华为Citrix Netscaler配置手册_v1

1、华为Citrix Netscaler配置手册拟 制：钟锐华日 期：201210.29审 核：日 期：审 核：日 期：批 准：日 期：华 成 峰 实 业 有 限 公 司版权所有 侵权必究 2012年10月版本记录日期版本号描述作者2012-10-29V1.0新建钟锐华目录一、什么是 Citrix NetScaler4二、Citrix NetScaler 安装在网络中的什么位置5三、Citrix NetScaler 如何与客户端和服务器通信7四、Citrix NetScaler 产品系列简介14五、安装 Citrix NetScaler 硬件15六、访问和配置Citrix NetScaler18七

2、、系统配置25八、IP配置318.1配置NSIP318.2配置SNIP和路由31九、配置HA34十、配置Load Balance3710.1配置servers3710.2配置services3710.3配置Vserver39十一、配置SSL4111.1配置证书4111.2配置CRL42十二、配置SSL OFFLOAD45十三、配置Content Switch4813.1配置CS Vserver4813.2配置policy5013.3policy绑定52十四、配置GSLB5414.1配置ADNS服务器5414.2配置site节点5414.3配置GSLB location5514.4配置GSLB

3、service5614.5配置GSLB Vserver59十五、设备基本运维61一、 什么是 Citrix NetScalerCitrix NetScaler 是一款智能地分配、优化和保护 Web 应用的 4 层 - 7 层 (L4-L7) 网络流量的应用交换机。功能包括负载均衡、压缩、安全套接字层 (SSL) 卸载、内置应用防火墙和动态内容缓存。NetScaler 执行特定于应用的流量分析，以更有效地实施各种功能。例如，NetScaler 是根据单个 HTTP 请求作出负载均衡决策，而非根据持续的 TCP 连接，因此服务器的故障或减速可更快地得到管理，并且减少与客户端中断的时间。其它功能可用

4、于减少负载和简化服务器场管理，从而提高最终用户性能。1.1 交换功能其交换功能使 NetScaler 可以有效地管理应用流量。当部署在应用服务器的前面时，NetScaler通过指引客户端请求的方法确保实现最佳的流量分配。管理员可以根据 HTTP 或 TCP 请求正文中的信息以及 L4-L7 标头信息 （例如 URL、应用数据类型或 Cookie）将应用流量分段。大量的负载均衡算法和广泛的服务器健康状况检查确保将客户端请求送往适当的服务器，从而提高应用可用性。1.2 安全和保护功能安全和保护功能保护 Web 应用免遭应用层攻击，从而帮助阻止盗窃和泄漏数据。NetScaler 允许合法的客户端请求

5、并且可以阻止恶意的请求。它提供针对拒绝服务 (DoS) 攻击的内置防御措施，并支持防止合法应用流量猛增以保护应用的功能，因为应用流量猛增会淹没服务器。一个可用的内置防火墙保护 Web 应用免遭应用层攻击，包括缓冲区溢出利用、SQL 注入尝试、跨站点脚本攻击等等。此外，该防火墙通过对机密的公司信息和敏感的客户数据进行加密来提供身份盗窃防护。1.3 优化功能优化功能卸载资源密集型操作，例如安全套接字层 (SSL) 处理、数据压缩以及缓存来自服务器的静态和动态内容。这可以改善服务器群中的服务器的性能，从而加快应用的速度。NetScaler 支持多个透明的 TCP 优化，这可以减轻由高延迟和网络链路拥

6、塞引起的问题，加快应用的交付，而无需对客户端或服务器进行配置更改。二、 Citrix NetScaler 安装在网络中的什么位置NetScaler 位于客户端和服务器之间，以便客户端请求和服务器响应都经过它。在典型的安装中，NetScaler 上配置的虚拟服务器 (vserver) 提供连接点，客户端使用这些连接点来访问NetScaler 后面的应用。在此情况下，NetScaler 拥有与其虚拟服务器关联的公共 IP 地址，而真实服务器隔离在专用网络中。还可以以透明模式将 NetScaler 用作 L2 桥接器或 L3 路由器，甚至将这些方面和其它模式结合使用。22.1 物理部署模式逻辑上位于

7、客户端和服务器之间的 NetScaler 可以以两种物理模式部署：内嵌和单臂。在正常的内嵌模式中，多个网络接口连接到不同的以太网段，NetScaler 放置在客户端和服务器之间。NetScaler 有一个单独的网络接口连接每个客户端网络，一个单独的网络接口连接每个服务器网络。在此配置中，NetScaler 和服务器可以存在于不同的子网中。这些服务器可以在公共网络中，客户端可以通过 NetScaler 直接访问服务器，NetScaler 透明地应用 L4-L7 功能。通常，配置虚拟服务器 （后面有介绍）来抽象化真实服务器。下图说明了典型的内嵌部署。2.2 内嵌部署在不太常见的单臂模式版本中，Ne

8、tScaler 只有一个网络接口连接至以太网段。在此情况下，NetScaler 不隔离网络的客户端和服务器端，但是通过配置的虚拟服务器提供对应用的访问。此单臂模式版本可以简化在某些环境中安装 NetScaler 所需的网络更改。2.3 作为 L2 设备的 Citrix NetScaler作为 L2 设备的 NetScaler 被称作以 L2 模式工作。在 L2 模式下，NetScaler 在以下所有条件得到满足时在网络接口之间转发数据包：1. 数据包被送往另一个设备的媒体访问控制 (MAC) 地址。2. 目标 MAC 地址位于不同的网络接口上。3. 该网络接口是同一虚拟 LAN (VLAN)

9、的成员。默认情况下，所有网络接口都是预定义 VLAN （VLAN 1）的成员。地址解析协议 (ARP) 请求和响应被转发到作为同一虚拟 LAN (VLAN) 成员的所有网络接口。为避免桥接环路，如果另一个 L2 设备与 NetScaler 并行工作，则必须禁用 L2 模式。2.4 作为数据包转发设备的 Citrix NetScalerNetScaler 可以作为数据包转发设备，此工作模式被称为 L3 模式。当 L3 模式的 NetScaler 在其 MAC 地址上收到送往未知 IP 地址的单播数据包时，如果存在通往目标地址的正确路由，则它会转发它们。NetScaler 还可以在 VLAN 之间

10、路由数据包。在 L2 和 L3 两种工作模式中，NetScaler 通常丢弃符合以下条件的数据包1. 多播帧2. 送往 NetScaler 的 MAC 地址 （非 IP 和非 ARP）的未知协议帧3. 跨树协议三、Citrix NetScaler 如何与客户端和服务器通信NetScaler 通常部署在服务器群的前面，作为客户端和服务器之间的透明 TCP 代理，不需要任何客户端配置。此基本操作模式称为请求交换技术，它是 NetScaler 功能的核心。请求交换技术使NetScaler 可以多路复用和卸载 TCP 连接、保持持久的连接并在请求 （应用层）级别管理流量。这是可以实现的，因为 NetS

11、caler 可以将 HTTP 请求与传送请求的 TCP 连接分离。根据配置，NetScaler 可能在将请求转发至服务器之前处理流量。例如，如果客户端尝试访问服务器上的安全应用，则 NetScaler 可能在将流量发送到服务器之前执行必要的 SSL 处理。为便于安全有效地访问服务器资源，NetScaler 使用一组被称为 NetScaler 自有 IP 地址 的 IP 地址。3.1 了解 NetScaler 自有 IP 地址为用作代理，NetScaler 使用多种 IP 地址。主要的 NetScaler 自有 IP 地址包括：1. 映射 IP 地址 (MIP)。MIP 用于服务器端连接。它不是

12、 NetScaler 的 IP 地址。在大多数情况下，当收到数据包时，NetScaler 会在将数据包发送给服务器之前使用 MIP 替换来源 IP地址。由于服务器抽象化自客户端，NetScaler 可以更有效地管理连接。2. 虚拟服务器 IP 地址 (VIP)。VIP 是与虚拟服务器关联的 IP 地址。它是客户端连接至的公共 IP 地址。管理许多流量的 NetScaler 可配置多个 VIP。3. NetScaler IP 地址 (NSIP)。NSIP 是用于对 NetScaler 本身进行一般的系统和管理访问的IP地址4. 子网IP 地址 (SNIP)。当 NetScaler 连接至多个子网

13、时，SNIP 可以配置为用作向这些子网提供访问的 MIP。3.2 如何管理流量由于 NetScaler 用作 TCP 代理，因此它会在将数据包发送到服务器之前翻译 IP 地址。如果您配置虚拟服务器，客户端连接至 NetScaler 上的 VIP，而非直接连接至服务器。根据虚拟服务器上的设置，NetScaler 选择适当的服务器，并向客户端的请求发送给该服务器。默认情况下，NetScaler 使用 MIP 建立与服务器的连接，如下图所示。基于虚拟服务器的连接在没有虚拟服务器的情况下，当收到请求时，NetScaler 会透明地将请求转发至服务器。这被称为透明模式。当以透明模式工作时，NetScal

14、er 会将传入客户端请求的来源 IP 地址翻译为 MIP，但不会更改目标 IP 地址。要使此模式工作，必须正确配置 L2 或 L3 模式。对于服务器需要实际客户端 IP 地址的情况，可以将 NetScaler 配置为通过插入客户端 IP 地址作为附加字段修改 HTTP 标头，或将 NetScaler 配置为使用客户端 IP 地址连接至服务器，而非MIP。3.3 流量管理构件NetScaler 的配置通常由作为流量管理构件的一系列虚拟实体建立。构件方法帮助分离流量。虚拟实体是抽象概念，通常表示 IP 地址、端口和用预处理流量的协议处理程序。客户端通过这些虚拟实体访问应用和资源。最常用的实体是虚拟

15、服务器和服务。虚拟服务器表示服务器群或远程网络中的服务器组，服务表示每台服务器上的特定应用。大多数功能和流量设置是通过虚拟实体启用的。例如，您可以通过特定的虚拟服务器配置NetScaler，以压缩连接至服务器群的客户端的所有服务器响应。要为特定的环境配置NetScaler，您需要确定相应的功能，然后选择正确的虚拟实体组合以提供这些功能。大多数功能是通过一连串互相绑定的虚拟实体提供的。在此情况下，虚拟实体就像组装到所交付应用的最终结构中的部件。您可以添加、删除、修改、绑定、启用和禁用虚拟实体以配置功能。下图说明了本节中涉及的概念。3.4 简单的负载均衡配置在该图所显示的示例中，NetScaler

16、 被配置为用作负载均衡器。对于此配置，您需要配置特定于负载均衡的虚拟实体，并以特定的顺序绑定它们。作为负载均衡器，NetScaler 在多台服务器之间分配客户端请求，从而优化了资源的利用。典型负载均衡配置的基本构件是服务和负载均衡虚拟服务器。服务表示服务器上的应用。虚拟服务器通过提供客户端连接值得单个 IP 地址来抽象化服务器。要确保将客户端请求发送至服务器，您必须将每项服务绑定到虚拟服务器。换句话说，您必须为每台服务器创建服务，并将这些服务绑定到虚拟服务器。客户端使用 VIP 连接至 NetScaler。在 VIP 上收到客户端请求时，NetScaler 会将请求发送给由负载均衡算法确定的服

17、务器。负载均衡使用被称为监控程序的虚拟实体来跟踪特定的已配置服务 （服务器加上应用）是否可用于接收请求。负载均衡虚拟服务器、服务和监控程序除了配置负载均衡算法外，您还可以配置多个影响负载均衡配置的行为和性能的参数。例如，您可以将虚拟服务器配置为根据来源 IP 地址保持持久性。然后，NetScaler 将来自任何特定客户端的所有请求送往同一台服务器。3.5 了解虚拟服务器一个虚拟服务器表示服务器群中的一个或多个应用。虚拟服务器是指定的 NetScaler 实体，外部客户端可以用它来访问位于服务器上的应用。它由字母数字名称、虚拟 IP 地址 (VIP)、端口和协议表示。虚拟服务器的名称仅在本地具有

18、重要性，旨在使虚拟服务器易于识别。当客户端尝试访问服务器上的应用时，客户端将请求发送至 VIP，而不是物理服务器的 IP 地址。在 VIP 上收到请求时，NetScaler 会终止在虚拟服务器的连接，并代表客户端使用自己与服务器的自有连接。虚拟服务器的端口和协议设置确定虚拟服务器所表示的应用。例如，Web 服务器可以由端口和协议分别设置为 80 和 HTTP 的虚拟服务器和服务表示。多个虚拟服务器可以使用相同的 VIP，但是协议和端口必须不同。虚拟服务器是提供各项功能的关键所在。大多数功能 （例如压缩、缓存和 SSL 卸载）通常是在虚拟服务器上启用的。在 VIP 上收到请求时，NetScale

19、r 会选择按照接收请求的端口及其协议选择适当的虚拟服务器。NetScaler 然后根据虚拟服务器上配置的功能处理请求。在大多数情况下，虚拟服务器与服务协同工作。您可以将多项服务绑定至虚拟服务器。这些服务表示在服务器群中的物理服务器上运行的各项应用。处理在 VIP 上收到的请求之后，NetScaler会将它们转发给由虚拟服务器上配置的负载均衡算法确定的服务器。下图说明了这些概念。单个 VIP 上的多个虚拟服务器上图所说明的配置由两个具有相同 VIP、不同端口和协议的虚拟服务器组成。其中每个虚拟服务器都绑定了两个服务。服务 s1 和 s2 都绑定到 VS_HTTP，并且表示服务器 1 和服务器 2

20、 上的HTTP 应用。服务 s3 和 s4 都绑定到 VS_SSL，并且表示服务器 2 和服务器 3 上的 SSL 应用（服务器 2 同时提供 HTTP 和 SSL 应用）。在 VIP 上收到 HTTP 请求时，NetScaler 将根据VS_HTTP 的设置处理请求并将其发送给服务器 1 或服务器 2。类似地，在 VIP 上收到 HTTPS 请求时，NetScaler 将根据 VS_SSL 的设置处理请求并将其发送给服务器 2 或服务器 3。虚拟服务器并非始终由特定 IP 地址、端口号或协议表示。它们可以由通配符表示，在这种情况下它们被称为通配符虚拟服务器。例如，当您使用通配符而不是 VIP

21、 来配置虚拟服务器时 （但是具有特定的端口号），NetScaler 解释并处理所有符合该协议并且送往预定义端口的流量。对于具有通配符而非 VIP 和端口号的虚拟服务器，NetScaler 解释并处理所有符合协议的流量。虚拟服务器可以分组到以下类别：1. 负载均衡虚拟服务器。接收请求并将请求重定向至适当的服务器。适当服务器的选择基于用户配置哪种负载均衡方法。2. 缓存重定向虚拟服务器。将动态内容和静态内容的客户端请求重分别定向至原始服务器和缓存服务器。缓存重定向虚拟服务器通常与负载均衡虚拟服务器协同工作。3. 内容交换虚拟服务器。根据客户端请求的内容将流量送往某个服务器。例如，您可以创建一个内容

22、交换虚拟服务器，将所有请求图像的客户端请求送往仅提供图像服务的服务器。内容交换虚拟服务器通常与负载均衡虚拟服务器协同工作。4. 虚拟专用网 (VPN) 虚拟服务器。将隧道的流量解密并将其发送给内部网应用。3.6 了解服务服务表示服务器上的应用。虽然服务通常与虚拟服务器相结合，但是在没有虚拟服务器的情况下，服务仍可以管理特定于应用的流量。例如，您可以在 NetScaler 上创建 HTTP 服务，以表示 Web服务器应用。当客户端尝试访问 Web 服务器上托管的 Web 站点时，NetScaler 将解释 HTTP 请求并创建与 Web 服务器的透明连接。在仅限于服务模式下，NetScaler

23、用作透明的代理。它会终止客户端连接，使用 MIP 建立与服务器的连接，并将传入客户端请求的来源 IP 地址翻译为 MIP。虽然客户端将请求直接发送至服务器的 IP 地址，但是服务器将它们视为来自 MIP。NetScaler 将翻译 IP 地址、端口号和序号。服务也是应用功能的关键所在。但是，只有有限的一组功能可以在仅限于服务的情况下配置。请设想一下 SSL 加速的示例。要使用此功能，您必须创建一个 SSL 服务并将 SSL 证书绑定到该服务。当收到 HTTP 请求时，NetScaler 会将流量解密，并以明文将其发送至服务器。服务使用被称为监控程序的实体来跟踪应用的健康状况。每项服务都有一个默

24、认监控程序，它基于绑定到它的服务类型。如监控程序中配置的设置所指定，NetScaler 每隔一定时间向应用发送探测以确定其状态。如果探测失败，NetScaler 则将服务标记为关闭。在这种情况下，NetScaler将根据配置的负载均衡策略使用一则相应的错误消息回应客户端请求或重新路由该请求。3.7 了解策略和表达式策略定义 NetScaler 上的流量过滤和管理的特定详细信息。它由两部分组成：表达式和操作。表达式定义策略匹配的请求类型。操作告诉 NetScaler 当请求匹配表达式时做什么。例如，表达式可能要使特定的 URL 模式与某种类型的安全攻击相匹配，操作为断开或重置连接。每个策略都有优

25、先级，优先级确定评估策略的顺序。当 NetScaler 收到流向或来自它管理的任何服务器的流量时，相应的策略列表将确定如何处理流量。列表中的每个策略包含一个或多个表达式，它们一起定义连接要匹配策略就必须满足的标准。对于 “重写”策略之外的所有策略类型，NetScaler 仅实施请求匹配的第一个策略，而不是它还匹配的任何附加策略。对于 “重写”策略，NetScaler 将按顺序评估策略，并在存在多个匹配的情况下时按该顺序执行关联的操作。策略优先级对于获得您所需的结果非常重要。3.8 功能的处理顺序根据要求，您可以选择配置多项功能。例如，您可以同时选择压缩和 SSL 卸载。因此，系统可能首先对传出

26、的数据包进行压缩，接着进行加密，然后再发送给客户端。下图显示 NetScaler 功能的交互和处理顺序。四、Citrix NetScaler 产品系列简介4.1 Citrix NetScaler 版本Citrix NetScaler 软件由以下三个版本组成：1. Citrix NetScaler 标准版。为中小型企业提供全面的 4 层 - 7 层 (L4-L7) 流量管理，可提高 Web 应用可用性。2. Citrix NetScaler 企业版。提供 Web 应用加速和高级的 L4-L7 流量管理，使企业可以提高 Web 应用性能和可用性，同时降低数据中心成本。3. Citrix NetSc

27、aler 铂金版。提供能够降低数据中心成本和加速应用性能的 Web 应用交付解决方案，可端对端查看应用性能，提供高级的应用安全。NetScaler 功能可用于 7000、9010、10010、12000、15000 和 17000 硬件平台上。NetScaler 可以作为现有负载均衡器、服务器、缓存和防火墙的组件集成到任何网络中。它不需要附加的客户端或服务器端软件，可以使用 NetScaler 基于 Web 的 GUI 和 CLI 配置实用程序进行配置。4.2 Citrix NetScaler 硬件平台NetScaler 可用于以下硬件平台，每个硬件平台都支持快速以太网和千兆位接口的某种组合。

28、Citrix NetScaler 7000Citrix NetScaler 9010Citrix NetScaler 10010Citrix NetScaler 12000Citrix NetScaler 15000Citrix NetScaler 17000五、安装 Citrix NetScaler 硬件5.1 复查安装前核对清单在安装 NetScaler 之前，您应该准备好安装所必需的全部设备和材料。提前完成此准备工作将有助于确保顺利安装，最大程度地减少中断。复查以下核对清单以确保具有完成安装所必需的全部设备和材料：硬件要求打开包含 NetScaler 的框，并验证它包含以下组件和附件：1

29、. 一台 NetScaler2. SFP （对于 9010/10010/12000/15000 系统）3. XFP （对于 12000 10G/15000/17000 系统）4. 一根 RJ-45- 至 -RS-232 串行电缆5. 一个 RJ-45- 至 -DB-9 适配器6. 一根 （对于 7000 系统）或两根 （对于 9010/10010/12000/15000/17000 系统）交流电缆（确保每根电缆的电源出口可用）7. 一个导轨安装套件 （对于 9010/10010/12000/15000/17000 系统）除了以上所列项目外，可能还需要以下项目：1.用于将 NetScaler 固

30、定到机架的四个安装螺丝 （对于 7000 系统）2. 以太网电缆3. 用于连接至 NetScaler 的以太网交换机端口4. 管理工作站 （个人计算机或膝上型计算机）5.2 将 Citrix NetScaler 安装在机架上9010、10010 和 12000 系统附带架轨硬件。此硬件由固定到底架的两个后内轨组成，每侧各有一个，位于预安装的前内轨的正后面。这两个导轨的左和右是特定的。两个底架导轨都有一个锁定杆，它提供两个功能。第一个用于在机架中安装 NetScaler 时将其锁定到位。第二个用于在完全从机架中展开 NetScaler 时将其固定到位。注： 您可能需要在安装架轨之前卸下机架固定把

31、手。将 Citrix NetScaler 7000 安装在机架上1。 在机架中确定 NetScaler 的位置。确保有足够的通风空间。2。 验证螺丝孔是否与机架中相应的孔对齐。3。 在每侧插入两个安装螺丝。4。 拧紧安装螺丝。将 Citrix NetScaler 9010、10010、12000、15000 或 17000 安装在机架上1。 将后内轨安装在预安装的前内轨的正后面。A。 从底架的右侧开始开始，使导轨上的两个方孔与挂钩对齐。B。 使用螺丝将导轨附加到底架上。C。 重复步骤 A 和 B 以安装左侧后内轨。2。 安装架轨。A。 确定机架中要放置 NetScaler 的位置。B。 将底架

32、导轨放置在机架中的期望位置，使滑轨朝内。C。 使用随附的托架将该部件固定到机架上。D。 重复步骤 B 和 C 以将该部件附加到机架的另一侧。确保两个架轨的高度相同，并确保滑轨朝内。注： 在机架中安装 NetScaler 之前，请确保已安装后内轨和架轨。3。 在机架中安装 NetScaler。A。 使后内轨与架轨对齐。B。 将底架导轨滑入架轨，保持两侧的压力平衡。您可能需要在插入底架时压下锁定杆。C。 将 NetScaler 完全推入机架后，锁定杆将发出卡嗒声。D。 插入并拧紧翼形螺丝以将底架固定到机架中。安装 SFP9010、10010、12000 和 15000 系统附带小封装可插拔收发器模

33、块 (SFP)。注意： 仅支持由 Citrix 技术人员提供的 SFP。您不应在 NetScaler 中尝试安装第三方 SFP，因为这将使保修无效。安装铜 SFP1。 小心地从盒中取下铜 SFP 模块。2。 将铜 SFP 插入 SFP 插槽中，使锁链位于 DOWN 位置。3。 推进铜 SFP 直到它位于锁定位置。4。 将锁链移动至 UP 位置，然后将模块推入插槽中。安装光纤 SFP1。 小心地从盒中取下光纤 SFP 模块。2。 将光纤 SFP 插入 SFP 插槽中，使锁链位于 UP 位置。3。 推进光纤 SFP 直到它位于锁定位置。4。 将锁链移动至 DOWN 位置。5。 卸下光纤防尘罩。6。

34、 将锁链移动至 UP 位置，然后将模块推入插槽中。安装 XFP12000 10G/15000/17000 系统附带 （10 GB 小封装可插拔 ) 收发器模块 (XFP)。注意： 仅支持由 Citrix Systems 提供的 XFP。客户不应在 NetScaler 中尝试安装第三方 XFP端口，因为这将使保修无效。安装 XFP1。 小心地从盒中取下 XFP 模块。2。 将 XFP 插入 XFP 插槽中，使锁链位于 UP 位置。3。 推进 XFP 直到它位于锁定位置。4。 将锁链移动至 DOWN 位置。5。 卸下光纤防尘罩。6。 将锁链移动至 UP 位置，然后将模块推入插槽中。5.3 将 Ci

35、trix NetScaler 连接至网络使用以太网 / 光纤电缆将 NetScaler 上的端口连接至相应交换机上的网络端口。注意： 小心别将 NetScaler 上的多个端口连接至同一交换机或 VLAN，以免造成网络环路。如果您的配置并不需要所有可用端口，则您可以使用任一端口。但是，建议禁用未使用的端口，在 HA 配置中则必须禁用。默认情况下，NetScaler 被配置为使用自动协商。如果是首次安装，您应该将交换机配置为对连接至 NetScaler 的那些端口使用自动协商。在初始登录和配置后，您可以禁用自动协商。5.4 连接控制台电缆如果将 NetScaler 连接至个人计算机或终端，请使用

36、随附的控制台电缆。个人计算机或终端必须支持 VT100 终端仿真，并且必须配置为 9600 波特速率、8 个数据位、1 个停止位和无奇偶校验。5.5 为 Citrix NetScaler 连接电源7000 系统有一个电源。9010、10010、12010、15000 和 17000 系统各有两个电源，但是可以使用单个电源工作。额外的电源用作备份。要为 7000 连接电源1。 将电源线插入底架背面的入口插座。2。 将电源线的另一端插入标准的 110V/220V 电源出口。3。 通过按底架背面的 ON/OFF 开关开启 NetScaler。一旦 NetScaler 投入运转，前端的液晶显示屏应该显

37、示背光。要为 9010/10010/12000 系统连接电源1。 将电源线插入底架背面的入口插座。2。 将电源线的另一端插入标准的 110V/220V 电源出口。3。 重复步骤 1 和 2 以使用另一根电源线将另一个电源入口连接至标准的 110V/220V 电源出口。4。 通过按底架背面的 ON/OFF 开关开启 NetScaler。背面的绿色 LED 开始变亮，表明 NetScaler 已接通电源。 一旦 NetScaler 投入运转，前端的液晶显示屏将显示背光。注意： 闪存盘和硬盘是不可热交换的组件，仅在 NetScaler 断电后才能卸下。另请注意，闪存盘和硬盘只能由获得认证的 Citr

38、ix NetScaler 技术人员拆卸。否则将使保修无效。如果一个电源出现故障或者您只将一根电源线连接至底架，9010/10010/12000 系统将发出高音警报。 要将警报静音，请按底架背面的小红按钮。六、访问和配置 Citrix NetScaler您可以使用命令行接口 (CLI) 或图形用户界面 (GUI) 访问和配置 NetScaler。所有 NetScaler设备都随附默认 NSIP 地址 和默认子网掩码 。使用 NSIP 地址可以访问 NetScaler。您可以在初始配置期间分配新的 NSIP 和关联的子网掩码。66.1 使用图形用户

39、界面把PC的IP设置为（192.168.100.x x=2254）打开浏览器，连接NS的默认IP（用户名和密码都是nsroot）6.2 使用 SSH 登录到命令行接口SSH 协议是用于从同一网络中的任何工作站远程访问 NetScaler 的首选远程访问方法。您可以使用 SSH 版本 1 (SSH1) 或 SSH 版本 2 (SSH2)。1。 在您的工作站上，运行 SSH 客户端。2。 使用在初始配置期间分配给 NetScaler 的 NSIP，选择 SSH1 或 SSH2 作为协议。3。 以 nsroot 身份登录，使用在初始配置期间分配的管理密码。以下输出将出现在 SSH 客户端屏幕上：lo

40、gin as: nsrootnsroots password:Last login: Wed May 23 17:18:31 2012Done6.3 使用命令行接口配置 Citrix NetScaler1。 将工作站连接至 NetScaler。2。 出现登录提示时，键入用户名 nsroot 和密码 nsroot，然后按 ENTER 键。6.4 使用配置实用程序配置 Citrix NetScaler要使用配置实用程序设置 NetScaler，您需要使管理工作站或膝上型计算机与 NetScaler 位于同一网络中。如果您选择将工作站直接连接至 NetScaler，请使用以

41、太网交叉电缆。您还需要1.4.2_04 版本或更高版本的 Java 运行时环境。首次配置包括更改 NetScaler IP 地址、添加映射 IP 地址、添加默认网关和更改默认管理员密码。配置实用程序中的安装向导可以帮助您配置所有这些实体。NetScaler 配置有默认的 IP 地址和关联的子网掩码用于管理访问。默认 IP 是 ，子网掩码是 。如果用户没有配置 NetScaler 的 IP 地址 (NSIP)，则使用此默认 IP 地址。首次配置 NetScaler 时，需要至少指定一个 MIP。NSIP 和 MIP 不必属于同一个子网。使用配置实用

42、程序首次配置 NetScaler1。 以默认管理员身份登录到配置实用程序。2。 此时将出现 Setup Wizard。3。 按照说明创建初始配置。4。 完成 Setup Wizard 时将出现 Reboot 弹出式菜单。5。 单击 Yes。设置时区修改nsroot密码（注意：如果双机，请把两边的密码修改成一致）7七、系统配置7.1 配置Feature如图：进入system菜单，选择setting点击 basic feature，选中一下feature，如图：选择需要的feature，不用的都关闭点击advanced feature，选则需要的feature，不用的全部关闭7.2 修改nsroo

43、t用户的密码Netscaler默认用户名和密码均为nsroot，为了保证设备的安全性，需要修改密码，或建立新的用户。如图：修改nsroot用户的密码，双击nsroot用户名，然后修改密码，如图：7.3 配置modeNetscaler默认是不启用2层转发的，如果需要启用2层功能，需要在mode中配置，如图：进入setting菜单，点击mode，如图：7.4 配置系统时间用shell命令进入系统的操作系统，然后用date命令修改当前系统时间输入tzsetup命令设置时区，输入date yymmddhhmm命令修改系统时间，格式为：年 月 天小时 分钟7.5 配置时间同步八、IP配置788.1 配置

44、NSIP配置一个NSIP，保证这个IP不会和其他IP地址发生冲突，这个IP为设备的IP，可以用于管理系统。配置完NSIP后需要重启设备。如：在命令行下输入set ns config -ipAddress -netmask ，然后输入save config来保存配置，最后输入reboot重启，设备重启后NSIP变为8.2 配置SNIP和路由配置SNIP，即接口IP，然后在配置下联路由和默认路由。如图进入菜单network，点击ips，再点击add来添加SNIP，如：IP地址为4，掩码为24位。如果希望通

45、过这个IP里来管理Netscaler的话，在application access control下的方框打上勾。进入networkroutingroutes，点击add添加路由和默认网关，如：网关为3；到网段的下一跳为九、配置HAHA双机热备配置前提条件是两台设备的NSIP能够互相访问，进入如下菜单：默认的Netscaler将自己做为一个节点（node）加入到HA中，只需要将另一台设备做为不同的节点加入到HA中即可，如图：在这里需要注意的是ID必须不同，IP地址必须是NSIP(9.3.x之后不需要配置ID)。在建立好HA后，需要

46、将不使用的接口的状态disable，进入如下菜单：单击一个接口，点击下方的DISABLE按钮，将这个接口的状态设置为disable状态。然后在非流量接口的要关闭HA monitoring，双击一个非流量接口，如图：将HA monitoring设置为off。所谓的流量接口是指业务的数据流经过的接口。例如：管理接口不属于流量接口。十、配置Load Balance91010.1 配置servers添加物理服务器的ip地址，如图：10.2 配置services添加应用，包括协议，应用端口，由哪个server提供的等信息。如图：进入advanced，添加客户端IP到header中。10.3 配置Vser

47、ver添加Vserver，并将相关services加入到Vserver中，如图：如果只做四层负载均衡，则在IP address处添加VIP，port处添加应用端口，如果需要做七层负载的话，就需要将directly addressable处将勾去掉进入method and persistence菜单中，设置负载均衡方式和会话保持模式，如：负载方式为最小连接数；保持模式为cookie insert，时间可以随意调整十一、配置SSL1111.1 配置证书将申请好的根证书和服务器证书导入到netscaler中，并安装这两个证书。如图：进入sslsercificates，点击add。点击browse，选

48、中一个证书，创建根证书不需要密钥。制作服务器证书的时候需要证书和密钥绑定，如图：11.2 配置CRL1. 首先进入菜单ssl-crl，然后点击add，出现如下界面。2. 然后将crl文件选中，这个文件事先已从cfca的ldap服务器下载完并copy到netscaler中3. 的/var/netscaler/ssl目录中。4. 格式为der，ca证书选择这个crl列表的颁发者的证书。5. 开启自动更新，模式为http，端口为80，url要写入下载crl的绝对url路径，时间间隔为每天，更新时间为3点50创建如下图所示：创建完毕后，刷新状态显示成功，使用状态显示为可用的。如下图用命令行查看crl的状态如下：十二、配置SSL OFFLOAD配置SSL OFFLOAD的server和service与Load Balance一样，并且在Load Balance中创建的server和service都可以在SSL OFFLOAD中使用，直接创建Vserver即可，进入如下菜单，如图：然后进入SSL Setting菜单中，如图：在这里服务器证书直接add即可，CA证书和根证书需要add as CA来添加，如图：有时候用户会需要证书的双向认证，这时候需要点击展开SSL Parameters菜单，如图：将客户端认证启用，并且选择强制（mandatory）认证十三、配置Content Swi