citrix day 2013: citirx networking
DESCRIPTION
Claudio Mascaro präsentierte am Citirx Day 2013 neus zu Netscaler und Cloud Bridge.TRANSCRIPT
Citrix NetworkingNetScaler and Cloud Bridge
Claudio Mascaro, BCD-SINTRAG AG
Das Schweizer Messer für Ihre IT-Infrastruktur
Citrix NetScaler
5 wesentliche Begriffe
1. VServer: Nimmt Anfragen der Clients entgegen (20)
2. Service (Backend): Netzwerk Endpunkt an den der NetScaler weiter leitet (21)
3. Monitor: Prüft periodisch die Funktion des Backend-Services (29+)
4. Load Balancing Methode: Auswahl des Services zur Weiterleitung (15+)
5. Persistence (Stickiness): Client wird immer an selben Service geleitet (9+)
TCP Backend
Full
Pro
xy
TCP Client
Der "Full Proxy" Ansatz bietet einenimmensenFunktionsumfang!
Schlüsseltechnologien für Anwendungsbereitstellung
P2P
Verfügbarkeit Performance Sicherheit
• Load BalancingInformation auf Layer 3 (IP) / Layer 4 (TCP/UDP) entscheiden, auf welche Services weitergeleitet wird
• Content SwitchingInformation auf Layer 7 (HTTP, FTP, DNS, RADIUS, TCP, UDP…) entscheiden auf welche Gruppe von Backend-Services weitergeleitet wird
• Surge Protection + Sure ConnectServer arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue)
• Global Server Load Balancing (GSLB)Verteilung des Verkehrs durch intelligente Namensauflösung des NetScalers
B2C
B2B
IPv4/v6 Mixed Mode
NetScaler ermöglicht die schrittweise Migration von IPv4 auf IPv6, da er den Mischbetrieb unterstützt…
Gemischter IPv4/IPv6 Support
Schlüsseltechnologien für Anwendungsbereitstellung
Verfügbarkeit Performance Sicherheit
• TCP OffloadBefreit Server vom Verbindungs-Management
• HTTP CompressionDaten-Komprimierung vor Daten-Auslieferung
• Integrated CachingNetScaler als Caching Instanz im Netzwerk
• Erweiterte TCP-OptimierungWesentlich effizientere Verbindungen durch TCP-Windows Scaling, SACK und TCP-Buffering
• SSL OffloadÜbernimmt CPU intensive Entschlüsselungs-Aufgaben für Backend-Server
B2C
B2B
Am VServer kommen alle Funktionen zusammen und
der Visualizer gibt eine Gesamtbild der Konfiguration
… Visualizer auch für GSLB, Network, WAF…
Konfiguration via Drag&Drop
HTTP Callout – Externe Information steuern die
NetScaler Funktionen
NetScaler leitet Teile des Client Requests auf den Callout Server und wertet dessen Response auf bestimmte Inhalte hin aus. Integrierbar inHTTP/TCP-ContentSwitching, Rewrite, Responder, Token Loadbalancing-Methode.
Anwendungsfälle:• IP blacklisting• SPAM verification• Access control• Identify management integration• Custom content rewrite• UDDI access• Format loading
… ermöglichen die Isolation von kritischen Applikationen und Objekten
AppExpert Rate Limiting
User(s)
• IP Address
• IP Range/Subnet
• Cookie Value
• Wildcards• Any header
or payload…
Object
• Vserver IP
• URL/URI
• Image
• File• Any header
or payload…
TimeRate
• Requests
• Packets
• Bandwidth
• Measured in
milliseconds
• Throttle• Invoke Policy
• Responder• Rewrite• Cache• etc.
• Alert• Log• Trap
Action
Schlüsseltechnologien für Anwendungsbereitstellung
Verfügbarkeit Performance Sicherheit
• Schutz auf Application LayerSchutz vor Datendiebstahl und Ausnutzung von Sicherheitslöchern
• DoS-AbwehrDoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen
• Filtering, Rewriting und ResponderGranularer Filter in Hin- und Rückrichtung. HTTP Inhalte können modifiziert, direkt beantwortet oder umgeleitet werden – NetScaler als „Simultan Dolmetscher“
• SSL-VPN (AGEE)Verschlüsselung, Authentifizierung, Autorisierung und Endgeräte-Scan VOR dem Einlass in das Netzwerk
B2C
B2B
DATEN
Web Apps
Network FirewallsInternet
Web App Users
Cross-Site Scripting
SQL InjectionInformation Leakage
HTTP Response Splitting
Path Traversal
Warum Sicherheit für Web Applikationen?
aller Attacken zielen heute auf Schwachstellen von Applikationen - Gartner82%
• Finanzberichte
• Kreditkarten-Infos
• Kundendaten
• Mitarbeiterdaten
• Patientendaten
• Persönliche IDs
…
Negativ•Schneller aktiver Schutz vor bekannten Angriffen
•Erfordert Pflege von Signaturen
Positiv•Schutz vor Day-0 Angriffen
•Erfordert Lernen der ApplikationsStrukturen
WAF(Web Application Firewall) - Hybrid Security Model• Optimaler Schutz durch Kombination beider Security Ansätze
HybridSchutz vor
bekannten(1200 "on board"-Signaturen)und unbekannten
Angriffen (19 Security Checks)
Den Applikationen angepasster Schutz durch
19 WAF-Methoden (Security Checks)
durch “URL-Closure“
bi-direktional
bi-direktional
bi-direktional
Import von WSDL und XML Schema Files
Scanner für Applikations-Sicherheitslücken• Während eines Scans erstellte Signaturen lassen sich im NetScaler verwenden
= Geschützte Website
Regelmäßige Scans
+ Import der Signaturenin NetScaler
• Cenzic• Qualys• WhiteHat• IBM AppScan• Trend Micro
HTTP/1.x 200 OKContent-Type: text/htmlContent-Location: http://192.168.66.33/index.htmLast-Modified: Tue, 10 Jun 2008 14:36:27 GMTAccept-Ranges: bytesEtag: "50fa565d7cbc81:2fb"
X-Powered-By: ASP.NETDate: Tue, 10 Jun 2008 21:28:11 GMT
Cache-Control: privateContent-Encoding: gzipContent-Length: 97----------------------------------------------------------
mit Rewrite
netscaler-header: hallo-welt-2013...!
HTTP/1.x 200 OKContent-Type: text/htmlContent-Location: http://192.168.66.33/index.htmLast-Modified: Fri, 09 May 2008 14:11:01 GMTAccept-Ranges: bytesEtag: "98d5983deb1c81:2fb"
X-Powered-By: ASP.NETDate: Tue, 10 Jun 2008 21:23:52 GMT
Cache-Control: privateContent-Encoding: gzipContent-Length: 77----------------------------------------------------------
ohne Rewrite
Server: Microsoft-IIS/6.0
Rewrite – NetScaler als „Simultan Dolmetscher“ in
Hin-(Request) und Rückrichtung (Response)
ohne Rewrite
… CN-testpage …
mit Rewrite
ANFANG
… Citrus-Networks-testpage …
ENDEINSERT_AFTER
REPLACE_ALL
INSERT_BEFORE
HTTP DATA
DELETE_HTTP_HEADER
HTTP HEADER
INSERT_HTTP_HEADER
Rewriteauch für
TCP
NetScaler hilft bei der ERSTELLUNG und der
PRÜFUNG der Expression mit dem Evaluator
AAA-TM – NetScaler als multifunktionale
Authentication Instanz, inkl. SSO (Basic+FormBased)
https://mail.firma.de
Client verbindet sich auf sein gewünschten Ziel-VServer
https://aaa.firma.de/vpn/tmindex.html
Client bekommt „HTTP Redirect“ zum AAA-VServer und bekommt nach erfolgreicher Anmeldung einen
Authentication-Cookie
Client bekommt erneuten „HTTP Redirect“ zu seinem ursprünglichen Ziel, hat jetzt aber
das Cookie im Bauch
https://mail.firma.de/owa/ https://mail.firma.de/?4711
Authorization Policies regeln den Zugriff ins Backend, Traffic Policies das SSO zum
Backend
The SSO Game
HTTP Basic
FormBased
Kerberos
NTLM
SmartCard
SAML
HTTP Basic
FormBased
Constrained
Delegation
AppFlow - Applikations Visibilität durch
NetScaler
Cloud
Enterprise
Desktop
Der NetScaler als "Datensammler" und Analyse Tool
NetScaler generiert mit seiner AppFlow Funktion eine Fülle von Daten, die einen
detaillierten Blick auf das Applikation Verhalten ermöglichen
Mit "NetScaler Insight Center" können diese Daten sehr einfach dargestellt werden
3rd Party
Analysis Tools
Action Analytics
NetScaler
Insight Center
Elasticity with Pay-As-You-Grow
Simplicity withMany-In -One
Expandability with Add-and-Go
“Grow capacity upto 5x. No New Hardware.”
“Megabits to Terabits. Zero Downtime.”
“40:1 footprint reduction. No Compromises.”
NetScaler TriScaleTM Technology
Rome:
8200 2G
8400 4G
8600 6G
Corinth:
11500 8G
13500 12G
14500 18G
16500 24G
18500 36G
20500 42G
Galata:
17550 20G
19550 30G
20550 40G
21550 50G
Thebes:
5550 0,5G
5650 1G
Scal
eU
p
Scale Out
Platform Performance
50 Gbps
30 Gbps
10 Gbps
5 Gbps
1 20
Net
Scal
er P
erfo
rman
ce
Maximum Tenants per Platform
1 GbpsVPX10Mbps –
3Gbps
MPX/SDX
11500-205008Gbps – 42Gbps
9k – 45k (2k) SSL
20 Instances
NEBS
Available
Pa
yg
row All platforms can be
license upgraded across their
supported ranges.
MPX/SDX
8200-86002Gbps – 6Gbps
4k – 6k (2k) SSL
MPX 5550-5650500Mbps-1 Gbps Next GenPlatforms
Multi-tenant Capable
FIPS Platforms
Single-tenant
MPX/SDX
22040 to 2212040Gbps – 120Gbps*
500k (2k) SSL TPS
80 Instances*
NEBS Available
* Roadmap, Q3’2013 – subject to change
100 Gbps
805
NetScaler SDX - die Multi-Mandanten Lösung
• Isolierte Instanzen, keine Partitionen
• Memory, CPU Isolation
• Version/Lifecycle Unabhängigkeit
• Separates Routing
• Getrennter IP Stack
• Unabhängige Connection Table, ACLs, etc.
• Netzwerk Isolation
• Separate Lizensierung und Versionierung
• Integrierte Service VM
• 2-80 Instanzen auf einer Plattform
Scale In
Service Delivery Fabric
Flat L2/L3 Network
Virtualized
Software Defined Networking is the Future
Ser
ver
2
Ser
ver
3
Ser
ver
4
Ser
ver
5
Ser
ver
6
Ser
ver
7
Ser
ver
8
Ser
ver
1
Brought to you by…• Flat L2/L3 network fabrics
• Logically organized• Flexible tiered topologies
• Multitenant isolation
• Transparent service
insertion
26
Defining App-Aware & Advanced SDN
Programmable Elements Control
WA
N O
pt
AD
C
Data
Clo
ud
Bri
dg
ing
Firew
all
Mobili
ty
Physical
Switches
Virtual
Switches
Network ControlCisco 1000V
Nicira
Big Switch …
Application Control
Citrix
Orc
hestr
ation
Vis
ibili
ty
….
• Participate
• Support overlays (VXLAN, NVGRE)
• Integrate
• Simplified USIP, transparent modes
• Cluster flow distribution
• Flow cut-through
• Extend
• L7 policy control
• L7 visibility
27
Xen Hypervisor
0/1 0/2 1/1 1/71/2 1/3 1/4 1/5 1/6 1/8 10/1 10/2 10/3 10/4
ServiceVM
Ne
tSca
ler
2
Ne
tSca
ler
3
vSwitch
Ne
tSca
ler
1
Fire
wa
ll 1
Fire
wa
ll 2
Fire
wa
ll 3
Clo
ud
Ga
tew
ay
IPS
1
Service Delivery Fabric
Sh
are
file
3rd Party Support
Now open for 3rd party services
3rd-Party Support on NetScaler SDX
Support for NSX - Future
• NetScaler Control Center
• A new product component for cloud
orchestration
• NetScaler Control Center integration
with VMWare vCloud Networking and
Security
• NetScaler products will be part of the
official, certified eco-system of
VMWare vCloud Networking product
suite.
CloudStack
Allows integrationof NetScaler into multiple cloud management systems
Nitro APINetScalerControl Center
VMwarevCloud/NSX
OpenStack/Quantum
NetScaler und XenMobile
Client Access Server (CAS)
XM MDM w/
XM NetScaler
Connector (XNC)
Nativer Mail Client
Native Mail Client – technischer Background
• Active Sync to Exchange CAS Server
• Minimal Device Management mit MSFT Exchange
• Microsoft empfiehlt SSLOffloader und Loadbalancer
35
36
• SSLOffload
• LoadBalancing
• ContentSwitching
• Stickiness
• Monitor
• …
Exchange Only
Draft available
37
• Mit SSL Offloading kann man im ActiveSync aus der URL auslesen◦ Device Type (incl OS)
◦ Device ID
◦ Benutzername
◦ Post Request:• POST /Microsoft-Server-ActiveSync?Cmd=Sync&User=user4%40citrix.lab
&DeviceId=SEC12212D232B606&DeviceType=SAMSUNGGTN8000 HTTP/1.1\\r\\n
CNS als ActiveSync Filter
Statische Lösung für DeviceID Auswahl
• Wenn nur ein Gerätetype als
„CorporateDevice“ zugelassen ist,
kann man das leicht als Kriterium
definieren
• Oder zum Testen:
Alles was nicht „[email protected]“ in der
URL enthält DROP
HTTP.REQ.URL.QUERY.CONTAINS("User=user4%40citrix.lab").NOT DROP
38
Was bringt XenMobileConnector?
Kein statischen Filter auf dem NetScaler, sondern dynamische MDM Datenbank
39
1. ActiveSync über CNS VServer zu CAS Server
2. NetScaler schickt HTTP Callout zu XNC mit
Informationen aus dem ActivceSync Request
3. XNC “fragt” MDM zur Entscheidung: Gut/Böse
◦ Callout Response kann zur Verbesserung der Performance auf dem
NetScaler gecached werden (zB: Nachfrage an MDM nur alle 5min)
Was ist XenMobile NetScaler Connector?
• Windows Excutable
• Installation auf XDM oder anderem
Windows Server (kein IIS notwendig)
• Ports: ᵒ 9080 für HTTP web service
ᵒ 9443 für SSL web service
• Geht (zum Test) auch ohne MDM
XNC - NetScaler configuration
• VServer für HTTPCallout
• HTTP Service zu XNC Server
auf TCP port 9080
• Bind Services
• Bei Hochverfügbarkeitᵒ RESTful calls sind “atomic”
ᵒ Keine Persistence notwenidig
einfache Hochverfügbarkeit
(2xXNC)
ActiveSync Filter Callout
• NetScaler schickt Requests zu XNC
via HTTPCallout
• Sinnvoll: Benutzung des Wizzards
ᵒ Request Attributes• GET request
• host expression“callout.asfilter.internal”
ᵒ Konfiguration: Request Parameters• User
• Agent
• IP
• URL
• Result-type
ActiveSync Filter Callout
Auswerten des HTTP response
• Ergebnis kommt als TEXT (?)
• Man braucht nur die ersten 20 Bytes
• “ALLOW” oder “DENY” in der Antwort
Responder als Filter für die Verbindungen
Responder policy überprüft:• URL-PATH inRequest
• Request HOSTNAME
• CALLOUT Boolean value
Diese “expression” wird verwendet:
HTTP.REQ.URL.STARTSWITH("/Microsoft-Server-ActiveSync") &&
HTTP.REQ.HOSTNAME.EQ("callout.asfilter.internal").NOT &&
SYS.HTTP_CALLOUT(active_sync_filter).CONTAINS("deny")
Caching “Callout” response
• IC zum Cachen der Request des Clients an XMC
deutliche Performance Steigerung
• Festlegen, wann Cached responses verwendet werden dürfenᵒ DeviceID ist ein sinnvoller Parameter!
• Güligkeit festlegen für “Cache responses”: ᵒ Empfehlung: 300Sekunden
CloudBridge Overview and
Benefits
CloudBridge Enables Migration to
Cloud
Data CenterBranch Global Data Center
Public Cloud
App
App
App
Accelerates
legacy enterprise
applications
Optimize and
accelerate video
delivery to the branch
User centric
prioritization of
virtual desktops
Video Delivery
Optimization
Traffic
Management
Secure
connections to
3rd party clouds
Application
Acceleration
Enhanced VDI
Experience
CloudBridge Benefits Summary
Visibility and
control for over
500+ apps and
services
Secure Cloud
Connectivity
Enhance the XenDesktop User Experience for
Branch Offices• Deliver a high-definition desktop experience to the
branch and mobiles users• Accelerate print traffic & file transfers
• Provide a high-definition video experience
• Accelerate desktop launch times
• Increase scalability, performance and availability with on-demand
provisioning and de-provisioning of virtual appliances
• Reduce desktop delivery network costs• Free up network bandwidth by reducing desktop bandwidth
consumption
• Support more XenDesktop branch users with existing WAN
bandwidth
• Consolidate hardware and cut costs with standardized hardware
• Cut branch office energy costs
• Slash new branch setup costs and time
Speed 50X 30X 2X 2.5X 6X
BandwidthSavings
99% 99% 89% 97% 97%
CloudBridge provides a 90+% reduction in bandwidth for traditional appsAccelerates Enterprise Applications
Print File
Optimize Video Delivery
• Video consumption in the enterprise is growing
at 200% per year – Gartner Group
• Training, product launches, marketing content,
and entertainment is driving this growth
• CloudBridge can:ᵒ Compress or cache video content for XenDesktop
environments
ᵒ Cache videos from content sites, both internal and
external
ᵒ Police traffic from video content sites such as
YouTube
• Deliver a better video experience while
reducing WAN bandwidth
Secure Cloud Connectivity
L2 GRE TunnelIPSec Tunnel
CloudBridge Connector
CloudProvider
TraditionalDatacenterOr Branch Location
Network X
• Provides IPSec and L2 tunneling to deliver network transparency
• Enables a seamless extension of the enterprise network to the cloud
• Allows enterprises to leverage quickly and cost-effectively scale
New Use Cases
1011011010 SSL 1011011010 SSL 1011011010 SSL 1011011010 SSL 1011011010 SSL 101101110 SSL 1011 101101110 SSL 1011000110011 001110010100
1011011101 10010101000111000SSL0110011000001
CloudBridge Benefits for Storage Replication
Link Capacity
1011011101 10010101000111000SSL0110011000001
Customer Data Center 1
NAS NAS
Customer Data Center 2
NAS NAS
• NetApp’s SnapMirror application includes compression functionality
• However, CloudBridge accelerates better:ᵒ Better TCP window size adjustment
ᵒ Congestion measurement and control
ᵒ De-duplicates across storage volumes
• CloudBridge’s acceleration benefits are complimentary to NetApp’s
38944
5308
0
5000
10000
15000
20000
25000
30000
35000
40000
45000
NetApp-Baseline CloudBridge Optimization
Large XenDesktop Dataset > 1TB
578
59
0
100
200
300
400
500
600
700
NetApp-Baseline CloudBridge Optimization
Small Data Set (~1GB)
CloudBridge Accelerates SnapMirror by 7-10x
Benefits increase under high latency or lossy WAN conditions
50ms WAN with 0.01% loss
10x7.3x
Control Bandwidth Dedicated to Storage
Replication
NetApp SnapMirror
XenApp / XenDesktop
WANApplication Traffic
Without CloudBridge
60%
20%
20%
XenApp / XenDesktop
Application Traffic
NetApp SnapMirror
With Cloudbridge
Application level granularity
Deep classification, prioritization and shaping for all network traffic
CloudBridge also optimizes XenApp/XenDesktop
and ShareFile Deployments
Leverage same CloudBridge appliance to:
• Accelerate replication on NetApp to
meet disaster recovery objectives
• Optimize XenApp/XenDesktop and
other branch applications
• Improve user experience for ShareFile
Customer Data Center 2
NAS NAS
Customer Data Center 1
NAS NAS
Rep
licat
ion
2-5x faster file
downloads
7-10x faster
storage replication
Branch
CloudBridge Product Family
Overview
CloudBridgeCloudBridge
Adaptive TCP Flow Control
HDX WAN Optimization
Compression, De-duplication,
and Acceleration
Video Caching
CloudBridge Overview
QoS & Reporting
WAN
Secure Tunneling
Deployment Models Capacity Mbps, (HDX Sessions)
Global DC CloudBridge 5000 1500 -2000(3,500-5,000)
Large DC CloudBridge 4000 310- 1000(750-2500)
Med DC CloudBridge 3000 50 – 155(300-500)
Small EnterpriseLarge Branch
CloudBridge 200010 – 50(100-300)
Branch Office / Windows Server /Virtual Appliance
CloudBridge 700CloudBridge 600
CloudBridge VPX
1 – 10(20-100)
1- 45(20-100)
Feature VPX2 VPX 10 VPX 20 VPX 45
Total throughput (unidirectional,mixed traffic)
2 Mbps 10 Mpbs 20 Mbps 45 Mbps
HDX sessions* 15 75 150 250
Memory 2 GB 4 GB 4 GB 4 to 8 GB
Hard drive 10 GB 250 GB 250 GB 250 GB
Network Interfaces 2 Virtual NICs
Virtualization Environments XenServer 5.5 or 6.0, Microsoft Hyper-V R2 SP1, or VMWare ESX/ESXi 4.1 to 5.1
Amazon Web Services Availability Yes Yes
CloudBridge VPX
* Session count is limited by link bandwidth. No session count is enforced. Published numbers are for guidance.
Questions?
62
Work better. Live better.