Im folgenden Blogbeitrag versuche ich einen kurzen Überblick über die Netzwerk-Architektur des NetScaler zu geben.
Typen von IP-Adressen
NSIP (NetScaler IP) – ist unsere erste IP-Adresse, die bei der initialen Konfiguration festgelegt wird. Diese IP-Adresse wird von der Instanz selbst und zwecks Appliance-Verwaltung verwendet. Die NSIP wird auch für die NetScaler-to-NetScaler Kommunikation zwischen zwei Appliances in HA-Mode genutzt. Im Gegensatz zu den anderen IP-Adressen setzt die Änderung der NSIP einen Reboot voraus.
SNIP (Subnet IP) – ist die Adresse, die für die Kommunikation mit den Backend-Systemen verwendet wird. SNIP können mit unterschiedlichen VLANs und Subnetzen verbunden werden. Direkt nach der Erstellung der SNIP, wird auch eine statische Route für diese VLAN erstellt und die SNIP als ein sogenannter Standard Entry Point gesetzt.
add ns ip 192.168.10.10 255.255.255.0 -type SNIP -mgmtaccess enabled
MIP (Mapped IP) – dieser Legacy-Art ist der SNIP ähnlich, wird mittlerweile nicht mehr eingesetzt. Ein gewichtiger Nachteil von MIP's ist, dass keine VLANs eingebunden werden können.
add ns ip 192.168.10.10 255.255.255.0 -type MIP -mgmtaccess disabled
VIP (Virtual IP) – über diese IP-Adresse kommunizieren die End-User mit dem NetScaler. Z.B. wenn wir unsere NG URL erreichen wollen, wird die VIP angesprochen.
add ns ip 192.168.10.10 255.255.255.0 -type VIP -arp enabled
Alle genannten IP-Typen können sowohl per GUI als auch per Konsole konfiguriert werden.
Um den NetScaler in Betrieb zunehmen, sollen mindesten diese drei IPs konfiguriert sein: NSIP, SNIP und VIP
IP Set – die VIP oder SNIP-Adresse können zu einem Set zwecks bessere Verwaltbarkeit zusammengefasst werden. Unter bessere Verwaltbarkeit versteht man im Grunde genommen eine sinnvolle Benennung, die eine spätere Identifizierung der IPs vereinfacht (z.B. IP_SET_WEBSRV_BONN)
Hier können die IP zu einem IP Set hinzugefügt werden: System / Network / IP Sets > Add
NetScaler Netzwerk Topologie
Es existieren zwei möglichen Typen der NetScaler Netzwerk-Topologie:
One-Arm – zwischen den Client und den Backend-System liegt eine weitere Netzwerk-Komponente (Switch), die den Trafik zum NetScaler und wieder zurück leitet. Wenn der NetScaler ausfällt, besteht die theoretische Möglichkeit die Backend-Systeme direkt anzusprechen. Solche Situation ist potenziell sicherheitsgefährdend.
Diese Topologie wird überwiegend in kleineren bis mittleren Umgebungen verwendet. Wobei hauptsächlich VPX zum Einsatz kommt.
Typische Merkmale einer One-Arm – Bereitstellung:
- Nur ein Netzwerk-Interface wird mit einem Netzwerk-Segment verbunden
- Keine Isolierung zwischen den Client und Backend Server möglich
- Unterstützt nur ein Single VLAN
- Einfache und schnellere Bereitstellung
Two-Arm (Inline Mode) – kompletter Datenverkehr wird durch den NetScaler geleitet. In diesem Fall gibt es ein Netzwerk Interface, welches nur mit der Client-Seite kommuniziert und ein weiteres Interface für die Backend-Server Kommunikation.
Typische Merkmale einer Two Arm – Bereitstellung:
- zwei oder mehr Netzwerk-Schnittstellen
- strikte Netzwerk-Trennung Client- Datenverkehr von Server- Datenverkehr
- von Citrix empfohlen Bereitstellung
Two-Arm Topologie hat zwei mögliche Bereitstellungsmethoden:
Multiple Subnetz – In diesem Fall befindet sich vServer (bzw. VIP) in dem Public Netzwerk und die Backend System im lokalen (privaten) Netzwerkbereich. (wie auf dem oberen Bild dargestellt). Diese Art der Bereitstellung wird oft Service-Only Mode genannt.
Transparent Mode – die Methode kommt seltener zum Einsatz und wird verwendet, wenn die Clients eine direkte Verbindung zu den Backend Systemen benötigen. Wie man auf dem folgenden Bild erkennen kann, befinden sich alle IP-Adressen im Public Netzwerk. Die VIP kommt in diesem Fall nicht zum Einsatz und Layer 2 Mode für Bridging muss aktiviert sein.
Wie funktioniert Two-Arm Mode:
- Request - Client sendet ein Request zum VIP, um z.B. eine URL zu erreichen.
- Forward Request - Der NetScaler leitet dieser Request über die SNIP-Adresse an den Backend-Server weiter.
- Response - Der Backend-Server enthält die Anfrage und antwortet (Response) auf diese.
- Forward Response - Der NetScaler leitet die empfangenen Pakete (Response) an den Client weiter.
NetScaler Kommunikationsports
Unter dem folgenden Link finden Sie die unten abgebildete Skizze im Visio-Format: CTX269531 - Citrix ADM Ports and URL's That Need To Be Opened for Communication
Quelle: Citrix
- CTX113250 - Required Ports for Citrix NetScaler Gateway in DMZ Setup
- CTX101810 - Communication Ports Used by Citrix NetScaler