产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
看到PDF

配置分区和管理

2021年9月8日
Contributeur:
C

重要的

  • Seuls les superutilisateurs sont autorisés à créer et à configurer des partitions d’administration。
  • Sauf指示相反,les配置倒配置une分区d 'administration doivent être effectuées à partir de la分区par défaut。

En partinant une appliance Citrix ADC, vous créez En effet plusieurs实例d 'une seule appliance Citrix ADC。查实例possède ses propres configurations et le traffic de chacune de ces partitions est isolé de l’autre。Cela se fait en attribuant à chque partition un VLAN dédié ou un VLAN partagé。

Une partition Citrix ADC partitionnée possède Une partition par défaut et les partitions d’administration créées。为管理部门提供配置信息,为世界提供信息créer为相关资源提供信息(mémoire,为最高限度提供信息)。Spécifiez分区和分区之间的联系accéder à分区和分区之间的联系。

L 'accès à un Citrix ADC partitionné est identique à L 'accès à un Citrix ADC non partitionné:通过L ' address NSIP ou toute autre address IP de gestion。有用的人,après为了有效的联系信息和身份识别,êtes redirigé为了有效的分区à为了有效的联系信息和身份识别à。说明les配置que vous créez sont enregistrées sur cette分区。Si vous êtes associé à plusieurs分区,vous êtes dirigé vers la première分区à laquelle vous avez été associé。Si vous souhaitez configurer des entités sur l 'une de vos autres分区,vous devez explicit passer à cette分区。

Après避免accédé à分区appropriée, les configuration que vous effect sont enregistrées sur cette partition et et spécifiques à cette partition。

标记

  • Les superutilisateurs Citrix ADC et aures utilisateurs non partitionnés sont reconduits vers la partition par défaut。
  • Les utilisateurs de toutes Les分区512 peuvent se连接器simultanément。

委员会

将accéder à une appliance Citrix ADC partitionnée通过HTTPS à l 'aide du SNIP (avec accès de gestion activé), assurez-vous que chaque partition possède le certificat de son administreur de partition。Dans la partition, l ' administreur de la partition doit effectuer les opérations suivantes:

  1. Ajoutez le certificate at à Citrix ADC。

    添加ssl certKey ns-server-certificate -cert ns-server。cert-key ns-server.key

  2. Liez-le à un service nomménshttps——<剪> -3009,或者<剪>doit être remplacé par l ' address SNIP, dans ce cas 100.10.10.1。

    绑定ssl service nshttps-100.10.10.1-3009 -certkeyName ns-server-certificate . sh

资源分区的限制

Dans une appliance Citrix ADC partitionnée, un administrator réseau peut créer une partition avec des resources de partition telles que la mémoire, la bande passante et la limitite de connexion configurées comme illimitées。自由自由,spécifiez资源分配的零价值。Lorsque 0 indique que la resources est illimitée在la partition et qu 'elle peut être consommée jusqu 'aux limited système。资源分配的配置最实用的可分配资源déploiement交通分区行政分区资源分配有限可分配资源分区déploiement donné。

资源有限,分区,行政和财产:

  1. 备忘录de分区.Il s 'agit de la mémoire maximale allouée à une partition。spécifier les valeurs lors de la création d 'une分区。

    标记

    À partir de NetScaler 12.0, lorsque vous créez une partition, vous pouvez définir la limit de mémoire sur Zero。Si une partition est déjà créée avec une limit de mémoire spécifique, vous pouvez réduire la limit à n '进口quelle valeur ou définir la limit sur Zero。

    量:MaxMemLimit

    La mémoire maximale est allouée en Mo dans une分区。我们的价值zéro indique que la mémoire est illimitée我们的分割et qu 'elle peut消费者jusqu 'aux limited du système。

    价差défaut: 10

  2. Bande passante de partition.Bande passante maximale allouée pour une partition。Si vous spécifiez une limit, sure -vous qu ' le se site dans le débit sous license de la solution matérielle-logicielle。我知道,你的一切都是有限的utilisée我的一切都是有限的。有限责任spécifiée应负责任的法律责任。Si la bande passante de l 'application dépasse la limit spécifiée, les pacquets sont supprimés。

    标记

    À网络上的人12.0,祝你幸福créer分区,祝你幸福définir零分区的界限。这是一个分区的est déjà créée avec une une bande passante spécifique,你的pouvez réduire la bande passante ou définir la limit sur Zero。

    量:MaxBandwidth

    La bande passante maximale est allouée en Kbits/s dans une分区。我们的价值zéro我们的价值是无价的。C 'est -à-dire que la partition peut消费者jusqu 'aux limitites du système。

    价差défaut: 10240

    最高价:4294967295

  3. Connexion à la分区.最伟大的连接simultanées pouvant être ouvertes dans une分区。La valeur doit prendre en compte le flux simultané最大的分配。Les connexions de partition sont comptabilisées à partir de la mémoire de quota de partition。Auparavant, les connexions étaient comptabilisées à partir de la mémoire de quota de partition par défaut。访问configuré唯一côté客户端,访问TCP连接côté服务器。法国的新关系和法国的新关系être établies au-delà法国的价值configurée。

    标记

    À partir de NetScaler 12.0, vous pouvez créer une partition don le nombre de connexions ouvertes est défini sur Zero。我是你的主人déjà créé我是你的主人spécifique你是我的主人,你是我的主人réduire你是我的主人définir你是我的主人。

    量:MaxConnections

    最伟大的连接simultanées pouvant être ouvertes dans la分区。我们的价值zéro我们的价值是有限的,我们的关系是有限的。

    价差défaut: 1024

    最小价值:0

    最高价:4294967295

配置管理分区

倾配置une分区d '行政,效果les tâches suivantes。

Pour accéder à une partition d 'administration à l 'aide de l 'interface de ligne de command

  1. Connectez-vous à l 'appliance Citrix ADC。
  2. Vérifiez si vous êtes dans la bonne分区。L 'invite de commands affiche le nom de la partition actuelent sélectionnée。
  3. 再见,passez à l ' étape suivante。

  4. Si non, obtenez une liste des partitions auxquelles vous êtes associé et passez à la partition appropriée。

    • 显示系统用户<用户名>
    • switch ns partition . sh
  5. Vous pouvez désormais效应器les配置要求comme Citrix ADC非partitionnée。

倒accéder à une partition d 'administration à l 'aide de l 'interface graphique

  1. Connectez-vous à l 'appliance Citrix ADC。

  2. Vérifiez si vous êtes dans la bonne分区。La barre supérieure de l 'interface graphique graphique le nom de La partition actuellement sélectionnée。

    • 再见,passez à l ' étape suivante。

    • Si non, accédez à配置> Système >管理分区>分区法国,法国,法国,法国,法国,法国,sélectionnezCommutateur

  3. Vous pouvez désormais效应器les配置要求comme Citrix ADC非partitionnée。

行政区划

L ' administrator racine ajoute une partition administrative à partir de la partition par défaut et lie la partition avec VLAN 2。

倒créer une分区行政à l 'aide de l 'interface de ligne de command

À l 'invite de commands, tapez:

添加分区< partitionname >

Basculer l 'accès utilisateur de la partition par défaut vers une partition d’administration

Vous pouvez désormais basculer l 'accès utilisateur de la partition par défaut à la partition Par1。

Pour passer d 'un compte d 'un partition par défaut à une partition d 'administration à l 'aide de l 'interface de ligne de command:

À l 'invite de commands, tapez:

切换ns分区

Ajout d 'une地址SNIP à un compte d 'utilisateur de partition avec l 'accès à la gestion activé

Dans la partition, créez une address SNIP avec l 'accès à la gestion activé。

倒ajouter une地址SNIP au compte utilisateur de partition don l 'accès de gestion est activé à l 'aide de l 'interface de ligne de command, procédez comme suit:

À l 'invite de commands, tapez:

> add ns ip <子网掩码> -mgmtAccess enabled

Créer et lier un utilisateur de partition à l 'aide d 'une stratégie de command de partition

Dans la partition, créez un utilisateur de système de partition et liez l 'utilisateur à des stratégies de command partition-admin。

倒créer et lier un utilisateur de système de partition avec une stratégie de command de partition à l 'aide de l 'interface de ligne de command:

À l 'invite de commands, tapez:

> add system user

完成

Création让我们联络分区利用人员小组avec une stratégie分区指挥

Dans Partition Par1, créez un groupe d 'utilisateurs de système de Partition et liez le groupe avec une stratégie de command de Partition telle que l ' administrator de Partition, la lecture seule de Partition, l 'opérateur de Partition ou le réseau de Partition。

倒créer et lier un groupe d 'utilisateurs de partition avec la stratégie de command de partition à l 'aide de l 'interface de ligne de command:

> add system group  > bind system group  (-userName | -policyName   | -partitionName)

外部服务器认证配置外部用户认证配置

Dans la partition Par1, vous pouvez configurer une authentication de server externe pour authenticfier les utilisateurs TACACS externes accédant à la partition via une address SNIP。

倾配置者l’authentication du server external倾de utilisateurs external à l’aide de l’interface de ligne de command:

À l 'invite de commands, tapez:

> add authentication tacacsaction  -serverip  -tacacsSecret  -authorization ON -accounting ON > add authentication policy  -rule true -action  > bind system global  -priority 1

配置un compte utilisateur du système de partition dans une partition à l 'aide de l 'interface graphque

提供分区管理的配置器和分区管理器créer分区管理器和分区管理器和分区管理器和分区管理器stratégies分区命令。你的钱également外部服务器的配置认证和外部利用人员。

倒créer un compte utilisateur de partition dans une partition à l 'aide de l 'interface graphique

Accedez一和>管理des利用者,利用者Pour ajouter UN utilisateur de système de partition et liez l 'utilisateur aux stratégies de command (partitionadmin/partitionlecture seule/partition-operator/partition-network)。

倒créer un compte de groupe d ' utiisateurs de partition dans une partition à l 'aide de l 'interface graphique

Accedez一Système >使用管理,双击的小组Pour ajouter UN groupe d 'utilisateurs de système de partition et lier le groupe d 'utilisateurs aux stratégies de command (partitionadmin/partitionlecture seule/partition-operator/partition-network)。

倒配置器认证服务器外部倒设备外部à接口图形

Accedez一Système >认证>基本动作et双击苏尔TACACS倒配置器unserver TACACS倒认证器les utilisateurs externes accédant à la分区。

比如de配置

La configuration suivante montre评论créer un utilisateur de partition ou un groupe d 'utilisateurs de partitions et de les lier aux stratégies de command de partition。加上,评论外部服务认证的配置者和外部利用认证者。

>添加分区Par1 >开关ns分区Par1 >添加ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled约翰>添加系统用户密码>绑定系统用户简partition-read-only优先级1 >添加系统集团零售>绑定系统集团零售-policyname分区网络1(1是优先级号)>绑定系统组零售用户名简>添加身份验证tacacssaction tacuser -serverip 10.102.29.200 -tacacsSecret密码授权对会计>添加身份验证policy polname -rule true -action tacacsAction > bind system global polname -priority

Stratégies管理部门管理部门管理部门管理部门管理部门管理部门

命令渗透自动控制,不计算利用,不分区管理 Stratégies de command disponibles dans une分区管理(stratégies intégrées) d型'accès au compte utilisateur
Ajouter UN utilisateur système Administrateur de分区 SNIP (avec accès à la gestion activé)
Ajouter UN group de systèmes 栅网de分区 SNIP (avec accès à la gestion activé)
ajout d 'authentification<行动,政策>, système de liaison global<政策名称> 分区en lecture seule SNIP (avec accès à la gestion activé)
supprimer l 'utilisateur systeme Administrateur de分区 SNIP (avec accès à la gestion activé)
供应商联合国集团de systèmes Administrateur de分区 SNIP (avec accès à la gestion activé)
结合系统cmdpolicyà l 'utilisateur système;结合系统cmdpolicy非盟groupe systeme Administrateur de分区 SNIP (avec accès à la gestion activé)

在管理分区défaut上配置以太网LACP

Avec le协议LACP(链路聚合控制协议),vous pouvez combiner plusieurs ports en une seule liaison haute vitesse (également appelée canal)。Une设备兼容的LACP échange des unités de données LACP (LACPDU) sur le canal。

存在三种配置模式LACP que vous pouvez active dans la partition par défaut d 'une appliance Citrix ADC:

  1. Actif。Un port en mode actif envoy des LACPDU。L 'agrégation de lien est formée si L 'autre extrémité de la liaison以太网est en mode主动被动LACP。
  2. passif。Un port en mode passive特使LACPDU唯一标识lorsqu 'il reçoit des LACPDU。L 'agrégation de liens est formée si L’autre extrémité de la liaison Ethernet est en mode actif LACP。
  3. Desactiver。L 'agrégation de liens n 'est pas formée。

标记

Par défaut, l 'agrégation de liens est désactivée dans la partition Par défaut de l 'appliance。

LACP échange LACPDU入口设备connectés par une连接以太网。cesareils sont généralement appelés演员和合伙人。

Une unité de données LACPDU continental les paramètres suivants:

  • LACP模式。主动,被动désactivé。
  • Delai d 'attente LACP。La période d 'attente avant le chronométrage du partenaire ou de l ' actor。Valeurs possible: Long et Courte。Par défaut:长。
  • Cle德港口。Pour distinguer les différents canaux。Lorsque la clé est 1, la /1 est créé。Lorsque la clé est 2, la /2 est créé。Valeurs possible:整个包括entre 1和8。4 à 8 est destiné au cluster CLAG。
  • 钇易解石portuaire。最小价值:1。最大值:65535。参数défaut: 32768。
  • 钇易解石和。利用cette priorité avec le MAC système倒前l 'ID système afin d 'identifier le système de manière unique lors des négociations LACP avec le partenaire。Définit la priorité système de 1 et 65535。La valeur par défaut est définie sur 32768。
  • 接口。NetScaler 10.1等设备管理8个接口NetScaler 10.5等设备管理16个接口NetScaler 11.0。

Après避免échangé de LACPDU, l 'acteur et le partenaire négocient les paramètres et décident d 'ajouter les ports à l 'agrégation。

配置程序等vérifier LACP

La section suivante explque comment configururer et vérifier LACP dans La partition d 'administration。

倒配置器等vérifier LACP sur une appliance Citrix ADC à l 'aide de l 'interface de ligne de command

  1. Activez LACP sur chaque接口。

    set interface -lacpMode PASSIVE -lacpKey 1

    LACP接口,lescanaux sont créés动态。De plus, lorsque vous activez LACP根据接口等查询définissez LacpKey根据1,接口自动查询liée au canal LA/1。

    标记

    我们的接口à uncanal, les paramètres de canal ont priorité sur les paramètres de l 'interface, de sorte que les paramètres de l 'interface sont ignorés。运河的力量créé LACP的力量,你的力量opérations d 'ajout,联络,déliaison在运河上的压制。uncanal créé动力标准LACP est自动化supprimé lorsque vous désactivez LACP sur tudes les interfaces du canal。

  2. Définissez la priorité système。

    set lacp -sysPriority

  3. Vérifiez que LACP function comme prévu。

    ' ' '显示界面 

    ' ' '显示频道< !——NeedCopy >

    显示LACP < !——NeedCopy >

    标记

    Dans某些版本的Cisco Internetwork Operating System (iOS), l 'exécution de la command VLAN natif switchport trunk entraîne l ' étiquetage du commutateur Cisco sur les PDU LACP。Cela provoque l ' échec du canal LACP entre le commutateur Cisco et l ' appliance Citrix ADC。好极了,我们problème能影响你的生活'agrégation你的留置权configurés巴黎procédure précédente。

enregisterr la configuration de tes les partitions d 'administration à partir de la partition par défaut

Les administrateurs peuvent enregistrer la configuration de tes Les partitions d 'administration en même temps à partir de la partition par défaut。

登记管理分区管理分区分区défaut à l 'aide de l 'interface de ligne de command

À l 'invite de commands, tapez:

保存ns config -all

维护和谐personnalisés basés分区和抓手

L 'interface graphique Citrix ADC affiche unique les rapports personnalisés créés dans la partition d 'affichage actuelle ou dans le cluster。

Auparavant, l 'interface graphique Citrix ADC stockait les nom des rapports personnalisés指向dans le fichier后端无提名le分区名ou de cluster à différencier。

Pour afficher les和睦personnalisés de la partition ou du cluster actuel danans l 'interface graphique

  • Accedez一l 'onglet报告

  • 双击苏尔怎样personnalisesPour affher les和睦créés dans la分区actuelle ou dans le集群。

负责全球VPN认证和配置联络的企业partitionnée pour l 'IdP OAuth

Dans une configuration partitionnée, vous pouvez désormais lier les certificates à un VPN global pour les déploiements d 'IdP OAuth。

倾lier les certificates dans la configuration partitionnée à l 'aide de l 'interface de ligne de command

À l 'invite de commands, tapez:

bind vpn global [-certkeyName ] [-userDataEncryptionKey ]
配置分区和管理
2021年9月8日
Contributeur:
C
2021年9月8日
Contributeur:
C

在cet(中央东部东京)的文章

说明贡献者
网站评论 | Confidentialité et conditions légales | 偏好de饼干 | 产品的de consentement
©1999 -思杰系统有限公司。保留所有权利。