當(dāng)前位置：首頁(yè) > 编程资源 > 编程问答 >内容正文

编程问答

Netsclaer配置

發(fā)布時(shí)間：2025/3/20 编程问答 23 豆豆

生活随笔收集整理的這篇文章主要介紹了 Netsclaer配置小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

Netsclaer配置

從 CLI 配置 NetScaler

1. 將工作站連接至 NetScaler。

A. 將隨附的串行電纜插入串行端口。

B. 將串行電纜的另一端插入串行端口。

C. 運(yùn)行您選擇的 vt100 終端仿真程序。

例如， Microsoft Windows 用戶(hù)可以使用“超級(jí)終端”，它包括在 Windows 的所有現(xiàn)代

版本中。

D. 連接至 NetScaler。

2. 出現(xiàn)登錄提示時(shí)，鍵入用戶(hù)名 nsroot 和密碼 nsroot，然后按 ENTER 鍵。

3. 在 CLI 中鍵入下列命令以更改密碼，然后按 ENTER 鍵。

set system user nsroot password

4. 在 CLI 中鍵入下列命令以添加 MIP，然后按 ENTER 鍵。

add ns ip IPaddress netmask -type MIP

5. 在 CLI 中鍵入下列命令以設(shè)置默認(rèn)網(wǎng)關(guān)，然后按 ENTER 鍵。

add network route network netmask gateway

6. 在 CLI 中鍵入下列命令以設(shè)置 NSIP，然后按 ENTER 鍵。

set ns config -IPAddress IPaddress -netmask netmask

7. 復(fù)查您所做的更改以確保它們反映您的部署目標(biāo)。

8. 在 CLI 中鍵入下列命令以保存配置，然后按 ENTER 鍵。

save ns config

9. 在 CLI 中鍵入下列命令以重新啟動(dòng) NetScaler，然后按 ENTER 鍵。

reboot

參數(shù)設(shè)置

端口您將串行電纜連接至的端口，通常是 COM1

位/ 秒 (BPS) 9600

數(shù)據(jù)位8

奇偶校驗(yàn)N （無(wú)）

結(jié)束位1

流量控制無(wú)

32 入門(mén)指南

10. NetScaler 提示您確認(rèn)重新啟動(dòng)。鍵入 Y，然后按 ENTER 鍵確認(rèn)重新啟動(dòng)。

11. 使用新的管理密碼，以 nsroot 身份重新登錄到工作站。

12. 鍵入下列命令并按 Enter 鍵以確認(rèn)與 NetScaler 的連接性。

ping NSIP

概述

CITRIX NETSCALER常用的功能有：LB，CS，GSLB，SSL。LB實(shí)現(xiàn)的功能是服務(wù)器負(fù)載均衡，CS實(shí)現(xiàn)基于七層（域名，IP等）的負(fù)載均衡，GSLB實(shí)現(xiàn)的功能是全局負(fù)載均衡，SSL實(shí)現(xiàn)的功能是SSL加速。

配置步驟

系統(tǒng)配置

配置feature

<一>、Systemàsettingàbasic featureàfeature 選擇需要的feature，不用的都關(guān)閉

Advanced featureàfeature

<二>、修改nsroot用戶(hù)的密碼

Netscaler 的默認(rèn)密碼是nsroot

修改密碼：systemàusersà雙擊nsrootà修改

Set system user nsroot password

配置mode

Netscaler默認(rèn)是不啟用2層轉(zhuǎn)發(fā)的，如果需要啟用2層功能，需要在mode中配置

Systemàsettingàmodeà修改

配置系統(tǒng)時(shí)間

用shell命令進(jìn)入系統(tǒng)的操作系統(tǒng)，然后用date命令修改當(dāng)前系統(tǒng)時(shí)間

輸入tzsetup命令設(shè)置時(shí)區(qū)，輸入date yymmddhhmm命令修改系統(tǒng)時(shí)間，格式為：年月天小時(shí) 分鐘

配置時(shí)間同步

用文本編輯兩個(gè)文件，ntp.conf和rc.conf，內(nèi)容如下：

Ntp.conf：

server 61.129.42.44 burst

restrict default ignore

restrict 127.0.0.1 mask 255.255.255.255

#corresponds to 'server' entry above

restrict 61.129.42.44 mask 255.255.255.255

注：61.129.42.44為ntp服務(wù)器，此類(lèi)服務(wù)器在互聯(lián)網(wǎng)上可以搜到

Rc.conf：

ntpd_enable="YES"

編輯完兩個(gè)文件后，用WinSCP3工具登陸Netscaler，然后將這兩個(gè)文件拷貝到/nsconfig目錄下。然后重啟Netscaler

IP配置

配置NSIP

配置一個(gè)NSIP，保證這個(gè)IP不會(huì)和其他IP地址發(fā)生沖突，這個(gè)IP為設(shè)備的IP，可以用于管理系統(tǒng)。配置完NSIP后需要重啟設(shè)備。

如：在命令行下輸入set ns config -ipAddress 192.168.2.3 -netmask 255.255.255.0，然后輸入save config來(lái)保存配置，最后輸入reboot重啟，設(shè)備重啟后NSIP變?yōu)?92.168.2.3

配置SNIP和路由

配置SNIP，即接口ip.然后在配置下聯(lián)路由和默認(rèn)路由。

進(jìn)入菜單network，點(diǎn)擊ips，再點(diǎn)擊add來(lái)添加SNIP，如：IP地址為219.142.6.94，掩碼為24位。如果希望通過(guò)這個(gè)IP里來(lái)管理Netscaler的話，在application access control下的方框打上勾。

進(jìn)入network－routing－routes，點(diǎn)擊add添加路由和默認(rèn)網(wǎng)關(guān)，如：網(wǎng)關(guān)為219.142.6.93；到192.168.3.0網(wǎng)段的下一跳為192.168.2.1

配置HA

HA雙機(jī)熱備配置前提條件是兩臺(tái)設(shè)備的NSIP能夠互相訪問(wèn)，進(jìn)入如下菜單：

Systemàhigh availability默認(rèn)的Netscaler將自己做為一個(gè)節(jié)點(diǎn)（node）加入到HA中，只需要將另一臺(tái)設(shè)備做為不同的節(jié)點(diǎn)加入到HA中即可

在這里需要注意的是ID必須不同，IP地址必須是NSIP。

在建立好HA后，需要將不使用的接口的狀態(tài)disable，

單擊一個(gè)接口，點(diǎn)擊下方的DISABLE按鈕，將這個(gè)接口的狀態(tài)設(shè)置為disable狀態(tài)。

然后在非流量接口的要關(guān)閉HA monitoring，雙擊一個(gè)非流量接口

將HA monitoring設(shè)置為off。所謂的流量接口是指業(yè)務(wù)的數(shù)據(jù)流經(jīng)過(guò)的接口。

例如：管理接口不屬于流量接口

配置Load Balance

配置servers

添加物理服務(wù)器的ip地址

配置services

添加應(yīng)用，包括協(xié)議，應(yīng)用端口，由哪個(gè)server提供的等信息

進(jìn)入advanced，添加客戶(hù)端IP到header中。

配置Vserver

添加Vserver，并將相關(guān)services加入到Vserver中，如圖：如果只做四層負(fù)載均衡，則在IP address處添加VIP，port處添加應(yīng)用端口，

如果需要做七層負(fù)載的話，就需要將directly addressable處將勾去掉

進(jìn)入method and persistence菜單中，設(shè)置負(fù)載均衡方式和會(huì)話保持模式，如：負(fù)載方式為最小連接數(shù)；保持模式為cookie insert，時(shí)間可以隨意調(diào)整

配置SSL

配置證書(shū)

將申請(qǐng)好的根證書(shū)和服務(wù)器證書(shū)導(dǎo)入到netscaler中，并安裝這兩個(gè)證書(shū)。如圖：

進(jìn)入ssl－sercificates，點(diǎn)擊add。點(diǎn)擊browse，選中一個(gè)證書(shū)，創(chuàng)建根證書(shū)不需要密鑰。

制作服務(wù)器證書(shū)的時(shí)候需要證書(shū)和密鑰綁定，

配置CRL

1. 首先進(jìn)入菜單ssl-crl，然后點(diǎn)擊add，出現(xiàn)如下界面。

2. 然后將crl文件選中，這個(gè)文件事先已從cfca的ldap服務(wù)器下載完并copy到netscaler中3. 的/var/netscaler/ssl目錄中。

4. 格式為der，ca證書(shū)選擇這個(gè)crl列表的頒發(fā)者的證書(shū)。

5. 開(kāi)啟自動(dòng)更新，模式為http，端口為80，url要寫(xiě)入下載crl的絕對(duì)url路徑，時(shí)間間隔為每天，更新時(shí)間為3點(diǎn)50

創(chuàng)建完畢后，刷新?tīng)顟B(tài)顯示成功，使用狀態(tài)顯示為可用的。

用命令行查看crl的狀態(tài)如下：

配置SSL OFFLOAD

配置SSL OFFLOAD的server和service與Load Balance一樣，并且在Load Balance中創(chuàng)建的server和service都可以在SSL OFFLOAD中使用，直接創(chuàng)建Vserver即可

然后進(jìn)入SSL Setting菜單中

在這里服務(wù)器證書(shū)直接add即可，CA證書(shū)和根證書(shū)需要add as CA來(lái)添加，

有時(shí)候用戶(hù)會(huì)需要證書(shū)的雙向認(rèn)證，這時(shí)候需要點(diǎn)擊展開(kāi)SSL Parameters菜單

將客戶(hù)端認(rèn)證啟用，并且選擇強(qiáng)制（mandatory）認(rèn)證

配置Content Switch

配置CS Vserver

創(chuàng)建Vserver，例如協(xié)議為SSL，并且配置VIP和端口號(hào)。如果只是http協(xié)議的話是不需要配置ssl選項(xiàng)的。

綁定創(chuàng)建號(hào)的證書(shū)，根證書(shū)作為CA添加，服務(wù)器證書(shū)直接添加即可

如果需要設(shè)置客戶(hù)端證書(shū)的強(qiáng)制認(rèn)證，則在ssl parameters中

創(chuàng)建HTTP協(xié)議的Vserver。創(chuàng)建方法和創(chuàng)建SSL協(xié)議的vserver一樣，區(qū)別在于協(xié)議和端口號(hào)

配置policy

添加policy，如創(chuàng)建兩中一種為基于域名＋url（目錄），如圖：

先創(chuàng)建域名＋目錄的policy

再創(chuàng)建一個(gè)URL的expressions

然后將匹配條件設(shè)置為match all expressions

然后點(diǎn)擊create創(chuàng)建即可。

policy綁定

將創(chuàng)建好的policy綁定到CS Vserver上，并且指定target的Load Balance的Vserver，并設(shè)定好優(yōu)先級(jí)，policy的優(yōu)先級(jí)值越低越優(yōu)先，如圖

展開(kāi)已創(chuàng)建的ssl協(xié)議的CS Vserver

配置GSLB

配置ADNS服務(wù)器

在Load Balance中的service，添加ADNS服務(wù)

ADNS使用了netscaler的接口地址。

配置site節(jié)點(diǎn)

創(chuàng)建local site，如圖：

本地site要配置自己的ADNS地址。

創(chuàng)建remote site與創(chuàng)建本地site一樣，區(qū)別就是site type為remote，同時(shí)site ip為remote端adns的公網(wǎng)地址。

配置GSLB location

配置location，將電信和網(wǎng)通的地址段分別寫(xiě)到不同的location中，在系統(tǒng)判斷一個(gè)用戶(hù)的local DNS的地址屬于電信來(lái)訪問(wèn)還是網(wǎng)通的時(shí)候，先查找location表。這個(gè)表的作用就是靜態(tài)就近性判斷的依據(jù)。

事先寫(xiě)好一個(gè)location文本文件，然后將其傳到netscaler的/var/netscaler/locdb/目錄下，然后在web界面加載這個(gè)文件，如圖：

在GSLB－location中的static database中添加

配置GSLB service

配置local service，將兩個(gè)節(jié)點(diǎn)的Vserver配置到各自的service中

在virtual server上選擇在需要做GSLB的vserver。

配置remote service與local service一樣，區(qū)別是需要預(yù)先在loadbalance中的servers中創(chuàng)建一個(gè)remote server，IP地址為remote端vserver的公網(wǎng)IP；site name要選擇remote sit的name，virtual server中的server name要選擇預(yù)先創(chuàng)建好的remote server。

在loadbalance中創(chuàng)建remote server

在GSLB中創(chuàng)建remote service

配置GSLB Vserver

配置GSLB Vserver，將GSLB service加入GSLB Vserver中，負(fù)載均衡算法為：靜態(tài)就近性和動(dòng)態(tài)就近性，當(dāng)靜態(tài)表location中沒(méi)有用戶(hù)local DNS的地址時(shí)，則采用動(dòng)態(tài)就近性來(lái)判斷用戶(hù)該走哪條鏈路；然后在配置站點(diǎn)對(duì)外提供服務(wù)的域名。

如圖：

協(xié)議選擇ssl，并將所建立的service加入到GSLB Vserver中。

然后配置域名，點(diǎn)擊domains，添加，

然后配置GSLB Vserver的算法，采用靜態(tài)就進(jìn)性為第一算法，動(dòng)態(tài)就進(jìn)性為第二算法，當(dāng)?shù)谝凰惴ㄊ【蜁?huì)啟用第二算法