初始配置

在机架中安装设备后，您就可以执行初始配置了。初始配置完成后，请参阅特定配置指南以了解您正在使用的功能。

多功能Citrix ADC, Citrix网关和专用CitCitrix Web应用防火墙设备的初始配置相同。您可以使用以下任何接口进行设备的初始配置：

• 首次使用向导:如果使用网页浏览器连接到设备,系统会提示您输入网络配置和许可信息(如果尚未指定)。
• 液晶键盘:您可以指定网络设置,但必须使用其他界面才能上传许可证。
• 串行控制台:连接到串行控制台后,您可以使用Citrix ADC命令行指定网络设置并上传许可证,
• 动态主机配置协议(DHCP):要从远程网络配置设备,请使用DHCP为每个新设备分配一个IP地址,您可以在该地址访问设备进行远程配置。您还可以使用DHCP安装多个Citrix ADC设备,然后在不使用控制台端口的情况下对其进行配置。

对于初始配置，请使用默认密码作为管理用户名和密码。对于后续的访问，请使用初始配置期间指定的密码。

完成设备的初始配置后，您可以配置对设备的安全访问。因此，登录时不再提示您输入密码。此配置在您必须跟踪许多密码的环境中特别有用。

使用首次安装向导

要首次配置Citrix ADC设备(或Citrix ADC虚拟设备),您需要在与设备相同的网络上配置管理计算机。

将Citrix ADC IP (NSIP)地址分配为Citrix ADC设备的管理IP地址。您可以在此地址访问设备执行配置、监视和其他管理任务。为Citrix ADC分配子网IP(剪)地址,以便与后端服务器进行通信。指定用于标识设备的主机名,用于解析域名的DNS服务器的IP地址以及设备所在的时区。

如果满足以下任何条件，则将自动显示向导：

• 设备配置了默认IP地址。
• 未配置子网IP地址。
• 设备上不存在许可证。

首次对设备进行配置

1. 在网页浏览器中,键入:

   http://192.168.100.1 < !——NeedCopy >

   注意：Citrix ADC软件已使用此默认IP地址进行预配置。如果您已指定NSIP地址,请在网页浏览器中键入该地址。

2. 在用户名中，键入nsroot。在密码中，如果早期的默认密码不起作用，请尝试键入设备的序列号。序列号条形码位于设备背面。Citrix 建议您在首次登录后更改密码。有关更改密码的信息，请参阅更改管理密码。

   此时将显示以下屏幕。

3. 要配置或更改以前配置的设置，请在每个部分中单击。完成后，请单击继续（继续）。

4. 系统提示时，选择重新启动（重新启动）。

使用液晶屏键盘

首次安装设备时,可以使用设备前面板上的LCD小键盘配置初始设置。LCD小键盘与同样位于这些设备前面板上的液晶显示屏模块交互。

注意：可以使用LCD小键盘对具有默认配置的新设备进行初始配置。配置文件(ns.conf)必须包含以下命令和默认值。

set ns config -IPAddress 192.168.100.1 -netmask 255.255.0.0 

下表说明了各个键的功能。

表 1.液晶键功能

若要使用液晶键盘执行初始配置,请按下“<”键。

系统会提示您分别按该顺序输入子网掩码,Citrix ADC IP地址(NSIP)和网关。子网掩码与NSIP和默认网关IP地址相关联。NSIP是Citrix ADC设备的IPv4地址。默认网关是路由器的IPv4地址,它处理设备无法以其他方式路由的外部IP流量。NSIP地址和默认网关必须位于同一子网中。

如果输入了有效的子网掩码值(例如255.255.255.224),系统会提示您输入IP地址。同样,如果输入了有效的IP地址值,系统会提示您输入网关地址。如果您输入的值无效，将显示以下错误消息，持续三秒钟。以下xxx.xxx.xxx.xxx是您输入的IP地址,然后是重新输入值的请求。

无效的addr !xxx.xxx.xxx.xxx < !——NeedCopy >

如果在不更改任何数字的情况下按输入键(。),软件会将其解释为用户退出请求。以下消息将显示三秒钟。

退出菜单……xxx.xxx.xxx.xxx < !——NeedCopy >

如果输入的所有值都有效,则当您按EN的怪兽键时，将显示以下消息。

价值观的接受,重启……<！——NeedCopy >

子网掩码,NSIP以及网关值保存在配置文件中。

注意:有关部署高可用性(HA)对的信息,请参阅高可用性。

使用Citrix ADC串行控制台

首次安装该设备时，可以使用串行控制台配置初始设置。利用串行控制台,可以更改系统IP地址,创建子网或映射的IP地址,配置高级网络设置以及更改时区。

注意：要找到装置上的串行控制台端口，请参阅特定设备的前面板图示。

使用串行控制台配置初始设置

1. 将控制台电缆连接到设备。有关更多信息，请参阅安装硬件中的“连接控制台电缆”。

2. 在要向其连接设备的计算机上运行您所选择的vt100终端仿真程序,并配置以下设置:9600年波特,8个数据位,1个停止位,奇偶校验和流控制设置为“无”。

3. 按输入键。终端屏幕将显示登录提示。

   注意：可能需要按输入键两到三次,具体取决于您使用的终端程序。

4. 使用管理员凭据登录到该设备。在用户名中，键入nsroot。在密码中，如果早期的默认密码不起作用，请尝试键入设备的序列号。序列号条形码位于设备背面。Citrix 建议您在首次登录后更改密码。有关更改密码的信息，请参阅更改管理密码。

5. 在提示符下，键入配置ns以运行Citrix ADC配置脚本。

6. 要完成设备的初始配置，请按照提示进行操作。

   注意：为防止攻击者影响您向设备发送数据包的能力,请在您组织的局域网中选择一个不可路由的IP地址作为设备IP地址。

   您可以用以下命令替换步骤 5 和 6。在Citrix ADC 命令提示符下，键入：

set ns config -ipaddress -netmask add ns ip  -type add route   set system user  -password save ns config reboot 

示例:

set ns config -ipaddress 10.102.29.60 -netmask 255.255.255.0 add ns ip 10.102.29.61 255.255.255.0 -type snip add route 0.0.0.0 0.0.0.0 10.102.29.1 set system user nsroot -password输入密码:*****确认密码:***** save ns config reboot 

现在，您已完成设备的初始配置。

使用DHCP进行初始访问

注意:术语Citrix ADC设备和设备可互换使用。

对于Citrix ADC设备的初始配置,动态主机配置协议(DHCP)可以消除对控制台的依赖。DHCP提供了子网IP(剪)地址,您可以通过该地址访问设备进行远程配置。例如,如果要将设备移动到其他子网,则还可以在初始配置后使用DHCP。

要使用DHCP,必须首先在DHCP服务器上指定设备供应商类标识符。或者,您还可以指定Citrix ADC设备可以从中获取IP地址的IP地址池。如果未指定池，则从常规池中获取地址。

新的Citrix ADC设备没有配置文件。当您将没有配置文件的设备连接到网络时,其DHCP客户端会自动轮询DHCP服务器以获取IP地址。如果在DHCP服务器上指定了设备供应商类标识符,服务器将返回地址。您还可以在先前配置的设备上启用DHCP客户端。

必备条件

要使用DHCP,您必须:

1. 注意设备后面板序列号标签上的系统ID (sysid)。在较旧的设备上，系统 ID 可能不可用。在这种情况下，请使用 MAC 地址而不是系统 ID。

2. 设置DHCP服务器并使用设备供应商类标识符对其进行配置。

为Citrix ADC设备配置Linux / UNIX DHCP服务器

1. 通过将以下配置添加到服务器的dhcpd.conf文件中,将“Citrix-NS”指定为Citrix ADC设备的供应商类标识符。子类声明必须位于子网声明内。

选择空间的汽车;选择汽车。关键代码1 =文本;类"citrix-1"{匹配选项vendor-class-identifier;}子类"citrix-1" "citrix-NS"{vendor-option-space auto;选择汽车。关键“citrix-NS”;<！——NeedCopy >

注意：dhcpd.conf文件的位置在基于Linux / UNIX的操作系统的不同版本和风格中可能会有所不同。例如,在FreeBSD 6.3中,文件存在于/等文件夹中。有关位置,请参阅DHCP服务器的了dhcpd从。

1. 如果不希望Citrix ADC设备使用常规池中的IP地址,请为设备指定地址池。将此池声明包含在子网声明中。例如,将以下配置添加到dhcpd.conf文件中会指定从192.168.2.120到192.168.2.127的IP地址池。

Pool{允许“citrix-1”的成员;范围192.168.2.120 192.168.2.127;选择子网掩码255.255.255.0;} < !——NeedCopy >

1. 终止DHCP进程并重新启动它以反映对配置文件的更改。在壳牌提示符下,键入:

Killall DHCPD & 

DHCP配置示例(dhcpd.conf)

选择空间的汽车;选择汽车。关键代码1 =文本;类"citrix-1"{匹配选项vendor-class-identifier;}子网192.168.2.0 netmask 255.255.255.0 {option routers10.217.242.1;选择域名“jeffbr.local”;选择domain-name-servers8.8.8.8;default-lease-time 21600;max-lease-time 43200;子类"citrix-1" "citrix-NS" {vendor-option-space auto; option auto.key "citrix-NS"; } pool { allow members of "citrix-1"; range 192.168.2.120 192.168.2.127; option subnet-mask 255.255.255.0; } } 

1. 打开服务器管理器并确保DHCP服务正在运行。

2. 打开DHCP管理程序，单击DHCP，然后选择IPv4。

3. 要将供应商类配置为. . citrix-Ns，请右键单击IPv4，然后选择定义供应商类别。通过指定显示名称,说明和”。Citrix-NS” 作为 ASCII 值来添加新类。单击 OK（确定）。

4. 创建范围以配置IP范围,子网,DNS服务器,赢得服务器,默认网关和排除的IP地址范围。要创建范围，请在IPv4列表中右键单击范围选项，然后输入名称和描述。单击下一步。

5. 提供与绑定到服务器的接口IP地址相对应的IP地址范围和子网掩码。单击下一步。

6. 要排除IP地址,请将其添加到”添加排除和延迟”中。单击下一步。

7. 添加租赁期限，然后单击下一步。

8. 选择”是的,我想立即配置这些选项”,然后单击”下一步”。

9. 或者，提供默认网关，然后单击下一步。

10. 或者,提供域名和DNS服务器,然后单击下一步。

11. 或者,提供赢服务器,然后单击下一步。

12. 通过选择”是的,我想立即激活此范围”来激活范围,然后单击下一步。

13. 单击完成。您可以在IPv4选项卡中查看配置的范围。

从远程计算机实施初始Citrix ADC配置

当新的Citrix ADC设备启动时,它会自动轮询DHCP服务器以获取IP地址,并为DHCP服务器提供IP地址sysid。对于没有配置文件的任何设备，此操作也是如此。DHCP服务器从其池中选择一个 IP 地址，然后将其作为子网 IP (SNIP) 地址分配给设备。DHCP 服务器在服务器的 dhcpd.leases 文件中包括设备的sysid以及它分配给设备的IP地址。要查找设备的IP地址,请在了dhcpd。租赁文件中在uid或客户端主机名字段中查找您的设备的sysid的最后一个条目。验证此条目中的绑定状态是否处于活动状态。如果绑定状态不是活动但是空闲,则该IP地址尚未与设备关联。

您可以使用此地址连接到设备并远程配置初始设置。例如,您可以更改从DHCP服务器获取的IP地址,子网掩码和网关设置。完成初始配置后,您可以手动将DHCP IP地址返回到服务器池。或者,重新启动设备会自动将DHCP IP地址释放回服务器池。

您可以从Citrix ADC控制台或DHCP服务器中找到分配给设备的剪断地址。

从Citrix ADC控制台查找剪断地址

在控制台提示符下，键入：

sh dhcpParams DHCP客户端在接下来重启DHCP客户端当前状态:积极DHCP客户端默认路由保存:从DHCP获得IP: 192.168.2.127 DHCP获得子网掩码:255.255.255.0 DHCP获得网关:192.168.2.1做< !——NeedCopy >

从DHCP服务器中查找剪断地址

在了dhcpd。租赁文件中,在uid或客户端主机名字段中查找设备的sysid的最后一个条目。

示例:

DHCP服务器的了dhcpd。租赁文件中的以下条目验证了sysid为45 eae1a8157e89b9314f的设备的绑定状态。

租约192.168.2.127 {start 3 2013/08/19 00:40:37;结束3 2013/08/19 06:40:37;CLTT 3 2013/08/19 00:40:37;绑定状态活跃;下一个绑定状态自由;硬件以太网00:d0:68:11: f4: d6;uid“45 eae1a8157e89b9314f”;client-hostname“45 eae1a8157e89b9314f”;<！——NeedCopy >

在前面的示例中,绑定状态为活跃,分配给设备的IP地址为192.168.2.127。

下表介绍了配置新的Citrix ADC设备时可能希望使用的与DHCP相关的CLI命令。

表 2.用于将DHCP与新的Citrix ADC设备配合使用的Citrix ADC CLI命令

配置文件存在时使用DHCP

如果需要将Citrix ADC设备移动到其他子网,则可以使用DHCP访问已有配置文件的设备。移动设备之前,请启用其DHCP客户端并保存配置。因此,当设备重新启动时,它会自动轮询DHCP服务器以获取IP地址。在关闭设备之前,启用DHCP客户端并保存配置。如果未启用,则需要通过控制台连接到设备,然后在设备上动态运行DHCP客户端。DHCP服务器提供IP地址,网关和子网掩码。您可以使用IP地址访问设备并远程配置其他设置。

如果在配置文件中启用了DHCP客户端,请将其禁用,然后保存配置文件。如果启用DHCP客户端,设备将在DHCP服务器重新启动时再次轮询其以获取IP地址。

列出了与每个任务关联的CLI命令:

• 动态运行DHCP客户端以从DHCP服务器获取IP地址

  设置dhcpParams dhcpClient on

• 将DHCP客户端配置为在设备重新启动时运行

  设置dhcpParams dhcpClient on

  保存配置

• 防止DHCP客户端在设备重新启动时运行

  set dhcpParams dhcpClient off

  保存配置

  注意：仅当保存了上设置时,才需要使用此命令。

• 保存DHCP获取的路,由以便在设备重新启动时可用

  >设置dhcpParams -dhcpclient on -saveroute on

  >保存配置

• 防止保存DHCP获取的路由(默认行为)设置dhcpParams -dhcpclient on -saveroute off

  保存配置

  注意：仅当保存了上设置时,才需要使用此命令。

使用SSH密钥而不使用密码访问Citrix ADC设备

如果管理许多Citrix ADC设备,则存储和查找用于登录到单个设备的密码可能会很麻烦。为避免提示输入密码，您可以在每台设备上使用公钥加密设置安全外壳访问权限。

当内部用户被禁用时,Citrix ADC功能还可以使用基于SSH密钥的身份验证进行内部通信(通过使用ns param-Interaluserlogin设置禁用命令)。在这种情况下，密钥名称必须设置为ns_comm_key。

要使用SSH密钥设置访问权限,您必须在客户端上生成公私密钥对,然后将公钥复制到远程Citrix ADC设备。

使用SSH密钥生成密钥并连接到远程Citrix ADC设备

1. 在客户端(Linux客户端或Citrix ADC)上,将目录更改为/root/.ssh。

   cd /root/.ssh

2. 生成公私密钥对。

   Ssh-keygen -t -f . txt

   示例:

   使用默认文件名创建RSA密钥。

   ssh - keygen - t rsa

3. 当系统提示输入密钥对的文件名时,按输入键。

   注意：

   • 如果更新密钥对的默认文件名，请在此过程的其余部分中使用新名称而不是默认名称。
   • 如果要禁用内部用户登录,请使用“ns_comm_key”作为公私密钥对的文件名。

4. 当提示输入密码短语时,按输入两次。

   注意:如果客户端是Citrix ADC设备,请将私有密钥文件移动到持久位置,例如/ flash和/ var目录的子目录。

5. 使用FTP从客户端登录到远程Citrix ADC设备,然后执行以下操作:

   1. 将目录更改为/ nsconfig / ssh。在提示符下，键入：

      cd / nsconfig / ssh

   2. 使用二进制传输模式将公钥复制到此目录。

      箱子把id_rsa . pub

6. 使用SSH客户端(如腻子)打开与远程Citrix ADC设备的连接,然后执行以下操作:

   1. 使用管理员凭据登录远程设备。< / span >

   2. 转到Citrix ADC外壳。

      壳牌

   3. 在壳牌提示符下,将目录更改为/ nsconfig / sshh。

      root@ns # cd / nsconfig / ssh

   4. 将公钥附加到授ized_keys文件中。在壳牌提示符下,键入:< / span >

      root@ns #猫id_rsa。酒吧> > authorized_keys

      注意：如果设备上不存在授权ized_keys文件,则必须先创建该文件,然后追加内容。

   5. 将/闪光、nsconfig和ssh目录的权限更改为 755。

      root@ns# chmod 755 /flashroot@ns# chmod 755 /flash/nsconfig . conf . confroot@ns# chmod 755 /flash/nsconfig/ssh

   6. 将授权ed_keys文件的权限更改为744。

      root@ns# chmod 744 authorized_keys . txt

   7. 或者，删除公钥。

      root@ns # rm id_rsa . pub

7. 在客户端上,验证是否可以使用SSH连接到远程Citrix ADC设备,而无需输入密码。

   如果使用公私密钥对的默认文件名。

   ssh < user_name > @ < CitrixADCIPAddress >

   如果对公私密钥对使用“ns_comm_key”(当内部用户被禁用时)。

   ssh -i /nsconfig/ssh/ns_comm_key @ . sh/ nsconfig/ ns_comm_key

   如果为公私密钥对使用任何其他名称。

   ssh -i @ . ssh -i @ . ssh

更改管理密码

默认用户帐户是管理帐户,它提供对Citrix ADC设备所有功能的完全访问权限。为了保持安全性，必须仅在必要时使用管理帐户。只有职责需要完全访问权限的个人才必须知道管理帐户的密码。

注意：Citrix建议经常更改管理密码。

使用GUI更改管理密码

1. 使用管理凭据登录设备。
2. 导航到系统(系统)>用户管理(用户管理)>用户（用户）。
3. 在“用户“窗格中,单击默认用户帐户,然后单击”更改密码”。
4. 在“更改密码“对话框的“密码“和”确认密码“中,键入您选择的密码。
5. 单击好吧（确定）。

使用CLI更改管理密码

在命令提示符下，键入：

set system user  -password 

示例:

set system user nsroot -password输入密码:*****确认密码:***** Done