我们已经通过NetScaler的基本设置及介绍了不同的模式,以及它的基本特征。现在,我们将深入到NetScaler的内部,了解NetScaler网络以及它们如何运作的。

NetScaler 通常部署在服务器群的前面,作为客户端和服务器之间的透明 TCP 代理,不需要任何客户端配置。此基本操作模式称为请求交换技术,它是 NetScaler 功能的核心。请求交换技术使NetScaler 可以多路复用和卸载 TCP 连接、保持持久的连接并在请求(应用层)级别管理流量,因为 NetScaler 可以将 HTTP 请求与传送请求的 TCP 连接分离。

根据配置, NetScaler 可能在将请求转发至服务器之前处理流量。例如,如果客户端尝试访问服务器上的安全应用,则 NetScaler 可能在将流量发送到服务器之前执行必要的 SSL 处理。为便于安全有效地访问服务器资源, NetScaler 使用一组被称为 NetScaler 自有 IP 地址 IP 地址。

为用作代理, NetScaler 使用多种 IP 地址。主要的 NetScaler 自有 IP 地址包括:

  • 映射 IP 地址 (MIP)MIP 用于服务器端连接。它不是 NetScaler IP 地址。在大多数情况下,当收到数据包时, NetScaler 会在将数据包发送给服务器之前使用 MIP 替换来源 IP 地址。由于服务器抽象化自客户端, NetScaler 可以更有效地管理连接。

  • 虚拟服务器 IP 地址 (VIP)VIP 是与虚拟服务器关联的 IP 地址。它是客户端连接到后端服务器的公共 IP的地址。是直接暴露给客户端进行访问的IP地址。

  • NetScaler IP 地址 (NSIP)NSIP 是用于对 NetScaler 本身进行一般的系统和管理访问的 IP地址。

  • 子网 IP 地址 (SNIP)。当 NetScaler 连接至多个子网时,SNIP 可以配置为用作向这些子网提供访问的 MIP

  • GSLBIP:这是全局负载均衡的站点IP地址。

  • CLIP:这是群集IP地址。

正如我们前面所讨论的,这个IP地址用于管理目的,但是当NetScaler需要对服务进行身份验证,如ADLDAP进行验证时,我们需要确认防火墙中开启了NSIP地址与这些服务的访问。

默认情况下,NSIP地址被允许用于使用多个协议管理服务,例如SSHHTTPHTTPS。我们可以限制只允许安全连接安全级别,导航到System | Network | IPs | NSIP,然后选择Secure Access(安全访问)。这样就需要我们导入信任的证书,因为默认情况下它使用自签名的证书。如果我们只允许安装连接之后,在浏览器使用它的自签名证书连接时,浏览器会弹出警告消息,所以选择该安全级别是需要导入证书的。

   MIP

MIP地址,这是用于和后端服务器连接的。当我们添加一个MIP地址到NetScaler网络,它会自动创建一个路由表项,其地址以到达该特定网络的网关。

 

 

  SNIP

SNIP地址也是用于和后端服务器连接的。当设置了一个NetScaler设备时,在启动向导的时候要求您输入SNIP地址。该SNIP地址还创建了一个路由条目,其地址为达到特定网络的网关。该SNIP地址也可以用于对DNS/ WINS服务器的连接。如果需要使用SNIP地址,使用IP子网(USNIP)功能必须启用。

这两个地址的共同特点是,它们都是用户连接到一个服务时,经由VIP地址到转换到该地址与后端服务器的代理连接。随着NetScaler的版本升级,就没有必要使用MIP地址的功能。在后来的部署中,我们就可以不使用MIP而使用SNIP地址即可。

当我们想跟NetScaler添加一个SNIPMIP地址的,我们可以通过导航到System | Network | IP addresses | Add。同时,我们也可以使用以下CLI命令:


add ns ip 10.0.0.0 255.255.255.0 –type    SNIP


我们可以根据我们的需要改变类型的名称。这里有效参数是SNIPVIPMIPNSIP

   VIP

VIP是一个虚拟的IP地址。它根据配置信息进行创建,由IP地址,端口和协议及不同的服务等组成,例如是一个负载均衡的服务。这是客户端用于访问服务的IP地址。我们将在第2NetScaler的网关和第3章负载均衡介绍VIP地址如何工作。

由于 NetScaler 用作 TCP 代理,因此它会在将数据包发送到服务器之前翻译 IP 地址。如果您配置虚拟服务器,客户端连接至 NetScaler 上的 VIP,而非直接连接至服务器。根据虚拟服务器上的设置, NetScaler 选择适当的服务器,并将客户端的请求发送给该服务器。

举一个例子:有一2Web服务器运行于我们的内部子网10.0.0.x.这个网段内,我们希望外部用户通过NetScaler来访问我们的这个Web服务。NetScaler放置在DMZ拓扑结构中,并和内部网一个NIC进行通信,并设置IP地址。在这个例子中,我们建立了一个SNIP与地址为10.0.0.2,它用于和后端服务器进行连接。我们的用户会通过互联网,并会使用www.service1.company.com访问该服务。这FQDN解析成NetScaler VIP地址是80.80.80.80

wKiom1Sj_s-h8OuAAADcRTpaQlM272.jpg

这样,当一个客户端连接到NetScalerVIPNetScaler将接管该链接,并重定向该链接,使用其SNIP转发连接到后端的Web服务器,如所示。下表显示了数据包的路由。

HTTP request

Source

Destination

IP

Client IP address

NetScaler VIP address

MAC

Default router

NetScaler MAC

然后在这里,NetScaler可建立代表客户端请求内容与后端服务器的连接。

HTTP request

Source

Destination

IP

NetScaler SNIP address

Backend web server 1

MAC

NetScaler MAC

Backend web server 1

其返回流量变为在转换为VIP发送回客户端。

同时针对网络接口我们也可以对其进行VLAN标签的设置,导航到Network | VLANs | Add,在这里,我们可以输入一个VLAN ID,并给它起一个别名。然后,我们可以将一个接口和一个IP地址绑定到该VLAN。一个IP地址只允许被绑定到一个特定的虚拟接口。

我们也可以通过CLI使用以下命令执行此操作:


add vlan 20 –aliasName "Network    1"


接下来,我们需要把它绑定到一个接口。


bind vlan 2 -ifnum 1/8


注意:有一个选项,可以选择标记的VLAN使用802.1标准,但它不支持NetScaler VPX