Сети и среда Citrix MetaFrame

Networking Issues Affecting Citrix. MetaFrame Environments
April, 2003
jo.harder@citrix.com


Содержание


1. Обзор

При проектировании сети для Citrix MetaFrame XP необходимо учитывать ряд технических пожеланий. В этой статье описываются отдельные аспекты, которые необходимо учитывать при проектировании сетевой среды, а также методы, которые могут использоваться для оценки оптимальности существующей среды.

Эта статья относится к следующему:

Документ адресуется:

Примеры, рассмотренные в этой статье, не должны рассматриваться как оптимальные для всех сред Citrix MetaFrame. Особенно значения реестра Microsoft Windows и настройки маршрутизаторов Cisco. Подробнее о привилегиях доступа к маршрутизаторов Cisco см. Привилегии доступа к маршрутизаторам Cisco. Обратите внимание, что существует два уровня доступа к командам:

Подразумевается, что читатель имеет хорошо знаком с протоколом TCP/IP версии 4, поскольку его основы здесь не описываются. Также подразумевается, что TCP/IP является первичным или единственным протоколом, используемым в среде Citrix MetaFrame. TCP/IP версии 6 не описывается, поскольку он еще широко не распространен.

2. Серверы среды MetaFrame

Среда MetaFrame состоит из некоторого числа различных серверов. В этом разделе рассматриваются не только серверы MetaFrame, но и другие серверы, часто встречающиеся в реализациях MetaFrame.

Серверы поддерживают функции, требуемые в среде MetaFrame. Количество и типы серверов зависят от среды. Очень важно, чтобы серверы MetaFrame были настроены на минимальную задержку и максимальную пропускную способность, т.е. все серверы MetaFrame следует располагать в одной подсети, независимо от типа соединения - через физический коммутатор или VLAN.

2.1. Серверы MetaFrame

Серверы MetaFrame обслуживают приложения для пользователей. Серверы MetaFrame должны быть серверами-членами, а не контроллерами доменов. Поскольку контроллеры доменов поддерживают высокий траффик, дополнительная нагрузка оказывает негативное влияние на обслуживание пользовательских приложений. Поэтому настоятельно не рекомендуется совмещать функции контроллера домена и обслуживание пользовательских приложений на одном сервере.

Серверы MetaFrame не должны выполнять приложений BackOffice, таких как SQL Server или Exchange Server. Это создает слишком высокую нагрузку на сервер. Серверы MetaFrame обычно группируются в фермы, в основном на базе опубликованных приложений. Данные пользователей и их профили не должны находиться на серверах MetaFrame, поскольку они порождают дополнительный сетевой траффик и вносят противоречивость в файлы и профили, которые имеют одинаковые имена на разных серверах.

2.1.1. Влияние звука

Приложения, требующие звука, добавляют от 16 Kbps (низкое качество) до 1.3 Mbps (высокое качество) к требуемой полосе пропускания сеанса ICA, который сам по себе требует около 20 Kbps.

Если звук не требуется, его следует совсем отключить или установить низкое качество. Если звук необходим, необходимо оценить, достаточно ли для его поддержки имеющейся полосы пропускания. Если качество звука необходимо уменьшить, то следует оценить, станет ли оно приемлимым для пользователей.

2.2 Хранилище данных MetaFrame XP

Хранилище данных в MetaFrame XP является базой данных, содержащей информацию о MetaFrame XP. Оно является критическим компонентом и доступ к нему не должен прерываться более чем на 96 часов для избежания неблагоприятного воздействия на ферму. Серверы MetaFrame XP связываются с хранилицем данных через службу IMA.

Большая часть траффика MetaFrame XP состоит из чтения из хранилища. При внесении в серверы MetaFrame изменений, таких как добавление драйверов принтеров или опубликованных приложений, эти изменения порождают сетевой траффик для записи в хранилище данных и связи с остальными серверами MetaFrame XP.

Значительный сетевой траффик связан с репликацией драйверов принтеров, поэтому рекомендуется инсталлировать и реплицировать минимум необходимых драйверов. Универсальный драйвер может минимизировать число требуемых драйверов. Число серверов MetaFrame XP в ферме и число приложений также оказывают влияние на траффик, но оно незначительно по сравнению с числом драйверов принтеров.

2.3 Коллекторы данных

Во всех средах, кроме совсем маленьких, для коллектора данных зоны следует выделить отдельный сервер. Коллектор выполняет роль концентратора информации, относящейся к опубликованным приложениям, распределению нагрузки и пр. для остальных серверов. Коллекторы интенсивно используют сеть. По возможности на них следует установить связку из двух сетевых адаптеров.

2.4 Серверы MetaFrame Web Interface, Secure Gateway и пр.

Хотя потребление ресурсов серверами Web Interface (бывший NFuse Classic), Secure Gateway (бывший Citrix Secure Gateway), Secure Gateway Proxy и Secure Ticket Authority невелико, необходимо тщательно проверить сеть. Во всех случаях, отдельный сервер, обеспечивающий выполнение вышеуказанных служб, не должен быть одиничной точкой сбоя.

Поскольку серверы Web Interface, Secure Gateway, Secure Gateway Proxy и Secure Ticket Authority отвечают за создание и поддержание сеансов ICA, настоятельно рекомендуется группировка сетевых адаптеров на этих серверах, чтобы обеспечить высокую пропускную способность и отказоустойчивость, как описано ниже.

Обычно серверы Secure Gateway и Web Interface располгают в демилитаризированной зоне (DMZ), т.е. между двумя брэнмауэрами. В одних случаях используют один брэндмауэр, который имеет интерфейс DMZ, а в других могут использоваться несколько брэнмауэров для создания нескольких DMZ. Брэндмауэры может входить в состав маршрутизатора с защитными функциями (например, Cisco 6500), или могут быть брэнмауэры с несколькими сетевыми интефейсами.

Серверы Secure Gateway и Web Interface требуют цифровые сертификаты, доступ к которым осуществляется через порт 443. Для обеспечения внешнего доступа этот порт на брэнмауэрах должен быть открыт. Обычно это делается посредством списков доступа.

2.5 Файловые серверы

Большинство сред включают в себя один или несколько файловых серверов, обслуживающих данные и профили пользователей, а также иногда выполняющих роль серверов печати. Широко используются сети хранения данных (Storage Area Network, SAN) и сетевые накопители (Network Attached Storage, NAS).

Независимо от того, хранятся ли пользовательские данные и профили на одном сервере или нескольких, рекомендуется, чтобы эти серверы находились в одной подсети с серверами MetaFrame. В противном случае при переходе в другую сеть возникают дополнительные задержки при входе и доступе к прикладным данным.

Поскольку файловые серверы и серверы печати порождают высокий траффик, для избежания узкого места желательно использовать на этих серверах несколько сетевых адаптеров. Кроме того, исключение или минимизация переходов маршрутизаторов между пользователями и файловыми серверами повысит скорость доступа.

2.5.1 Профили

Обычно профили Terminal Services располагают на файловых серверах. Конечно, большие перемещаемые профили требуют большего времени для загрузки. Перемещаемые профили позволяют персонализировать настройки пользователей; однако, при начальном входе пользователь может испытывать дополнительную задержку. Обязательные профили меньше по объему и загружаются намного быстрее. Обеспечение высокой доступности и высокой поллосы пропускания при доступе к файловым серверам позволяет снизить задержку, связанную с доступом к перемещаемому профилю.

Необходимо учитывать случаи, когда большое количество пользователей одновременно регистрируется на сервере (например, центр приема телефонных звонков) - в таких случаях по возможности следует использовать обязательные профили, чтобы уменьшить время входа. Администраторам необходимо обеспечить, чтобы обязательные профили на серверах MetaFrame были одинаковыми.

2.5.2 Домашний каталог

В Windows 2000 домашний каталог пользователя Terminal Services пустой. Это означает, что он совпадает с каталогом пользовательского профиля Terminal Services. Это не всегда желательно. Для избежания конфликта ресурсов желательно располагать домашний каталог в другом месте. Если этот каталог используется большим количеством пользователей, высокий траффик может вызвать дополнительную нежелательную задержку. По возможности выделите отдельный физический диск или используйте технологии SAN/NAS.

2.5.3 Серверы Novell

В некоторых средах в качестве файловых серверов и серверов печти используются серверы Novell. Если серверы Novell, использующие IPX, сосуществуют с серверами MetaFrame, критически важно, чтобы на всех серверах был разрешен IPX и использовался одинаковый тип фрейма.

Обычно серверы MetaFrame поддерживают TCP/IP, а также NWLink (версию IPX/SPX от Microsoft). Если тип фрейма настроен на автообнаружение, то по умолчанию выбирается 802.2 (Sap), который используется в NetWare 3.12 и выше. Обычно это подходит для всех сетей, но в Netware 3.11 и более ранних версиях используется тип фрейма 802.3 (Novell-ether). Если используются оба типа фрейма, необходимо внести изменение в реестр (HKLM\System\Current Control Set\Services\NwlinkIPX\Parameters\Adapters\ID).

2.6 Сервер лицензирования Terminal Services

При работе Citrix MetaFrame на сервере Windows 2000 (независимо от использования Active Directory), важно знать, что Terminal Services требуют сервера лицензирования, который хранит и отслеживает лицензии доступа (CAL). Поэтому серверы the MetaFrame должны быть способны подключиться к активированному серверу лицензирования Windows 2000 перед тем, как Terminal Services начнет выдавать лицензии. Желательно размещать сервер лицензирования в той же подсети, что и серверы MetaFrame.

В доменах Windows NT 4.0, доменный сервер лицензирования можно установить на любой сервер. В среде доменов Windows 2000, а также в смешанном режиме, сервер лицензирования необходимо установить на контроллере домена. Таким образом, выделенный контроллер домена будет поддерживать Active Directory и Terminal Services Licensing. Сервер лицензирования должен быть логически расположен поблизости от серверов MetaFrame, чтобы минимизировать прохождение сетевого траффика через разные подсети.

2.6.1 Сетевой траффик, порождаемый Terminal Services Licensing

Если сервер Terminal Services/Citrix MetaFrame не имеет сервера лицензирования, идентифицированного в Active Directory или реестре, сервер Terminal Services/Citrix MetaFrame запрашивает поиск сервера лицензирования в Windows 2000 Active Directory. Эти проверки порождают незначительный сетевой траффик. Для уменьшения этого траффика идентифицируйте один или несколько серверов Terminal Services Licensing в Active Directory.

Active Directory автоматически распознает сервер Terminal Services Licensing, если он был инсталлирован в режиме Enterprise лицом, имеющим права администратора предприятия (Enterprise Administrator). Обратите внимание, что по умолчанию инсталляция Terminal Services Licensing осуществляется в режиме Domain, а не Enterprise.

Вы можете изменить реестр на каждом сервере Windows 2000 Terminal Services/Citrix MetaFrame, чтобы явно указать сервер лицензирования. Важно заметить, что в реестре можно указать только один сервер лицензирования. Кроме того, если сервер лицензирования меняется, а значение реестра останется старым, то служба лицензирования даст сбой через 90 дней.

Для указания предпочтительного сервера лицензирования найдите в реестре ключ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters
и добавьте значение:

Критически важно регулярно делать резервную копию сервера лицензирования. Резервирование должно в себя включать:

Подробнее о лицензировании Windows 2000 Terminal Services см. http://www.microsoft.com/windows2000/en/server/help/default.asp?url=/WINDOWS2000/en/server/help/ts_lice_c_015.htm.

3. Настройка сетевых адаптеров

3.1 Дуплекс и скорость

3.1.1 Сетевые адаптеры

По умолчанию сетевые адаптеры с маркировкой 10/100 или 100/1000 настроены на автообнаружение скорости и дуплекса подключенного устройства. Автообнаружение определяет наибольшие поддерживаемые скорость и дуплекс. Например, для среды 10/100 обнаружение идет в следующем порядке: 100BaseTX full duplex, 100BaseT4 half duplex, 100Base TX half duplex, 10BaseT full duplex и, наконец, 10BaseT half duplex.

Хотя гигабитные сетевые адаптеры упали в цене и в настоящее время поставляются с новыми серверами, пропускная способность, ассоциированная с 1000 Mbps, редко нужна на серверах MetaFrame. В большинстве случаев достаточно скорости 100 Mbps, хотя можно использовать объединение (teaming) сетевых адаптеров для повышения отказоустойчивости.

Скорость и дуплекс следует настраивать вручную. Автообнаружение не только создает небольшую задержку, но иногда ее результаты не оптимальны. Более того, в результате несовпадения настроек сетевого адаптера и порта коммутатора будут пропадать пакеты.

При подключении к коммутатору рекомендуется вручную настроить сетевую карту на максимальную скорость и полный дуплекс. При подключении к концентратору (хабу) необходимо настроить на максимальную скорость и полудуплекс; это необходимо для избежания коллизий. Учтите, что подключение серверов MetaFrame к концентраторам не рекомендуется, независимо от размера среды; всегда следует использовать коммутаторы.

При обновлении драйверов адаптеров обязательно проверяйте, что настройки скорости и дуплекса сохранились. Иногда новые драйверы переопределяют сделанные настройки и заново устанавливают автообнаружение.

3.2 Протоколы

Если к одному сетевому адаптеру привязано несколько протоколов, это может вызвать нежелательные задержки, поэтому рекомендуется удалить ненужные протоколы. Также важен порядок привязки протоколов, в котором наиболее часто используемый протокол должен стоять первым, поскольку каждый протокол перебирается в последовательном порядке. Поскольку большинство сред MetaFrame в качестве основного протокола используют TCP/IP, рекомендуется установить порядок привязки следующим образом:

3.3 Несколько сетевых адаптеров

Иногда на одном сервере MetaFrame устанавливают несколько сетевых адаптеров. Их можно объединить или назначить адаптерам разные адреса. Объединение адаптеров (teaming) является лучшей практикой, а многоадресность часто неправильно настраивают, она создает брешь в безопасности и поэтому ее не следует использовать. Опции нескольких сетевых адаптеров далее обсуждаются в порядке от самой предпочтительной до самой нежелательной.

3.3.1 Объединение адаптеров

Существует несколько технологий объединения сетевых адаптеров от разных производителей. Cisco использует термин “Fast EtherChannel”. Разные производители используют разные термины, которые могут (или не могут) означать одно и то же.

Cisco Fast EtherChannel представляет собой технологию отказоустойчивости и распределения нагрузки, в которой один и тот же адрес MAC или IP привязывается к двум или четырем адаптерам Fast Ethernet или Gigabit Ethernet, формируя параллельные каналы связи. При этом обеспечивается высокая пропускная способность, распределение нагрузки и отказоустойчивость. Citrix MetaFrame поддерживает эту технологию, которая является самой рекомендуемой.

На одном сервере MetaFrame редко требуется более двух сетевых адаптеров. Основное назначение EtherChannel состоит в обеспечении отказоустойчивости на случай выхода из строя одной из сетевых карт или порта коммутатора. Помимо избыточности, предоставляемой виртуальным каналом, создаваемым при объединении, EtherChannel улучшает нагрузку адаптеров, удваивая или учетверяя (в случае 4 адаптеров) пропускную способность одной сетевой карты.

EtherChannel часто неправильно настраивают, и в результате вместо оптимизации получается масса проблем с сетью. Все порты коммутатора должны принадлежать одной и той же виртуальной сети (VLAN) или подсети. На портах коммутатора и на сетевом адаптере должны быть одинаковые настройки скорости и дуплекса. Более того, необходимо использовать Cisco IOS версии 12 или выше.

При конфигурировании коммутатора для поддержки EtherChannel, группу портов можно создать автоматически, используя Port Aggregation Protocol, или вручную. Рекомендуется второй способ. Точная команда для создания группы портов отличается в зависимости от модели коммутатора. Например, сетевой администратор может использовать следующую команду для каждого объединяемого порта коммутатора:

2900B(config-if)#port group [#] distribution [source|destination]

Если для метода distribution выбран источник (source), то все блоки входящих пакетов из одного источника будут проходить через один и тот же порт. Это рекомендуемый метод. Если же выбрано destination, то все входящие пакеты будут пересылаться на основе назначения.

На некоторых коммутаторах Cisco необходимо использовать смежные порты. Так, на 12-портовом коммутаторе можно объединить порты 1-4, 5-8 или 9-12; на 24-портовом коммутаторе лучше всего объединить порты 1-8, 9-16 или 17-24.

Использование технологии EtherChannel требует поддержки со стороны производителей сервера, сетевых адаптеров и коммутаторов. По состоянию на сентябрь 2002 г. Cisco поддерживает сетевые адаптеры от следующих производителей: Adaptec, Auspex, Compaq, Hewlett-Packard, Intel, Phobos, Sun Microsystems и ZNYX. При использовании драйверов Compaq, последний драйвер, поддерживающий объединение адаптеров, выпущен в декабре 2002 и называется CP002710.exe; он инсталлирует драйвер Compaq версии 7.11.711.1. Для загрузки драйвера используйте Add/Remove Programs, иначе объединение будет казаться настроенным, хотя на деле это будет не так. После загрузки драйвера на каждом сетевом адаптере необходимо вручную выставить максимальную скорость и полный дуплекс. Затем нужно выбрать адаптеры и выбрать Team. Наконец, в Teaming Controls необходимо включить Load Balancing и Switch-Assisted Load Balancing. Распределение нагрузки осуществляется через адрес MAC или IP. Использование адреса MAC более предпочтительно, поскольку осуществляется на уровне 2, т.е. на том же уровне OSI, на котором работает коммутатор. Объединение на базе IP не рекомендуется, поскольку адреса IP могут меняться и они зависят от адресов MAC и конфигурации сервера. После настройки объединения сетевых адаптеров, перезагрузите сервер и назначьте адрес IP новому объединенному сетевому адаптеру, иначе его адрес станет по умолчанию 169.254.x.x.

Для избежания проблем с Spanning Tree, исключите из участия в нем портов коммутатора, подключенных к сетевым адаптерам сервера MetaFrame, или включите PortFast. Рекомендуется последнее. PortFast разрешает портам, не участвующих Spanning Tree, подключаться к сети менее чем за секунду, переводя их в режим пересылки (“forwarding”). Таким образом сокращается 50-секундный процесс Spanning Tree.

Для настройки PortFast в Cisco 2900, для каждого порта коммутатора, подключенного к сетевому адаптеру сервера и использующего объединение, надо выполнить следущую команду:

2900B(config-if)#spanning-tree portfast

В случае адаптеров Intel, драйвер PROSet II обеспечивает функциональность, необходимую для объединения адаптеров. В Windows 2000, PROSet II необходимо установить как отдельный компонент, помимо самих драйверов Intel PRO. Для объединения адаптеров на экране конфигурации PROSet II щелкните правой кнопкой на желаемом адаптере и следуйте подсказкам мастера.

Очень важно, чтобы на сервере были инсталлированы последние драйверы сетевых адаптеров, и после установки драйверов необходимо проверять настройки адаптеров. Новый драйвер может переопределить сделанные вами настройки.

3.3.2 Отказоустойчивость

Отказустойчивость подразумевает, что в один и тот же момент времени работает только один сетевой адаптер, а второй активируется только в том случае, если первый выходит из строя. Хотя отказустойчивость предусматривает избыточность, она не предоставляет дополнительной полосы пропускания или распределение нагрузки, что доступно при объединении адаптеров. В случае, когда коммутатор не поддерживает объединение сетевых адаптеров, отказоустойчивость является лучшим решением.

Процесс перехода на другой адаптер вызывает задержку около 0.5 секунд. Тестировании показало, что эта задержка недостаточно велика для потери сеанса ICA.

3.3.3 Резервирование сетевых адаптеров

Хотя вероятность отказа сетевого адаптера невелика, единственный адаптер может представлять собой одинчную точку отказа. Поэтому если по каким-то причинам реализация объединения адаптеров невозможна, в качестве резерва можно использовать второй сетевой адаптер.

Если второй адаптер используется в качестве резервного, Windows 2000 автоматически обнаруживает его. Однако необходимо сделать настройки TCP/IP, а затем в диспетчере устройств запретить этот адаптер. В случае выхода основного адаптера из строя необходимо вручную разрешить резервный адаптер и подключить его к порту коммутатора.

3.3.4 Многоадресные серверы MetaFrame

Многоадресный сервер - это сервер, содержащий два и более сетевых адаптеров с разными адресами IP, обычно принадлежащим разным подсетям. Чаще всего многоадресность используется при подключении сервера MetaFrame к серверу базы данных, файловому серверу или другим ресурсам, расположенным в другой подсети.

При подключении к нескольким подсетям, сервер MetaFrame напрямую связывается с этими подсетями. В этом случае возникает потенциальная возможность перехитрить маршрутизаторы и создать брешь в безопасности.

Включение многоадресности на сервере MetaFrame может вызвать нежелательные задержки и последствия, если ее неправильно настроить. Начиная с MetaFrame XP Feature Release 1, многоадресность поддерживается только для TCP/IP. Только один адаптер должен иметь шлюз по умолчанию. Если другие адаптеры требуют доступ к адресам IP в другой напрямую недоступной подсети, необходимо настроить статический маршрут. Для дополнительных адаптеров шлюзы по умолчанию настраивать нельзя.

4. Конфигурация коммутаторов

4.1 Коммутаторы уровней 2 и 3

Использование соединений FastEthernet в коммутаторах уровня 2 обеспечивает, что каждый сервер MetaFrame находится в собственном домене коллизий. Единственные фреймы, которые видят клиенты в той же подсети - это широковещательные запросы. Каждый интефейс должен быть настроен на полный дуплекс и наивысшую скорость.

Коммутаторы Layer 3 обеспечивают функции Layer 2, а также включают модуль маршрутизации, поэтому данные могут проходить подсети через одно физическое устройство. Коммутаторы третьего уровня более эффективны.

4.2 Конфигурация портов коммутатора

При настройке порта коммутатора на полный дуплекс важно обеспечить, чтобы сетевой адаптер, к которому он подключен, также был настроен на полный дуплекс. В противном случае коммутатор может не обеспечить полный дуплекс, что может привести к потере пакетов, снижению скорости сети, возникновение задержек и прочим проблемам. Кроме того, скорость должна соответствовать максимальной скорости сетевого адаптера.

Наример, если на коммутаторе Cisco уровня 2 порт является FastEthernet, то по умолчанию он настроен на "Auto", т.е. автосогласование настройки дуплекса (полный дуплекс или полудуплекс) и скорости (10 или 100). Настройка порта Full означает, что будет использоваться только полный дуплекс. Это снижает нагрузку на процессор, связанную с согласованием, но также требует, чтобы сетевой адаптер также был настроен на полный дуплекс. Если сетевой адаптер был заменен или изменились его настройки, то, возможно, связь с коммутатором будет происходить неправильно.

Также и с кабелями - самый слабый канал связи диктует скорость соединения. Использование порта 10 Mbps или патч-корда категории 3 приведет к выбору максимальной скорости 10 Mbps, независимо от других настроек скорости. Коммутаторы (хабы) уровня 1, они могут передавать сигналы и не настраиваются; коммутаторы требуют настройки полудуплекса. Как уже упоминалось выше, использование коммутаторов не рекомендуется в среде MetaFrame.

Ниже приведены опции соединений для разных скоростей Ethernet. Обратите внимание, что для гигабита полудуплекс не используется.

Настройка сетевого адаптера Для этого устройства должно использоваться:
10 Mbps Half Duplex Концентратор 10Mbps
100 Mbps Half Duplex Концентратор 100Mbps
10 Mbps Full Duplex Порт коммутатора 10Mbps, Full Duplex
100 Mbps Full Duplex (recommended) Порт коммутатора 100Mbps, Full Duplex
1000 Mbps Full Duplex Порт коммутатора 1000Mbps, Full Duplex

На коммутаторах Cisco серий 1900, 2900 или 3500 для настройки портов на полный дуплекс дайте следующую команду:

  2900A(config-if)#duplex full
  2900A(config-if)#speed 100

Сетевой администратор также может назначить порту коммутатора уровня 2 постоянный адрес MAC. Преимущество постоянного адреса MAC состоит в том, что он никогда не устаревает, и коммутатору не надо создавать ассоциацию адреса MAC, поскольку она постоянно прописана в памяти адресов коммутатора. Недостатком является то, что при замене сетевого адаптера новый адаптер не сможет связаться с коммутатором, поскольку тот ожидает траффик от другого адреса MAC.

На коммутаторе Cisco 2900 для настройки постоянной ассоциации адреса MAC, введите команду:

2900A(config)#mac-address-table permanent [MAC Address] [port]

5. Глобальные сети и удаленный доступ

Часто пользователи подключаются к серверам MetaFrame через WAN. В этом разделе обсуждаются RAS, VPN, Web Interface и Secure Gateway, а также общие вопросы использования WAN.

5.1 Соединения через WAN

Наиболее общая причина пропадания сеансов MetaFrame заключается в недостаточной пропускной способности WAN. Для сеансов MetaFrame требуется ширина канала около 20 Kbps на одного пользователя.

Особенно это касается спутниковых каналов связи и беспроводных сетей. Очень важно постоянство соединения; потеря пакетов вызывает неустойчивые сеансы. В случае потери сеанса клиент ICA версии 6.00 и выше будет пытаться автоматически восстановить соединение.

При проектировании или при диагностике проблем в сети с большим количеством пользователей следует учитывать не только минимальные 20 Kbps на одного пользователя, но и дополнительную ширину канала, требуемую для печати и дополнительных расходов, например, шириковещательные рассылки маршрутизации, траффика ICMP и пр. В частности, иногда встречается недопонимание каналов связи Frame Relay. При получение услуги frame relay от провайдера используются два парамтера - CIR и Burst. CIR, или Committed Information Rate (гарантированная скорость передачи) означает гарантированную ширину канала, тогда как Burst означает дополнительную скорость, которая будет предоставлена по мере возможности. Поскольку провайдер обязуется обеспечить только CIR, администратор должен планировать канал соответствующим образом.

По мнению Cisco, каждый коммутатор, маршрутизатор и расстояние около 100 миль добавляют задержку около 1 миллисекунды. К сожалению, невозможно оценить максимальную задержку, которая будет приемлима для пользователей, вследсвие разнообразия приложений, каналов WAN и терпимости пользователей.

5.2 Мониторинг и управления сеансами ICA

На странице http://www.citrix.com/cdn доступен набор инструментов мониторинга и управления сеансами ICA (ICA Session Monitoring and Control Software Development Kit, SMC SDK). Это набор разрабочика, содержащий API, которые можно использовать для написания приложений, управляющих сетевыми аспектами сеансов ICA.

Примером реализации SMC SDK является консоль SMC Console, которая может быть запущена на любом сервере MetaFrame Feature Release 2 и выше. Она предоставляет средства тестирования и поиска неисправностей в приложениях, зависящих от полосы пропускания, виртуальных каналов и других сетевых возможностей.

5.3 Сложное кеширование и инкапсуляция

Сложное кеширование и инкапсуляция включают в себя сетевые устройства, использующие патентованные технологии кеширования, снижающие нагрузку на сеть. Эта технология включает в себя многие особенности протокола ICA. Но если ICA кеширует для отдельных сеансов, то продукты Expand Networks (http://www.expand.com) и Peribit (http://www.peribit.com) кешируют неизменяемые части экрана для нескольких пользователей. Поэтому если пользователи используют небольшое число приложений, велика вероятность того, что значительная часть изображений будет хранится на сетевых устройствах поблизости от клиентов. Кроме того, Expand и Peribit инкапсулируют множественные пакеты ICA в болшие пакеты, облегчая их прохождение через WAN.

5.4 Quality of Service (QoS)

QoS включает в себя политику формирования очередей, которая приоритезует отдельные типы пакетов при их прохождении через маршрутизатор. Чаще всего QoS используется в WAN, поскольку локальные сети, как правило, имеют пропускной способнрости в изобилии. Решения QoS предлагаются Cisco и другими производителями маршрутизаторов. Кроме того, Packeteer (http://www.packeteer.com) и Sitara (http://www.sitara.com) предлагают дополнительные аппаратные устройства для реализации QoS. Это решение позволяет сетевым администраторам следить за траффиком, проходящим через сеть, и применять политики в зависимости от желаемого приоритета.

В этой статье маршрутизаторы Cisco подробно обсуждаются потому, что большинство внедрений MetaFrame уже использует оборудование Cisco. Продукты Packeteer или Sitara могут предоставить оптимальное решение QoS.

На маршрутизаторах Cisco наиболее часто используются следующие типы QoS: FIFO, взвешенная очередь (WFQ), очередь приоритетов (priority queuing), заказная очередь (custom queuing) и недавно появилось "распознавание сетевых приложений" (network-based application recognition, NBAR). Взвешенные очереди по умолчанию используются в каналах WAN скоростью E1 (2.048 Mbps) или медленнее, а FIFO по умолчанию используется на всех каналах WAN и LAN со скоростью выше E1. В последнее время Cisco добавила взвешенные очереди на базе классов (class-based weighted fair queuing) и очереди с низкой задержкой (low-latency queuing); однако, эти новые технологии очень сложные и находятся за рамками этой статьи. Эти альтернативы позволяют сетевому администратору более точно указывать, какие пакеты надо приоритезировать.

Наиболее общие типы Cisco QoS и их характеристики:

Параметры/метод Weighted Fair
Queuing
Priority Queuing Custom Queuing
База очереди Нет 4 очереди 16 очередей
Метод обслуживания Приоритезация небольшого по объему траффика На основе приоритета очередей Циклический перебор (Round robin)
Где используется WAN со скоростью до 2 Мбит/с WAN или LAN WAN или LAN
Как настраивается По умолчанию Вручную Вручную

В среде MetaFrame, когда пользователи подключаются к ферме по перегруженным каналам WAN, QoS улучшает траффик ICA. Если пакеты ICA постоянно пропадают по мере прохождения по сети, то сеансы ICA с большой долей вероятности будут отключаться. Например, если пользователь в удаленном офисе передает очень большой файл, который потребляет всю полосу пропускания, и этот траффик имеет больший приоритет, чем тарффик ICA, то у другого пользователя, использующего MetaFrame, скорее всего пропадет соединение.

Траффик MetaFrame небольшой (около 20 Кбит/с), но чрезвычайно важно, чтобы пакеты проходили по возможности без ретрансмиссии. Хотя MetaFrame имеет особенность переподключать пользователя к его предыдущему сеансу (в зависимости от значения тайм-аута), при частом пропадании соединения работа пользователя будет крайне некомфортной.

Хотя во многих компаниях QoS не применяется, настоятельно рекомендуется использовать ее преимущества.
Ниже описаны некоторые типы QoS.

5.4.1 First-In, First-Out (FIFO)

Очередь типа FIFO означает, что пакеты обрабатываются последовательно, независимо от приоритета. Это по умолчанию используется в локальных и глобальных сетях со скоростями выше 2 Мбит/с.

5.4.2 Weighted Fair Queuing (WFQ)

Взвешенные очереди (WFQ) - это алгоритм динамической приоритезации; он по умолчанию используется на всех портах Cisco, поддерживающих скорости WAN ниже 2Мбит/с (E1). Это метод приоритезации чувствительных к задержкам пакетов; он предотвращает интенсивному траффику потреблять всю полосу пропускания сети. WFQ сортирует траффик на основе адресов или портов источника, назначения, ретранслирует кадры, делает QoS и затем убеждается, что каждое соединение должным образом использует полосу пропускания. Низкоинтенсивному траффику дается более высокий приоритет, чем интенсивному траффику.

Интерфейсы WAN со скоростью выше 2 Мбит/с недоступны для WFQ. Интерфейсы Ethernet не могут использовать WFQ.

5.4.3 Priority Queuing

Очередь приоритетов позволять устанавливать приоритеты в зависимости от протокола и номера порта. Всякий раз, когда маршрутизатор получает пакет с указанным протоколом и номером порта, ему присваивается приоритет: высокий, средний, нормальный или низкий. Сначала обслуживается траффик с высоким приоритетом, затем - со средним и т.д.

При использование очереди приоритетов могут возникнуть проблемы с прочим траффиком на неприоритезированные протоколы или порты, если через маршрутизатор передается значительное количество траффика с высоким приоритетом. Например, во время передачи большого файла его приоритезированный траффик может оставить слишком мало полосы пропускания для траффика ICA, FTP и заданий печати.

Очереди приоритетов настроить несложно. Для этого сетевой администратор должен создать список очередей, назначить прочему траффику очередь по умолчанию, а затем назначить интерфейсу номер списка. Также можно использовать список доступа для определения входящего траффика, подлежащего приоритезации, и можно изменить размер очереди приоритетов, но последнее не рекомендуется делать, поскольку это может вызвать потрею пакетов.

В нашем примере мы назначим высокий приоритет для TCP 1494 и UDP 1604, а остальному траффику - нормальный приоритет:

   RouterA(config)#priority-list 1 protocol ip high tcp 1494
   RouterA(config)#priority-list 1 protocol ip high udp 1604
   RouterA(config)#priority-list 1 default normal
   RouterA(config)#int s0
   RouterA(config-if)#priority-group 1

В привилегированном режиме сетевой администратор может подтвердить настройки приоритетов, введя команду “show queueing priority”. Обратите внимание на написание слова "queueing". Вывод команды будет приблизительно следующим:

   RouterA#show queueing priority
   Current DLCI priority queue configuration:
   Current priority queue configuration:
   List Queue Args
   1 high protocol ip tcp port 1494
   1 high protocol ip udp port 1604

5.4.4 Custom Queuing

Заказные очереди (Custom Queuing) позволяют ограниченному числу пакетов каждого заданного класса траффика передаваться через маршрутизатор. Можно настроить до 16 разных очередей, работающих по кругу. Это аналогично технологии, лежащей в основе Token Ring. Размер каждой очереди может быть разным, чтобы позволить отдельным типам траффика передавать большее или меньшее количество байт.

Маршрутизатор обрабатывает пакеты последовательно, в циклическом (round robin) формате. Администратор настраивает для отдельной очереди ее размер в байтах. Если в очереди нет пакетов, или очередь заполнена частично, маршрутизатор не останавливается на ней, а переходит к следующей очереди в последовательном порядке.

Процесс создания заказных очередей состоит в следующем:

В следующем примере сетевой администратор в привилегированном режиме создает пятикратное преимущество траффика TCP 1494 и UDP 1604 (в очереди 1) по сравнению с остальным сетевым траффиком (в очереди 2):

   RouterA(config)#queue-list 1 protocol ip 1 tcp 1494
   RouterA(config)#queue-list 1 protocol ip 1 udp 1604
   RouterA(config)#queue-list 1 default 2
   RouterA(config)#queue-list 1 queue 1 byte-count 30000
   RouterA(config)#queue-list 1 queue 2 byte-count 6000
   RouterA(config)#int s0
   RouterA(config-if)#custom-queue-list 1

В привилегированном режиме сетевой администратор может подтвердить настройки приоритетов, введя команду “show queueing custom”:

   RouterA#show queueing custom
   Current custom queue configuration:
   List Queue Args
   1 2 default
   1 1 protocol ip tcp port 1494
   1 1 protocol ip udp port 1604
   1 1 byte-count 30000
   1 2 byte-count 6000

5.4.5 Network-Based Application Recognition

Начиная с Cisco IOS 12.1(2)E, для траффика ICA стало возможным использовать технологию распознавания приложений (Network-Based Application Recognition, NBAR). NBAR автоматически подразумевает, что порты TCP port 1494 и UDP port 1604 используются для траффика ICA и позволяет сетевым администраторам идентифицировать и классифицировать сетевой траффик на базе опубликованных приложений Citrix для дополнительной приоритезации.

NBAR эффективно только при использовании опубликованных приложений. Опубликованные рабочие столы с одинаковыми параметрами нельзя дифференцировать. Более того, приложения должноы быть опубликованы в seamless-режиме, совместное использование сеансов должно быть запрещено, чтобы можно было дифференцировать приложения по имени. Настройка NBAR сложна и должна выполняться опытными сетевыми администраторами.

Для запрещения совместного использования сеанса (session sharing), администратор MetaFrame должен внести изменение в реестр каждого сервера Windows 2000 Terminal Services/Citrix MetaFrame. В общем, запрещение совместного использования сеансов не оказывает негативного влияния на серверы MetaFrame, но может оказать влияние на приложения. Например, если клиент использует Microsoft Office через NFuse, пользователь будет создавать новую среду для каждого запускаемого приложения. Однако, при этом будут повторно выполняться обработка сценария входа, профиля, отображение дисков и пр. Поэтому запрещение совместного использования сеанса потребует большего количества ресурсов, и в больших фермах это может оказать негативное влияние. Зато запрещение совместного использования сеанса позволит NBAR дифференцировать приложения.

Для запрещения совместного использования сеанса найдите в реестре ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix\WFSHELL\TWI
Добавьте следующее значение:
• Имя: SeamlessFlags
• Тип данных: DWORD
• Значение: 1

Для подтверждения дайте на маршрутизаторе команду:

   RouterA#show ip nbar port-map citrix
   Port-map citrix udp 1604
   Port-map citrix tcp 1494

Обратите внимание, что по умолчанию порт UDP 1604 не используется в MetaFrame XP, хотя его использование может быть включено для обратной совместимости со старыми клиентами ICA.

Для изменения или переопределения номеров портов, используемых в карте "port-map citrix", можно сделать следующее:

   RouterA(config)#ip nbar port-map citrix tcp [up to 16 port numbers]
   RouterA(config)#ip nbar port-map citrix udp [up to 16 port numbers]

Кроме того, необходимо настроить маршрутизатор:

   RouterA(config)#class-map citrix
   RouterA(config-cmap)#match protocol citrix app [app name]

5.5 Брэндмауэры

Для обеспечения доступа к среде с MetaFrame XP, находящейся за брэндмауэром без использования Secure Gateway или Web Interface, необходимо разрешить доступ к службе Citrix XML (по умолчанию порт TCP 80). Citrix XML Service - это служба Windows, предоставлющее средство инкапсуляции траффика поиска ICA в HTTP. Кроме того, начиная с Citrix MetaFrame XP Feature Release 1, на серверах MetaFrame поддерживаются цифровые сертификаты. Поэтому служба релея SSL может предоставить дополнительную безопасность; она использует порт TCP 443. Для использования SSL цифровые сертификаты необходимо установить на каждый сервер MetaFrame XP FR1 или выше. Если не используется Secure Gateway, то на брэндмауэре необходимо открыть порт TCP 1494, чтобы внешние пользователи могли получить доступ к внутреннему серверу MetaFrame.

Предыдущие версии MetaFrame требовали от клиента соединения с сервером через порт UDP 1604. MetaFrame XP более этого не требует, хотя это можно включить, если используются старые версии клиентов. Брэндмауэры могут быть настроены на блокирование апплетов Java или ActiveX. Это следует учитывать, если используется клиент Java ICA.

По возможности следует явно указывать на брэндмауэре разрешенных пользователей. В зависимости от версии брэндмауэра внешние пользователи идентифицируются по исходному адресу TCP/IP или сети. Это позволит предотвратить доступ неавторизованных пользователей к ферме MetaFrame. Также желательно включить аудит, если его поддерживает брэндмауэр.

5.6 Web Interface

Web Interface, ранее называвшийся NFuse Classic, динамически предоставляет значки приложений пользователям, базируясь на правах доступа пользователей к приложениям. Web Interface можно развернуть внутри DMZ, но при этом, если не используется Secure Gateway, на внешнем интерфейсе необходимо открыть порт TCP 1494. Web Interface может включать в себя цифровой сетрификат, но обычно на таком уровне безопасности используется Secure Gateway.

При доступе клиента к сайту Web Interface порождается минимальный траффик. Взаимодействие с фермой основывается на генерации списка опубликованных для клиента приложений, а затем создается соединение с некоторым сервером MetaFrame, который обслуживает приложение. Соединение с сервером MetaFrame использует такую же полосу пропускания, что и традиционные клиенты Citrix Program Neighborhood или Remote Application Manager.

5.7 Secure Gateway

После своего выхода в 2001 году, Secure Gateway использовался для облегчения доступа из стандартной веб-страницы. Это дополнительный продукт требует цифрового сертификата, а пользователи осуществляют доступ у ферме MetaFrame по протоколу SSL или TLS через порт TCP 443. Соединение проксируется, и адрес сервера MetaFrame остается скрытым.

5.8 VPN

Соединения VPN используют DSL или другие соединения через интернет для создания виртуального канала в корпоративную сеть. Поскольку используется публичный интернет, чрезвычайно важно обеспечить безопасность соединения с серверами MetaFrame. Предлагаются разные типы шифрования, самый сильный из которых 3DES. Требования к полосе пропускания слегка возрастают вследствие сильного шифрования, а конечные пользователи могут испытывать задержки.

5.9 Непосредственный дозвон на сервер MetaFrame

Хотя это обычно используется в очень малых средах MetaFrame, можно осуществлять доступ к ферме серверов MetaFrame посредством дозвона на модем, непосредственно подключенный к серверу MetaFrame. Для этого модемы подключаются к серверу, а в утилите Citrix Connection Configuration создается асинхронное соединение (Async).

5.10 RAS

Сервер удаленного доступа (RAS) обычно используется для модемных соединений. Это асинхронные соединения, пользователи непосредственно звонят на сервер RAS. Обычно RAS не добавляет много дополнительных издержек и не препятсвует использованию MetaFrame, поскольку требуется только 20 Kbps, а большинство соединений RAS используют от 40 Kbps до 50 Kbps. Для адекватной работы с MetaFrame необходимо соединение минимум 28.8 Kbps

6. Адресация IP

6.1 Минимизация широковещательного траффика

Для минимизации широковещательного траффика чаще всего используются две технологии: сегментация сети и виртуальные сети. Они рассматриваются ниже.

6.1.1 Сегментация и маски переменной длины

В стандартной сетевой среде, когда в подсети (сегменте) проходит широковещательный пакет, каждый узел получает его, хотя отвечает только один.

Сегментация сети, в которой находятся серверы MetaFrame, является отличным способом минимизировать широковещательные запросы и сетевой траффик. В этом случае только те пакеты, которые предназначены для сегментированной группы серверов MetaFrame, достигнут этой подсети.

Например, если среда MetaFrame состоит из 14 серверов, включая 12 серверов MetaFrame, один файловый сервер и сервер лицензирования, использование статических адресов TCP/IP с 10.1.1.17 по 10.1.1.30 и маской подсети 255.255.255.240 или /28 позволит сегментировать сетевой траффик среди серверов MetaFrame. В этом случае адрес сети будет 10.1.1.16, а широковещательный адрес - 10.1.1.31. Однако, если добавляются дополнительные серверы, то надо изменить маску продсети, поскольку /28 поддерживает только 14 хостов.

Если добавляются два дополнительных сервера, то изменение маски на 255.255.255.224 (или /27) позволит иметь в подсети 30 хостов. Если маршрутизатор позволяет использовать внтури подсети первый и последний адрес диапазона IP (в Cisco это делается через команду “ip subnet-zero”), то следует изменить только маску. В нашем случае достаточно изменить только маску, и двум дополнительным серверам следует назначить младшие адреса TCP/IP, например, 10.1.1.2/27 и 10.1.1.3/27. Если используется старый маршрутизатор или ОС, которая не позволяет использовать первый и последний адреса диапазона IP подсети, то следует модифицировать все серверы подсети, чтобы они использовали статические адреса TCP/IP, например, с 10.1.1.33 по 10.1.1.62. В этом случае адрес сети будет 10.1.1.32, а широковещательный адрес - 10.1.1.63. Статические адреса TCP/IP с 10.1.1.49 по 10.1.1.62 будут доступны для будущего роста.

Если двум дополнительным серверам MetaFrame назначены последовательные адреса оригинального сегмента без вышеописанной модификации, то результирующие адреса будут совпадать с широковещательным адресом (10.1.1.31) и адресом подсети (10.1.1.32). Это повлечет за собой нестабильность сети, нежелательный сетевой траффик и прочие потенциальные проблемы, которые следует избегать.

6.1.2 Виртуальные сети

Виртуальные сети (VLAN) - это технология коммутации уровня 2, используемая для создания широковещательных доменов. Порты коммутатора настраиваются так, чтобы определить каждый порт или адрес MAC как часть некоторой VLAN. Для VLAN назначется либо физический порт коммутатора, либо динамически назначается адрес MAC. Все устройства, сконфигурированные в VLAN, являются членами одного широковещательного домена.

Вместо распространения широковещательных запросов на остальные порты или остальные коммутаторы, эти запросы получают только порты, логически принадлежащие к той же VLAN. Это задается адресом IP и номером порта источника. Сечас для организации VLAN все чаще используются коммутаторы уровня 3.

Если VLAN охватывает несколько коммутаторов, для расширения VLAN от одного коммутатора до другого используются транковые каналы. Для транка используется либо собственный протокол Cisco ISL, либо IEEE 802.1q. Если сетевому траффику необходимо перейти от одной VLAN к другой, необходима маршрутизация уровня 3.

Серверы MetaFrame могут получить преимущества, если их расположить в одной подсети и VLAN. Если серверы MetaFrame физически расположены в разных местах и не подключены к одному коммутатору, то технология VLAN может дать наилучшее решение, поскольку она позволяет серверам MetaFrame логически находиться в одной подсети. Это особенно полезно для резервных серверов или операционных центров, которые находятся в другом месте.

6.1.3 Подсети и зоны

Архитектура MetaFrame XP позволяет размещать серверы в зонах, которые обычно определяются на базе своего месторасположения. Технически серверы MetaFrame в одной и той же ферме могут находиться в разных зонах, хотя это создает дополнительную нагрузку на сеть и маршрутизаторы.

Если все серверы MetaFrame физически расположены в одном месте, то лучше всего держать одну зону. По возможности одна зона должна находиться в одной VLAN и/или подсети. Кроме того, другие серверы, например, хранилище данных, также должны находиться в этой подсети.

7. Маршрутизаторы

7.1 Маршрутизация уровня 3

Уровень 3 модели OSI, сеть, состоит из следующих компонентов:

7.2 Маршрутизаторы

Для поддержки траффика LAN и WAN следует использовать маршрутизаторы уровня предприятия. В этой статье упоминается в основном оборудование Cisco, поскольку оно чаще всего используется в среде MetaFrame. Однако, вы можете обратить взор на оборудование других производителей.

7.3 Маршрутизация в Windows 2000

Windows 2000 включает в себя службу маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS), но ее возможности являются разочаровывающими даже в небольших средах. Windows поддерживает агент релея DHCP, NAT, протоколы RIP версий 1 и 2, и OSPF.

Традиционные маршрутизаторы поддерживают не только маршрутизацию, но и функции обеспечения безопасности. Поэтому настоятельно рекомендуется не использовать RRAS в среде MetaFrame.

8. Порты TCP

8.1 Номера портов TCP, испльзуемых MetaFrame

Для траффика MetaFrame используются несколько портов.

Назначение Среда Номер Возможность
изменения
ICA везде TCP 1494 Да
Citrix XML
Service
MetaFrame XP TCP 80 Да
SSL MetaFrame XP FR1 и выше,
Secure Gateway 2.0,
Web Interface 2.0
TCP 443 Да
MetaFrame XP IMA MetaFrame XP
(входящий, между серверами)
TCP 2512 Да
MetaFrame XP DS MetaFrame XP
(исходящий, от сервера к хранилищу данных)
TCP 2512 Да
MetaFrame XP CMC MetaFrame XP
(от CMC к серверу)
TCP 2513 Да, FR1 и выше
Базы данных SQL Server, Oracle или DB2 MetaFrame XP TCP 139, 523 или 1433 Зависит от базы данных

Кроме того, если используется RDP, то должен быть разрешен порт TCP 3389.

Перед тем как изменить номер порта следует дать команду “netstat –a” и убедиться, что порт не используется. Можно использовать любой порт из диапазона 0 - 65535, хотя рекомендуется выбирать номер порта выше 1023.

8.1.1 Порт ICA

Для входящего траффика на серверы MetaFrame по умолчанию используется порт TCP 1494. Исходящий траффик идет из динамически выбираемого номера порта. Для настройки входящего номера порта TCP/IP, используемого протоколом ICA на сервере MetaFrame, дайте с командной строки ICAPORT /port:x, где x - новый номер порта. После этого необходимо перезагрузить сервер. Этот процесс необходимо повторить на всех серверах Citrix MetaFrame, и кроме того, надо настроить каждого клиента ICA, который будет подключаться к этому серверу.

8.1.2 Порт службы Citrix XML

Службу Citrix XML и Web Interface можно настроить на использование любого порта в диапазоне от 0 до 65535; однако по умолчанию используется порт TCP 80 (HTTP). ISAPI.dll позволяет использовать этот порт совместно с веб-сервером.

Для изменения порта службы XML сначала остановите эту службу. Затем в командной строке введите ctxxmlss /u для выгрузки ее из памяти. Введите ctxxmlss /rx, где x - номер порта, который вы хотите использовать. Например, ctxxmlss /r8080 заставит службу Citrix XML использовать порт TCP/IP 8080. Перезапустите службу Citrix XML.

Если вы меняете порт службы XML, то сделайте это на всех серверах MetaFrame в ферме, чтобы правильно работала служба выдачи билетов Web Interface . Помните, что любой сервер MetaFrame, предоставляющий данные XML для Web Interface или NFuse Classic, должен иметь сетевое соединение с портами служб XML всех остальных серверов MetaFrame в ферме.

Настраивая списки доступа на маршрутизаторе, не забудьте добавить этот порт в список доступа, чтобы траффик XML правильно проходил через подсети.

8.1.3 Порт SSL

Если вы инсталлируете Microsoft Internet Information Server (IIS) 5.0, то для соединений SSL по умолчанию используется порт TCP 443. Если используется Secure Gateway, то порт TCP 443 (или другой заданный порт) должен быть открыт на маршрутизаторах или брэндмауэрах.

8.1.4 Порты MetaFrame XP

Для траффика MetaFrame XP по умолчанию используются порты TCP 2512 и 2513. Для настройки номеров портов TCP/IP, используемых службой IMA, дайте команду IMAPORT /set {IMA:<num> | DS:<num> | CMC:<num>}
Эта команда меняет порт на локальной машине. Подробнее см. Руководство администратора MetaFrame XP.

8.1.5 Порты базы данных

См. документацию к вашей базе данных.

9. Сетевая среда сервера MetaFrame

Для оптимизации сетевой среды вы можете изменить номера портов TCP. Однако, делать это следует с большой осторожностью.

9.1 Трансляция адресов (NAT) и трансляция портов (PAT)

Трансляция адресов часто используется на брэндмауэрах и маршрутизаторах для сокрытия внутренней идентификации серверов MetaFrame. Это особенно важно, если вы не используете Secure Gateway. Secure Gateway работает в качестве прокси-сервера и скрывает истинный адрес серверов MetaFrame.

Статический NAT, т.е. трансляция одного адреса IP в другой, поддерживается в MetaFrame XP командой ALTADDR. Хотя порт ICA может быть изменен командой ICAPORT, это приводит к изменению номера порта, а не к его трансляции.

9.1.1 NAT и использование ALTADDR на серверах MetaFrame

Трансляция адресов на серверах MetaFrame вовлекает преобразование одного указанного адреса IP в другой указанный адрес. Это часто используется для отображения внутреннего адреса IP (таких, как 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16) на внешний адрес IP. Это делается командой ALTADDR. Утилита ALTADDR используется для настройки серверов MetaFrame возвращать клиентам ICA внешний адрес. Для каждого сервера в ферме должен быть указан уникальный внешний адрес.

Для указания альтернативного адреса для сервера Citrix введите с комадной строки ALTADDR /set x.x.x.x, где x.x.x.x представляет собой внешний адрес для сервера MetaFrame.

Чтобы указать альтернативный адрес для многоадресного сервера, введите ALTADDR /set [internal IP] [external IP].

Хотя технически возможно командой altaddr изменить как адрес IP, так и номер порта, Citrix не поддерживает использование этой команды для статической адресации PAT. Более того, это может неправильно работать. Для изменения порта используйте команду ICAPORT.

NFuse 1.7 и более поздний может поддерживать PAT без дополнительных модификаций на серверах MetaFrame.

9.1.2 NAT и PAT на маршрутизаторах и брэндмауэрах

Чаще всего трансляцию NAT и PAT настраивают на маршрутизаторах и брэндмауэрах. Это позволяет поддерживать высокий уровень безопасности, например, разрешая или запрещая доступ отдельных адресов IP в сеть. Также можно включить аудит, чтобы предотвратить доступ неавторизованных пользователей к серверам MetaFrame.

9.2 Статические адреса или DHCP

Адреса TCP/IP можно назначать статически или распределять их с помощью DHCP. Для серверов Windows 2000 Terminal Services и Citrix MetaFrame рекомендуется использование статических адресов TCP/IP. Статические адреса обеспечивают стабильность сети и уменьшают траффик, связанный с работой сервера DHCP. Кроме того, при использовании статических адресов не возникнет проблема в случае замены сетевой карты.

В качестве альтернативы адреса IP можно вручную зарезервировать на сервере DHCP, указав адреса MAC. Если меняется сетевая карта или меняется адрес MAC, то необходимо перенастроить DHCP, иначе он выдаст другой адрес IP.

Если адреса TCP/IP, назначаемые серверам MetaFrame, являются зарезервированными адресами DHCP, и если для этих серверов используется сегрегированная подсеть, то в подсети с серверами MetaFrame необходимо установить агент релея DHCP. Это связано с тем, что необходимо передавать информацию между клиентами DHCP, т.е. серверами MetaFrame и сервером DHCP, расположенном в другой подсети. На маршрутизаторах Cisco команда ip helper-address позволяет пересылать не только DHCP (порты UDP 67 и 68), но также траффик UDP, ассоциированный с Time (порт 37), TACACS (49), DNS (53), TFTP (69) и NetBIOS (137 и 138). В привилегированном режиме администратор может дать команду:

2621A(config-if)#ip helper-address 10.10.10.9

Варианты команды ip helper позволяют игнорировать некоторые редиректы этих портов UDP, а также добавить другие порты UDP. Подробнее см. документацию к Cisco.

Если по каким-то причинам адреса TCP/IP серверов MetaFrame дублируются (из-за сбоя DHCP или по другим причинам), возникает масса проблем.

9.3 Мониторинг пользователей

В среде MetaFrame для устранения проблем с сетью важно время от времени следить за активностью пользователей. Чтобы пользователь знал, что во время его работы без предупреждения может быть включен мониторинг или удаленное управление, важно представить пользователю во время его входа в корпоративную сеть соответствующий баннер с предупреждением. Текст этого предупреждения следует согласовать с юристом. В Windows 2000 это легко реализовать с помощью групповых политик или в сценарии входа. В любом случае, пользователю должен быть представлен модальный диалог, в котором для продолжения он должен нажать "ОК".
MetaFrame XP также может добавить окно “You are being shadowed” для информирования пользователей, что включено удаленное управление его сеансом.

10. Сетевые особенности MetaFrame

10.1 SpeedScreen

Технология SpeedScreen позволяет пользователям видеть их ввод с клавиатуры и реакцию на мышь до того, как этот ввод на самом деле дойдет до сервера MetaFrame. Вывод на экран только визуальный, это оценка того, как должен бы выглядеть вывод. Эффект SpeedScreen особенно заметен на медленных каналах WAN и может быть настроен утилитой SpeedScreen Latency Reduction Manager.

Citrix создала несколько версий SpeedScreen. В MetaFrame XP Feature Release 3 введено SpeedScreen Browser Acceleration. Эта особенность использует фоновый мониторинг сенаса ICA, чтобы определить, когда следует сжимать изображения на основе доступной полосы пропускания WAN.

10.2 Кеширование и сжатие данных

Кеширование на диске позволяет снизить объем передаваемых по каналам связи данных, размещая часто используемые иображения на устройстве клиента. При этом повышается призводительность, поскольку кешированные данные повторно не передаются по сети. Это стандартная особенность протокола ICA, которая позволяет сэкономить полосу пропускания и быстрее отображать значки и изображения.

Сжатие данных уменьшает объем передаваемых данных ценой дополнительной нагрузки на процессор для сжатия и распаковки данных. Сжатие данных может повысить производительность, если имеется узкая полоса пропускания, но достаточно процессорной мощности.

10.3 Дросселирование полосы пропускания для печати

В MetaFrame XP возможно дросселирование доступа к виртуальному каналу печати. Это позволяет создать разумный баланс между требованиями сеансов ICA и требованиями к печати. Администраторы могут использовать виртуальные каналы печати для определения части полосы пропускания, резервируемой для печати. Например, если требуется много печатать по медленным каналам WAN, можно приоретизировать траффик ICA и уменьшить важность заданий печати.

10.4 Отображения устройств клиента

MetaFrame XP включает шесть настроек оображения устройств клиента, которые могут управляться политиками или в Citrix Connection Configuration. В процессе входа выполняются все отображения устройств, которые явно не запрещены. В зависимости от отображений и активности сеанса ICA, по сети передаются дополнительные данные, связанные с отображениями.

Запретив ненужные отображения, вы улучите отклик сеанса, поскольку виртуальные каналы, связанные с отображдением, не будут делить полосу пропускания. Например, если не запрещено отображение буфера обмена, то при каждой операции копирования или вставки из буфера в удаленном сеансе на сервере MetaFrame, осуществялется передача данных по виртуальному каналу. Это негативно влияет на производительность сеанса, особенно в низкоскоростных соединениях.

Обычно отображение буфера обмена, принтеров клиента, дисков клиента и/или звука не используется, поэтому их следует запретить. Конечно, каждая среда уникальна, поэтому запрещение каждого отображения следует тщательно обдумать.

10.5 Создание принтеров

Начиная с MetaFrame XP Feature Release 2, можно настроить опубликованные приложения так, чтобы оно запускалось параллельно с созданием принтеров, вместо того, чтобы эти операции выполнялись последовательно. Поскольку пользователям редко требуется начинать печатать сразу после запуска приложения, процесс создания принтера продолжается во время или после представления приложения пользователю, ускоряя его появление на экране. Эта функция не влияет на сетевые ресурсы.

11. Влияние на сеть дополнительных продуктов Citrix

MetaFrame XPa включает в себя Load Manager, в то время как MetaFrame XPe включает Load Manager, Resource Manager, Installation Manager и Network Manager.

11.1 Load Manager

Посредством Load Manager данные о нагрузке на сервер передаются на коллектор данных зоны, который использует эти данные для определения наименее загруженного сервера. Критерии для распределения нагрузки устанавливаются администратором в Management Console. Каждый сервер имеет числовой уровень нагрузки, определяемый на базе текущего использования и вычисляемый по особому алгоритму. Результирующий траффик незначительный, однако, коллектор данных должен быстро принимать данные от серверов фермы и давать быстрый ответ, чтобы сократить время подключения клиента ICA.

11.2 Resource Manager

Resource Manager - это превосходное средство для мониторинга состояния серверов MetaFrame, включая сетевые адаптеры. RM повзволяет администраторам получать почтовые и педжинговые сообщения, которые очень мало влияют на сеть. По умолчанию RM запрашивает сервер каждые 15 секунд, сетевой траффик незначительный, поскольку большая часть информации хранится на локальном сервере.

RM требует наличия сервера метрик, которым обычно является коллектор данных зоны. Сервер метрик собирает и систематизирует метрики со всей фермы. Все серверы фермы связываются с сервером метрик. Это одна из причин, по которым следует устанавливать выделенный коллектор данных зоны/сервер метрик, который не обслуживает приложения.

Данные поддерживаются на локальном сервере MetaFrame, а затем выгружаются в сервер базы данных, как правило, ночью, когда нагрузка на сеть минимальная. Однако, если в это же время присходит резервное копирование или интенсивная сетевая активность, это время следует изменить.

Сервер метрик фермы и сервер соединения с базой данных должны находиться в одной подсети, чтобы не создавать дополнительного траффика. Кроме того, сервер суммарной базы данных также по возможности должен быть расположен в этой же подсети.

11.3 Installation Manager

Installation Manager развертывает приложения одновременно на несколько серверов MetaFrame, что сильно загружает сеть. Поэтому рекомендуется развертывать приложения в нерабочее время.

Каждый целевой сервер сам забирает данные с файлового сервера, на котором хранятся инсталляционные пакеты. Поэтому настоятельно рекомендуется, чтобы на файловом сервере стояли два сетевых адаптера, подключенные к коммутатору, с жестко выставленными настройками 100 Mbps и полным дуплексом.

Если IM используется часто, то для файлового сервера рекомендуется гигабитный Ethernet.

Installation Manager позволяет группировать целевые серверы MetaFrame, чтобы уменьшить загрузку сети. В больших средах группировка серверов и развертывание приложений одновременно только в одной группе позволяет раздробить общий траффик фермы. IM позволяет проводить развертывания по ночам и в выходные дни, когда сетевой траффик небольшой.

При развертывании приложений через WAN учитывайте размер пакета и время, чтобы не оказать неблагоприятного влияния на работу пользователей. Если серверы MetaFrame расположены в разных местах, иногда лучше сначала скопировать пакет на удаленный файловый сервер, а затем оттуда инсталлировать на удаленные серверы MetaFrame.

Если во время процесса упаковки приложение кодирует адрес MAC или IP сервера, использование IM для развертывания такого приложения может работать некорректно. Приложения, развертываемые с помощью IM, необходимо тщательно тестировать на стенде перед настоящим развертыванием.

11.4 Network Manager/SNMP

Network Manager включает в себя базы MIB для мониторинга серверов MetaFrame с помощью консоли SNMP. SNMP генерирует незначительный траффик на порту UDP 162. Важно правильно установить имя сообщества (community name) и ловушку SNMP.

12. Общие аспекты сетей

12.1 Разрешение имен с помощью WINS и DNS

WINS используется для разрешения имен NetBIOS, например, CITRIX1. Формат имени DNS несколько отличается, например, CITRIX1.company.com. При загрузке операционной системы Windows 2000 настоятельно рекомендуется, чтобы имена сервера NetBIOS и DNS полностью совпадали; тогда облегчается поиск и устранение проблем с сетью.

В стандартной среде Windows 2000 использование WINS не обязательно. Однако, некоторые приложения, работающие в среде MetaFrame, все еще зависят от WINS для разрешения имен NetBIOS.

Если на сервере DNS, работающем под управлением Windows 2000, включен просмотр WINS, то WINS используется в качестве вторичного метода разрешения имен. Лишь в том случае, когда имя не может быть разрешено ни с помощью DNS, ни с помощью WINS, возникают широковещательные запросы, которые порождают нежелательный сетевой траффик. Для обеспечения отказоустойчивости и высокой доступности рекомендуется иметь минимум два сервера WINS, настроенных на репликацию в нерабочие часы. То же относится к DNS.

В DHCP, WINS (опция 046 - тип узла WINS/NBT) должен быть настроен как гибридный узел, т.е. 0x8. Это указывает, что первый P-узел (соединение "точка-точка") будет опробован до B-узла (широковещательный запрос).

12.1.1 ICA Browsing

В MetaFrame XP и клиенте Program Neighborhood, когда клиент получает список опубликованных приложений, клиент пытается разрешить префикс имени “ica” через DNS, если явно не указан сервер. Поэтому можно создать запись для хоста, чтобы оно указывало на один или несколько адресов IP серверов MetaFrame XP.

Начиная с MetaFrame XP Feature Release 1, стало доступно разрешение имени через DNS. Эта особенность позволяет серверу MetaFrame XP отвечать именем FQDN, а не адресом IP. Это может привести к дополнительному траффику.

12.2 Службы Windows 2000

Фермы серверов MetaFrame XP зависят от службы IMA и от службы Citrix XML. Каждая из этих служб видна в окне Windows Services и при необходимости может быть остановлена, запущена или перезапущена.

Если при инсталлции MetaFrame выбрана опция “IIS Port Sharing”, то служба Citrix XML не будет видна в списке служб в панели управления, поскольку ее функции выполняет IIS, а не ctxxmlss.exe.

Служба Secure Gateway необходима на серверах Secure Gateway, чтобы обеспечить их необходимую функциональность.

Чтобы в случае отказа любой из этих служб сервер MetaFrame продолжал функционировать, эти службы следует настроить на автоматический перезапуск в случае сбоя.

12.2.1 Citrix XML Service

Все серверы MetaFrame для службы Citrix XML должны использовать один и тот же порт TCP. Если клиент ICA использует метод поиска TCP+HTTP, данные службы Citrix XML инкапсулируются в HTTP и передаются по умолчанию через порт TCP 80 (если не настроен другой порт). Citrix XML Service также используется для поддержки коммуникаций с Web Interface.

12.2.2 IMA Service

Служба IMA отвечает за соединения между серверами MetaFrame XP, а также за соединение с хранилищем данных. При запуске Citrix Management Console, на сервере или на клиенте Win32, или Citrix Web Console, соединение осуществляется через службу IMA по протоколу TCP/IP.

12.2.3 Secure Gateway Service

Служба Secure Gateway представляет собой интернет-шлюз между клиентами ICA Clients и фермой MetaFrame. Она работает только на сервере Secure Gateway.

13. Клиенты ICA

То, как настроен клиент, а также метод подключения его к ферме MetaFrame, влияет на ощущения пользователей. В этом разделе обсуждаются различные версии клиентов ICA и опции конфигурации. Поскольку самым популярным является клиент ICA Win32, на нем сосредоточено особое внимание.

13.1 Версии клиентов ICA

Citrix поддерживает клиентов ICA почти для любых типов клиентских устройств. Полный список клиентов вы можете найти на http://www.citrix.com/download. Все более популярным становится клиент Java, поскольку это апплет Java, который может выполняться в браузере и практически не занимает места на диске. Однако, при его использовании убедитесь, что брэндмауэр не блокирует апплеты Java.

Рекомендуется всегда использовать самые последние версии клиентов ICA. Клиентов ICA можно распространять через веб или используя ICA Client Update.

Распространение клиентов ICA через веб затрагивает ваш веб-сервер и полосу пропускания, поскольку каждому пользователю будет передаваться довольно большой файл. Если сайт Web Interface в первый раз посещает большое число пользователей, как внутренних так и внешних, это порождает огромный сетевой траффик. В зависимости от настроек сервера и доступной полосы пропускания это может блокировать доступ других пользователей к Web Interface.

В MetaFrame XP Feature Release 2 и в клиенты ICA версии 6.30 внесены значительные улучшения с точки зрения эффективности использования полосы пропускания - они используют боьшее окно TCP и больше буферов. В некоторых задачах потребление полосы пропускания снижено на 50%.

Для 32-разрядного клиента Windows существует три версии клиента 6.30.1051:

Размер файла ica32 около 3.2 MB; “ica32a” - около 2.8 MB; “ica32t” - 1.9 MB.

В версии 7.00 клиента Windows применяется файл wficac.cab. Его размер около 1.0 MB, но ради малого размера он не включает в себя следующие функции:

13.1.1 Конфигурация клиента Program Neighborhood

В MetaFrame XP по умолчанию отключено использование UDP 1604 для получения списка приложений. Начиная с версии клиента 6.00 использование в качестве протокола поиска сервера "TCP/IP+HTTP" разрешает соединение без использования UDP 1604. В этом случае используется инкапсуляция данных службы Citrix XML в пакеты HTTP, которые клиент передает через порт 80. Клиент не использует порт UDP 1604 для широковещательных запросов для поиска серверов.

Начиная с MetaFrame XP Feature Release 1 и клиента 6.20, соединение может выполняться по протоколу SSL чрез порт TCP 443 при выборе метода "SSL + HTTPS".

Для клиентов, использующих Program Neighborhood, можно уменьшить сетевой траффик, если в списке Server Location/Address List указать в Primary Server Group адрес IP коллектора данных, имя сервера или алиас DNS сервера MetaFrame. Однако, если некоторый сервер, перечисленный в Primary Server Group, недоступен, то клиент ICA не будет прибегать к автопоиску, а вместо этого сообщит, что не может обнаружить ферму MetaFrame. Поэтому хорошей практикой является указание адреса IP вторичного сервера MetaFrame в поле Backup 1.

13.1.2 Веб-клиент ICA

Одной из особенностей Web Interface является установка клиента ICA через веб. При подключении пользователя к сайту Web Interface, после успешного входа сервер автоматически определяет, установлен ли на платформе Win32 или Win16 клиент ICA. Затем определяется подходящий клиент и осуществляется его загрузка. Это клиент “ica32t”, укороченная версия клиента ICA, которая не включает в себя Program Neighborhood и прочие функции стандартного клиента ICA.

13.1.3 PN Agent

PN Agent позволяет пользователям осуществлять доступ к приложениям через свое меню "Пуск", как будто приложение было инсталлировано локально. PN Agent в качестве скрытого механизма доступа к приложениям использует Web Interface. Поэтому Web Interface является необходимым компонентов для этого типа клиента.

13.2 Клиентские сценарии входа

Часто клиентские сценарии входа не контролируются и в больших средах могут оказывать негативное влияние на процесс входа пользователя. Сценарии входа часто используются для модификации некоторых настроек для групп или индивидуальных пользователей, чтобы эти модификации не затрагивали текущую пользовательскую среду, определенную в его перемещаемом профиле. Однако, такие сценарии нуждаются в тщательном проектировании и применении.

Хотя сценарии входа полностью поддерживаются в среде MetaFrame, многочисленные или слишком большие сценарии замедляют процесс входа. Необходимо периодически проверять сценарии входа, чтобы выявлять ненужные параметры или предпринять шаги для ускорения входа пользователей. Более того, поскольку сценарии обычно берутся из центрального файлового сервера, критически важно обеспечить доступность этого сервера. Например, если в начале рабочего дня большое число пользователей одновременно подключаются к серверу, сеть будет перегружена и процесс входа будет очень медленным.

13.3 Сетевые протоколы

Если для доступа к серверам MetaFrame необходим только TCP/IP, то он должен быть единственным или по крайней мере первичным протоколом. Порядок привязки протоколов затрагивает устройства клиентов, поскольку каждый протокол будет опробован в последовательном порядке до тех пор, пока не буедт завершено подключение к сети. Поскольку большинство клиентов в качестве первичного протокола используют TCP/IP, рекомендуется следующий порядок привязки:

14. Самые частые сетевые проблемы

14.1 Правильная конфигурация подсетей

Для успешного развертывания MetaFrame критически важна правильная конфигурация подсети, в которой находятся серверы MetaFrame. Нужно правильно настроить не только начальную подсеть или маску переменной длины, но также следует учесть будущий рост, перемещения, изменения серверов.

14.1.1 Сети класса C

Во многих средах MetaFrame предоставляется одна подсеть класса C (255.255.255.0 или /24), что позволяет иметь до 254 адресов IP хостов. Это простое разбиение на подсети может иметь свои достоинства с точки зрения архитектуры, если в подсети разрешен только траффик MetaFrame и учтен будущий рост.

Однако, эксперименты показали, что один коллектор данных зоны может без проблем поддерживать до 1000 серверов MetaFrame XP. По данным Cisco, сети не должны иметь более 1,000 узлов IP. Поэтому для большинства сред следует использовать полные сети класса C или сегментированные сети класса B.

14.1.2 Маска переменной длины

Технололгия переменной маски подсети (Variable-Length Subnet Mask, VLSM) предоставляет метод изменения стандартной числа хостов и подсетей, предоставляемого стандартными адресами классов А, В и С.

14.2 Не открыт порт TCP 1494

Траффик MetaFrame требует, чтобы был открыт порт TCP 1494 (или другой настроенный порт ICA). По умолчанию порт 1494 используется для входящего траффика на серверах MetaFrame. Исходящий траффик идет через динамически выбираемый порт TCP. Если меняется порт ICA, или меняется неастройка маршрутизатора, убедитесь, что траффик ICA не блокируется. Это важно для сетей, на которых по соображениям безопасности блокируются порты выше 1023.

14.3 Не открыты порты TCP 2512 или 2513

MetaFrame XP использует порт TCP 2512 для службы IMA, обеспечивающей межсерверные коммуникации, включая связь с хранилищем данных. MetaFrame XP использует порт ТCP 2513 для связи Citrix Management Console с сервером. Это важно, если зона физически расположена в другом месте и порты блокируются брэндмауэром или маршрутизатором.

15. Советы по поиску и устранению проблем в Windows

Информация, приведенная ниже, базируется на стандартных утилитах Microsoft Windows. Обратите внимание, что если при использовании утилит ping, tracert и пр. протокол ICMP блокирован, то вы получите сообщение “request timed out” или составите неверное представление о состоянии сети. Некоторые сетевые администраторы блокируют пакеты ICMP, особенно на внешних маршрутизаторах.

15.1 Оценка связи компьютера с компьютером

С компьютера, находящегося в той же подсети, попробуйте каждую из нижеприведенных команд:

Команда Желательный результат
ping адрес_ip 4 пакета оправлено/4 пакета получено, 0% потерь
ping имя_сервера 4 пакета оправлено/4 пакета получено, 0% потерь
(Если пинг по адресу успешен, но пинг по имени не проходит, это означает проблему с DNS или WINS)
tracert До 30 переходов со статистикой по времени
pathping ping и tracert с дополнительной статистикой (только в Windows 2000)
telnet 1494 Соединение со слушателем порта ICA
telnet 80 Соединение (любой ввод должен показать ошибку HTTP)

15.1.1 Поиск маршрутизаторов

Чтобы определить адреса маршрутизаторов, следует использовать tracert или pathping. Каждый адрес IP в листинге означает интерфейс маршрутизатора, через который должен пройти траффик. Большое число переходов приводит к задержкам в сети и должно обсуждаться с сетевым администратором. Протокол ICA неважно работает в латентных средах и приводит к потере пакетов и пропаданиям сеансов.

15.2 Монитор производительности

Windows 2000 System Monitor, ранее известный как Performance Monitor, может обеспечить сервер разнообразными счетчиками. Начиная с MetaFrame XP Feature Release 2 более 60 счетчиков добавлены в объектах Citrix IMA networking, Citrix MetaFrame XP и ICA Session. Secure Gateway и Secure Ticket Authority также имеют собственные счетчики.
Для идентфикации проблем с сетью полезны следующие счетчики:

Объект Приемлимость Счетчики
Citrix IMA Networking Все (2 шт) Все допустимые
Citrix MetaFrame XP Все (19 шт) Все допустимые
ICA Session Все (45 шт) Все допустимые
IP Все, хотя достаточно приема и передачи Все допустимые
Network Interface Все, хотя достаточно приема и передачи Выберите нужный сетевой адаптер и подходящие счетчики
TCP Все, хотя достаточно приема и передачи Все допустимые
Terminal Services Все, хотя достаточно только активные сеансы Количество сеансов активных, неактивных и общее
Terminal Services Session Все, хотя достаточно только ввода и вывода Все допустимые

Помимо возможностей мониторинга, можно включить предупреждения (Performance Alerts) для отправки сообщения по сети, включения журнализации или запуска программы. Предупреждения полезны, когда ресурсы сервера MetaFrame достигают следующих значений:

Объект Счетчик Параметр
Network Interface Packet Outbound Discarded >0
Network Interface Packet Outbound Errors >0
Network Interface Packet Received Discarded >0
Network Interface Packet Received Errors >0
Terminal Services Session Input Errors >0
Terminal Services Session Input Timeouts >0
Terminal Services Session Input Transport Errors >0
Terminal Services Session Output Errors >0
Terminal Services Session Output Timeouts >0
Terminal Services Session Output Transport Errors >0
Terminal Services Session Total Errors >0
Terminal Services Session Total Timeouts >0
TCP Connections Reset >0
TCP Segments Retransmitted >0

15.3 Network Monitor

Network Monitor является эффективным средством просмотра и анализа сетевого траффика, посылаемого и принимаемого хостом. Он особенно полезен при анализе нерегулярных проблем коммуникации двух и более серверов MetaFrame. На серверах Windows, Network Monitor по умолчанию не инсталлируется, но должен быть инсталлирован с помощью Add/Remove Programs -> Windows Components -> Management and Monitoring Tools.

Стандартная версия Network Monitor, включенная в Windows 2000, предназначена только для одного сервера. Если требуется мониторинг нескольких серверов, может потребоваться более мощное программное обеспечение, например, Microsoft Systems Management Server (SMS) или сетевой сниффер. Если используется SMS и несколько экземпляров Network Monitor, то драйвер Network Monitor должен быть установлен на удленных серверах или клиентах посредством установки этого необязательного компонента в свойствах сетевого соединения.

При открытии Network Monitor помните, что мониторинг сети осуществляется на базе выбранного сетевого адаптера. Если установлено несколько адаптеров, то необходимо открыть отдельный экземпляр Network Monitor.

Для среды MetaFrame наиболее важными являются следующие значения:

Окно Идентификатор Оптимальное значение
Graph Network Utilization (использование сети) Чем меньше, тем лучше
Graph Network Broadcasts (широковещательные запросы) Должно быть минимальным
Total Stats Network Statistics: # of Frames (число кадров) Чем меньше, тем лучше
Total Stats Network Statistics: # of Broadcasts (число широковещательных запросов) Нет или минимальное значение
Total Stats Network Statistics: # of Frames Dropped (число пропущенных кадров) Нет или минимальное значение
Total Stats Per Second Statistics: % Network Utilization Чем меньше, тем лучше
Total Stats Per Second Statistics: # of Broadcasts/second Нет или минимальное значение
Total Stats Network Card (MAC) Statistics: # of Broadcasts Нет или минимальное значение
Total Stats Network Card (MAC Error) Statistics: CRC Errors Нет или минимальное значение
Total Stats Network Card (MAC Error) Statistics: # Frames Dropped (No Buffers)
Нет или минимальное значение
Total Stats Network Card (MAC Error) Statistics: # Frames Dropped (Hardware)
Нет или минимальное значение
Session Stats Broadcasts Sent Нет или минимальное значение

В частности, проблемы с сетевой картой легко выявляются на основе параметров Network Card, перечисленных выше.

Network Monitor позволяет перехватывать данные. При настройке фильтра перехвата полезно не включать протоколы и/или адреса, не относящиеся к исследуемой проблеме. Трассировщик Network Monitor обычно возвращает громадный объем данных и требует большого буфера захвата. Если при трассировке перехватываются все данные, их можно отфильтровать позднее.

15.4 Настройки реестра

В реестре есть некоторые значения, такие как ICAEnableKeepAlive и TCPMaxDataRetransmissions, которые относятся к дежурным пакетам и перепосылке данных. В MetaFrame XP FR3 они настраиваются в Management Console. В сущности, дежурные пакеты (keepalive) означает сообщения типа "Ты меня слышишь?", отправляемые для подтверждения того, что соединение еще живо. Хотя изменение этих значений в реестре оказывает влияние на серверы MetaFrame, перед их применеием рекомендуется исследовать корень проблемы, т.е. полосу пропускания или конфигурацию WAN.

Включение ICA keepalive часто позволяет предотвратить отключение сеансов ICA брэндмауэрами, которые считают сеансы ICA или SSL неактивными по прошествии некоторого времени.

Если перегрузка сети или ее неверная конфигурация приводит к тайм-аутут пакетов ICA, или они вовремя не проходят через сеть, ручная регулировка времени keepalive или перепосылки данных могут вызвать другие неблагоприятные последствия. Такие проблемы должны анализироваться в тестовой среде.

16. Советы по устранению проблем с машрутизаторами

Просмотр более подробной информации о конфигурации маршрутизатора может помочь в определении причины проблемы.

Обратите внимание, что если при использовании утилит ping, tracert и пр. протокол ICMP блокирован, то вы получите сообщение “request timed out” или составите неверное представление о состоянии сети. Некоторые сетевые администраторы блокируют пакеты ICMP, особенно на внешних маршрутизаторах.

16.1 Привилегии доступа в коммутаторах и маршрутизаторах

Коммутаторы и маршрутизаторы Cisco имеют два режима доступа - пользовательский и привилегированный. В стандартном пользовательском режиме некоторые настройки можно только смотреть. Обычно такой режим обозначается приглашением >. Стандартный режим не допускает изменения конфигурации; конфигурирование осуществляется только в привилегированном режиме. Обычно привелигированный режим доступа строго охраняется и используется только сетевыми администраторами. Привелигированный режим обозначается символом # и как правило требует ввода пароля.

Стандартный доступ осуществляется через Telnet. Однако, использование Telnet для доступа должно быть минимизировано, поскльку большинство маршрутизаторов ограничено 5 соединениями telnet (от 0 до 4).

Приглашение в стандартном режиме состоит из имени маршрутизатора или коммутатора и символа >:

RouterA>

Приглашение в привилегированном режиме состоит из имени маршрутизатора или коммутатора и символа #:

RouterA#

16.2 Сеть

При использовании инструментов, описанных ниже, можно указывать либо имя сервера, либо его адрес IP. Имя сервера можно указывать в том случае, если оно вручную сконфигурировано на маршрутизаторе.

16.2.1 Ping

Пример команды Ping:

   RouterB>ping 10.2.1.2
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.2.1.2, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

16.2.2 Трассировка маршрута

Пример команды Traceroute (обратите внимание, что используется команда traceroute, а не tracert):

   RouterB>traceroute ip 10.2.1.2
   Type escape sequence to abort.
   Tracing the route to 10.2.1.2
   1 16 msec 16 msec 16 msec
   2 10.2.1.2 36 msec 28 msec *

16.2.3 Telnet

На коммутаторах Cisco серии 2900 для доступа через telnet необходимо сконфигурировать адрес IP. Используя следующую команду можно собрать основную информацию:

2900A>show ip

Пример вывода этой команды:

   IP Address: 10.10.10.3
   Subnet Mask: 255.255.255.0
   Default Gateway: 10.10.10.1
   Management VLAN: 1
   Domain Name: name
   Name Server: 10.10.10.1
   HTTP Server: Enabled
   HTTP Port: 80
   RIP: Enabled

Пример сеанса Telnet из маршрутизатора:

   RouterC>telnet 172.16.40.2
   Trying 172.16.40.2 ... Open
   User Access Verification
   Password:

Пример сенаса Telnet из маршрутизатора для проверки использования разрешения имен:

   RouterA>telnet RouterC
   Trying 172.16.40.2 ... Open
   User Access Verification
   Password:

16.2.4 Ошибки коммутаторов

Для определения ошибок приема/передачи, возникающих на коммутаторе, можно использовать команду “show usage exception” . Все ошибки записываются в течении работы и обнуляются при перезагрузке или сбросе коммутатора.

   2900A>show usage exception
         Receive      Transmit      Security
         Errors       Errors        Violations
   -------------------------------------------
   1  :   0           0             0
   2  :   0           0             0
   3  :   0           0             0
   4  :   0           0             0
   5  :   0           0             0
   6  :   0           0             0
   7  :   0           0             0
   8  :   0           0             0
   9  :   0           0             0
   10 :   0           0             0
   11 :   0           0             0
   12 :   0           0             0
   AUI:   0           0             0
   A  :   0           0             0
   B  :   0           0             0

16.2.5 Token Ring

Проверьте, что установлена соответствующая скорость. В привилегированном режиме сетевой администратор может выполнить следующую команду для установки скорости 16 Mbps:

   RouterA(config)#int to0
   RouterA(config-if)#ring-speed 16

16.3 Списки доступа

Списки доступа - это технология фильтрации пакетов, которая контролирует типы данных, которые разрешаются или запрещаются на уровне маршрутизатора. Создание и применение списков доступа к интерфейсу заставляет маршрутизатор анализировать каждый пакет, идущий в указанном направлении, и предпринимать предписанные действия. В конце каждого списка находится явный запрет, поэтому любой траффик, который специально не разрешен, будет запрещен.

Чтобы порты, указанные в разделе "Порты TCP", были открыты, рекомендуется создать расширенный список доступа (т.е. в котором присутствует IP источника, IP назначения, протокол и порт) и использовать номер расширенного списка от между 100 и 199.

Например, чтобы открыть нужные порты, в привилегированном режиме следует создать такой список и применить его к интерфейсу e0:

   RouterA(config)#access-list 110 permit tcp any any eq 1494
   RouterA(config)#access-list 110 permit tcp any any eq 80
   RouterA(config)#access-list 110 permit tcp any any eq 443
   RouterA(config)#access-list 110 permit tcp any any eq 2512
   RouterA(config)#access-list 110 permit tcp any any eq 2513
   RouterA(config)#int e0
   RouterA(config-if_#ip access-group 110 [in|out]

17. Приложение A – Подсети TCP/IP

17.1 Подсети TCP/IP и маски переменной длины (VLSM)

Первый адрес подсети является адресом всей подсети, а последний адрес IP - широковещательным адресом этой подсети. Все адреса внутри представляют допутимые адреса хостов. Маршрутизаторы используют только адрес сети и широковещательный адрес; адреса хостов не важны за исключением случаев, когда явно указываются источник и назначение.

Cisco IOS версии до 12.0 не позволяли использовать первую подсеть (т.е. адреса которой начинались на 0) и последнюю подсеть (адреса которой заканчивались 255). На этих старых системах следовало вручную конфигурировать команду “ip subnet-zero”. Cisco IOS 12.0 и более поздние версии включают команду “ip subnet-zero”, позволяя тем самым использовать первую и последнюю подсети без дополнительной конфигурации.

Не все поизводители поддерживают “ip subnet-zero”, как описано выше, и это следует учитывать при планировании разбиения сети на сегменты.

Значение
маски
подсети
Число бит
в подсети
Максимальное
число
подсетей
Число хостов
класса С
Число хостов
класса В
Диапазон адресов
(сеть/допустимые адреса хостов/Broadcast)
128 1 2 2 32766 0/1-126/127*
128/129-254/255*
192 2 4 62 16382 0/1-63/64*
64/65-126/127
128/129-190/191
192/193-254/255*
224 3 8 30 8190 0/1-30/31*
32/33-62/63
64/65-94/95
96/97-126/127
128/129-158/159
160/161-190/191
192/193-222/223
224/225-254/255*
240 4 16 14 4094 0/1-14/15*
16/17-30/31
32/33-46/47
48/49-62/63
64/65-78/79
80/81-94/95
96/97-110/111
112/113-126/127
128/129-143/143
144/145-158/159
160/161-174/175
176/177-190/191
192/193-206/207
208/209-222/223
224/225-238/239
240/241-254/255*
248 5 32 6 2046 0/1-6/7*
8/9-14/15
16/17-22/23
24/25-30/31
32/33-38/39
40/41-46/47
48/49-54/55
56/57-62/63
64/65-70/71
72/73-78/79
80/81-86/87
88/89-94/95
96/97-102/103
104/105-110/111
112/113-118/119
120/121-126/127
128/129-134/135
136/137-142/143
144/145-150/151
152/153-158/159
160/161-166/167
168/169-174/175
176/177-182/183
184/185-190/191
192/193-198/199
200/201-206/207
208/209-214/215
216/217-222/223
224/225-230/231
232/233-238/239
240/241-246/247
248/249-254/255*
252 6 64 2 1022 0/1-2/3*
4/5-6/7
8/9-10/11
12/13-14/15
16/17-18/19
20/21-22/23
24/25-26/27
28/29-30/31
32/33-34/35
36/37-38/39
40/41-42/43
44/45-46/47
48/49-50/51
52/53-54/55
56/57-58/59
60/61-62/63
64/65-66/67
68/69-70/71
72/73-74/75
76/77-78/79
80/81-82/83
84/85-86/87
88/89-90/91
92/93-94/95
96/97-98/99
100/101-102/103
104/105-106/107
108/109-110/111
112/113-114/115
116/117-118/119
120/121-122/123
124/125-126/127
128/129-130/131
132/133-134/135
136/137-138/139
140/141-142/143
144/145-146/147
148/149-150/151
152/153-154/155
156/157-158/159
160/161-162/163
164/165-166/167
168/169-170/171
172/173-174/175
176/177-178/179
180/181-182/183
184/185-186/187
188/189-190/191
192/193-194/195
196/197-198/199
200/201-202/203
204/205-206/207
208/209-210/211
212/213-214/215
216/217-218/219
254 7 128   510 220/221-222/223
224/225-226/227
228/229-230/231
232/233-234/235
236/237-238/239
240/241-242/243
244/245-246/247
248/249-250/251
252/253-254/255*
255 8     254  

17.2 Приватные адреса IP

Адреса IP, которые нельзя использовать в открытом интернете, следующие:

По соображениям безопасности рекомендуется серверам MetaFrame присваивать приватные адреса, чтобы к ним нельзя было обраться напрямую из интернет.


Возврат