netscaler一些基本的配置.docx
《netscaler一些基本的配置.docx》由会员分享,可在线阅读,更多相关《netscaler一些基本的配置.docx(10页珍藏版)》请在冰豆网上搜索。
netscaler一些基本的配置
Netsclaer配置
从CLI配置NetScaler
1.将工作站连接至NetScaler。
A.将随附的串行电缆插入串行端口。
B.将串行电缆的另一端插入串行端口。
C.运行您选择的vt100终端仿真程序。
例如,MicrosoftWindows用户可以使用“超级终端”,它包括在Windows的所有现代
版本中。
D.连接至NetScaler。
2.出现登录提示时,键入用户名nsroot和密码nsroot,然后按ENTER键。
3.在CLI中键入下列命令以更改密码,然后按ENTER键。
setsystemusernsrootpassword
4.在CLI中键入下列命令以添加MIP,然后按ENTER键。
addnsipIPaddressnetmask-typeMIP
5.在CLI中键入下列命令以设置默认网关,然后按ENTER键。
addnetworkroutenetworknetmaskgateway
6.在CLI中键入下列命令以设置NSIP,然后按ENTER键。
setnsconfig-IPAddressIPaddress-netmasknetmask
7.复查您所做的更改以确保它们反映您的部署目标。
8.在CLI中键入下列命令以保存配置,然后按ENTER键。
savensconfig
9.在CLI中键入下列命令以重新启动NetScaler,然后按ENTER键。
reboot
参数设置
端口您将串行电缆连接至的端口,通常是COM1
位/秒(BPS)9600
数据位8
奇偶校验N(无)
结束位1
流量控制无
32入门指南
10.NetScaler提示您确认重新启动。
键入Y,然后按ENTER键确认重新启动。
11.使用新的管理密码,以nsroot身份重新登录到工作站。
12.键入下列命令并按Enter键以确认与NetScaler的连接性。
pingNSIP
概述
CITRIXNETSCALER常用的功能有:
LB,CS,GSLB,SSL。
LB实现的功能是服务器负载均衡,CS实现基于七层(域名,IP等)的负载均衡,GSLB实现的功能是全局负载均衡,SSL实现的功能是SSL加速。
配置步骤
系统配置
配置feature
<一>、Systemsettingbasicfeaturefeature选择需要的feature,不用的都关闭
Advancedfeaturefeature
<二>、修改nsroot用户的密码
Netscaler的默认密码是nsroot
修改密码:
systemusers双击nsroot修改
Setsystemusernsrootpassword
配置mode
Netscaler默认是不启用2层转发的,如果需要启用2层功能,需要在mode中配置
Systemsettingmode修改
配置系统时间
用shell命令进入系统的操作系统,然后用date命令修改当前系统时间
输入tzsetup命令设置时区,输入dateyymmddhhmm命令修改系统时间,格式为:
年月天小时分钟
配置时间同步
用文本编辑两个文件,ntp.conf和rc.conf,内容如下:
Ntp.conf:
server61.129.42.44burst
restrictdefaultignore
restrict127.0.0.1mask255.255.255.255
#correspondsto''server''entryabove
restrict61.129.42.44mask255.255.255.255
注:
61.129.42.44为ntp服务器,此类服务器在互联网上可以搜到
Rc.conf:
ntpd_enable="YES"
编辑完两个文件后,用WinSCP3工具登陆Netscaler,然后将这两个文件拷贝到/nsconfig目录下。
然后重启Netscaler
IP配置
配置NSIP
配置一个NSIP,保证这个IP不会和其他IP地址发生冲突,这个IP为设备的IP,可以用于管理系统。
配置完NSIP后需要重启设备。
如:
在命令行下输入setnsconfig-ipAddress192.168.2.3-netmask255.255.255.0,然后输入saveconfig来保存配置,最后输入reboot重启,设备重启后NSIP变为192.168.2.3
配置SNIP和路由
配置SNIP,即接口ip.然后在配置下联路由和默认路由。
进入菜单network,点击ips,再点击add来添加SNIP,如:
IP地址为219.142.6.94,掩码为24位。
如果希望通过这个IP里来管理Netscaler的话,在applicationaccesscontrol下的方框打上勾。
进入network-routing-routes,点击add添加路由和默认网关,如:
网关为219.142.6.93;到192.168.3.0网段的下一跳为192.168.2.1
配置HA
HA双机热备配置前提条件是两台设备的NSIP能够互相访问,进入如下菜单:
Systemhighavailability默认的Netscaler将自己做为一个节点(node)加入到HA中,只需要将另一台设备做为不同的节点加入到HA中即可
在这里需要注意的是ID必须不同,IP地址必须是NSIP。
在建立好HA后,需要将不使用的接口的状态disable,
单击一个接口,点击下方的DISABLE按钮,将这个接口的状态设置为disable状态。
然后在非流量接口的要关闭HAmonitoring,双击一个非流量接口
将HAmonitoring设置为off。
所谓的流量接口是指业务的数据流经过的接口。
例如:
管理接口不属于流量接口
配置LoadBalance
配置servers
添加物理服务器的ip地址
配置services
添加应用,包括协议,应用端口,由哪个server提供的等信息
进入advanced,添加客户端IP到header中。
配置Vserver
添加Vserver,并将相关services加入到Vserver中,如图:
如果只做四层负载均衡,则在IPaddress处添加VIP,port处添加应用端口,
如果需要做七层负载的话,就需要将directlyaddressable处将勾去掉
进入methodandpersistence菜单中,设置负载均衡方式和会话保持模式,如:
负载方式为最小连接数;保持模式为cookieinsert,时间可以随意调整
配置SSL
配置证书
将申请好的根证书和服务器证书导入到netscaler中,并安装这两个证书。
如图:
进入ssl-sercificates,点击add。
点击browse,选中一个证书,创建根证书不需要密钥。
制作服务器证书的时候需要证书和密钥绑定,
配置CRL
1.首先进入菜单ssl-crl,然后点击add,出现如下界面。
2.然后将crl文件选中,这个文件事先已从cfca的ldap服务器下载完并copy到netscaler中3.的/var/netscaler/ssl目录中。
4.格式为der,ca证书选择这个crl列表的颁发者的证书。
5.开启自动更新,模式为http,端口为80,url要写入下载crl的绝对url路径,时间间隔为每天,更新时间为3点50
创建完毕后,刷新状态显示成功,使用状态显示为可用的。
用命令行查看crl的状态如下:
配置SSLOFFLOAD
配置SSLOFFLOAD的server和service与LoadBalance一样,并且在LoadBalance中创建的server和service都可以在SSLOFFLOAD中使用,直接创建Vserver即可
然后进入SSLSetting菜单中
在这里服务器证书直接add即可,CA证书和根证书需要addasCA来添加,
有时候用户会需要证书的双向认证,这时候需要点击展开SSLParameters菜单
将客户端认证启用,并且选择强制(mandatory)认证
配置ContentSwitch
配置CSVserver
创建Vserver,例如协议为SSL,并且配置VIP和端口号。
如果只是http协议的话是不需要配置ssl选项的。
绑定创建号的证书,根证书作为CA添加,服务器证书直接添加即可
如果需要设置客户端证书的强制认证,则在sslparameters中
创建HTTP协议的Vserver。
创建方法和创建SSL协议的vserver一样,区别在于协议和端口号
配置policy
添加policy,如创建两中一种为基于域名+url(目录),如图:
先创建域名+目录的policy
再创建一个URL的expressions
然后将匹配条件设置为matchallexpressions
然后点击create创建即可。
policy绑定
将创建好的policy绑定到CSVserver上,并且指定target的LoadBalance的Vserver,并设定好优先级,policy的优先级值越低越优先,如图
展开已创建的ssl协议的CSVserver
配置GSLB
配置ADNS服务器
在LoadBalance中的service,添加ADNS服务
ADNS使用了netscaler的接口地址。
配置site节点
创建localsite,如图:
本地site要配置自己的ADNS地址。
创建remotesite与创建本地site一样,区别就是sitetype为remote,同时siteip为remote端adns的公网地址。
配置GSLBlocation
配置location,将电信和网通的地址段分别写到不同的location中,在系统判断一个用户的localDNS的地址属于电信来访问还是网通的时候,先查找location表。
这个表的作用就是静态就近性判断的依据。
事先写好一个location文本文件,然后将其传到netscaler的/var/netscaler/locdb/目录下,然后在web界面加载这个文件,如图:
在GSLB-location中的staticdatabase中添加
配置GSLBservice
配置localservice,将两个节点的Vserver配置到各自的service中
在virtualserver上选择在需要做GSLB的vserver。
配置remoteservice与localservice一样,区别是需要预先在loadbalance中的servers中创建一个remoteserver,IP地址为remote端vserver的公网IP;sitename要选择remotesit的name,virtualserver中的servername要选择预先创建好的remoteserver。
在loadbalance中创建remoteserver
在GSLB中创建remoteservice
配置GSLBVserver
配置GSLBVserver,将GSLBservice加入GSLBVserver中,负载均衡算法为:
静态就近性和动态就近性,当静态表location中没有用户localDNS的地址时,则采用动态就近性来判断用户该走哪条链路;然后在配置站点对外提供服务的域名。
如图:
协议选择ssl,并将所建立的service加入到GSLBVserver中。
然后配置域名,点击domains,添加,
然后配置GSLBVserver的算法,采用静态就进性为第一算法,动态就进性为第二算法,当第一算法失败就会启用第二算法
从CLI配置NetScaler
1.将工作站连接至NetScaler。
A.将随附的串行电缆插入串行端口。
B.将串行电缆的另一端插入串行端口。
C.运行您选择的vt100终端仿真程序。
例如,MicrosoftWindows用户可以使用“超级终端”,它包括在Windows的所有现代
版本中。
D.连接至NetScaler。
2.出现登录提示时,键入用户名nsroot和密码nsroot,然后按ENTER键。
3.在CLI中键入下列命令以更改密码,然后按ENTER键。
setsystemusernsrootpassword
4.在CLI中键入下列命令以添加MIP,然后按ENTER键。
addnsipIPaddressnetmask-typeMIP
5.在CLI中键入下列命令以设置默认网关,然后按ENTER键。
addnetworkroutenetworknetmaskgateway
6.在CLI中键入下列命令以设置NSIP,然后按ENTER键。
setnsconfig-IPAddressIPaddress-netmasknetmask
7.复查您所做的更改以确保它们反映您的部署目标。
8.在CLI中键入下列命令以保存配置,然后按ENTER键。
savensconfig
9.在CLI中键入下列命令以重新启动NetScaler,然后按ENTER键。
reboot
参数设置
端口您将串行电缆连接至的端口,通常是COM1
位/秒(BPS)9600
数据位8
奇偶校验N(无)
结束位1
流量控制无
32入门指南
10.NetScaler提示您确认重新启动。
键入Y,然后按ENTER键确认重新启动。
11.使用新的管理密码,以nsroot身份重新登录到工作站。
12.键入下列命令并按Enter键以确认与NetScaler的连接性。
pingNSIP