初始配置
将设备安装到机架后,就可以执行初始配置了。完成初始配置后,请参考您正在使用的特性的特定配置指南。
对于多功能的Citrix ADC、Citrix Gateway和专用的Citrix Web App Firewall设备,初始配置相同。您可以使用以下任何接口进行设备的初始配置:
- 首次使用向导:如果您使用web浏览器连接到设备,系统将提示您输入网络配置和许可信息(如果尚未指定的话)。
- LCD键盘:您可以指定网络设置,但必须使用不同的接口上传许可证。
- 串行控制台:连接到串行控制台后,您可以使用Citrix ADC命令行指定网络设置并上传您的许可证。
- 动态主机配置协议(DHCP):要从远程网络配置设备,请使用DHCP为每个新设备分配一个IP地址,您可以在该IP地址上访问设备进行远程配置。您也可以使用DHCP安装多个Citrix ADC设备,然后不使用console口进行配置。
对于初始化配置,使用默认密码作为管理用户名和密码。后续访问请使用初始配置时设置的密码。
完成设备的初始配置后,可以配置对设备的安全访问。因此,在登录时不再提示您输入密码。这种配置在需要跟踪许多密码的环境中特别有用。
使用首次安装向导
要首次配置Citrix ADC设备(或Citrix ADC虚拟设备),您需要将一台管理计算机配置在与该设备相同的网络上。
分配一个Citrix ADC IP (NSIP)地址作为Citrix ADC设备的管理IP地址。您可以在此地址访问设备以进行配置、监视和其他管理任务。为Citrix ADC分配一个子网IP (SNIP)地址,以便与后端服务器通信。指定用于标识设备的主机名、用于解析域名的DNS服务器的IP地址,以及设备所在的时区。
当满足以下任一条件时,向导将自动出现:
- 设备配置了默认IP地址。
- 未配置子网IP地址。
- 设备上不存在许可证。
执行设备的首次配置
在浏览器中输入:
http://192.168.100.1 < !——NeedCopy >
注意:Citrix ADC软件预先配置了此默认IP地址。如果您已经分配了NSIP地址,请在web浏览器中键入该地址。
在用户名、类型
nsroot
.在密码,如果先前的默认密码不起作用,请尝试键入设备的序列号。设备的背面有序列号条形码。Citrix建议首次登录后修改密码。有关修改密码的信息,请参见修改管理密码.出现以下屏幕。
要配置或更改先前配置的设置,请在每个部分中单击。完成后,单击继续.
出现提示时,选择重新启动.
使用LCD键盘
第一次安装设备时,可以使用设备前面板上的LCD键盘配置初始设置。键盘与LCD显示模块相互作用,LCD显示模块也在这些设备的前面板上。
注意:您可以在具有默认配置的新设备上使用LCD键盘进行初始配置。配置文件(ns.conf)必须包含以下命令和默认值。
set ns config -IPAddress 192.168.100.1 -netmask 255.255.0.0
下表解释了不同键的功能。
表1。LCD按键功能
关键 | 函数 |
---|---|
< | 将光标向左移动一位数字。 |
> | 将光标向右移动一位数字。 |
^ | 对光标下的数字加1。 |
v | 减少光标下的数字。 |
. | 处理信息,如果没有更改任何值,则终止配置。这个键也被称为输入关键。 |
要使用LCD键盘按“<”键进行初始配置。
系统提示您依次输入子网掩码、Citrix ADC IP地址(NSIP)和网关。子网掩码与NSIP协议和默认网关都有关联。NSIP是Citrix ADC设备的IPv4地址。默认网关是路由器的IPv4地址,它处理设备无法路由的外部IP流量。NSIP地址必须与默认网关在同一网段。
如果输入合法的子网掩码,如255.255.255.224,系统会提示输入IP地址。类似地,如果您为IP地址输入一个有效值,系统会提示您输入网关地址。如果您输入的值无效,则会出现以下错误消息,持续三秒钟。在这里xxx.xxx.xxx.xxx
是您输入的IP地址,然后是重新输入该值的请求。
无效的addr !xxx.xxx.xxx.xxx < !——NeedCopy >
如果您按下ENTER(.)键而没有更改任何数字,则软件将其解释为用户退出请求。显示如下信息,持续3秒。
退出菜单……xxx.xxx.xxx.xxx < !——NeedCopy >
如果输入的所有值都有效,则按下输入键,出现以下消息。
接受的值,重新启动…< !——NeedCopy >
子网掩码、NSIP和网关值保存在配置文件中。
注意:有关部署高可用性(HA) pair的信息,请参见高可用性.
使用Citrix ADC串行控制台
在首次安装设备时,可以使用串行控制台配置初始设置。通过串口控制台,您可以修改系统IP地址、创建子网或映射的IP地址、配置高级网络设置、修改时区。
注意:要定位设备上的串行控制台端口,请参见特定设备的前面板插图。
使用串行控制台配置初始设置
- 将控制台电缆连接到您的设备。有关详细信息,请参阅“连接Console电缆”中的“安装硬件.
在计算机上运行您选择的vt100终端仿真程序连接到设备并配置以下设置:9600波特率,8个数据位,1个停止位,奇偶校验和流量控制设置为NONE。
按回车。终端屏幕显示登录提示符。
注意:您可能需要按ENTER两到三次,这取决于您正在使用的终端程序。
使用管理员凭证登录到设备。在用户名、类型
nsroot
.在密码,如果先前的默认密码不起作用,请尝试键入设备的序列号。设备的背面有序列号条形码。Citrix建议首次登录后修改密码。有关修改密码的信息,请参见修改管理密码.在提示符下,输入
配置ns
运行Citrix ADC配置脚本。要完成设备的初始配置,请按照提示操作。
注意:为了防止攻击者破坏您向设备发送数据包的能力,请在组织的LAN中选择一个不可路由的IP地址作为您的设备IP地址。
您可以用以下命令替换步骤5和6。在Citrix ADC命令提示符下,输入:
set ns config -ipaddress -netmask add ns ip -type add route set system user -password save ns config reboot
例子:
set ns config -ipaddress 10.102.29.60 -netmask 255.255.255.0 add ns ip 10.102.29.61 255.255.255.0 -type snip add route 0.0.0.0 0.0.0.0 10.102.29.1 set system user nsroot -password输入密码:*****确认密码:***** save ns config reboot
现在您已经完成了设备的初始配置。
初始访问方式为DHCP
注意:术语Citrix ADC设备和设备可以互换使用。
对于Citrix ADC设备的初始配置,动态主机配置协议(DHCP)可以消除对控制台的依赖。DHCP提供一个子网IP (SNIP)地址,您可以通过该地址访问设备并对其进行远程配置。您也可以在初始化配置之后使用DHCP,例如,如果您希望将设备移动到不同的子网。
要使用DHCP,必须首先在DHCP服务器上指定设备供应商类标识符。您还可以指定IP地址池,Citrix ADC设备可以从中获取IP地址。如果不指定地址池,则从通用地址池中获取。
新的Citrix ADC设备没有配置文件。当您将没有配置文件的设备连接到网络时,它的DHCP客户端会自动轮询DHCP服务器以获取IP地址。如果您在DHCP服务器上指定了设备供应商类标识符,服务器将返回一个地址。您还可以在先前配置的设备上启用DHCP客户端。
先决条件
要使用DHCP,必须:
注意系统ID (
sysid
),并在器具背面的编号贴纸上注明。在较旧的设备上,系统ID可能不可用。在这种情况下,使用MAC地址代替系统ID。设置DHCP服务器并使用设备供应商类标识符对其进行配置。
为Citrix ADC设备配置Linux/UNIX DHCP服务器
- 通过在服务器的dhcpd.conf文件中添加以下配置,指定" Citrix - ns "作为Citrix ADC设备的供应商类标识符。子类声明必须在子网声明中。
选项空间自动;选择汽车。键码1 = text;类“citrix-1”{匹配选项vendor-class-identifier;}子类"citrix-1" "citrix-NS"{vendor-option-space auto;选择汽车。关键“citrix-NS”;< !——NeedCopy >
注意:在基于Linux/ unix的操作系统的不同版本和风格中,dhcpd.conf文件的位置可能不同。例如,在FreeBSD 6.3中,文件存在于/等
文件夹中。有关位置,请参见了dhcpd从
配置DHCP服务器。
- 如果不希望Citrix ADC设备使用通用池中的IP地址,请为设备指定一个地址池。将此池声明包含在子网声明中。例如,在dhcpd.conf文件中添加如下配置,指定IP地址池的范围为192.168.2.120 ~ 192.168.2.127。
池{允许成员"citrix-1";192.168.2.120 192.168.2.127;选项子网掩码255.255.255.0;} < !——NeedCopy >
- 终止DHCP进程并重新启动,以反映对配置文件的更改。在shell提示符下,输入:
杀死DHCPD DHCPD &
DHCP配置示例(dhcpd.conf)
选项空间自动;选择汽车。键码1 = text;类“citrix-1”{匹配选项vendor-class-identifier;}子网192.168.2.0 netmask 255.255.255.0 {option routers10.217.242.1;选择域名“jeffbr.local”;选择domain-name-servers8.8.8.8;default-lease-time 21600;max-lease-time 43200;子类"citrix-1" "citrix-NS" {vendor-option-space auto; option auto.key "citrix-NS"; } pool { allow members of "citrix-1"; range 192.168.2.120 192.168.2.127; option subnet-mask 255.255.255.0; } }
打开服务器管理器,确保DHCP服务正在运行。
开放DHCP经理,点击DHCP,并选择IPv4.
将供应商类配置为
. . citrix-Ns
右击IPv4并选择定义供应商类。通过指定显示名称、描述和“。citrix-NS”作为ASCII值。单击OK。创建作用域,配置IP范围、子网、DNS服务器、WIN服务器、默认网关和排除的IP范围。要创建一个作用域,在IPv4列表中,右键单击范围选择然后输入姓名和描述。点击下一个.
提供与服务器绑定的接口IP地址对应的IP地址范围和子网掩码。点击下一个.
如果要排除某个IP地址,请将其添加到添加排除和延迟.点击下一个.
添加租期,单击下一个.
选择“Yes, I want to configure these options now”,然后单击下一个.
可选地,提供默认网关并单击下一个.
可选,输入域名和DNS服务器,单击下一个.
可选地,提供WINS服务器,然后单击下一个.
通过选择“Yes, I want Activate this scope now”激活作用域,然后单击下一个.
点击完成.在“IPv4”页签中可以查看已配置的作用域。
从远程计算机实现初始Citrix ADC配置
当新的Citrix ADC设备启动时,它会自动轮询DHCP服务器以获取IP地址,并向DHCP服务器提供IP地址sysid
.对于没有配置文件的任何设备,此操作也是正确的。DHCP服务器从其池中选择一个IP地址,并将其作为子网IP (SNIP)地址分配给设备。DHCP服务器包括sysid
设备的IP地址以及它在服务器的dhcpd中分配给设备的IP地址。租赁文件。要查找设备的IP地址,请查看dhcpd。文件中的最后一个条目sysid
设备的uid或client-hostname字段。验证此条目中的绑定状态是否为活动状态。如果绑定状态不是活动状态而是空闲状态,则IP地址尚未与设备关联。
您可以使用此地址连接到设备并远程配置初始设置。例如,您可以更改从DHCP服务器获取的IP地址、子网掩码和网关设置。初始化配置完成后,可手动将DHCP IP地址返回到服务器池。或者,重新启动设备会自动将DHCP IP地址释放回服务器池。
您可以从Citrix ADC控制台或DHCP服务器找到分配给设备的SNIP地址。
从Citrix ADC控制台查找SNIP地址
在控制台提示符下,输入:
sh dhcpParams下次重启时DHCP Client为on DHCP Client当前状态:Active DHCP Client默认路由保存:OFF DHCP获取IP:192.168.2.127 DHCP获取子网掩码:255.255.255.0 DHCP获取网关:192.168.2.1 Done
在DHCP服务器上查找SNIP地址
看一下dhcpd。文件中的最后一个条目sysid
设备的uid或client-hostname字段。
例子:
DHCP服务器的dhcpd中的以下条目。lease文件验证设备的绑定状态sysid
是45 eae1a8157e89b9314f。
租赁192.168.2.127{开始3 2013/08/19 00:40:37;结束3 2013/08/19 06:40:37;CLTT 3 2013/08/19 00:40:37;结合状态活跃;下一个绑定状态为free;硬件以太网00:d0:68:11:f4:d6;uid“45 eae1a8157e89b9314f”;client-hostname“45 eae1a8157e89b9314f”;< !——NeedCopy >
在前面的示例中,绑定状态为ACTIVE,分配给设备的IP地址为192.168.2.127
.
下表描述了在配置新的Citrix ADC设备时可能需要使用的与dhcp相关的CLI命令。
表2。用于在新的Citrix ADC设备中使用DHCP的Citrix ADC CLI命令
任务 | 在命令提示符下,输入: |
---|---|
验证DHCP获取的详细信息,例如设备上的IP地址、子网掩码和网关 | > sh dhcpParams |
在Citrix ADC配置完成后,释放DHCP服务器的IP地址,并将其返回到DHCP服务器的IP地址池中 | >释放dhcpIP |
在有配置文件的情况下使用DHCP
如果需要将Citrix ADC设备移动到不同的子网,可以使用DHCP访问已经拥有配置文件的设备。在移动设备之前,启用它的DHCP客户端并保存配置。因此,当设备重新启动时,它会自动轮询DHCP服务器以获取IP地址。在关闭设备之前启用DHCP客户端并保存配置。如果没有启用,则需要通过控制台连接到设备,并在设备上动态运行DHCP客户端。DHCP服务器提供IP地址、网关和子网掩码。您可以使用IP地址访问设备并远程配置其他设置。
如果配置文件中已使能DHCP客户端,请关闭DHCP客户端,然后保存配置文件。如果启用了DHCP客户端,设备在重新启动时再次轮询DHCP服务器以获取IP地址。
下面列出了与每个任务相关的CLI命令:
动态运行DHCP客户端从DHCP服务器获取IP地址
设置dhcpParams dhcpClient
配置DHCP客户端,使其在设备重启时运行
设置dhcpParams dhcpClient
保存配置
防止设备重启时DHCP客户端运行
设置dhcpParams关闭dhcpClient
保存配置
注意:只有保存了ON设置时才需要使用此命令。
保存DHCP获取的路由,以便在设备重新启动时可用
> set dhcpParams -dhcpclient -saveroute on
>保存配置
不保存DHCP获取的路由(默认行为)
设置dhcpParams -dhcpclient on -saveroute off
保存配置
注意:只有保存了ON设置时才需要使用此命令。
通过使用SSH密钥而不使用密码访问Citrix ADC设备
如果您管理许多Citrix ADC设备,那么存储和查找登录到各个设备的密码可能会很麻烦。为了避免提示输入密码,可以在每个设备上使用公钥加密设置安全shell访问。
Citrix ADC特性还可以在禁用内部用户时(通过使用set ns param -internaluserlogin disabled命令)使用基于SSH密钥的身份验证进行内部通信。在这种情况下,必须将密钥名称设置为ns_comm_key
.
要使用SSH密钥设置访问,必须在客户机上生成公私密钥对,并将公钥复制到远程Citrix ADC设备。
生成密钥并使用SSH密钥连接到远程Citrix ADC设备
在客户端(Linux客户端或Citrix ADC)将目录修改为
/root/.ssh
.cd /root/.ssh
生成公私密钥对。
Ssh-keygen -t
-f 例子:
使用默认文件名创建RSA密钥。
Ssh-keygen -t rsa
当提示输入密钥对的文件名时,按ENTER键。
注意:
- 如果更新了密钥对的默认文件名,则在此过程的其余部分中使用新名称而不是默认名称。
- 如果不允许内部用户登录,公私钥对的文件名为“ns_comm_key”。
当提示输入密码短语时,按两次ENTER键。
注意:如果客户端是Citrix ADC设备,请将私钥文件移动到一个持久的位置,例如/flash和/var目录的子目录。
通过FTP从客户端登录到远程Citrix ADC设备,并执行以下操作:
修改目录为“/nsconfig/ssh”。在提示符下,输入:
cd / nsconfig / ssh
使用二进制传输模式将公钥复制到此目录。
箱子
把id_rsa . pub
使用SSH客户端(如PuTTY)打开到远程Citrix ADC设备的连接,并执行以下操作:
使用管理员凭证登录到远程设备
进入Citrix ADC shell。
壳牌
在shell提示符下,将目录更改为/nsconfig/ssh。
root@ns# CD /nsconfig/ssh
将公钥追加到authorized_keys文件。在shell提示符下,输入:
root@ns# cat id_rsa。Pub >> authorized_keys
注意:如果设备上不存在authorized_keys文件,则必须首先创建该文件,然后追加其内容。
修改的权限
/闪光
,nsconfig
,ssh
目录到755。root@ns# chmod 755 /flash
root@ns# chmod 755 /flash/nsconfig . root@ns
root@ns# chmod 755 /flash/nsconfig/ssh
修改authorized_keys文件的权限为744。
root@ns# chmod 744 authorized_keys . root@ns
可选地,删除公钥。
root@ns# rm id_rsa.pub
在客户端上,验证您可以使用SSH连接到远程Citrix ADC设备,而无需输入密码。
如果使用公私钥对的默认文件名。
ssh < user_name > @ < CitrixADCIPAddress >
如果公私钥对使用“ns_comm_key”(当禁用内部用户时)。
ssh -i /nsconfig/ssh/ns_comm_key
@ 如果使用任何其他名称作为公私密钥对。
ssh -i
@ . sh
修改管理密码
默认用户帐户是管理帐户,它提供对Citrix ADC设备的所有功能的完全访问。为保证安全性,必须仅在必要时使用管理帐户。只有其职责需要完全访问权限的个人必须知道管理帐户的密码。
注意:Citrix建议经常修改管理员密码。
使用GUI修改管理密码
- 使用管理凭据登录到设备。
- 导航到系统>用户管理>用户.
- 在用户窗格中,单击默认用户帐户,然后单击更改密码.
- 在更改密码对话框中密码和确认密码,输入您选择的密码。
- 点击好吧.
通过CLI修改管理员密码
在命令提示符下,输入:
set system user -password
例子:
set系统用户nsroot -password输入密码:*****确认密码:***** Done