟服务器,并选择需要配置重定向方式的虚拟服务器(如Vserver-LB-1)。
- 编辑基本设置部分,并点击更多的.
- 从重定向模式下拉列表中,选择MAC的基础.
将防火墙服务绑定到通配符虚拟服务器
使用命令行接口将防火墙服务绑定到通配符虚拟服务器
在命令提示符处,输入:
bind lb vserver 例子:
bind lb vserver vserver -1 Service-HTTP-1 使用配置实用程序将防火墙服务绑定到通配符虚拟服务器
- 导航到流量管理>负载均衡>虚拟服务器,并选择虚拟服务器。
- 在“服务”区域单击,选择需要绑定的服务。
注意:您可以将一个服务绑定到多个虚拟服务器。
为每个虚拟服务器配置一个服务
使用命令行接口为每个虚拟服务器配置服务
在命令提示符处,输入:
add service HTTP 例子:
add service service -HTTP-1 10.102.29.5 HTTP 80 使用配置实用程序为每个虚拟服务器配置服务
- 导航到流量管理>负载均衡>业务,并为每个虚拟服务器配置一个服务。
- 指定HTTP在协议场,并选择HTTP下可用的监控.
使用配置实用程序为每个虚拟服务器配置服务
- 导航到流量管理>负载均衡>业务.
- 在详细信息窗格中,单击Add。
- 在“创建服务”对话框中,设置如下参数,如下所示:
- 服务Name-name
- Server-serverName
- 港口
- 在“协议”中指定HTTP。在“可用监视器”下,选择“HTTP”。
- 单击创建,然后单击关闭。您创建的服务出现在“服务”窗格中。
为每个服务配置一个监视器
使用命令行接口将监视器绑定到服务
在命令提示符处,输入:
bind lb monitor 例子:
bind mon monitor-HTTP-1 Service-HTTP-1 通过使用配置实用程序将监视器绑定到服务
导航到流量管理>负载均衡>业务,双击服务,添加监视器。
配置HTTP虚拟服务器,以均衡发送到服务器的流量
通过命令行配置HTTP虚拟服务器对发送到服务器端的流量进行均衡
在命令提示符处,输入:
add lb vserver HTTP 例子:
add lb vserver vserver - lb -1 HTTP 10.102.29.60 80 使用配置实用程序配置HTTP虚拟服务器,使发送到服务器的流量达到均衡
- 导航到流量管理>负载均衡>虚拟业务,并配置HTTP虚拟服务器。
- 指定HTTP在协议字段。
使用配置实用程序配置HTTP虚拟服务器,使发送到服务器的流量达到均衡
- 导航到流量管理>负载均衡>虚拟服务器.
- 在详细信息窗格中,单击Add。
- 2 .在“创建虚拟服务器(负载均衡)”对话框中,设置如下参数:
- Name-name
- 说明:如果虚拟服务器使用IPv6协议,请选中“IPv6”复选框,并输入IPv6格式的地址,例如:1000:0000:0000:0000:0005:0600:700a: 888 b).
- 港口
- 在“协议”中选择“HTTP”。
- 单击创建,然后单击关闭。创建的虚拟服务器出现在“负载均衡虚拟服务器”窗格中。
保存并验证配置
完成配置任务后,一定要保存配置。您还应该检查设置是否正确。
使用命令行界面保存并验证配置
在命令提示符下,键入以下命令来配置透明监视器并验证配置:
保存ns配置显示vserver
例子:
save config show lb vserver FWLBVIP2 FWLBVIP2 (*:*) - ANY Type: ADDRESS State: UP最后一次状态变化是在Mon Jun 14 07:22:54 2010距离上次状态变化的时间:0天,00:00:32.760有效状态:UP客户端空闲超时:120秒Down状态flush: ENABLED禁用主vserver On Down: DISABLED否绑定的服务:2(总)2(主动)配置方法:LEASTCONNECTION当前方法:循环赛,理由:一个新的服务绑定模式:MAC持久性:没有连接故障转移:1)禁用fw-int-svc1(10.102.29.5: *)——任何国家:重量:1 2)fw-int-svc2(10.102.29.9: *)——任何国家:重量:1完成显示服务fw-int-svc1 fw-int-svc1(10.102.29.5: *)——任何国家:最后的状态变化是在2010年7月8日14:44:51星期四以来最后的状态变化:0天,00:01:50.240服务器名称:10.102.29.5服务器ID: 0监控阈值:0马克斯康涅狄格州:0马克斯点播:0最大带宽:0来使用源IP:没有客户Keepalive (CKA):没有访问服务:没有TCP缓冲(TCPB):没有HTTP压缩(CMP):没有闲置超时:客户:120秒服务器:120秒客户机IP:禁用缓存:没有SC:从SP:掉下状态刷新:1)启用监控名称:monitor-HTTP-1状态:重量:1调查:9失败(总数:9电流:9)最后的反应:2)监视器名称:ping State: UP Weight: 1 Probes: 3 Failed [Total: 0 Current: 0] Last Response: Success -收到ICMP echo reply。响应时间:1.275毫秒完成使用配置实用程序保存并验证配置
- 在细节窗格中,单击保存.
- 在保存配置对话框中,单击是的.
- 导航到流量管理>负载均衡>虚拟服务器.
- 在细节窗格中,选择在第5步中创建的虚拟服务器。
- 控件中显示的设置细节面板是正确的。
- 导航到流量管理>负载均衡>业务.
- 在细节窗格中,选择在步骤5中创建的服务。
- 控件中显示的设置细节面板是正确的。
监视在三明治环境中设置的防火墙负载均衡
配置完成并运行之后,您应该查看每个服务和虚拟服务器的统计信息,以检查可能的问题。
查看虚拟服务器的统计信息
为了评估虚拟服务器的性能或排除问题,您可以显示在Citrix ADC设备上配置的虚拟服务器的详细信息。可以显示所有虚拟服务器的统计信息摘要,也可以指定虚拟服务器的名称,以便只显示该虚拟服务器的统计信息。可以显示以下详细信息:
- 的名字
- IP地址
- 港口
- 协议
- 虚拟服务器的状态
- 收到的请求率
- 支安打率
使用命令行方式查询虚拟服务器的统计信息
要在命令提示符中显示Citrix ADC上当前配置的所有虚拟服务器或单个虚拟服务器的统计信息汇总,请输入:
Stat lb vserver [-detail] [] 例子:
>stat lb vserver -detail Virtual Server(s) Summary vsvrIP port Protocol State Req/s Hits/s One * 80 HTTP UP 5/s 0/s Two * 0 TCP DOWN 0/s 0/s Three * 2598 TCP DOWN 0/s 0/s dnsVirtualNS 10.102.29.90 53 DNS DOWN 0/s 0/s BRVSERV 10.10.1.1 80 HTTP DOWN 0/s 0/s LBVIP 10.102.29.66 80 HTTP UP 0/s 0/s Done 使用配置实用程序显示虚拟服务器统计信息
- 导航到流量管理>负载均衡>虚拟服务器>统计.
- 如果只显示一个虚拟服务器的统计信息,请在详细信息窗格中选中虚拟服务器,单击统计数据.
查看单个服务的统计信息
您可以使用服务统计信息查看请求、响应、请求字节、响应字节、当前客户端连接、激增队列中的请求、当前服务器连接等的速率。
使用命令行方式查看指定服务的统计信息
在命令提示符处,输入:
统计服务 例子:
stat service service - http -1 使用配置实用工具查看服务的统计信息
- 导航到流量管理>负载均衡>业务>统计.
- 如果只显示一个服务的统计信息,选中该服务,单击统计数据.