Überblick über Citrix NetScaler Netzwerk Architektur

Im folgenden Blogbeitrag  versuche ich einen kurzen Überblick über die  Netzwerk-Architektur des NetScaler zu geben.

 

Typen von IP-Adressen

NSIP (NetScaler IP) – ist unsere erste IP-Adresse, die bei der initialen Konfiguration festgelegt wird. Diese IP-Adresse wird von der Instanz selbst und zwecks Appliance-Verwaltung verwendet. Die NSIP wird auch für die NetScaler-to-NetScaler Kommunikation zwischen zwei Appliances in HA-Mode genutzt. Im Gegensatz zu den anderen IP-Adressen setzt die Änderung der NSIP einen Reboot voraus.

SNIP (Subnet IP) – ist die Adresse, die für die Kommunikation mit den Backend-Systemen verwendet wird. SNIP können mit unterschiedlichen VLANs und Subnetzen verbunden werden. Direkt nach der Erstellung der SNIP, wird auch eine statische Route für diese VLAN erstellt und die SNIP als ein sogenannter Standard Entry Point gesetzt.

add ns ip 192.168.10.10 255.255.255.0 -type SNIP -mgmtaccess enabled

MIP (Mapped IP) – dieser Legacy-Art ist der SNIP ähnlich, wird mittlerweile nicht mehr eingesetzt. Ein gewichtiger Nachteil von MIP's ist, dass keine VLANs eingebunden werden können.

add ns ip 192.168.10.10 255.255.255.0 -type MIP -mgmtaccess disabled

VIP (Virtual IP) – über diese IP-Adresse kommunizieren die End-User mit dem NetScaler. Z.B. wenn wir unsere NG URL erreichen wollen, wird die VIP angesprochen.

add ns ip 192.168.10.10 255.255.255.0 -type VIP -arp enabled

Alle genannten IP-Typen können sowohl per GUI als auch per Konsole konfiguriert werden.

 

NetScaler IPs

 

Um den NetScaler in Betrieb zunehmen, sollen mindesten diese drei IPs konfiguriert sein: NSIP, SNIP und VIP

IP Set – die VIP oder SNIP-Adresse können zu einem Set zwecks bessere Verwaltbarkeit zusammengefasst werden. Unter bessere Verwaltbarkeit versteht man im Grunde genommen eine sinnvolle Benennung, die eine spätere Identifizierung der IPs vereinfacht (z.B. IP_SET_WEBSRV_BONN)

Hier können die IP zu einem IP Set hinzugefügt werden: System / Network / IP Sets > Add

NetScaler Netzwerk Topologie

Es existieren zwei möglichen Typen der NetScaler Netzwerk-Topologie:

One-Arm – zwischen den Client und den Backend-System liegt eine weitere Netzwerk-Komponente (Switch), die den Trafik zum NetScaler und wieder zurück leitet. Wenn der NetScaler ausfällt, besteht die theoretische Möglichkeit die Backend-Systeme direkt anzusprechen. Solche Situation ist potenziell sicherheitsgefährdend.

Diese Topologie wird überwiegend in kleineren bis mittleren Umgebungen verwendet. Wobei hauptsächlich VPX zum Einsatz kommt.

Typische Merkmale einer One-Arm – Bereitstellung:

 

NetScaler One Arm

 

Two-Arm (Inline Mode) – kompletter Datenverkehr wird durch den NetScaler geleitet. In diesem Fall gibt es ein Netzwerk Interface, welches nur mit der Client-Seite kommuniziert und ein weiteres Interface für die Backend-Server Kommunikation.

Typische Merkmale einer Two Arm – Bereitstellung:

 

NetScaler Two Arm

 

Two-Arm Topologie hat zwei mögliche Bereitstellungsmethoden:

Multiple Subnetz –  In diesem Fall befindet sich vServer (bzw. VIP) in dem Public Netzwerk und die Backend System im lokalen (privaten) Netzwerkbereich. (wie auf dem oberen Bild dargestellt). Diese Art der Bereitstellung wird oft Service-Only Mode genannt.

Transparent Mode – die Methode kommt seltener zum Einsatz und wird verwendet, wenn die Clients eine direkte Verbindung zu den Backend Systemen benötigen.  Wie man auf dem folgenden Bild erkennen kann, befinden sich alle IP-Adressen im Public Netzwerk. Die VIP kommt in diesem Fall nicht zum Einsatz und Layer 2 Mode für Bridging muss aktiviert sein.

 

NetScaler Transparent Mode

 

Wie funktioniert Two-Arm Mode:

  1. Request - Client sendet ein Request zum VIP, um z.B. eine URL zu erreichen.
  2. Forward Request - Der NetScaler leitet dieser Request über die SNIP-Adresse an den Backend-Server weiter.
  3. Response - Der Backend-Server enthält die Anfrage und antwortet (Response) auf diese.
  4. Forward Response - Der NetScaler leitet die empfangenen Pakete (Response) an den Client weiter.

 

NetScaler How Two Arm Works

 

NetScaler Kommunikationsports

Unter dem folgenden Link finden Sie die unten abgebildete Skizze im Visio-Format: CTX269531 - Citrix ADM Ports and URL's That Need To Be Opened for Communication

Quelle: Citrix

 

Nützliche Links: