citrixnetscaler負(fù)載均衡設(shè)備配置手冊101

1、Citrix負(fù)載均衡設(shè)備 10.1 配置手 冊XXXX-XX-XX發(fā)布 XXXX-XX-XX 實施標(biāo)準(zhǔn)名稱 I目錄前言 范圍 錯. 誤！未定義書簽。第一章 總體設(shè)計錯. 誤！未定義書簽1.1 安裝部署規(guī)范示意圖 錯 誤！未定義書簽。1.2 負(fù)載均衡設(shè)備位置及名稱 錯 誤！未定義書簽。1.3 地址分配 錯 誤！未定義書簽。第二章環(huán)境配置要求 6.2.1 軟件版本許可功能要求 62.2 相關(guān)操作系統(tǒng)版本要求 6第三章設(shè)備初始化配置規(guī)范 6.3.1前期準(zhǔn)備工作 63.2初始化設(shè)備連接 73.3安裝 L ICENSE 123.4操作系統(tǒng)升 /降級 153.5基本選項配置 233.5.1 設(shè)備名稱設(shè)置

2、243.5.2 管理 IP（NSIP ）地址設(shè)置 263.5.3 系統(tǒng)時區(qū)配置 283.5.4 修改系統(tǒng)管理員登錄密碼 293.6系統(tǒng)功能特性配置 303.7CLI 超時時間配置 35第四章 系統(tǒng)配置規(guī)范 高可用配置 374.1.1 配置高可用 374.1.2 配置同步 404.1.3 主備切換 414.2 NTP 配置規(guī)范 434.3 SNMP 配置規(guī)范 454.4 SYSLOG 配置規(guī)范 494.5 AUDIT 配置 544.6 系統(tǒng)用戶配置規(guī)范 574.6.1 SYSTEM USER 配置 574.6.2 用戶認(rèn)證服務(wù)器配置 594.7 配置備份和恢復(fù) 65第五章 網(wǎng)絡(luò)配

3、置規(guī)范 配置管理 IP （ NSIP ）地址 665.2 配置 SNIP 705.3 配置缺省路由 725.4 配置 CHANNELS 735.4.1 手動配置靜態(tài)鏈路聚合 745.4.2 接口動態(tài) LACP 配置 765.5 配置端口 HA M ONITOR 795.6 配置 VLAN 815.7 配置靜態(tài)路由 855.8 配置 NAT 88第六章 負(fù)載均衡虛擬服務(wù)器（ VS）配置規(guī)范 9. 16.1 新建/刪除 LB SERVER 926.2 配置 LB M ONITOR 946.3 配置 SERVICE GROUP 996.4 配置 LB V SERVER 1076.5

4、V IRTUAL SERVERS 常見參數(shù)配置 1 166.5.1 插入客戶端 IP 地址到 HTTP 頭部 1166.5.2TCP 長連接超時設(shè)置 1 18第七章 PROFILE配置規(guī)范 1197.1 TCP PROFILE 配置 1 197.1 HTTP PROFILE 配置 1267.1 NET PROFILE 配置 131參考文獻(xiàn) 錯. 誤！未定義書簽。附件 錯. 誤！未定義書簽。圖表 1 圖標(biāo)題 錯. 誤！未定義書簽。表格 1表題目 錯. 誤！未定義書簽。標(biāo)準(zhǔn)名稱 VCitrix 負(fù)載均衡設(shè)備 _軟件配置規(guī)范前言本文檔是為實現(xiàn) Citrix NetScaler 設(shè)備軟件配置標(biāo)準(zhǔn)化的目

5、標(biāo)來制定的， 目的是為了進(jìn)一步規(guī)范 NetScaler 設(shè)備軟件配置流程， 降低因軟件配置差異所造 成的網(wǎng)絡(luò)和業(yè)務(wù)的功能缺失或性能下降及潛在風(fēng)險。建議在閱讀本文檔的同時， 可進(jìn)一步參閱相關(guān)設(shè)備的安裝指導(dǎo)書、 白皮書等 資料。隨著設(shè)備類型不斷更新， 這些實際情況都要求本文內(nèi)容需要定期更新， 以 適應(yīng)不同的硬件規(guī)格及網(wǎng)絡(luò)環(huán)境。標(biāo)準(zhǔn)名稱 #Citrix 負(fù)載均衡設(shè)備 _軟件配置規(guī)范第一章 環(huán)境配置要求2.1 軟 件版本許可功能要求Citrix NetScaler 軟件由以下三個版本組成：Citrix NetScaler 標(biāo)準(zhǔn)版。為中小型企業(yè)提供全面的 4 層 - 7 層 (L4-L7)流量管理，可提

6、高 Web 應(yīng)用可用性。Citrix NetScaler 企業(yè)版。提供 Web 應(yīng)用加速和高級的 L4-L7 流量管 理，使企業(yè)可以提高 Web 應(yīng)用性能和可用性， 同時降低數(shù)據(jù)中心成本。Citrix NetScaler 鉑金版。 提供能夠降低數(shù)據(jù)中心成本和加速應(yīng)用性能的Web 應(yīng)用交付解決方案，可端對端查看應(yīng)用性能， 提供高級的應(yīng)用安全。2.2 相 關(guān)操作系統(tǒng)版本要求NetScaler10.1 Build xx 軟件版本是 Citrix 公司當(dāng)前為 NetScaler平臺運(yùn)行較為 穩(wěn)定的版本，修復(fù)了相關(guān)重要 BUG，此版本的運(yùn)行風(fēng)險僅集中在未知的 BUG 上。 同時針對該版本已知但未解決的

7、BUG 在中的使用做了相關(guān)分析，對目前的使用 無重大影響，所以從此版本的投產(chǎn)潛在風(fēng)險來看，其存在的運(yùn)行風(fēng)險較低， 第二章 設(shè)備初始化配置規(guī)范3.1 前期準(zhǔn)備工作前期需要將 MPX 設(shè)備上架、加電，為了順利完成設(shè)備初始化流程，還需做如下準(zhǔn)備：PC 機(jī)連接 MPX 管理接口；HA 的兩臺 MPX 之間的網(wǎng)絡(luò)連通，用于兩臺 MPX 的配置同步；訪問 Citrix 網(wǎng)站，并使用 My Citrix 賬號登錄下載 License，管理 MPX 的PC機(jī)需要上網(wǎng)(通過無線、 3G等)。若此 PC機(jī)不能上網(wǎng)則必須在此管 理 PC 機(jī)附近有能夠上網(wǎng)的計算機(jī)，以完成 License 下載過程； 下載 build

8、-10.1-129.11_nc.tgz 操作系統(tǒng)安裝介質(zhì)；3.2 初始化設(shè)備連接開啟 MPX 電源，用直通網(wǎng)線連接 MGMT(0/1 或 0/2)管理接口和 PC 機(jī)PC的 IP地址配置為 192.168.100.*掩碼 ,MPX 的MGMT 管理口 缺省 IP 地址是 。GUI 登錄PC 機(jī)瀏覽器訪問 登錄 MPX 圖形管理界面也可以在 PC 機(jī)瀏覽器訪問 登錄 MPX 圖形管理界面使用 IE瀏覽器會提示“此網(wǎng)站的安全證書有問題” ，點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站”， 進(jìn)入登

9、錄界面。57自動彈出認(rèn)證對話框， 輸入缺省圖形界面管理用戶名： nsroot, 缺省的口令： nsroot ，后點(diǎn)擊 Login 登錄管理系統(tǒng)。CLI 登錄使用SSH工具，如 SSHClient或WinSCP，登錄 MPX命令行管理界面默認(rèn)登錄口令： nsroot/nsroot3.3 安裝 LicenseMPX 首次使用時需要安裝系統(tǒng) License，方法如下：GUI 方式登錄管理界面后， 點(diǎn)擊 System 后，點(diǎn)擊 Licenses，可查看當(dāng)前系統(tǒng)的 License情況；點(diǎn)擊 Action-Manage licenses安裝系統(tǒng) License。系統(tǒng)自動進(jìn)入 License 安裝界面，點(diǎn)擊

10、 Update Licenses Files 添加系統(tǒng)所需License 文件。系統(tǒng) License 安裝后系統(tǒng)需要重啟。安裝 License 過程完畢后，重新登錄 MPX 管理界面。CLI 方式【命令】 show license【參數(shù)】無【示例】通過命令行查看查看當(dāng)前系統(tǒng)的 License 情況將 License文件直接上傳在 /flash/nsconfig/license目錄下，重啟 NS 即可。重啟后，查詢 License：3.4 操作系統(tǒng)升 / 降級如果設(shè)備預(yù)裝的操作系統(tǒng)版本不是需要的版本，或者由于軟件系統(tǒng)的功能、 性能缺失， 需要升級操作系統(tǒng)。 新版本安裝介質(zhì)可以從二線支持工程師或廠

11、商處 獲取。1) Citrix Netscaler設(shè)備操作系統(tǒng)版本的升級和降級操作方法完全一致；2) 實施升 / 降級操作前注意備份配置文件和 License 文件。請參考 6.7GUI 方式點(diǎn)擊 System，點(diǎn)擊 Upgrade Wizard按照左側(cè)升級步驟進(jìn)行操作選擇操作系統(tǒng)升級包由于已安裝 License，因此直接點(diǎn)擊下一步將兩個選項進(jìn)行勾選點(diǎn)擊"Finish" 繼續(xù)上傳操作系統(tǒng)軟件開始安裝系統(tǒng)（無人值守安裝）重啟！完成系統(tǒng)軟件安裝CLI 方式首先，查看系統(tǒng)版本如果不是我們所需要的版本， 重新安裝新版本。找到新版本安裝介質(zhì)，上傳 到 NS的 /var/nstmp 目

12、錄下：注意：建議將安裝介質(zhì)上傳到 /var/nsinstall/ 目錄下，并為每個安裝介質(zhì) 單獨(dú)創(chuàng)建一個文件夾。比如根據(jù)版本號為 build-10.1-129.11_nc.tgz 新建一個 NS10.1_129.11 的文件夾。如果使用 CRT終端，可能直接通過 SFTP上傳安裝介質(zhì)：上傳完成后，進(jìn)入 Shell 命令集，解壓安裝包：執(zhí)行 ./installns 命令，安裝系統(tǒng)；安裝完成后，執(zhí)行 reboot 命令重啟系統(tǒng)查看系統(tǒng)版本，確認(rèn)是我們需要的版本：進(jìn)入 Shell 命令集，執(zhí)行 lmutillmhostid 命令，取出設(shè)備 HOST ID，向原 廠申請 License 。查看設(shè)備授權(quán)

13、：將 License 文件上傳到 NS的 /flash/nsconfig/license目錄下，執(zhí)行 reboot 命令重啟設(shè)備：查看 Licnese ：3.5 基本選項配置在基本選項配置頁面里， 需要完成設(shè)備名稱、 設(shè)備管理地址、所在時區(qū)、nsroot 密碼等信息；在此介紹上述基本選項配置在命令行下的實現(xiàn)方法。3.5.1 設(shè)備名稱設(shè)置GUI 方式點(diǎn)擊 Configuration，點(diǎn)擊圖標(biāo)，進(jìn)入設(shè)備管理 IP 地址和主機(jī)名稱設(shè)置界面。注意：修改系統(tǒng)管理 IP 地址需要系統(tǒng)重啟才能生效，但修改系統(tǒng)默認(rèn)主機(jī)名則不需要重啟設(shè)備CLI 方式查看和修改設(shè)備名稱：3.5.2 管理 IP （NSIP）地址設(shè)

14、置GUI 方式在推薦的部署模式中，建議將 NSIP 設(shè)置為帶管網(wǎng)段 IP地址。點(diǎn)擊 Configuration，點(diǎn)擊圖標(biāo)，進(jìn)入設(shè)備管理 IP 地址和主機(jī)名稱設(shè)置界面。CLI 方式命令】 set ns config-IPAddress <ip_addr> -netmask <netmask> 參數(shù)】 <ip_addr> - NSIP 地址； <netmask> - 子網(wǎng)掩碼 示例】將 NSIP改為 00 ，掩碼為 /24注意：1) NSIP 默認(rèn)為 ，無法刪除，可以進(jìn)行修改，如果修改了 NSIP，必須重啟

15、NS，重新登錄2)修改 SNIP 后，重啟之前記得執(zhí)行 save ns config命令保存配置補(bǔ)充】查看 IP 地址的命令： show ip3.5.3 系統(tǒng)時區(qū)配置GUI 方式將時區(qū)設(shè)置為：東 8區(qū)，亞洲 /上海：點(diǎn)擊 System，點(diǎn)擊 Setting，點(diǎn)擊 Change time zone配置系統(tǒng)時區(qū)：CLI 方式【命令】 set ns param timezone<timezone>【參數(shù)】 timezone【示例】配置 NS時區(qū)為 亞洲/ 上海 注意：修改系統(tǒng)時區(qū)后，必須重啟設(shè)備才能生效。3.5.4 修改系統(tǒng)管理員登錄密碼GUI 方式點(diǎn)擊 System，點(diǎn)擊 User A

16、dministration，點(diǎn)擊 User，點(diǎn)擊 nsroot，點(diǎn)擊 Action ， 點(diǎn)擊 Change Password；修改默認(rèn)管理員登錄密碼。如下圖所示：CLI 方式注： nsroot 用戶無法刪除，但可以修改密碼，默認(rèn)密碼為 nsroot3.6 系統(tǒng)功能特性配置GUI 方式點(diǎn)擊 System，點(diǎn)擊 Settings點(diǎn)擊 Configure modes勾選以下選項（如無需開啟則不勾選）點(diǎn)擊 Configure basic features，按需開啟相關(guān)特性：點(diǎn)擊 Configure advanced features，按需開啟高級特性：CLI 方式查看 NS 配置的 Mode命令】 s

17、how ns mode參數(shù)】無示例】查看 NS 配置的 Mode開啟禁用 NS 某些 Mode命令】 enable ns mode <Mode>disable ns mode <Mode>【參數(shù)】 FR, FastRamp, L2, L2mode, L3, L3mode, USIP, UseSourceIP, CKA, ClientKeepAlive, TCPB, TCPBuffering, MBF, MACbasedforwarding, Edge, USNIP, SRADV, DRADV, IRADV, SRADV6, DRADV6, PMTUD, BridgeBP

18、DUs 【示例】開啟 MAC-based forwarding：查看 NS 配置的 feature 情況命令】 show ns feature參數(shù)】無示例】查看 NS 配置的 feature 情況啟用 /禁用 NSfeature【命令】 enable ns feature <feature>disable ns feature <feature>參數(shù)】 feature name示例】開啟 SSL，CMP，LB，CS，REWRIT，EAAA，WL，SP，PQ，RESPONDER功能3.7 CLI 超時時間配置GUI 方式點(diǎn)擊 System - Settings，點(diǎn)擊 Ch

19、anges global system setting，s在打開的配置界面中，設(shè)置 CLI 超時時間為 600 秒，點(diǎn)擊 OK，保存退出CLI 方式命令】 set system parameter -timeout <secs>show system parameter參數(shù)】 <secs> - 超時時間數(shù)值，單位為秒示例】設(shè)置 CLI 超時時間為 600 秒；查看 CLI 超時時間第三章 系統(tǒng)配置規(guī)范4.1 高可用配置4.1.1 配置高可用GUI 方式配置兩臺 MPX 冗余組選項點(diǎn)擊 System-High Availability ，點(diǎn)擊 Add；添加對端管理口地址，

20、配置主備HA 模式添加對端管理口地址，要求和對端管理口地址網(wǎng)絡(luò)連通配置說明：1）HA雙機(jī)熱備配置前提條件是兩臺設(shè)備的 NSIP 能夠互相訪問。2）默認(rèn) Netscaler 將自己做為一個節(jié)點(diǎn)（ node）加入到 HA中，只需要將另 一臺設(shè)備做為不同的節(jié)點(diǎn)加入到 HA中即可。3）需要注意的是 ID 必須不同， IP 地址必須是 NSIP。4）節(jié)點(diǎn)是對等 NetScaler 的邏輯表示。 它使用唯一的 ID 及其 NSIP 來標(biāo) 識對等設(shè)備。 NetScaler 使用這些參數(shù)與對等設(shè)備通信并跟蹤其狀態(tài)。 當(dāng)添加節(jié) 點(diǎn)時,主要和輔助設(shè)備異步交換心跳消息。 節(jié)點(diǎn) ID 是一個不能大于 64 的整數(shù)，

21、在建立好 HA后，需要將不使用的接口的狀態(tài)置為 disable 狀態(tài)。5）單擊一個接口，點(diǎn)擊下方的 DISABLE 按鈕，將這個接口的狀態(tài)設(shè)置為 disable 狀態(tài)。然后在非流量接口的要關(guān)閉 HA Monitoring ，雙擊一個非流量接 口將 HAM onitoring 設(shè)置為 off 。所謂的流量接口是指業(yè)務(wù)的數(shù)據(jù)流經(jīng)過的接口。 例如：管理接口不屬于流量接口。6）高可用性監(jiān)控程序是一個監(jiān)控接口的虛擬實體。必須對未連接或用于通 訊的接口禁用該監(jiān)控程序。 如果在其中一個接口上啟用該監(jiān)控程序并且此接口的 狀態(tài)為“DOW”N, 則該節(jié)點(diǎn)的狀態(tài)將變?yōu)?“NOTU P”。在高可用性配置中 , 進(jìn)入“

22、NOT UP”狀態(tài)的主要節(jié)點(diǎn)可能導(dǎo)致高可用性故障轉(zhuǎn)移。HA 冗余屬性配置，如下圖所示：刪除 HA配置，如下圖所示：CLI 方式【命令】 add ha node <id><IPAddress> rm ha node <id>【參數(shù)】 <id> 節(jié)點(diǎn)標(biāo)識； <IPAddress> 對端設(shè)備 IP 地址 【示例】添加 IP 地址為 的節(jié)點(diǎn)分別在兩臺設(shè)備上執(zhí)行此命令， NSIP 作相應(yīng)變化4.1.2 配置同步GUI 方式點(diǎn)擊 System，點(diǎn)擊 High Availability ，點(diǎn)擊 Action ，點(diǎn)擊 Fo

23、rce Synchronization， 完成手工配置同步。備注： HA 主備間的配置同步是自動完成的，如 HA 主備工作狀態(tài)正常，配 置由主設(shè)備自動同步到備份設(shè)備，不需人為操作。CLI 方式【命令】 force ha sync -force -save ( YES | NO )【參數(shù)】 -force 忽略當(dāng)前狀態(tài)，執(zhí)行同步； -save ( YES | NO ) 先 保存配置再執(zhí)行同步，可能的值 YES|NO【示例】執(zhí)行 HA配置同步4.1.3 主備切換GUI 方式點(diǎn)擊 System，點(diǎn)擊 High Availability ，點(diǎn)擊 Action ，點(diǎn)擊 Force Failover主備切換

24、，導(dǎo)致當(dāng)前設(shè)備為備設(shè)備，并告知在備設(shè)備上不能進(jìn)行配置操作 主備切換后的 HA 狀態(tài)CLI 方式CLI 方式命令】 force HA failover -force 參數(shù)】 -force HA 切換無需確認(rèn) 示例】執(zhí)行 HA切換，但要求確認(rèn)4.2 NTP配置規(guī)范GUI 方式點(diǎn)擊 System，點(diǎn)擊 NTP Servers添加 NTP服務(wù)器地址，如下圖所示：刪除 NTP服務(wù)器在 NTP Server 欄目中填寫 NTP服務(wù)器的 IP 后，點(diǎn)擊 Create 按鈕將地址添 加，若有多個 NTPS erver 可以添加多個，全部添加完畢后，點(diǎn)擊 Create 按鈕使 配置生效。在 shell 命令行下

25、使用 ntpq p 查看網(wǎng)絡(luò)時間狀態(tài)信息；在標(biāo)準(zhǔn)命令行下 使用 show ntp server -summary 查看配置的 NTP服務(wù)器信息；使用 show ntp sync 查看和 NTP服務(wù)器的時間同步狀態(tài)。CLI 方式【命令】 add ntp server (<serverIP> | <serverName>) -minpoll<positive_integer> -maxpoll<positive_integer> rm ntp server <serverIP>【參數(shù)】<serverIP> - 服務(wù)器 IP 地

26、址， -minpoll<positive_integer>- 最小 NTP更新間隔，單位“秒“， -maxpoll<positive_integer> - 最大 NTA更新 間隔，單位”秒”【示例】增加 NTP服務(wù)器 ，最小更新間隔 6 秒，最大 10 秒4.3 SNMP配置規(guī)范GUI 方式點(diǎn)擊 System，點(diǎn)擊 SNMPSNMP配置步驟說明：1. 定義 Community點(diǎn)擊 SNM，P 點(diǎn)擊 Community,點(diǎn)擊 Add刪除 Community2. 定義 Traps點(diǎn)擊 SNM，P 點(diǎn)擊 Traps刪除 Traps配置說明：1. Versi

27、on 選擇 v22. Community 通常用 public ，必須和 SNMP trap 服務(wù)器一樣3. Destination 填寫 SNMP trap 服務(wù)器 IP 地址4. Port 缺省是 162，與 SNMP trap 服務(wù)器相關(guān)CLI 方式1. 增加刪除 SNMP community【命令】 add snmp community <communityName><permissions> rm snmp community <communityName>【參數(shù)】 <communityName> - 名稱； <permissio

28、ns> - 允許權(quán)限【示例】增加 SNMP community 為 ccbnms ，允許權(quán)限為 all2. 增加刪除 SNMP trap命令】add snmpt rap <trapClass><trapDestination>. -version ( V1| V2)-destPort<port>-communityName<string>-srcIP<ip_addr>-severity <severity>rm snmp trap <trapClass><trapDestination>【參數(shù)

29、】 <trapClass> - trap類型； <trapDestination> - trap發(fā)送的目的地址； -version ( V1 | V2 ) SNMP版本； -destPort<port> - 目的端口； -communityName - 名稱； -srcIP<ip_addr> - 發(fā)送 trap 的源 IP ； -severity <severity> - 嚴(yán) 重 等 級 ( 可 能 值 ： Critical, Major, Minor, Warning,Informational )示例】增加 SNMPtr ap,

30、接受 IP 為 ，community 名稱為 ccbnms4.4 SYSLOG配置規(guī)范GUI 方式點(diǎn)擊 Auditing ，點(diǎn)擊 Servers, 配置 Server, 點(diǎn)擊 Policies 配置策略 配置說明：syslog 服務(wù)器有兩個配置步驟；一是定義 syslog 服務(wù)器；二是將定義的 syslog 服務(wù)器綁定全局策略。1. 定義 syslog 服務(wù)器注意：推薦發(fā)送的 Syslog 級別為 Notice 以上（包含）的級別2. 綁定策略點(diǎn)擊 Auditing ，點(diǎn)擊 Syslog ，點(diǎn)擊 Policies此時并沒有將策略進(jìn)行全局綁定，需要進(jìn)行全局綁定后 syslog

31、 服務(wù)器配置才能生效選中 Syslog-ServerA-policies ，點(diǎn)擊 Action ，點(diǎn)擊 Global BindingsE-L"£FpH- a- CK E Xipl <,l*>fc卜 hjw j*< E 15En«9* BrBH-Sf?SEbVL4 » -¾ Ir iisfeai-H4-1 th電 5Ebh:0-VSZih- 口 cfftst-CrVPH -tKE- PhtqmIV>ar騷I1j- ll-0 Jta,IFA lrz*-Mll-JTJ3<J4" RVfk-FfAD B- iuu

32、£illkf-ktf-ktfmfGEI *-Uk>r &HD?T-Fn*-r.&« Slfcfc *Jtbf3tJQMC-TdHtb£HLMO-CCQW50>Citrix 負(fù)載均衡設(shè)備 _軟件配置規(guī)范145CLI 方式添加 Syslog Server【命令】 add audit syslogaction<name><serverIP>-logLevel<logLevel>【參 數(shù)】 <name> - 名稱； <serverIP> - syslog 服 務(wù)器 IP 地址 ; -l

33、ogLevel<logLevel> - 日志級別【示例】添加名稱為 syslogserver ， IP 地址為 的服務(wù)器， 記錄 全部級別的 syslog.2配置策略何時生效【命令】 add audit syslogpolicy <name><rule><action>【參數(shù)】<name>- 名稱；<rule> - 匹配什么條件開始記錄 syslog ，<action>- syslogacton 信息（上一個用例建立）【示例】添加名稱為 CCB_syslog 的策略，匹配任何內(nèi)容記錄 sys

34、log3. 綁定策略到全局【 命 令 】 bind system global <policyName> -priority<positive_integer>【參數(shù)】 <policyName> - 策略名稱； -priority <positive_integer> - 優(yōu) 先級示例】全局綁定上一個用例建立的策略刪除命令如要刪除已經(jīng)生效的 SYSLOG信息，需要按照如下步驟進(jìn)行，如添加命令中 示例1、解除綁定2、刪除策略3、刪除 Syslog 服務(wù)器4.5 Audit 配置配置審計的目的在于對業(yè)務(wù)系統(tǒng)的保護(hù)， 審計所有針對業(yè)務(wù)系統(tǒng)的操作， 防

35、止針對業(yè)務(wù)系統(tǒng)的違規(guī)操作和行為， 提升核心業(yè)務(wù)系統(tǒng)的安全保障水平， 防止信 息泄漏。GUI 方式點(diǎn)擊 Auditing ，在右側(cè) Audit Messages 進(jìn)行選擇選項說明：1. Recent audit messages （最近審計信息）點(diǎn)擊 Recent audit messages2. Syslog messages （ syslog 審計信息） 點(diǎn)擊 Syslog messagesCLI 方式命令】 show audit messages 參數(shù)】無 示例】在設(shè)備上查看審計日志4.6 系統(tǒng)用戶配置規(guī)范4.6.1 systemuser 配置GUI 方式點(diǎn)擊 System，點(diǎn)擊 User

36、 Administration ，點(diǎn)擊 Users新建用戶添加具有 root 權(quán)限的用戶添加具有“只讀”權(quán)限的用戶備注：默認(rèn) nsroot 用戶不能刪除刪除用戶CLI 方式【命令】 add system user <userName> <password> bind system user <userName><policyName><priority> rm system user <userName>【參數(shù)】<userName>- 用戶名；<password> - 口令； <policyN

37、ame>- 權(quán)限； <priority> 優(yōu)先級【示例】添加用戶 admin，密碼 admin, 并賦予只讀權(quán)限；刪除用戶 admin4.6.2 用戶認(rèn)證服務(wù)器配置GUI 方式點(diǎn)擊 System，點(diǎn)擊 Authentication 配置用戶認(rèn)證方式和密碼規(guī)則。MPX認(rèn)證方式有 Loacl 本地認(rèn)證和外部的 LDAP、RADIUS、TACACS幾種，根 據(jù)需求選擇正確外部認(rèn)證方式，通常使用 TACACS作為外部認(rèn)證服務(wù)器。新建認(rèn)證服務(wù)器點(diǎn)擊 System-Authentication-TACACS-Servers ，添加認(rèn)證服務(wù)器點(diǎn)擊 System-Authentication

38、-TACACS-Policies ，綁定策略添加認(rèn)證策略綁定全局策略System-Authentication-TACACS-Policies ，選中 Auth_pol_2, 選中 Action ，選擇 Global Bindings刪除 TACACS配置刪除 TACACS配置的步驟與創(chuàng)建剛好相反， 要先在策略中將服務(wù)器解除綁定，再刪除策略，最后刪除服務(wù)器CLI 方式新建命令1. 配置指向 TACACS外部認(rèn)證服務(wù)器【命令】 add authentication tacacsAction <name> -serverIP <ip_addr|ipv6_addr|*> -s

39、erverPort <port> -authTimeout<positive_integer> -tacacsSecret -authorization ( ON | OFF ) -accounting ( ON | OFF )【參數(shù)】 <name>- action 名稱； -serverIP<ip_addr|ipv6_addr|>- tacacs服務(wù)器 IP 地址； -ServerPort tacacs 服務(wù)器端口； -authTimeout - 認(rèn)證超時 時間； -tacacsSecret -tacacs 認(rèn)證秘鑰示例】添加 TACACS服務(wù)

40、器 , 秘鑰為 ccb123。2. 添加認(rèn)證策略【命令】 add authentication tacacsPolicy <name><rule> <reqAction>【參數(shù)】 <name>-策略名稱； <rule>- 策略規(guī)則【示例】添加策略名為 Auth_pol_2 的策略3. 綁定全局策略【命令】 bind system global <policyName> -priority <positive_integer>【參數(shù)】 <policyName>- 策略名稱； -pri

41、ority <positive_integer> -策略優(yōu)先級；【示例】綁定用例 2中創(chuàng)建的策略 Auth_pol_2 ，優(yōu)先級為 100刪除命令1、解除綁定2、刪除策略3、刪除 TACACS服務(wù)器4.7 配置備份和恢復(fù)4.8MPX的配置可以備份成一個 .tgz 的壓縮文件，從 MPX中取出放到本地磁盤中， 當(dāng) MPX的配置錯誤或者丟失時可以從 .tgz 文件將 MPX的配置恢復(fù)。4.9 注意：配置備份文件與 MPX一一對應(yīng)，不同 MPX的備份文件不能混用。GUI 方式配置備份操作：點(diǎn)擊 System，點(diǎn)擊 Backup and Restore, 點(diǎn)擊 Backup, 備份配置2.

42、 配置恢復(fù)操作點(diǎn)擊 System，點(diǎn)擊 Backup and Restore, 點(diǎn)擊以備份的配置，點(diǎn)擊 RestoreCLI 方式進(jìn)行配置恢復(fù)以下為命令行方式完成配置備份的操作，如下圖所示：以下為命令行方式完成配置恢復(fù)的操作，如下圖所示：第四章 網(wǎng)絡(luò)配置規(guī)范5.1 配置管理 IP （NSIP）地址般的系統(tǒng)和NSIP為NetScaler IP地址，NSIP 是用于對 NetScaler 本身進(jìn)行 管理訪問的 IP。在推薦的部署模式中，建議將 NSIP 設(shè)置為帶管網(wǎng)段 IP地址。默認(rèn)情況下，對 NSIP 的 Telnet、FTP、SSH、SNMP、HTTP、HTTPS 訪問 是開啟的，基于安全考慮

43、， 建議只開啟安全的和必須使用的端口， 將Telnet、FTP、 HTTP關(guān)閉。GUI 方式點(diǎn)擊 System-Network，點(diǎn)擊 IPs可查看當(dāng)前設(shè)備管理口 IP 地址配置信息雙擊 NSIP： ，可以查看 NSIP的詳細(xì)配置信息：1. 一旦管理口 IP 地址配置好后在當(dāng)前的配置界面中不能再次對管理口IP 地址進(jìn)行修改。 但可點(diǎn)擊 Downloads 右側(cè)的圖標(biāo)，在配置向?qū)е行薷墓芾砜?IP 地址，或通過 CLI 方式修改 NSIP，請參考 3.5.2 。2. 當(dāng)前配置界面中無法修改對 Telnet 、FTP、 SSH的訪問，只能在 CLI 下進(jìn)行修改。3. 常用方法

44、是通過命令行方式修改設(shè)備管理口 IP 地址。CLI 方式命令】 set ns ip <IPAddress>-arp( ENABLED| DISABLED) -icmp( ENABLED| DISABLED) -vServer ( ENABLED | DISABLED )-telnet ( ENABLED | DISABLED )-ftp ( ENABLED | DISABLED )-gui <gui>-ssh ( ENABLED | DISABLED )-snmp ( ENABLED | DISABLED )-mgmtAccess ( ENABLED | DISABLE

45、D )-dynamicRouting ( ENABLED | DISABLED )【參數(shù)】 <IPAddress> - IP 地址，<netmask> - 子網(wǎng)掩碼；<gui> - 可能的值為 DISABLED、ENABLE、D SECUREON，LY詳細(xì)如下：DISABLED：不允許以 GUI方式登錄；ENABLE：D允許以 HTTP、HTTPS方式登錄；SECUREON：LY只允許以 HTTPS方式登錄【示例】禁用 NSIP：的 Telnet 、FTP、 HTTP登錄：查看 NSIP 配置信息：5.2 配置 SNIPGUI 方式點(diǎn)擊 System-Network，點(diǎn)擊 IPs可查看當(dāng)前設(shè)備 IP 地址配置信息新建 SNIP點(diǎn)擊 Add，彈出 Creat IP 窗口，如下所示：刪除 SNIPCLI 方式【命令】 add ip<IPAddress><netmask> -type <type>-mgmtAccess<enabled | disabled>rm ip <IPAddress