Citrix NetScaler 11的新功能 - Master Class【文字版-下】

Telco（电信网络）

上述咱们讲了第一个维度，如今继续讲解第二个维度。在这个模块中咱们会介绍在整个电信网络中咱们会有哪些提高。下图是介绍的内容目录：

CGNAT是针对于NAT推出的解决方案，目前国内来说，一些特定的园区里面有在小范围的使用。对于IPv6来讲，存在两个问题：IPv4的地址愈来愈少，这是一个问题。第二问题来说，IPv6使用起来很是的缓慢，毕竟IPv6如皋靠人手动去配置的话仍是繁杂的事情。

那么NetScaler针对于NAT推出的CGNAT，是若是作到地址的转发转换的。

如上图，这是属于传统的IPv4的一个问题，若是咱们如今要发布一个服务到公网，那么咱们首先拿到了运营商给予咱们的一个公网IP地址。可是由于IPv4的地址空间已经不够了，那么这个公网IP地址就不是全局的IP地址，而是只能在运营商的本地。也就是说，好比电信给了咱们一个公网的IP地址，咱们的这个公网Ip地址实际上是只能跟电信的运营商的内部IP进行通讯，没办法跟联通进行通讯，若是须要通讯那么就须要经过电信的网关出去。经过外也是相似的状况，经过其出口的网关出去，这个网关也作相似的NAT的技术来实现。由于给到咱们的公网IP地址在全球范围内来讲并非真正在全球上可使用的公网Ip地址，而是电信经过技术实现的所谓公网IP地址。

如上图，咱们说在电信运营商那边也须要经过NAT出运营商的大内网。因此NAT技术其实在现今的网络环境这中很是的重要。也是应对IPv4减小的一种有效的方法。

那么实际上NetScaler设备是能够针对电信运营商的这个状况，提供专门的NAT优化技术来作这个事情的。

如上图，就是NetScaler的CGNAT转发图。在NetScaler的CGNAT中咱们能够作不少的事情，以下图：

咱们能够作到IPv4到IPv4的NAT，IPv4到IPv6的NAT以及IPv6到IPv4的NAT以及整个IPv6的NAT。

首先就现目前来讲，IPv6是比较多的，那么咱们之后的模式就是内部IPv4，出去以后是IPv6。

接下来NetScaler还提供了对于DNS的一个审计功能，咱们知道NEtScaler自己带有一个ADNS的这样一个功能，咱们能够针对于DNS的策略，咱们经过NetScaler的DNS作策略好什么好处呢？好处就是在默写场景下咱们能够阻挡来自于DNS的***。经过DNS策略咱们还能够作更多的东西，作了这些东西以后，其实最重要的仍是针对于这些功能的审计。NetScaler可能说我防御了一个DNS***，那么用户不知道你到底作了啥事情，用户不清楚。针对于用户来讲就像是一个黑盒同样，不知道里面内部的状况。以前的不少NetScaler的日志都是基于Http、Web等这些友好的功能来作的。选择在NetScaler 11当中来说的话，咱们就会有DNS的一个日志记录以及GSLB的日志。其中对于GSLB的日志实际上是蛮重要的。若是用户作了GSLB以后，用户须要知道访问的客户到底被分配到了那个站点。在原来的版本，咱们只能告诉客户你想要经过网络抓包本身看，选择是话经过日志就能查看。固然经过命令也能够实现查看，可是前提是咱们作流量会话保持，经过查看会话的方式来查看GSLB的用户访问分配流程。可是这些方式其实都是及其不友好的，有些用户就会去抱怨这个事情，NetScaler没有专门针对于GSLB的日志记录。因此我没有办法看见你解析到了哪里去，到底解析的对不对。同时在一些压力测试的场景下，咱们和友商的PK就很是吃亏。

同时版本针对移动端也有一些感知，在上图中，左边是用户存在的一些需求，每一个用户的一些具体的需求，在右边就是咱们具体的解决方案。这是充分从用户的角度提交需求以后，以需求驱动进行的相应功能的开发。

同时对于NetScaler的有时功能TCP优化技术，也有提高：

加速对于用户来说，广域网环境下的加速必须是端到端的加速，即两端之间必须分别都有加速设备。若是咱们在只有一台NetScale的状况下，咱们怎么来作TCP的加速。在NetScaler 11当中来说，咱们加强了原有的TCP优化功能。将更多单边加速的功能放置到了这里面。这个其中着重点是针对于于移动端的优化和加速。比方说你是属于3G4G网络上来的仍是属于WIFI上来的，咱们能够调整在NetScaler对其进行调整，这些调整的参数大概就有50多项，调整以后，最终的目的是用户的访问体验能够增长30%。相对于端到端的加速解决来讲，30%可能不算什么，可是若是去考虑单边加速的前提，其实这个提高是很是的多了。并且这个加速自己来讲是针对TCP，因此咱们无论你的应用究竟是什么，在TCP层面咱们均可以给你作这样的一个优化。

有这这些功能以后就方便咱们去作SLA的管理。NetScaler能够生成不少SLA的一些出发的SLA metrics，能够把这些东西放置到Insight Center当中，那么对于用户来说就可用经过Insight Center来看到咱们的应用还SLA是怎么样的一个状态。

Core ADC（应用交付）

接下来介绍NetScaler 11的第三个维度。

首先对于NetScaler的集群，不知道你们是否部署过，Citrix NetScaler的集群到目前为止也只有Citrix有这样一种形式的集群模式。集群模式简单来理解，就相似有交换机的堆叠。NetScaler 的集群模式。能够堆叠到32台设备，扛起1TB的流量。因此NetScaler并非要把机器造得愈来愈大，而是采用灵活的架构去部署Citrix NetScaler设备。讲到集群的时候，有一些知识点你们可能须要了解，集群有几种组合模式？有几种部署模式？

好比说动态路由模式，在NetScaler的前端要有个路由器，这个路由器和NetScaler之间要设置OSPF的动态路由。这是其中的一种模式了，还有不少的模式。在NetScaler 11当中，在3层的路由模式下，NetScaler 11支持三种模式：Logical Cluster acrosssubnets、Enabling multi-sitedeployments、ECMP mode deploymentonly。其中Enabling multi-sitedeployments从多个站点去部署NetScaler集群在之前的版本中是没有的。如今就能够在不一样的网段、不一样的站点之间进行部署NetScaler 集群。并且之前作NetScaler的集群都是支持http这样的业务去作的。若是咱们的客户环境除了http以外，还有其余的一些服务，I里ftp须要发布的话，就不要在netScaler的集群上进行发布，这会存在一些问题。俺么如今的版本11当中也不存在这样的问题了，咱们支持ftp，支持动态路由。

如上图，在配置动态路由的时候版本11支持SNIP来作动态路由，那么咱们就能够将流量分配到多个站点。当用户来访问的时候，咱们经过ECMP的这样的方式，咱们就能够将其进行动态的路由或者说分配。而就这个来说，我还能够选择高延时的链路仍是低延时的链路，可以很是灵活的去选择咱们咱们说须要的流量特性。所以版本11当中的集群模式就支持更多的场景，由于NetScaler 11的集群支持跨网段了。

NetScaler withoutPartitioning，如今咱们来讲说这个。你们都知道NetScaler有一款产品叫SDX，SDX是一个纯虚拟化的模式，在SDX的硬件之上运行了一个被优化过的Citrix的XenServer，而后在上放置了不一样的Citrix NetScaler VPX。着只是其中的一种虚拟化方式，这种方式借助于底层虚拟化的平台。可是在Citrix的NetScalezr 中，还有另外的一种虚拟化方式可使得用户将不一样的业务在NetScaler上分开，这种方式须要在NetScaler的Web界面里面进行设置。这种模式也就是Partition。若是没有Partition，那么架设上述的这台机器是MPX给到用户，对于一个用户来说，它须要管理如图所示的这么多应用，这么多的应用放置在一台MPX上，全部的配置都是一个配置文件。稍微的一个全局参数发送变化可能都会影响这些应用。那么有了Partition以后呢？

全部的这些应用都是隔离的，并且都是本身独立的配置文件，也就是说SharePoint就是一个单独的服务，你登陆进去配置SharePoint，就感受这是一台单独的独立给SharePoint使用的NetScaler设备同样。那么使用了Partition，咱们还能够给每一个应用分配一个管理员，这样咱们其实就能够进行权限的委派，不一样的人员去作不一样的事情。这个功能主要去从管理界面上的一个区分，实质在底层仍是属于同一个操做系统同一台硬件设备。也能够称呼为管理界面虚拟化。

那么有了这么一个功能了以后，其实MPX有就能够在云上进行使用了。如上图，这样NetScaler MPX能够在这些场景下均可以使用了。在咱们的私有云当中来说，咱们有多个配置文件，多个SNMP、多个Logs，咱们能够讲不一样应用的这些都分隔开。

那么那些东西被隔离了呢？如上图，咱们能够看到，Filesystem被隔离了，若是说用户启用了Partition，而后拥有不一样的管理员，每一个管理员有不一样的配置文件。好比说，SSH证书，A管理员是看不到B管理员的SSH证书的。tracing被隔离了，A管理员看不见B管理员的Log，B也看不见A的。除此以外，SNMP不同，Syslogs不同以及NS.conf不同。

那么在版本11当中有哪些提高呢？

如上图所示，这些就是在版本11当中提高的地方。包括GSLB、AAA、内容交换等等功能的提高。其中好比RDP Proxy经过Admin Partition作这样的虚拟化，在安全性上的好处是显而易见的。

接下来咱们继续在ADC层面谈谈Insight。在Gateway部分咱们着重描述的是HDX Insight，在ADC部分还有一个Web Insight是比较重要的。Web Insight在之前的版本中有一个问题就是，但Appflow的流量超过1GB的时候，Web Insight就特别的慢。甚至于在大型的环境中流量巨大的状况下Web Insight跑不起来。那么这个问题在版本11中是如何解决的？

在11当中，引进了一个新的概念。在原来的Web Insight中，就是一耳光基于虚拟化底层的虚拟机，如今咱们把Insight拆分开来，分为三层，数据控制层，报表的引擎以及数据的收集节点。将其变成了一种彻底的分布式的部署模式，在这种分布式的部署当中，咱们就能够去链接不一样的Insight，那个节点寻找瓶颈了，那咱们就再增长一个节点好了。这样咱们就作到了一个弹性的扩展，彻底知足性能增加的需求。

如上图，咱们随着设备的扩充，在架构不变的状况下仍然工做的很好。同时，在最新的11当中，咱们还能够将这个Insight的数据导入到最新的NetScaler MAS当中。NetScaler MAS会见这些数据统一的整合起来。将来Citrix会将全部的管理平台都会统一到MAS当中。MAS如今对下面的设备是针对全部型号全部版本的NetScaler产品。上接全部的日志、报表引擎、报表生成甚至因而SDN的管理软件、云平台等等。同时MAS也是基于这样的架构，和Insight同样是分布式架构的部署方式。

接下来咱们介绍MobileStream。在上述的章节中咱们曾经讲述了TCP的优化部分，在NetScaler当中，讲究的是多层的优化。其中MobileStream的优化功能，包括：移动端的协议的优化、多层的网络加速、针对内容的下载流以及内容的排序等等，这些优化可使得咱们在移动端的访问变得十分的便捷。MobileStream经过虚拟方式消除了续存通讯技术和网页设计形成的不规则链接影响，从而改善移动性能;借助智能双网模式技术，NetScaler MobileStream得以透明利用无线和蜂窝链接，将移动应用加载和运行速度提高5倍，带来全新的用户体验;NetScaler MobileStream还实现了与NetScaler Insight Center的全面整合，可以简便地监视和控制移动流，应用程序和设备活动模式清晰可见，可迅速解决网络问题并改进服务交付;在安全方面，NetScaler MobileStream提供了灵活的分应用、分用户的访问管理控制，实现了安全移动访问，消除了移动数据泄露给未经受权移动设备的可能性。具体而言，在网络链接方面，NetScaler能够确保移动设备在3G、4G网络和无线Wi-Fi之间无缝切换，而不会出现移动应重启;在协议优化方面，NetScaler支持利用SPDY的协议(SPDY协议与传统的HTTP相比，其传输速度会快几倍)，而不管应用是否支持SPDY;在内容优化方面，NetScaler能够根据移动终端的属性(好比设备类型、屏幕大小等)，对呈现的内容进行调整，从而改善用户体验，好比，能够在不影响用户体验的前提降低低图片清晰度等。

在11当中，NetScaler的优化和加速彻底是充当了Http 2.0的网关的角色。如今的百度也已经启用了http2.0，为何要启用http2.0，由于启用了http2.0以后，会大大加快咱们页面加载的时间。启用http2.0第一步须要作的事情就是，你的网站须要启用https你才可能使用Http2.0。因此从这个角度来说，NetScaler的SSL加密就显得十分的必要和强大。

因此http2.0到了NetScaler以后，就如上图所示，后面咱们的传统的应用程序彻底能够不用在进行从新开发，只须要在NetScaler上启用http2.0，将后端的http1.1转换为http2.0发送到前端或者说显示给前端。最大化的和现有环境的系统集成的同时保护现有的投资。

HTTP2.0最大的亮点在于多路复用，而多路复用的好处只有在http请求量大的场景下才明显，因此有人会以为只适用于浏览器浏览大型站点的时候。这么说其实没错，但http2.0的好处不只仅是multiplexing，请求压缩，优先级控制，server push等等都是亮点。对于内容型移动端app来讲，好比淘宝app，http请求量大，多路复用仍是能产生明显的体验提高。

如上图，上述咱们讲述了HTTP2.0有诸多的好处，可是企业说个人业务台繁杂和庞大，从新使用http2.0来写须要耗费大量的时间和财力，企业没法承担。那彻底能够采用NetScaler来实现。在途中，左边是http2.0的优点，在右边，NetScaler经过这些功能来优化和实现甚至超过http2.0的体验。甚至是将http1.1的相似转化为http2.0转发出去，因此说NetScaler在这里就变成了http2.0的网关，就是这个道理。

同时在多因素认证这一块，也不仅是单一的流程，而是根据不一样的策略来造成不一样的认证模式，这些在NetScaler 11当中都是极大的提高以及加强。

咱们也有一个名叫GSS Replacement的功能，这个功能主要解决以前版本中的一些SSL存在的一些问题。

同时在自己的SSL功能面上，有如图所示的提高。好比说VPX，在原来的VPX 10.5当中是不支持TLS 1.2的。就具体来说，涉及到其中的一些SSL Profiles。

同时针对NetScaler支持的SSL加解密算法，若是客户端上比较老的客户端，那么他自己支持的算法比较旧，NetScale对其的加解密就不会使用过高的算法，由于客户端太老，彻底不理解新的算法。上述的这些支持的选项彻底是根据用户的须要进行选用的。

同时在有些场景下若是用户使用了NetScaler的AppFW，那么咱们的应用会不会变慢呢，可能用户存在这样的担忧。咱们会确定的告诉用户，并不会变慢，为何不会变慢呢？

在NetScaler 11当中增长了一个功能，Do you Trust，也就是信誉库。就这个功能来讲，首先会有一个针对于IP的分类：

好比说你的公有云过来的一个IP，或者说是一个私有云过来的IP，那么这些IP过来以后呢，NetScaler就能够帮助用户作到IP的分类，根据这些分类作到一些黑盒子或者白盒子。这一部分彻底能够自动化，同时咱们也能够进行手动选择，咱们能够经过条件表达式去判断哪些IP地址过来以后执行相应的动做，是阻断仍是扫描仍是直接放行。全部这个是属于很是灵活是去判断NetScaler到底要怎么去作，对于这样的一个信誉库到目前为止有12个Million的收集。

咱们还能够Integration。Citrix NetScaler自己有一个生态链，这个生态链是在于说咱们能够将NetScaler的数据吐出去，给到咱们生态链的上游厂家。

同时咱们能够将漏洞扫描软件进行漏洞扫描以后是内容，好比说存在的漏洞在NetScaler上面有进行修补的，能够将其导入到NetScaler设备当中，而后变成一个修补的补丁形式存在，帮助修补这个漏洞。

同时对于所支持的PCI功能，PCI更新到那个版本NetScaler就支持到那个版本，NetScaler会不断的发布小版本进行更新，全部这部分彻底是跟着PCI的更新走。PCI是由业内重要的支付产品公司联手创立的支付卡产业安全标准委员会(PCI SSC)—包括美国的Express、JCB、MasterCard和Visa—旨在规范整个产业的安全标准。PCI SSC开发的PCI PIN交易安全(PCI PTS)标准定义了金融终端安全性的要求。***行为是试图从POI提取PIN码和加密密钥。NetScaler设备根据PCI标准重点防御了针对于银行卡的各类***(物力篡改、环境更改、软件接口***、密码分析破解***、政策威胁)的安全防御机制。

那么NetScaler的新功能介绍就到这里。总共三个维度的内容。

 

最后说明一点的是对于学习NetScaler的内容：

上图这些就是学习NetScaler的好去处，好比说在GitHub中，有一些用户就会在他们的blog中更新一些范例。