将 Citrix Netscaler VPX 设置为正向代理
您可以将 Citrix Netscaler VPX 设置为转发代理。 正向代理充当内部网络和因特网上的客户机之间的单控制点。 代理允许网络或安全管理员创建限制访问互联网网站的策略。
当内部网络的客户端发起请求时,代理的 IP 地址就会被用来向互联网上的远程服务器发起请求。 远程服务器反过来响应代理,代理再将响应返回给客户端。
通常,代理与防火墙组合使用,以确保内部网络中客户机的安全性。
步骤 1:请求要在专用网络中使用的 VIP
当从 Citrix Netscaler VPX 目录中订购 IBM Cloud 负载平衡器时,假定正在请求反向代理。 请求者需要提供用作虚拟 IP(VIP)的“公共”IP 数量。
如果存在转发代理,那么需要在专用网络上设置 VIP。 使用 IBM 支持案例为专用网络请求 VIP。 您需要的 VIP 数量决定了在“支持”案例中请求的子网大小。 将在“支持”案例中返回子网信息。
在此示例中,您请求 /29
子网,这将产生以下结果:
- 创建子网
10.114.27.0/29
作为私人 VIP 使用 - 子网 IP (SNIP)
10.114.52.101
和路由子网10.114.27.0/29
- 支持团队已将 VIP
10.114.27.0-3
添加到 Citrix Netscaler VPX
步骤 2:在 Citrix Netscaler VPX 上启用负载均衡和高速缓存重定向功能
缺省情况下,Citrix Netscaler VPX 负载均衡器上的负载均衡和高速缓存重定向功能已禁用;enable ns feature cr lb
命令可启用这两个功能。
步骤 3:创建正向代理
使用命令行对 Citrix Netscaler VPX 发出以下命令。 在此方案中,只添加了两个 IBM Cloud DNS 服务器中的一个。
add cr vserver vs_forward_cache HTTP 10.114.27.3 80 -cachetype forward -redirect origin
add lb vserver virtual_dns DNS 10.114.27.4 53
add service Real_DNSServer 10.0.80.12 DNS 53
bind lb vserver virtual_dns Real_DNS
set cr vserver vs_forward_cache -dnsVservername virtual_dns
第 1 行用于创建重定向高速缓存。 协议为 HTTP,10.114.27.3
是专用网络上请求的其中一个 VIP。 HTTP 默认端口为 80,但由于该地址和端口组合是浏览器中的代理声明,因此端口可以更改。
第 2 行添加了一个代表“真实”DNS 的负载平衡 VIP。
第 3 行用于将“实际”DNS 的 IP 地址添加为服务。 该地址可以是客户 DNS 或路由回 IBM Cloud 提供的 DNS 解析器。
第 4 行用于将 VIP 绑定到“实际”服务器。 所有对 10.114.27.4
的 DNS 请求都会发送到 10.0.80.12
。
第 5 行用于指示正向代理虚拟服务器使用虚拟 DNS 进行名称解析。
配置客户机
确保自定义客户端以使用转发代理,确保在客户端上使用 Firefox 浏览器无法访问公共网站(例如,http://www.ibm.com
)。 由于客户机上不存在公共接口,因此此请求应该失败。
以下示例将配置 Linux 客户机。
您需要对客户机进行一些更改,其中第一个更改是将客户机上的解析器指向虚拟 DNS。 此过程是通过两种方法之一完成的。
可以手动编辑 /etc/resolv.conf
以指向 DNS 的虚拟地址。 客户机管理工具可以将这些更改还原为原始设置。
或者,可以编辑 /etc/sysconfig/network-scripts/ifcfg-ethx
接口并添加 DNS1=
语句。 设置此配置后,发出服务网络重新启动命令以获取更改。
无论哪种情况,都必须将 DNS IP 地址配置为虚拟 DNS 地址,并将客户端浏览器配置为将请求指向 Citrix Netscaler VPX 转发代理。
在 Firefox 中使用以下步骤进行必要的更改:
- 单击首选项 > 高级 > 网络 > 连接设置。
- 选择手动代理配置,然后输入以下内容:
- **地址:**10.114.27.3
- **端口:**80
- 选中对所有协议使用此代理服务器复选框。
- 单击保存并关闭浏览器窗口。
IP 地址 10.114.27.3
是在步骤 1 中创建的转发缓存的 IP 地址。
设置完成后,您就可以从专用网络上隔离的资源访问互联网了。
验证设置
现在客户端已配置为使用转发代理,请再次尝试访问公共网站。 该请求现在应该成功。
以下显示命令可用于验证正向代理的状态。
- **show cr policy:**显示所有现有的高速缓存重定向策略。
- show policy map: 显示已配置的地图策略和相关地图策略信息。
- **show cr vserver:**显示指定的高速缓存重定向虚拟服务器或所有已配置的高速缓存重定向虚拟服务器。
- **stat cr vserver:**显示高速缓存重定向 Vserver 统计信息。
通过在 Citrix 上配置基本转发代理,可以为内部网络上的客户机提供因特网上资源的安全路径。 此外还支持网络管理员维护对网络的控制级别。
对于客户站点实施,请向配置添加防火墙以进一步保护资源。