NetScaler NewsClaudio Mascaro, BCD-Sintrag AG, SwitzerlandDaniel Künzli, Citrix Systems GmbH, Switzerland

PC Era

ADC’s provide a single point of control

Team Blogs

Wikis

Team Calendar

Mashups

Content Sharing

Microsoft SharePoint 2007

Next Generation Web Apps: Rich, Complex, Demanding

More Protocols

More Connections

More Chatty

More Applications

More Client Types

NetScaler: Simplify Web Application Delivery

Eliminate application downtime

Increase performance by 5x

Block 100% of web attacks

Improve web server utilization by 60%

Performance Offload SecurityAvailability

ADC Provides a Key Point of Control

• World-class L4-L7load balancing

• Intelligent servicehealth monitoring

• Caching

• Compression

• Connectionpooling

• Web 2.0 offload

• SSL processing

• Access GatewaySSL VPN

• Applicationfirewall

● 75% lower Power Consumption● Less Data Center Space● Lower Cooling● Completely Integrated

Going Green with NetScaler

NetScaler Way

~1800 Watts 450 Watts

One Way

Point Products

Load Balancer/L7 Switch

Application Firewall

Caching Appliance

SSL VPN

Global Server Load Balancing

Performance Monitoring

Savings $Thousands/Every Year

50 Gbps

20 Gbps

10 Gbps

5Gbps

20

Nets

cale

rP

erf

orm

an

ce

Number of NetScaler Instances

1Gbps

NetScaler Pay-As-You-Grow – Bringing Optimal Price/Performance

1

License Upgrade

500 Mbps.

5K TPS

10Mb

200Mb

3 Gbps

1 GbpsMPX 5500

1-3Gbps.

20K TPS

MPX 9500

MPX 7500

License Upgrade

License Upgrade

20-50 Gbps

220K TPS

MPX 21500

MPX 175008-40 Gbps

Lights out Mgt.

225K TPS

MPX 20500

MPX 11500

NetScaler SDX

Traditional Multi-tenancy Approach

Common Global Instance

• Virtual appliance

• Runs on std x86 hardware

• Fast, inexpensive, flexible

NetScaler

MPX

Appliances

NetScaler VPX

for

XenServer

NetScaler VPX

for

VMware

NetScaler VPX

for

Hyper-V

Acceleration

Availability

Security

Offload

• Instances, not partitions

• Complete CPU isolation

• Complete memory isolation

• Version independence

• High availability independence

• Lifecycle independence

Introducing NetScaler SDX

Step Forward in NetScaler Platform Evolution

NetScaler SDX

Throughput

Function

Density

2000 2005/06

Throughput

Density

NS-S NS-E NS-P

Density

NS-S NS-E NS-P

20 Gbps 35 Gbps 50 Gbps

NS-S NS-E NS-P

20 Gbps 35 Gbps 50 Gbps

5 20 40

2009 2011

NetScaler Editions Pay/Grow SDX

Network Isolation • Full instance isolation

• Separate routing domain

• Independent routing, IP stack

• Independent connection table, ACLs, etc.

• Per instance network isolation

• Isolation can be enforced at the NIC

• SSL acceleration supported

• SSL allocated to VMs on a per chip basis

• Multiple chips can be mapped to a single instance

SSL Acceleration

• Instance level HA

• Both devices in the pair can have active instances

High Availability

SDX Management

Device Management Instance Management

50 Gb/sSingle VIP

50 Gb/s16 Instances

NetScaler MPX 21500 NetScaler SDX 21500

NetScaler News

NetScaler 9.3

Web Interface Dynamic HTTP request

Pre ICA launch session check

Desktop Delivery

ControllerAuthentication Check (dummy user)

Monitor DDC services via HTTP

New Dynamic XD/XA Health Monitors

NetScaler in Inline deployment; supports multi-Gbps WAN links

Branch Repeater Load Balancing

NetScalers in an

(optional) HA pair

Policy based

“sticky” load

balancing with

health monitoring

To LANWAN

WAN

NetScaler in one-arm deployment; supports multi-Gbps WAN links

Branch Repeater Load Balancing

Use Policy Based

Routing (PBR) to

send traffic to/from

NetScaler

Policy based

“sticky” load

balancing with

health monitoring

To LAN

DNSSEC

• DNSSEC to be widely deployed in .net and .com by Q1 2011 – Verisign

• Federal mandated DNSSEC implementation for .gov in 2009

NetScaler DNSSEC Solution

• Protects against DNS cache poisioning and data spoofing and corruption

• Provides mechanisms to authenticate servers and requests

• Integrated and easy to deploy solution

New Signature Protection for Application Firewall

Enable

Signature

Protection

1.

Tune

Signatures

2.

Enable

Advanced

Security

3.

Tune Security

Policies

4.

Comprehensive Application Protection

• Simplifies detection against known application vulnerabilities

• Shortens Application Firewall deployment cycle

• Updated signatures every 4-6 weeks

• Signatures based on public vulnerability databases (e.g. Snort, CVE, Bugtraq, etc.)

Scale Up Scale Out High-Availability

NetScaler Benefits in Database Tier

• SQL Multiplexing Scale TCP connections

Host more DBs on Server

Reduce # of SQL Licenses

• SQL Conn. Offload Spare memory/cpu

Faster Query execution

• Native SQL LB Request Switching

Fast App response

• SQL aware policies Read/Write Split

Granular Control

• Automated IP failover Virtual IP based

Lower cost HA

• Intelligent Monitoring Replication state aware

Microsoft

SQL Server

Applikations

Infrastruktur

LAN

Mobile User

Zweig-stelle

1. Erhöhen der Anwendungsverfügbarkeit

• Load BalancingDie Information von Layer3(IP)- oder Layer4(TCP/UDP)

entscheidet auf welche Backend-Services weitergeleitet wird

• Content SwitchingDie Information von Layer7(HTTP, FTP…) entscheidet auf

welche Gruppe von Services weitergeleitet wird

• Surge ProtectionDie uneffektive Arbeitsweise der Server an ihrer Lastgrenze wird durch Bildung

einer Warteschlange (Surge Queue) vermieden

• GSLBVerteilung des Verkehrs durch intelligente Namensauflösung des NetScalers

NetScaler Surge Protection…die uneffektive Arbeitsweise der Server an ihrer Lastgrenze wird durch Bildung einer Warteschlange vermieden.

100%

0%

REQUESTS

SURGE

QUEUE

100%

0%

REQUESTS

Mit NetScaler Surge Protection

Ohne NetScaler – Server Überlast

Wie GSLB funktioniert?Verteilung durch intelligente Namensauflösung des NetScalers als ADNS einer Subdomain.

1. Client stellt DNS-Request, der vom Haupt-Domain-DNS-Server an den CNS weiter delegiert

wird.

Auf welchen Standort soll ich gehen?

2. NetScaler gibt IP des am besten erreichbaren Standortes zurück

Gehe zu Standort 3

3. Client verbindet sich zu dieser IP

Standort 1

Standort 2

Standort 3

CNS als

Subdomain-ADNS

GSLB: Global Server Load Balancing

Wenn ein vordefiniertes "Traffic Load Limit" erreicht wurde, werden neue Anfragen an alternative Rechenzentren umgeleitet.

100%

0%

100%

0%

100%

0%

GSLB - was diese Funktion bietet … 1/3„Site Load Distribution“ + „Global Naming“

corp.cps.com

corp.cps.com

GSLB - was diese Funktion bietet … 2/3„Dynamic Proximity“ durch RTT-Messung

Die schnellste Site bedient den User:Der User Traffic wird auf das Rechenzentren geleitet, welches die geringste Umlaufzeit (RTT) aufweist

44 ms

84 ms

92 ms

corp.cps.com

corp.cps.com

Im Falle eines Site-Ausfalls wird der User auf das nächst gelegene Rechenzentrum umgeleitet.

GSLB - was diese Funktion bietet … 3/3„Disaster Recovery“

corp.cps.com

corp.cps.com

GSLB – Loadbalancing von "income Traffic" über Providerzugänge

• "income Traffic" steht dabei für User eine User seitig

initiierte Verbindung – wird über das GSLB Feature

realisiert.

• "outgoing Traffic" hingegen beschreibt eine Server seitig

initiierte Verbindung – wird über das LLB Feature realisiert.

• Funktion: Der NetScaler antwortet auf eine vom ADNS der

Hauptdomain an ihn "delegierten" DNS-Anfrage mit der

VServer-IP des Providers A oder B (im Bild A)

LLB: Link Load Balancing

Anwendungens-Beschleunigung bis zu 5x und mehr

Anwendungs-

Infrastruktur

LAN

Mobiler User

Zweig-stelle

2. Bessere Performance für End-Anwender

• Erweiterte TCP-OptimierungWesentlich effizientere Verbindungen

• TCP OffloadBefreit Server vom Verbindungs-Management

• Integrated CachingDer NetScaler als Caching Instanz im Netzwerk

• HTTP CompressionDaten-Komprimierung vor Daten-Auslieferung

• SSL OffloadBefreit Server vor CPU intensiven Entschlüsselungs-Aufgaben

TCP Connection Offload, Praxis Beispiel

Nur noch 1/5 der User-Sessions zum Server nötig, Reduzierung der

Interrupts am Server..!Diese Statistik besagt, wie viele TCP-Sessions gerade zum User aktiv sind(1007)

und wie viele gerade zwischen NS und Server geöffnet sind(193).

Quelle: NetScaler-Monitoring

AppExpert Templates

• Ermöglicht applikationsnaheNetScaler Konfiguration

• Funktionen: Import, Export, Create, Endpoint Definition, Match Rule pro App-Unit

• Vereinfachung der Configuration für 6 Basis Funktionen

• Templates z.Z. verfügbar fürEasyCall, OWA, Sharepoint, SAP NetWeaver, Oracle, Gereric Web-App

• http://community.citrix.com/display/ns/AppExpertTemplates

AppExpert Visualizer Run-time View

Appl.Template Name

Public Endpoint

(CS-VServer)

Application Unit(RegEX-defined part of traffic)

Backend-Service

& Feature Policy

Monitor

Schutz von sensitiven Unternehmens- und Kundendaten

Applikations-

Infrastruktur

LAN

Mobile User

Zweig-stelle

3. Erhöhte Anwendungs Sicherheit

• Schutz auf Application LayerSchutz vor Datendiebstahl und Ausnutzung

von Sicherheitslöchern

• DoS-AbwehrDoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen

• Filtering, Rewriting, Responder, TransformGranularer Filter in Hin- und Rückrichtung. HTTP Inhalte können modifiziert,

direkt beantwortet oder umgeleitet werden – der NetScaler als Simultan Dolmetscher

• SSL-VPN (AGEE)Verschlüsselung, Authentifizierung , Autorisierung (Smart Access)

und Endgeräte-Scan (EPA) VOR dem Einlass in das Netzwerk