Überblick über Netzwerkprodukte von Citrix
-
Upload
digicomp-academy-ag -
Category
Technology
-
view
1.947 -
download
6
Transcript of Überblick über Netzwerkprodukte von Citrix
Citrix Netzwerk Produkte Ueberblick
Claudio Mascaro
Der Einsatz einer Citrix
bietet in
vielen Projekten
zusätzliche
Data
Center
Citrix Networking-Lösungen
Receiver Branch
Repeater
Access
Gateway
XenDesktop
XenApp
XenServer
NetScaler
Verbesserung des Benutzer-Komforts
Bessere Performance beim Remote-Zugriff
Bandbreiten-Optimierung
Konsolidierung & Vereinfachung der IT
Höhere Sicherheit
Hochverfügbarkeit aller IT-Ressourcen
Verbesserte Skalierbarkeit
Senkung der TCO
Citrix Networking Lösungen – Checkliste
Citrix Access Gateway
Citrix Access Gateway
Citrix Access Gateway™ ist die einzige Lösung, die Richtlinien-basierte Zugangskontrolle zu allen Anwendungen, Ressourcen und
virtuellen Desktops ermöglicht.
SmartAccess Beste Performance
& Skalierbarkeit Einfaches Management
• Flexible Einsatzmöglichkeiten: gehärtete physische oder virtuelle Appliance
• Bietet die beste Lösung für sicheren Zugriff auf Citrix-Infrastrukturen
• Ideales Zusammenspiel mit XenApp und XenDesktop
• Nahtloser Zugriff durch Citrix Receiver
• Zusammenspiel mit Repeater Plug-in
• Sicherer, beschleunigter Zugriff über WAN-Strecken
• Integration in NetScaler
• Multi-site DR/BC mit Access Gateway & Global Server Load Balancing (GSLB)
• Eine Appliance für Hochverfügbarkeit und sicheren Zugriff auf Citrix-Umgebungen
• Hohe Skalierbarkeit und Performance – marktführend
• Zentraler Zugangspunkt zu allen Anwendungen
Warum Citrix Access Gateway?
Citrix SmartAccess
andere SSL VPNs gehen nur bis hierher
Welche Ressourcen?
Wer und wo?
Endpunkt-Analyse & Authentifizierung
Zugriffs- Kontrolle
Welcher
Benutzer
Welches
Endgerät
Welcher
Standort
Welche
Authentifizierung
Web und File
Ressourcen
Netzwerke
Server
Applikationen
Repeater
Beschleuni-gung
Wie schnell?
Welche Aktionen?
Aktions-Kontrollle
VPN
Access
Clientless Access
XenApp
• Applikationen
• Virtuelle
Kanäle
XenDesktop
• Desktops
• Virtuelle
Kanäle
Appliance Optionen für hohe Skalierbarkeit
Access Gateway MPX 5500
= 100
5.000 Benutzer
10.000 Benutzer
NetScaler MPX 7500 und 9500
Access Gateway 2010
500 Benutzer
• CAG verfügbar als virtuelle Appliance
• Gleiche Firmware und Funktionen wie beim Modell 2010
• Läuft als virtuelle Maschine auf XenServer
• Einfache Administration und schnelle Inbetriebnahme
• Unterstützt bis zu 500 Benutzer gleichzeitig (CCU)
• Listenpreis CHF 1’343.-- (1’244.-- ab 1.11.2010) • Inkl. 1 Jahr Subscription Advantage
• Kostenlose 5User VPX Express Edition • www.citrix.com/tryaccessgateway
Access Gateway VPX
Citrix
Access G
ate
way
VP
X
Auswahl der Appliance
Welche Appliance? 2010 (500 User) MPX 5500 (5000 User)
Welche Funktionalität?
Secure Access für
alle Anwendungen
Sicherheit und Datenschutz
(SmartAccess)
Vereinfachtes Management
Universal Licenses
Secure Access für
XenApp & XenDesktop
(Receiver und Dazzle Support)
Plattform Funktionen
VPX
• Wieviele Benutzer?
• Gehärtete physische Appliance oder virtuelle
Appliance?
• Dediziert für Secure Access oder multifunktional?
Beziehen von Lizenzen
Secure Access für
alle Anwendungen
Sicherheit und Datenschutz
(SmartAccess)
Vereinfachtes Management
Universal Licenses
Secure Access für
XenApp & XenDesktop
(Receiver und Dazzle Support)
Plattform Funktionen XenApp Platinum
(1:1)
XenDesktop Platinum
(1:1)
NetScaler Platinum
(100 pro Appliance)
Separate Bestellung
Auf Appliance
enthalten (Access Gateway und
NetScaler)
• Virtuelle Appliance mit den gleichen Funktionalitäten wie AG 2010
• Kapazität für mittelgroße Umgebungen (500 Benutzer pro Appliance)
• Einfache Administration und Management
• Ideal für Secure Access zu XenApp und XenDesktop
• Einfache Installation & Administration
• Kapazität für mittelgroße Umgebungen (500 Benutzer pro Appliance)
• Für Secure Access konzipiert
• Hohe Kapazität (5.000 Benutzer pro Appliance)
• HA für ein einzelnes Rechenzentrum
• Möglichkeit des Upgrades auf NetScaler für weitere Funktionalität
• Multifunktions-Appliance (Secure Access, Load Balancing, Acceleration)
• Höchste Kapazität (10.000+ Benutzer pro Appliance)
• Ideal für Business Continuity über mehrere Rechenzentren (GSLB)
Appliance Optionen
Access Gateway 2010
Access Gateway VPX
NetScaler MPX 7500 oder größer
Access Gateway MPX 5500
Funktionsüberblick
Funktion Plattform-
Feature
Benötigt
Universal
License
Einfacher Zugriff auf Anwendungen & Desktops
Bietet einen zentralen Zugriffspunkt für sicheren Zugriff
zu allen Anwendungen, Ressourcen und Desktops von
jedem Endgerät und sorgt so für eine deutliche
Vereinfachung für Benutzer und Administratoren.
Sicherer Zugriff auf XenApp und XenDesktop Bietet sicheren Zugriff auf XenApp und XenDesktop Sitzungen ohne dass
eine VPN Verbindung benötigt wird. Unterstützt auch Citrix Receiver, Dazzle
und Merchandising Server und bietet daher einen wichtigen Mehrwert
gegenüber Secure Gateway.
Sicherer Netzwerk Zugriff Vollständige VPN-Unterstützung ermöglicht Zugriff auf Netzwerk-Ebene zu
jedem Server innerhalb des geschützten Netzwerks.
Sicherer Zugriff ohne Client – „Browser-only“ Sicherer Zugriff auf Web Anwendungen und File Shares mittels Browser -
auch ohne ein Access Gateway Plugin auf dem Client
Zentraler Zugangspunkt Bietet für alle Benutzer über eine Webseite den zentralen Zugriffspunkt zu
Anwendungen, File Shares, Email und anderen IT Ressourcen.
End-User Lokalisierung Die Benutzeroberfläche (User Interfaces) ist in Englisch, Spanisch,
Französisch, Deutsch und Japanisch lokalisiert.
Unterstützung gängiger Client Betriebssysteme Unterstützung aller gängigen Plattformen incl. Windows 32 und 64-Bit
Betriebssysteme (incl. Windows 7) und Mac Os X.
Endpunkt-Analyse
Stellt sicher, dass Geräte die sich mit dem
Firmennetzwerk verbinden sicher sind und Benutzer eine
einheitliche Methode nutzen können, um die Endgeräte
entsprechend der Anforderungen und Richtlinien
upzudaten.
Integriertes Endgeräte-Scanning Kontinuierlicher Scan von Endgeräten um festzugstellen, ob der Client
entspr. Sicherheitsvorgaben erfüllt (Anti Virus, Personal Firewall u.a. Apps).
Erweitertes Maschinen-Scanning Ermittelt Maschinen Identität durch Scanning und Überprüfung ob sich das
Firmen-Image auf dem Client befindet.
Quarantäne-Gruppen und Problembehebung Leitet Clients, die nach Endgeräte-Scan mit limitierten Zugriffs-
Berechtigungen eingestuft wurden an Server weiter, wo entspr. Updates und
Patches geladen werden können. Außerdem bekommen sie weniger
Berechtigungen für Anwendungen und Aktionen.
(MPX 5500 oder
NetScaler)
Erweiterbare Endpunkt-Analyse Endpunkt-Analyse Funktionalität kann mit Standard Entwicklungs-Tools
erweitert werden.
(Benötigt Advanced
Access Control Server)
Funktion Plattform-
Feature
Benötigt
Universal
License
Szenario-basierte Richtlinien-Kontrolle
(SmartAccess)
Bietet granulare Kontrolle, um höchste Sicherheit beim
Zugriff auf Daten und Anwendungen zu gewährleisten
und dynamische Konfigurations-Anpassungen abhängig
von Endgerät, Konfiguration, Lokation und Identität
durchzuführen.
Adaptive Zugriffskontrolle Bietet Zugriffskontrolle zu Ressourcen basierend auf Endgeräte-Analyse.
Adaptive Zugriffs-Kontrolle für virtualisierte Anwendungen und
Desktops Bietet adaptive Zugriffs-Kontrolle zu Anwendungen und Desktops, die über
XenApp und XenDesktop bereitgestellt werden.
Adaptive Kontrolle auf Anwendungsebene Kontrolle des XenDesktop und XenApp Session-Verhaltens durch
Unterdrückung von Funktionen, von unsicher eingestuften Endgeräten.
Adaptive Sitzungs-Richtlinien Dynamische Anpassung der Benutzer-Sitzungen basierend auf dem Ergebnis
der Endgeräte-Analyse.
Anwendungs- und Daten-Sicherheit
Alle Daten-Transfers zwischen Client und Gateway
werden geschützt.
Standardisierte Sicherheit Sicherstellen, dass jegliche Kommunikation über SSL/TLS Verschlüsselung
gesichert ist.
Zweifaktor-Authentifizierung Bietet starke Zweifaktor Benutzer-Authentifizierung gegen - auch bereits
vorhandene - LDAP und RADIUS Server.
Verschlüsselung und Optimierung des Datenverkehrs
Eine Einzellösung, die sicherstellt dass Benutzer auch bei
schlechter Netzwerk-Performance sicheren und
performanten Zugriff auf alle Ressourcen haben.
Repeater Integration Im Zusammenspiel mit Citrix Repeater bietet Access Gateway performanten,
sicheren Zugriff durch den SSL VPN-Tunnel für
mobile und Remote-Anwender sichergestellt.
Unterstützung von Client-Zertifikaten Um Endgeräte zu verifizieren validiert Access Gateway Zertifikate bevor
Zugriff zu geschützten Ressourcen gewährt wird.
Split Tunneling Kontrolle Deaktiviert Zugriff zu allen Netzwerk Ressourcen, die nicht zum gesicherten
Netzwerk gehören.
Erweiterte Split Tunneling Kontrolle Split Tunneling kann auf Clients deaktiviert werden, um direkten Internet-
Zugriff zu unterdrücken aber Zugriff auf lokale Client-Ressourcen zu erlauben.
(MPX 5500 oder NetScaler)
Löschen des Browser Verlaufs Löschen von Objekten und Daten, die im lokalen Browser Cache während der
SSL VPN Sitzungen gespeichert wurden.
(MPX 5500 oder NetScaler)
Funktion Plattform-
Feature
Benötigt
Universal
License
Fehler-Toleranz
Bereitstellen einer Secure Access-Lösung, die höchste
Verfügbarkeit und Zuverlässigkeit gewährleistet.
Hochverfügbarkeits-Konfiguration (HA) Konfiguration der Appliances zu einen Aktiv/Passiv Paar um sicherzustellen,
dass Sitzungen aktiv bleiben, wenn der Master nicht verfügbar ist.
(MPX 5500 oder
NetScaler)
Optionales Global Server Load Balancing (GSLB) Weiterleitung der Client Verbindung zu der bestmöglichen VPN Site,
basierend auf Verfügbarkeit, geografischen Nähe und Auslastung.
(benötigt NetScaler)
Einfaches Management und Administration
Erhöht die Effizienz von IT-Organsiationen durch
Vereinfachung allgemeiner Installations- und
Management-Aufgaben und- Routinen.
Zentrale Administration Konfiguration und Management von Access Gateway Appliances aus einer
einzelnen Management Konsole.
Wizard-gesteuerte Konfiguration Bietet intuitive, aufeinanderfolgende Click-Through Masken und einfache
Beschreibungen um Adiministratoren durch Installation und Konfiguration zu
führen.
Mehrere virtuelle VPN Server Eine einzelne Appliance kann mehrere SSL VPNs durch Hosting von einem
oder mehreren virtuellen Servern mit jeweils einer eindeutigen IP, FQDN und
Zertifikaten emulieren
(MPX 5500 oder
NetScaler)
Historische Analysen und Reports Bietet Administratoren eine grafische Sicht auf System- und Benutzer-
Aktivitäten.
(MPX 5500 oder
NetScaler)
Detaillierte administrative Auditierung Monitoring aller administratorischen Konfigurations-Änderungen um
Verantwortlichkeiten festzustellen und mögliche Konfigurations-Fehler per
Roll-Back rückgängig zu machen.
(MPX 5500 oder
NetScaler)
Auto-Download / Auto-Update des Client Plug-in Automatischer Download des Citrix Secure Access Plug-in, wenn der
Benutzer sich am Citrix Access Gateway anmeldet um sicherzustellen, dass
immer die aktuelle Client Software eingesetzt wird.
Unterstützt automatische Verteilung des Access Gateway Plug-in Vereinfacht die Client-Installation durch die Möglichkeit der Verteilung des
Access Gateway Plug-in durch System- oder Client-Management Lösungen.
Mehr Möglichkeiten mit Access Gateway 5
• Neuer Release für AG 2010 und AG VPX
• Speziell entwickelt für SecureAccess für XenApp/XenDesktop
• Alle Appliance Firmware mit einfacher Administrtion
• Kostenloser Upgrade für Kunden mit AG Standard und AG Advanced Edition • Subscription Advantage Eligibility date: Sep 1, 2010
Access Gateway 5.0
Verfügbar
Klarer moderer Client
Konsistent mit XenDesktop 5.0 und Web Interface 5.4
Appliance Failover
Primary - active
Secondary - passive
External Virtual
IP Address
Internal Virtual
IP Address
Internal
Resources
Vorteile Appliance Failover
• Keine Auswirkung für den User bei Ausfall
• Sessions synchronisieren sich bei Ausfall
• Kein Access Gateway Plug-in notwendig
SmartGroups Simplify Access Control Quickly associate users and device types with access controls and session preferences
• A “time machine” for firmware updates and configuration changes
• Roll back to an earlier snapshot or move forward to a new release
Configuration Snapshots
• Users can be required to provide one username and two passwords…
• Or two usernames and two passwords
Multiple Username Authentication
Display a custom remediation message to users if they fail to meet the logon requirements
Endpoint Remediation Message
Access Controller Option
Citrix Access Controller
Centralized Policy Management
and Authentication Services
Access Gateway
Appliance Cluster
XenApp
XenDesktop
File & Web
User Session Traffic
Active Directory
LDAP, RADIUS, RSA
Web Interface
Access Controller Benefits
• Centralized Cluster Management
• LAN-based Authentication
• Native Active Directory authentication
• Enhanced Endpoint Analysis capabilities
• File share browser with XenApp launch
• MMC-based Administration
(Delivery Services Console)
Clustering
Access Controller
Cluster Appliance Cluster SQL Cluster
SQL
Users redirected to the
least busy appliance at
logon
Appliances auto-discover
controller servers and
distribute AAA traffic evenly
Session state stored in a
shared database
Notizen
Citrix
Access G
ate
way
VP
X
Citrix NetScaler
NetScaler – die Multifunktions-Appliance
B2C
B2B
P2P
NetScaler – die Multifunktions-Appliance
Performance Lastausgleich Sicherheit
• Caching
• Compression
• Connection
Pooling
• SSL Processing
• Access Gateway
SSL VPN
• Application
Firewall
Verfügbarkeit
B2C
B2B
P2P
• L4-L7 Load
Balancing, GSLB
• Intellig.Service
Health Monitoring
• Web Server
• Application Server
• Citrix WI, AG, Citrix
Farm
• Web Applikationen
• Bandbreiten-
Optimierung
• Backend-Entlastung
• Backend-Entlastung
• Kostenersparnis
• Konsolidierung
• One-in-All Appliance
• Compliance
• Regulatorien
• Attacken
• On-Demand Einsatz – überall
• Vereinfachte Logistik: Verteilung von Application Delivery Controller-Funktionen per Image
• Flexible Lizenzierung – eine Lösung sowohl für kleine Unternehmen als auch für grosse Service Provider
Flexibler Einsatz von NetScaler VPX
Funktionsvergleich Access Gateway & NetScaler
Access Gateway Funktions-Module
NetScaler Application Delivery Networking Platform
Acce
ss G
ate
wa
y
SS
L V
PN
SS
L A
cce
lera
tion
NetScaler Application Delivery Networking Platform
Lo
ad
Ba
lan
cin
g
App F
ire
wa
ll
Acce
ss G
ate
wa
y
SS
L V
PN
GS
LB
Co
nte
nt S
witch
ing
SS
L A
cce
lera
tion
Ap
pC
ach
e
EdgeS
ight
Ap
pC
om
pre
ss
NetScaler Funktions-Module
Einsatz des NetScaler
• Eingebaute Redundanz • Mit Secure Gateway und Access Gateway 2010 kann Ausfallsicherheit nur
durch Einsatz einer zusätzlichen Load Balancing Lösung erreicht werden
• GSLB bietet Hochverfügbarkeit über mehrere, verteilte Rechenzentren
• Konsolidierung und Vereinfachung der Netzwerkinfrastruktur
• Umfangreiche Funktionalitäten auf einer Appliance
• Gehärtete Appliance in der DMZ
• Erhöhte Skalierbarkeit & HA – bis zu 10.000 Benutzer
• Zukunftssicher, skalierbar und modular erweiterbar– L7 Load Balacing, GSLB, Web App Acceleration, App FW usw.
Warum Secure Gateway oder Access Gateway durch NetScaler ersetzen?
39
Business Continuity und Disaster Recovery Szenarien: Access Gateway & NetScaler GSLB
• Umleitung des SSL VPN Traffics auf unterschiedliche Sites
• Umleitung der Client-Verbindung zum nahest gelegenem / verfügbarem Rechenzentrum
• Implementierung von Multi-Site Disaster Recovery
GSLB = Global Server Load Balancing
• Wenn mehrere WI, XML Broker vorhanden sind
• Mehrere Access Gateways vorhanden sind
• Access Gateway soll als Modul auf der NetScaler Appliance betrieben werden
• Wenn Komponenten auf Sites verteilt sind (eine Site ist ein Rechenzentrum an einem Standort)
• Wenn an Sites (Standorten) verteilte XenApp Farmen existieren
Wann ist die Positionierung von NetScaler innerhalb einer XenApp Infrastruktur sinnvoll?
NetS
cale
r P
erf
orm
an
ce
100Gbps
40Gbps
20Gbps
1Gbps
100’s Apps / Multi-tenancy Applications
1 10 2 3
10Gbps
NetScaler für alle
ENTERPRISE
SERVICE PROVIDER/TELCO/CLOUD
+ INTERNET CENTRIC
SMB (ISV)
MPX 21500 50 Gb
MPX 19500 35 Gb
MPX 17500 20 Gb
MPX 15500 15 Gb
MPX 12500 10 Gb
MPX 10500 6 Gb
MPX 9500 3 Gb
MPX 7500 1 Gb
MPX 5500 500 Mb
License
Upgrade
License
Upgrade
License
Upgrade
VPX 10
VPX 200
VPX 1000
VPX 3000
VPX 15000
VPX 8000
Notizen
Citrix
NetS
cale
r VP
X
Branch Repeater
Tele-workers Mobile Users
Repeater Plug-in
Remote & Mobile
Branch Repeater with
Windows Server Branch
Repeater
Branch Offices
Applications:
XenApp
XenDesktop
Web
Exchange Email
File Servers
SharePoint
Dynamics CRM
Data Center
Repeater
Redundant Datacenter or
Disaster Recovery Site
Repeater
Citrix Branch Repeater
Citrix Confidential - Do Not Distribute
HDX WAN Optimization
Adaptive Protocol
Acceleration
Adaptive Compression
Adaptive TCP Flow Control
Prioritization & QoS Branch Caching of
Hosted Desktops & Apps
Branch Staging of Streamed Apps
Repeater Branch Repeater
WAN
Optimierung gängiger Applikations-Protokolle
Adaptive Protokoll Beschleunigung
• Minimiert Folgen der Latenz durch Reduzierung der Round Trips (geschwätzige Protokolle) • CIFS (Dateiaustausch)
• Meist verbreitetes Protokoll für den Dateiaustausch
• Zugriff aufs Dateisystem
• MAPI (Exchange)
• Compression Engine erkennt Anwendung
• Separiert den Headers von Payload
• ICA, CIFS, MAPI, HTTP, FTP, NFS
Example: CIFS
Unter Berücksichtigung aktuellem Netzwerk-Bedingungen
Adaptive Compression
• First Pass Compression • Im Level 2 (CPU) Cache und Arbeitsspeicher
• Verschiedene Algorithmen (ZLIB, LZS)
• Byte Caching • Im Speicher oder auf Festplatte
• Delta-Compression • Über Workflows hinweg
• Über Anwendungen hinweg
• Über Benutzersitzungen hinweg
History Length
L2 Cache
CPU
DRAM
Disk
(Festplatte)
Access T
ime
First Pass
Adaptive Compression
Compression History
(HDX IntelliCache)
Compression History
(HDX IntelliCache)
Second Pass
Adaptive Compression
Ein kleiner Token ersetzt tausende von Bytes
Compression History
(HDX IntelliCache)
Compression History
(HDX IntelliCache)
Adaptive TCP Flow Control
Slow Start Slow Ramp
Ohne Branch Repeater
durchschn.
Auslastung
Durchsatz
Zeit
Mit Branch Repeater
durchschn.
Auslastung
Durchsatz
Zeit
Link Geschw.
Unter Berücksichtigung von Latenz und Paketverlusten
Traffic Priorisierung und QoS
ICA (Interactive)
Bulk Transfers 1.5 Mbps
Unterhaltung (YouTube, MySpace)
Ohne Branch Repeater
60%
20%
20%
Bulk Transfers
Unterhaltung (YouTube, MySpace)
ICA (Interactive)
Mit Branch Repeater
Zuweisung von Bandbreite über versch. Anwendungen und virtuelle ICA-Kanäle
• 5 verfügbare QoS Queues
• Jeder Queue wird ein best. %-Satz der verfügbaren Bandbreite zugeteilt • Wenn Queue-Bandbreite frei wird, kann diese von
anderem Datenverkehr genutzt werden
• QoS auch für Citrix ICA • Dynamisches Mapping basierend auf den ICA
Priorisierungsklassen
• Spezifisches Reporting der Queues
WAN Optimierung – Schlüssel-Technologien
• Bereitstellung und Beschleunigung von gestreamten Anwendungen in Niederlassungen
• Liefert LAN-ähnliche Performance
• Niederlassung ist auch im Falle eines WAN-Ausfalls produktiv
• Reduziert die Komplexität und das Management des IT-Equipments in Niederlassungen
Beschleunigung von XenApp Offline Apps
Lokales Caching & Delta-Komprimierung über mehrere XenApp Benutzer-Sitzungen
Branch Repeater Repeater
Optimierte TCP Verbindungen
Niederlassung Rechenzentrum
XenApp Farm
Infrastruktur Server XenDesktop
Farm
• Mehrere Benutzer nutzen die gleichen textlastigen Applikationen, z.B. MS Word oder Excel
• Mehrere Benutzer benutzen häufig Formular-basierte Web Anwendungen, z.B. SAP NetWeaver
• Mehrere Benutzer drucken gleiche Daten über ICA aus, z.B. Universal Print Driver (UPD)
• Mehrere Benutzer transferieren gleiche Dateien per File Transfer über ICA, z.B. Client Drive Mapping
• Mehrere Benutzer streamen die gleichen Media Daten über ICA, z.B. HDX MediaStream
Multi-User Optimierung für XenApp
Branch Repeater Produktlinie
512Kbps 1 Mbps 2 Mbps 10 Mbps 45 Mbps
Bandbreite
Preis $K
155 Mbps 500 Mbps
Kleine bis mittlere Niederlassung
Grosse Niederlassung oder
Rechenzentrum
R 8820HS
R 8820
R 8540
BR 100
BR 200
BR 300
100
50
20
10
6
4
0
VPX-Express
$0
VPX-2
VPX-10
VPX-45
20 Mbps
R 8520