Netsclaer配置
从 CLI 配置 NetScaler
1. 将工作站连接至 NetScaler。
A. 将随附的串行电缆插入串行端口。
B. 将串行电缆的另一端插入串行端口。
C. 运行您选择的 vt100 终端仿真程序。
例如, Microsoft Windows 用户可以使用“超级终端”,它包括在 Windows 的所有现代
版本中。
D. 连接至 NetScaler。
2. 出现登录提示时,键入用户名 nsroot 和密码 nsroot,然后按 ENTER 键。
3. 在 CLI 中键入下列命令以更改密码,然后按 ENTER 键。
set system user nsroot password
4. 在 CLI 中键入下列命令以添加 MIP,然后按 ENTER 键。
add ns ip IPaddress netmask -type MIP
5. 在 CLI 中键入下列命令以设置默认网关,然后按 ENTER 键。
add network route network netmask gateway
6. 在 CLI 中键入下列命令以设置 NSIP,然后按 ENTER 键。
set ns config -IPAddress IPaddress -netmask netmask
7. 复查您所做的更改以确保它们反映您的部署目标。
8. 在 CLI 中键入下列命令以保存配置,然后按 ENTER 键。
save ns config
9. 在 CLI 中键入下列命令以重新启动 NetScaler,然后按 ENTER 键。
reboot
参数设置
端口您将串行电缆连接至的端口,通常是 COM1
位/ 秒 (BPS) 9600
数据位8
奇偶校验N (无)
结束位1
流量控制无
32 入门指南
10. NetScaler 提示您确认重新启动。键入 Y,然后按 ENTER 键确认重新启动。
11. 使用新的管理密码,以 nsroot 身份重新登录到工作站。
12. 键入下列命令并按 Enter 键以确认与 NetScaler 的连接性。
ping NSIP
概述
CITRIX NETSCALER常用的功能有:LB,CS,GSLB,SSL。LB实现的功能是服务器负载均衡,CS实现基于七层(域名,IP等)的负载均衡,GSLB实现的功能是全局负载均衡,SSL实现的功能是SSL加速。
配置步骤
系统配置
配置feature
<一>、Systemàsettingàbasic featureàfeature 选择需要的feature,不用的都关闭
Advanced featureàfeature
<二>、修改nsroot用户的密码
Netscaler 的默认密码是nsroot
修改密码:systemàusersà双击nsrootà修改
Set system user nsroot password
配置mode
Netscaler默认是不启用2层转发的,如果需要启用2层功能,需要在mode中配置
Systemàsettingàmodeà修改
配置系统时间
用shell命令进入系统的操作系统,然后用date命令修改当前系统时间
输入tzsetup命令设置时区,输入date yymmddhhmm命令修改系统时间,格式为:年 月 天小时 分钟
配置时间同步
用文本编辑两个文件,ntp.conf和rc.conf,内容如下:
Ntp.conf:
server 61.129.42.44 burst
restrict default ignore
restrict 127.0.0.1 mask 255.255.255.255
#corresponds to 'server' entry above
restrict 61.129.42.44 mask 255.255.255.255
注:61.129.42.44为ntp服务器,此类服务器在互联网上可以搜到
Rc.conf:
ntpd_enable="YES"
编辑完两个文件后,用WinSCP3工具登陆Netscaler,然后将这两个文件拷贝到/nsconfig目录下。然后重启Netscaler
IP配置
配置NSIP
配置一个NSIP,保证这个IP不会和其他IP地址发生冲突,这个IP为设备的IP,可以用于管理系统。配置完NSIP后需要重启设备。
如:在命令行下输入set ns config -ipAddress 192.168.2.3 -netmask 255.255.255.0,然后输入save config来保存配置,最后输入reboot重启,设备重启后NSIP变为192.168.2.3
配置SNIP和路由
配置SNIP,即接口ip.然后在配置下联路由和默认路由。
进入菜单network,点击ips,再点击add来添加SNIP,如:IP地址为219.142.6.94,掩码为24位。如果希望通过这个IP里来管理Netscaler的话,在application access control下的方框打上勾。
进入network-routing-routes,点击add添加路由和默认网关,如:网关为219.142.6.93;到192.168.3.0网段的下一跳为192.168.2.1
配置HA
HA双机热备配置前提条件是两台设备的NSIP能够互相访问,进入如下菜单:
Systemàhigh availability默认的Netscaler将自己做为一个节点(node)加入到HA中,只需要将另一台设备做为不同的节点加入到HA中即可
在这里需要注意的是ID必须不同,IP地址必须是NSIP。
在建立好HA后,需要将不使用的接口的状态disable,
单击一个接口,点击下方的DISABLE按钮,将这个接口的状态设置为disable状态。
然后在非流量接口的要关闭HA monitoring,双击一个非流量接口
将HA monitoring设置为off。所谓的流量接口是指业务的数据流经过的接口。
例如:管理接口不属于流量接口
配置Load Balance
配置servers
添加物理服务器的ip地址
配置services
添加应用,包括协议,应用端口,由哪个server提供的等信息
进入advanced,添加客户端IP到header中。
配置Vserver
添加Vserver,并将相关services加入到Vserver中,如图:如果只做四层负载均衡,则在IP address处添加VIP,port处添加应用端口,
如果需要做七层负载的话,就需要将directly addressable处将勾去掉
进入method and persistence菜单中,设置负载均衡方式和会话保持模式,如:负载方式为最小连接数;保持模式为cookie insert,时间可以随意调整
配置SSL
配置证书
将申请好的根证书和服务器证书导入到netscaler中,并安装这两个证书。如图:
进入ssl-sercificates,点击add。点击browse,选中一个证书,创建根证书不需要密钥。
制作服务器证书的时候需要证书和密钥绑定,
配置CRL
1. 首先进入菜单ssl-crl,然后点击add,出现如下界面。
2. 然后将crl文件选中,这个文件事先已从cfca的ldap服务器下载完并copy到netscaler中3. 的/var/netscaler/ssl目录中。
4. 格式为der,ca证书选择这个crl列表的颁发者的证书。
5. 开启自动更新,模式为http,端口为80,url要写入下载crl的绝对url路径,时间间隔为每天,更新时间为3点50
创建完毕后,刷新状态显示成功,使用状态显示为可用的。
用命令行查看crl的状态如下:
配置SSL OFFLOAD
配置SSL OFFLOAD的server和service与Load Balance一样,并且在Load Balance中创建的server和service都可以在SSL OFFLOAD中使用,直接创建Vserver即可
然后进入SSL Setting菜单中
在这里服务器证书直接add即可,CA证书和根证书需要add as CA来添加,
有时候用户会需要证书的双向认证,这时候需要点击展开SSL Parameters菜单
将客户端认证启用,并且选择强制(mandatory)认证
配置Content Switch
配置CS Vserver
创建Vserver,例如协议为SSL,并且配置VIP和端口号。如果只是http协议的话是不需要配置ssl选项的。
绑定创建号的证书,根证书作为CA添加,服务器证书直接添加即可
如果需要设置客户端证书的强制认证,则在ssl parameters中
创建HTTP协议的Vserver。创建方法和创建SSL协议的vserver一样,区别在于协议和端口号
配置policy
添加policy,如创建两中一种为基于域名+url(目录),如图:
先创建域名+目录的policy
再创建一个URL的expressions
然后将匹配条件设置为match all expressions
然后点击create创建即可。
policy绑定
将创建好的policy绑定到CS Vserver上,并且指定target的Load Balance的Vserver,并设定好优先级,policy的优先级值越低越优先,如图
展开已创建的ssl协议的CS Vserver
配置GSLB
配置ADNS服务器
在Load Balance中的service,添加ADNS服务
ADNS使用了netscaler的接口地址。
配置site节点
创建local site,如图:
本地site要配置自己的ADNS地址。
创建remote site与创建本地site一样,区别就是site type为remote,同时site ip为remote端adns的公网地址。
配置GSLB location
配置location,将电信和网通的地址段分别写到不同的location中,在系统判断一个用户的local DNS的地址属于电信来访问还是网通的时候,先查找location表。这个表的作用就是静态就近性判断的依据。
事先写好一个location文本文件,然后将其传到netscaler的/var/netscaler/locdb/目录下,然后在web界面加载这个文件,如图:
在GSLB-location中的static database中添加
配置GSLB service
配置local service,将两个节点的Vserver配置到各自的service中
在virtual server上选择在需要做GSLB的vserver。
配置remote service与local service一样,区别是需要预先在loadbalance中的servers中创建一个remote server,IP地址为remote端vserver的公网IP;site name要选择remote sit的name,virtual server中的server name要选择预先创建好的remote server。
在loadbalance中创建remote server
在GSLB中创建remote service
配置GSLB Vserver
配置GSLB Vserver,将GSLB service加入GSLB Vserver中,负载均衡算法为:静态就近性和动态就近性,当静态表location中没有用户local DNS的地址时,则采用动态就近性来判断用户该走哪条链路;然后在配置站点对外提供服务的域名。
如图:
协议选择ssl,并将所建立的service加入到GSLB Vserver中。
然后配置域名,点击domains,添加,
然后配置GSLB Vserver的算法,采用静态就进性为第一算法,动态就进性为第二算法,当第一算法失败就会启用第二算法
从 CLI 配置 NetScaler
1. 将工作站连接至 NetScaler。
A. 将随附的串行电缆插入串行端口。
B. 将串行电缆的另一端插入串行端口。
C. 运行您选择的 vt100 终端仿真程序。
例如, Microsoft Windows 用户可以使用“超级终端”,它包括在 Windows 的所有现代
版本中。
D. 连接至 NetScaler。
2. 出现登录提示时,键入用户名 nsroot 和密码 nsroot,然后按 ENTER 键。
3. 在 CLI 中键入下列命令以更改密码,然后按 ENTER 键。
set system user nsroot password
4. 在 CLI 中键入下列命令以添加 MIP,然后按 ENTER 键。
add ns ip IPaddress netmask -type MIP
5. 在 CLI 中键入下列命令以设置默认网关,然后按 ENTER 键。
add network route network netmask gateway
6. 在 CLI 中键入下列命令以设置 NSIP,然后按 ENTER 键。
set ns config -IPAddress IPaddress -netmask netmask
7. 复查您所做的更改以确保它们反映您的部署目标。
8. 在 CLI 中键入下列命令以保存配置,然后按 ENTER 键。
save ns config
9. 在 CLI 中键入下列命令以重新启动 NetScaler,然后按 ENTER 键。
reboot
参数设置
端口您将串行电缆连接至的端口,通常是 COM1
位/ 秒 (BPS) 9600
数据位8
奇偶校验N (无)
结束位1
流量控制无
32 入门指南
10. NetScaler 提示您确认重新启动。键入 Y,然后按 ENTER 键确认重新启动。
11. 使用新的管理密码,以 nsroot 身份重新登录到工作站。
12. 键入下列命令并按 Enter 键以确认与 NetScaler 的连接性。
ping NSIP