Citrix Day 2013: Citirx Networking

Like this? Share it with your network

Share

Citrix Day 2013: Citirx Networking

  • 1,417 views
Uploaded on

Claudio Mascaro präsentierte am Citirx Day 2013 neus zu Netscaler und Cloud Bridge.

Claudio Mascaro präsentierte am Citirx Day 2013 neus zu Netscaler und Cloud Bridge.

More in: Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,417
On Slideshare
1,402
From Embeds
15
Number of Embeds
3

Actions

Shares
Downloads
42
Comments
0
Likes
1

Embeds 15

https://twitter.com 9
http://news.digicomp.ch 4
http://www.digicomp.ch 2

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Citrix Networking NetScaler and Cloud Bridge Claudio Mascaro, BCD-SINTRAG AG
  • 2. Citrix NetScaler Das Schweizer Messer für Ihre IT-Infrastruktur
  • 3. TCP Client Full Proxy 5 wesentliche Begriffe TCP Backend Der "Full Proxy" Ansatz bietet einen immensen Funktionsumfang! 1. VServer: Nimmt Anfragen der Clients entgegen (20) 2. Service (Backend): Netzwerk Endpunkt an den der NetScaler weiter leitet (21) 3. Monitor: Prüft periodisch die Funktion des Backend-Services (29+) 4. Load Balancing Methode: Auswahl des Services zur Weiterleitung (15+) 5. Persistence (Stickiness): Client wird immer an selben Service geleitet (9+)
  • 4. Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B P2P Verfügbarkeit • Performance Load Balancing • Information auf Layer 3 (IP) / Layer 4 (TCP/UDP) entscheiden, auf welche Services weitergeleitet wird • Content Switching Information auf Layer 7 (HTTP, FTP, DNS, RADIUS, TCP, UDP…) entscheiden auf welche Gruppe von Backend-Services weitergeleitet wird Sicherheit Surge Protection + Sure Connect Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue) • Global Server Load Balancing (GSLB) Verteilung des Verkehrs durch intelligente Namensauflösung des NetScalers
  • 5. IPv4/v6 Mixed Mode NetScaler ermöglicht die schrittweise Migration von IPv4 auf IPv6, da er den Mischbetrieb unterstützt… Gemischter IPv4/IPv6 Support
  • 6. Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B Verfügbarkeit • TCP Offload Performance • Befreit Server vom Verbindungs-Management • HTTP Compression Daten-Komprimierung vor Daten-Auslieferung • Integrated Caching NetScaler als Caching Instanz im Netzwerk Sicherheit Erweiterte TCP-Optimierung Wesentlich effizientere Verbindungen durch TCP-Windows Scaling, SACK und TCP-Buffering • SSL Offload Übernimmt CPU intensive Entschlüsselungs-Aufgaben für Backend-Server
  • 7. Am VServer kommen alle Funktionen zusammen und der Visualizer gibt eine Gesamtbild der Konfiguration Konfiguration via Drag&Drop … Visualizer auch für GSLB, Network, WAF…
  • 8. HTTP Callout – Externe Information steuern die NetScaler Funktionen NetScaler leitet Teile des Client Requests auf den Callout Server und wertet dessen Response auf bestimmte Inhalte hin aus. Integrierbar in HTTP/TCP-ContentSwitching, Rewrite, Responder, Token Loadbalancing-Methode. Anwendungsfälle: • IP blacklisting • SPAM verification • Access control • Identify management integration • Custom content rewrite • UDDI access • Format loading
  • 9. AppExpert Rate Limiting … ermöglichen die Isolation von kritischen Applikationen und Objekten  User(s) Rate • IP Address • Requests • IP Range/Subnet • Packets • Cookie Value • Bandwidth • Wildcards • Any header or payload… Time • Measured in milliseconds Object • Vserver IP • URL/URI • Image • File • Any header or payload… Action • Throttle • Invoke Policy • • • • Responder Rewrite Cache etc. • Alert • Log • Trap
  • 10. Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B Verfügbarkeit • Performance Schutz auf Application Layer • Schutz vor Datendiebstahl und Ausnutzung von Sicherheitslöchern • DoS-Abwehr DoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen Sicherheit Filtering, Rewriting und Responder Granularer Filter in Hin- und Rückrichtung. HTTP Inhalte können modifiziert, direkt beantwortet oder umgeleitet werden – NetScaler als „Simultan Dolmetscher“ • SSL-VPN (AGEE) Verschlüsselung, Authentifizierung, Autorisierung und Endgeräte-Scan VOR dem Einlass in das Netzwerk
  • 11. Warum Sicherheit für Web Applikationen? DATEN • Finanzberichte SQL Injection Information Leakage Cross-Site Scripting HTTP Response Splitting Path Traversal • Kreditkarten-Infos • Kundendaten • Mitarbeiterdaten • Patientendaten Web App Users Network Firewalls Internet 82% • Persönliche IDs Web Apps aller Attacken zielen heute auf Schwachstellen von Applikationen - Gartner …
  • 12. WAF(Web Application Firewall) - Hybrid Security Model • Optimaler Schutz durch Kombination beider Security Ansätze Positiv Hybrid Negativ Schutz vor •Schutz vor Day-0 bekannten(1200 "on •Schneller aktiver Angriffen board"-Signaturen) Schutz vor bekannten •Erfordert Lernen und unbekannten Angriffen der Applikations •Erfordert Pflege von Angriffen (19 Security Strukturen Signaturen Checks)
  • 13. Den Applikationen angepasster Schutz durch 19 WAF-Methoden (Security Checks) bi-direktional durch “URL-Closure“ bi-direktional bi-direktional Import von WSDL und XML Schema Files
  • 14. Scanner für Applikations-Sicherheitslücken • Während eines Scans erstellte Signaturen lassen sich im NetScaler verwenden Regelmäßige Scans = Geschützte Website + Import der Signaturen in NetScaler • • • • • Cenzic Qualys WhiteHat IBM AppScan Trend Micro
  • 15. Rewrite – NetScaler als „Simultan Dolmetscher“ in Hin-(Request) und Rückrichtung (Response) ohne Rewrite HTTP DATA mit Rewrite INSERT_BEFORE … CN-testpage … ANFANG REPLACE_ALL … Citrus-Networks-testpage … INSERT_AFTER ENDE ohne Rewrite HTTP mit Rewrite HEADER HTTP/1.x 200 OK Content-Type: text/html Content-Location: http://192.168.66.33/index.htm Last-Modified: Fri, 09 May 2008 14:11:01 GMT Accept-Ranges: bytes Etag: "98d5983deb1c81:2fb" Server: Microsoft-IIS/6.0 DELETE_HTTP_HEADER X-Powered-By: ASP.NET Date: Tue, 10 Jun 2008 21:23:52 GMT INSERT_HTTP_HEADER Cache-Control: private Content-Encoding: gzip Content-Length: 77 ---------------------------------------------------------- Rewrite auch für TCP HTTP/1.x 200 OK Content-Type: text/html Content-Location: http://192.168.66.33/index.htm Last-Modified: Tue, 10 Jun 2008 14:36:27 GMT Accept-Ranges: bytes Etag: "50fa565d7cbc81:2fb" X-Powered-By: ASP.NET Date: Tue, 10 Jun hallo-welt-2013...! netscaler-header: 2008 21:28:11 GMT Cache-Control: private Content-Encoding: gzip Content-Length: 97 ----------------------------------------------------------
  • 16. NetScaler hilft bei der ERSTELLUNG und der PRÜFUNG der Expression mit dem Evaluator
  • 17. AAA-TM – NetScaler als multifunktionale Authentication Instanz, inkl. SSO (Basic+FormBased) Client bekommt erneuten „HTTP Redirect“ zu seinem ursprünglichen Ziel, hat jetzt aber das Cookie im Bauch https://mail.firma.de https://aaa.firma.de /vpn/tmindex.html Client verbindet sich auf sein gewünschten Ziel-VServer https://mail.firma.de/owa/ Client bekommt „HTTP Redirect“ zum AAA-VServer und bekommt nach erfolgreicher Anmeldung einen Authentication-Cookie https://mail.firma.de/?4711 Authorization Policies regeln den Zugriff ins Backend, Traffic Policies das SSO zum Backend
  • 18. The SSO Game HTTP Basic HTTP Basic FormBased FormBased NTLM SmartCard Constrained Kerberos Delegation SAML
  • 19. AppFlow - Applikations Visibilität durch NetScaler 3rd Party Analysis Tools Action Analytics NetScaler Insight Center Cloud Enterprise Der NetScaler als "Datensammler" und Analyse Tool NetScaler generiert mit seiner AppFlow Funktion eine Fülle von Daten, die einen detaillierten Blick auf das Applikation Verhalten ermöglichen Mit "NetScaler Insight Center" können diese Daten sehr einfach dargestellt werden Desktop
  • 20. NetScaler TriScaleTM Technology “Grow capacity upto 5x. No New Hardware.” “40:1 footprint reduction. No Compromises.” Elasticity with Pay-As-You-Grow Thebes: 5550 0,5G 5650 1G Rome: 8200 2G 8400 4G 8600 6G Corinth: 11500 8G 13500 12G 14500 18G 16500 24G 18500 36G 20500 42G Galata: 17550 20G 19550 30G 20550 40G 21550 50G Scale Up Simplicity with Many-In -One “Megabits to Terabits. Zero Downtime.” Expandability with Add-and-Go Scale Out
  • 21. 100 Gbps NetScaler Performance 50 Gbps Paygrow Platform Performance MPX/SDX 22040 to 22120 40Gbps – 120Gbps* 500k (2k) SSL TPS 80 Instances* All platforms can be license upgraded across their supported ranges. NEBS Available MPX/SDX 11500-20500 30 Gbps 8Gbps – 42Gbps 9k – 45k (2k) SSL 20 Instances 10 Gbps NEBS Available MPX/SDX 8200-8600 5 Gbps 2Gbps – 6Gbps 4k – 6k (2k) SSL 1 Gbps Single-tenant VPX 10Mbps – 3Gbps MPX 5550-5650 Next GenPlatforms 500Mbps-1 Gbps Multi-tenant Capable 1 * Roadmap, Q3’2013 – subject to change 5 20 Maximum Tenants per Platform 80 FIPS Platforms
  • 22. Scale In NetScaler SDX - die Multi-Mandanten Lösung • Isolierte Instanzen, keine Partitionen • Memory, CPU Isolation • Version/Lifecycle Unabhängigkeit • Separates Routing • Getrennter IP Stack • Unabhängige Connection Table, ACLs, etc. • Netzwerk Isolation • Separate Lizensierung und Versionierung • Integrierte Service VM • 2-80 Instanzen auf einer Plattform
  • 23. Service Delivery Fabric
  • 24. Software Defined Networking is the Future • Flat L2/L3 network fabrics • Logically organized Brought to you by… Virtualized 26 Server 8 Server 7 Server 6 Server 5 Server 4 Server 3 Server 2 Server 1 Flat L2/L3 Network • • Flexible tiered topologies Multitenant isolation • Transparent service insertion
  • 25. Defining App-Aware & Advanced SDN …. Visibility Firewall Mobility Virtual Switches Programmable Elements 27 Application Control Citrix Network Control Cisco 1000V Nicira Big Switch … Control Orchestration Physical Switches • Data Cloud Bridging WAN Opt ADC • • Participate • Support overlays (VXLAN, NVGRE) Integrate • Simplified USIP, transparent modes • Cluster flow distribution • Flow cut-through Extend • L7 policy control • L7 visibility
  • 26. Service Delivery Fabric NetScaler 3 Firewall 3 Firewall 2 Firewall 1 IPS 1 NetScaler 1 NetScaler 2 Sharefile Cloud Gateway ServiceVM vSwitch Xen Hypervisor 0/1 0/2 1/1 1/2 1/3 1/4 1/5 1/6 1/7 1/8 10/1 10/2 10/3 10/4
  • 27. 3rd Party Support Now open for 3rd party services
  • 28. 3rd-Party Support on NetScaler SDX
  • 29. Support for NSX - Future Allows integration of NetScaler into multiple cloud management systems • NetScaler Control Center • A new product component for cloud orchestration CloudStack • NetScaler Control Center integration with VMWare vCloud Networking and Security • NetScaler products will be part of the official, certified eco-system of VMWare vCloud Networking product suite. VMware vCloud/NSX OpenStack/ Quantum NetScaler Control Center Nitro API
  • 30. NetScaler und XenMobile Client Access Server (CAS) XM MDM w/ XM NetScaler Connector (XNC)
  • 31. Nativer Mail Client
  • 32. Native Mail Client – technischer Background • Active Sync to Exchange CAS Server • Minimal Device Management mit MSFT Exchange • Microsoft empfiehlt SSLOffloader und Loadbalancer 3
  • 33. Exchange Only • SSLOffload • LoadBalancing • ContentSwitching • Stickiness • Monitor •… Draft available 36
  • 34. CNS als ActiveSync Filter • Mit SSL Offloading kann man im ActiveSync aus der URL auslesen ◦ Device Type (incl OS) ◦ Device ID ◦ Benutzername ◦ Post Request: • POST /Microsoft-Server-ActiveSync?Cmd=Sync&User=user4%40citrix.lab &DeviceId=SEC12212D232B606&DeviceType=SAMSUNGGTN8000 HTTP/1.1rn 37
  • 35. Statische Lösung für DeviceID Auswahl • Wenn nur ein Gerätetype als „CorporateDevice“ zugelassen ist, kann man das leicht als Kriterium definieren • Oder zum Testen: Alles was nicht „User=user4@citrix.lab“ in der URL enthält DROP HTTP.REQ.URL.QUERY.CONTAINS("User=user4%40citrix.lab").NOT DROP 3
  • 36. Was bringt XenMobileConnector? Kein statischen Filter auf dem NetScaler, sondern dynamische MDM Datenbank 1. ActiveSync über CNS VServer zu CAS Server 2. NetScaler schickt HTTP Callout zu XNC mit Informationen aus dem ActivceSync Request 3. XNC “fragt” MDM zur Entscheidung: Gut/Böse ◦ Callout Response kann zur Verbesserung der Performance auf dem NetScaler gecached werden (zB: Nachfrage an MDM nur alle 5min) 3
  • 37. Was ist XenMobile NetScaler Connector? • Windows Excutable • Installation auf XDM oder anderem Windows Server (kein IIS notwendig) • Ports: ᵒ 9080 für HTTP web service ᵒ 9443 für SSL web service • Geht (zum Test) auch ohne MDM
  • 38. XNC - NetScaler configuration • VServer für HTTPCallout • HTTP Service zu XNC Server auf TCP port 9080 • Bind Services • Bei Hochverfügbarkeit ᵒ RESTful calls sind “atomic” ᵒ Keine Persistence notwenidig  einfache Hochverfügbarkeit (2xXNC)
  • 39. ActiveSync Filter Callout • NetScaler schickt Requests zu XNC via HTTPCallout • Sinnvoll: Benutzung des Wizzards ᵒ Request Attributes • GET request • host expression “callout.asfilter.internal” ᵒ Konfiguration: Request Parameters • • • • • User Agent IP URL Result-type
  • 40. ActiveSync Filter Callout Auswerten des HTTP response • Ergebnis kommt als TEXT (?) • Man braucht nur die ersten 20 Bytes • “ALLOW” oder “DENY” in der Antwort
  • 41. Responder als Filter für die Verbindungen Responder policy überprüft: • URL-PATH inRequest • Request HOSTNAME • CALLOUT Boolean value Diese “expression” wird verwendet: HTTP.REQ.URL.STARTSWITH("/Microsoft-Server-ActiveSync") && HTTP.REQ.HOSTNAME.EQ("callout.asfilter.internal").NOT && SYS.HTTP_CALLOUT(active_sync_filter).CONTAINS("deny")
  • 42. Caching “Callout” response • IC zum Cachen der Request des Clients an XMC  deutliche Performance Steigerung • Festlegen, wann Cached responses verwendet werden dürfen ᵒ DeviceID ist ein sinnvoller Parameter! • Güligkeit festlegen für “Cache responses”: ᵒ Empfehlung: 300Sekunden
  • 43. CloudBridge Overview and Benefits
  • 44. CloudBridge Enables Migration to Cloud Public Cloud App App App Branch Data Center Global Data Center
  • 45. CloudBridge Benefits Summary Enhanced VDI Experience Application Acceleration Traffic Management User centric prioritization of virtual desktops Accelerates legacy enterprise applications Visibility and control for over 500+ apps and services Video Delivery Optimization Optimize and accelerate video delivery to the branch Secure Cloud Connectivity Secure connections to 3rd party clouds
  • 46. Enhance the XenDesktop User Experience for Branch Offices • Deliver a high-definition desktop experience to the branch and mobiles users • • • • Accelerate print traffic & file transfers Provide a high-definition video experience Accelerate desktop launch times Increase scalability, performance and availability with on-demand provisioning and de-provisioning of virtual appliances • Reduce desktop delivery network costs • Free up network bandwidth by reducing desktop bandwidth consumption • Support more XenDesktop branch users with existing WAN bandwidth • Consolidate hardware and cut costs with standardized hardware • Cut branch office energy costs • Slash new branch setup costs and time
  • 47. Accelerates Enterprise Applications CloudBridge provides a 90+% reduction in bandwidth for traditional apps Print File Speed 50X 30X 2X 2.5X 6X Bandwidth Savings 99% 99% 89% 97% 97%
  • 48. Optimize Video Delivery • Video consumption in the enterprise is growing at 200% per year – Gartner Group • Training, product launches, marketing content, and entertainment is driving this growth • CloudBridge can: ᵒ Compress or cache video content for XenDesktop environments ᵒ Cache videos from content sites, both internal and external ᵒ Police traffic from video content sites such as YouTube • Deliver a better video experience while reducing WAN bandwidth
  • 49. Secure Cloud Connectivity Network X CloudBridge Connector IPSec Tunnel L2 GRE Tunnel Traditional Datacenter Or Branch Location Cloud Provider • Provides IPSec and L2 tunneling to deliver network transparency • Enables a seamless extension of the enterprise network to the cloud • Allows enterprises to leverage quickly and cost-effectively scale
  • 50. New Use Cases
  • 51. CloudBridge Benefits for Storage Replication Link Capacity Customer Data Center 1 NAS Customer Data Center 2 1011011101 1011011101 10010101000 10010101000 1011011010 SSL 1011011010 SSL 1011011010 SSL 1011011010 SSL 1011011010 SSL 101101110 SSL 1011 101101110 SSL 1011000110011 001110010100 111000SSL01 111000SSL01 NAS NAS 10011000001 10011000001 NAS • NetApp’s SnapMirror application includes compression functionality • However, CloudBridge accelerates better: ᵒ Better TCP window size adjustment ᵒ Congestion measurement and control ᵒ De-duplicates across storage volumes • CloudBridge’s acceleration benefits are complimentary to NetApp’s
  • 52. CloudBridge Accelerates SnapMirror by 7-10x Small Data Set (~1GB) Large XenDesktop Dataset > 1TB 700 600 45000 578 40000 38944 35000 500 30000 400 25000 10x 300 7.3x 20000 15000 200 10000 59 100 5308 5000 0 0 NetApp-Baseline CloudBridge Optimization NetApp-Baseline CloudBridge Optimization 50ms WAN with 0.01% loss Benefits increase under high latency or lossy WAN conditions
  • 53. Control Bandwidth Dedicated to Storage Replication With Cloudbridge Without CloudBridge XenApp / XenDesktop WAN Application Traffic NetApp SnapMirror 20% NetApp SnapMirror 20% Application Traffic 60% XenApp / XenDesktop Application level granularity Deep classification, prioritization and shaping for all network traffic
  • 54. CloudBridge also optimizes XenApp/XenDesktop and ShareFile Deployments Customer Data Center 1 Leverage same CloudBridge appliance to: NAS 7-10x faster storage replication NAS Branch 2-5x faster file downloads Customer Data Center 2 NAS Optimize XenApp/XenDesktop and other branch applications • NAS Accelerate replication on NetApp to meet disaster recovery objectives • Replication • Improve user experience for ShareFile
  • 55. CloudBridge Product Family Overview
  • 56. CloudBridge Overview Adaptive TCP Flow Control Compression, De-duplication, and Acceleration Video Caching QoS & Reporting HDX WAN Optimization WAN CloudBridge CloudBridge Secure Tunneling
  • 57. Models Capacity Mbps, (HDX Sessions) Global DC CloudBridge 5000 1500 -2000 Large DC CloudBridge 4000 310- 1000 Med DC CloudBridge 3000 50 – 155 Small Enterprise Large Branch CloudBridge 2000 Deployment Branch Office / Windows Server /Virtual Appliance (3,500-5,000) (750-2500) (300-500) CloudBridge 700 CloudBridge 600 CloudBridge VPX 10 – 50 (100-300) 1 – 10 (20-100) 1- 45 (20-100)
  • 58. CloudBridge VPX Feature VPX2 VPX 10 VPX 20 VPX 45 2 Mbps 10 Mpbs 20 Mbps 45 Mbps 15 75 150 250 Memory 2 GB 4 GB 4 GB 4 to 8 GB Hard drive 10 GB 250 GB 250 GB 250 GB Total throughput (unidirectional, mixed traffic) HDX sessions* Network Interfaces Virtualization Environments Amazon Web Services Availability 2 Virtual NICs XenServer 5.5 or 6.0, Microsoft Hyper-V R2 SP1, or VMWare ESX/ESXi 4.1 to 5.1 Yes * Session count is limited by link bandwidth. No session count is enforced. Published numbers are for guidance. Yes
  • 59. Questions? 62
  • 60. Work better. Live better.