Stfw.RuСети и среда Citrix MetaFrame
Citrix MetaFrame XP for Windows jo.harder@citrix.com
🕛 14.11.2005, 01:35
Networking Issues Affecting Citrix. MetaFrame EnvironmentsApril, 2003
jo.harder@citrix.com
Содержание
Введение
Серверы среды MetaFrame
Настройка сетевых адаптеров
Конфигурация коммутаторов
Глобальные сети и удаленный доступ
Адресация IP
Маршрутизаторы
Порты TCP
Сетевая среда MetaFrame
Сетевые особенности MetaFrame
Влияние на сеть дополнительных продуктов MetaFrame
Общие аспекты сетей
Клиенты ICA
Частые проблемы с сетями
Советы по поиску и устранению проблем в Windows
Советы по устранению проблем с машрутизаторами
Приложение A - Подсети TCP/IP
1. Обзор
При проектировании сети для Citrix MetaFrame XP необходимо учитывать ряд технических пожеланий. В этой статье описываются отдельные аспекты, которые необходимо учитывать при проектировании сетевой среды, а также методы, которые могут использоваться для оценки оптимальности существующей среды.
Эта статья относится к следующему:
Операционная система Microsoft Windows 2000, хотя есть ссылки на Netware.
Оборудование Cisco, поскольку это ведущий производитель сетевого оборудования, используемого в средах Citrix MetaFrame.
Документ адресуется:
Сертифицированным администраторам Citrix (CCA), которые также являются сертифицированными системными инженерами Microsoft (MCSE), или их эквивалентам.
Сетевым администраторам Cisco (CCNA) или их эквивалентам, поддерживающим среду MetaFrame.
Примеры, рассмотренные в этой статье, не должны рассматриваться как оптимальные для всех сред Citrix MetaFrame. Особенно значения реестра Microsoft Windows и настройки маршрутизаторов Cisco. Подробнее о привилегиях доступа к маршрутизаторов Cisco см. Привилегии доступа к маршрутизаторам Cisco. Обратите внимание, что существует два уровня доступа к командам:
Пользовательский, или непривилегированный режим
Только чтение;
Обычно используется для просмотра состояния маршрутизатора;
Обозначается символом >
Привилегированный режим
Полное управление конфигурацией маршрутизатора;
Обычно используется сетевыми администраторами;
Обозначается символом #
Подразумевается, что читатель имеет хорошо знаком с протоколом TCP/IP версии 4, поскольку его основы здесь не описываются. Также подразумевается, что TCP/IP является первичным или единственным протоколом, используемым в среде Citrix MetaFrame. TCP/IP версии 6 не описывается, поскольку он еще широко не распространен.
2. Серверы среды MetaFrame
Среда MetaFrame состоит из некоторого числа различных серверов. В этом разделе рассматриваются не только серверы MetaFrame, но и другие серверы, часто встречающиеся в реализациях MetaFrame.
Серверы поддерживают функции, требуемые в среде MetaFrame. Количество и типы серверов зависят от среды. Очень важно, чтобы серверы MetaFrame были настроены на минимальную задержку и максимальную пропускную способность, т.е. все серверы MetaFrame следует располагать в одной подсети, независимо от типа соединения - через физический коммутатор или VLAN.
2.1. Серверы MetaFrame
Серверы MetaFrame обслуживают приложения для пользователей. Серверы MetaFrame должны быть серверами-членами, а не контроллерами доменов. Поскольку контроллеры доменов поддерживают высокий траффик, дополнительная нагрузка оказывает негативное влияние на обслуживание пользовательских приложений. Поэтому настоятельно не рекомендуется совмещать функции контроллера домена и обслуживание пользовательских приложений на одном сервере.
Серверы MetaFrame не должны выполнять приложений BackOffice, таких как SQL Server или Exchange Server. Это создает слишком высокую нагрузку на сервер. Серверы MetaFrame обычно группируются в фермы, в основном на базе опубликованных приложений. Данные пользователей и их профили не должны находиться на серверах MetaFrame, поскольку они порождают дополнительный сетевой траффик и вносят противоречивость в файлы и профили, которые имеют одинаковые имена на разных серверах.
2.1.1. Влияние звука
Приложения, требующие звука, добавляют от 16 Kbps (низкое качество) до 1.3 Mbps (высокое качество) к требуемой полосе пропускания сеанса ICA, который сам по себе требует около 20 Kbps.
Если звук не требуется, его следует совсем отключить или установить низкое качество. Если звук необходим, необходимо оценить, достаточно ли для его поддержки имеющейся полосы пропускания. Если качество звука необходимо уменьшить, то следует оценить, станет ли оно приемлимым для пользователей.
2.2 Хранилище данных MetaFrame XP
Хранилище данных в MetaFrame XP является базой данных, содержащей информацию о MetaFrame XP. Оно является критическим компонентом и доступ к нему не должен прерываться более чем на 96 часов для избежания неблагоприятного воздействия на ферму. Серверы MetaFrame XP связываются с хранилицем данных через службу IMA.
Большая часть траффика MetaFrame XP состоит из чтения из хранилища. При внесении в серверы MetaFrame изменений, таких как добавление драйверов принтеров или опубликованных приложений, эти изменения порождают сетевой траффик для записи в хранилище данных и связи с остальными серверами MetaFrame XP.
Значительный сетевой траффик связан с репликацией драйверов принтеров, поэтому рекомендуется инсталлировать и реплицировать минимум необходимых драйверов. Универсальный драйвер может минимизировать число требуемых драйверов. Число серверов MetaFrame XP в ферме и число приложений также оказывают влияние на траффик, но оно незначительно по сравнению с числом драйверов принтеров.
2.3 Коллекторы данных
Во всех средах, кроме совсем маленьких, для коллектора данных зоны следует выделить отдельный сервер. Коллектор выполняет роль концентратора информации, относящейся к опубликованным приложениям, распределению нагрузки и пр. для остальных серверов. Коллекторы интенсивно используют сеть. По возможности на них следует установить связку из двух сетевых адаптеров.
2.4 Серверы MetaFrame Web Interface, Secure Gateway и пр.
Хотя потребление ресурсов серверами Web Interface (бывший NFuse Classic), Secure Gateway (бывший Citrix Secure Gateway), Secure Gateway Proxy и Secure Ticket Authority невелико, необходимо тщательно проверить сеть. Во всех случаях, отдельный сервер, обеспечивающий выполнение вышеуказанных служб, не должен быть одиничной точкой сбоя.
Поскольку серверы Web Interface, Secure Gateway, Secure Gateway Proxy и Secure Ticket Authority отвечают за создание и поддержание сеансов ICA, настоятельно рекомендуется группировка сетевых адаптеров на этих серверах, чтобы обеспечить высокую пропускную способность и отказоустойчивость, как описано ниже.
Обычно серверы Secure Gateway и Web Interface располгают в демилитаризированной зоне (DMZ), т.е. между двумя брэнмауэрами. В одних случаях используют один брэндмауэр, который имеет интерфейс DMZ, а в других могут использоваться несколько брэнмауэров для создания нескольких DMZ. Брэндмауэры может входить в состав маршрутизатора с защитными функциями (например, Cisco 6500), или могут быть брэнмауэры с несколькими сетевыми интефейсами.
Серверы Secure Gateway и Web Interface требуют цифровые сертификаты, доступ к которым осуществляется через порт 443. Для обеспечения внешнего доступа этот порт на брэнмауэрах должен быть открыт. Обычно это делается посредством списков доступа.
2.5 Файловые серверы
Большинство сред включают в себя один или несколько файловых серверов, обслуживающих данные и профили пользователей, а также иногда выполняющих роль серверов печати. Широко используются сети хранения данных (Storage Area Network, SAN) и сетевые накопители (Network Attached Storage, NAS).
Независимо от того, хранятся ли пользовательские данные и профили на одном сервере или нескольких, рекомендуется, чтобы эти серверы находились в одной подсети с серверами MetaFrame. В противном случае при переходе в другую сеть возникают дополнительные задержки при входе и доступе к прикладным данным.
Поскольку файловые серверы и серверы печати порождают высокий траффик, для избежания узкого места желательно использовать на этих серверах несколько сетевых адаптеров. Кроме того, исключение или минимизация переходов маршрутизаторов между пользователями и файловыми серверами повысит скорость доступа.
2.5.1 Профили
Обычно профили Terminal Services располагают на файловых серверах. Конечно, большие перемещаемые профили требуют большего времени для загрузки. Перемещаемые профили позволяют персонализировать настройки пользователей; однако, при начальном входе пользователь может испытывать дополнительную задержку. Обязательные профили меньше по объему и загружаются намного быстрее. Обеспечение высокой доступности и высокой поллосы пропускания при доступе к файловым серверам позволяет снизить задержку, связанную с доступом к перемещаемому профилю.
Необходимо учитывать случаи, когда большое количество пользователей одновременно регистрируется на сервере (например, центр приема телефонных звонков) - в таких случаях по возможности следует использовать обязательные профили, чтобы уменьшить время входа. Администраторам необходимо обеспечить, чтобы обязательные профили на серверах MetaFrame были одинаковыми.
2.5.2 Домашний каталог
В Windows 2000 домашний каталог пользователя Terminal Services пустой. Это означает, что он совпадает с каталогом пользовательского профиля Terminal Services. Это не всегда желательно. Для избежания конфликта ресурсов желательно располагать домашний каталог в другом месте. Если этот каталог используется большим количеством пользователей, высокий траффик может вызвать дополнительную нежелательную задержку. По возможности выделите отдельный физический диск или используйте технологии SAN/NAS.
2.5.3 Серверы Novell
В некоторых средах в качестве файловых серверов и серверов печти используются серверы Novell. Если серверы Novell, использующие IPX, сосуществуют с серверами MetaFrame, критически важно, чтобы на всех серверах был разрешен IPX и использовался одинаковый тип фрейма.
Обычно серверы MetaFrame поддерживают TCP/IP, а также NWLink (версию IPX/SPX от Microsoft). Если тип фрейма настроен на автообнаружение, то по умолчанию выбирается 802.2 (Sap), который используется в NetWare 3.12 и выше. Обычно это подходит для всех сетей, но в Netware 3.11 и более ранних версиях используется тип фрейма 802.3 (Novell-ether). Если используются оба типа фрейма, необходимо внести изменение в реестр (HKLM\System\Current Control Set\Services\NwlinkIPX\Parameters\Adapters\ID).
2.6 Сервер лицензирования Terminal Services
При работе Citrix MetaFrame на сервере Windows 2000 (независимо от использования Active Directory), важно знать, что Terminal Services требуют сервера лицензирования, который хранит и отслеживает лицензии доступа (CAL). Поэтому серверы the MetaFrame должны быть способны подключиться к активированному серверу лицензирования Windows 2000 перед тем, как Terminal Services начнет выдавать лицензии. Желательно размещать сервер лицензирования в той же подсети, что и серверы MetaFrame.
В доменах Windows NT 4.0, доменный сервер лицензирования можно установить на любой сервер. В среде доменов Windows 2000, а также в смешанном режиме, сервер лицензирования необходимо установить на контроллере домена. Таким образом, выделенный контроллер домена будет поддерживать Active Directory и Terminal Services Licensing. Сервер лицензирования должен быть логически расположен поблизости от серверов MetaFrame, чтобы минимизировать прохождение сетевого траффика через разные подсети.
2.6.1 Сетевой траффик, порождаемый Terminal Services Licensing
Если сервер Terminal Services/Citrix MetaFrame не имеет сервера лицензирования, идентифицированного в Active Directory или реестре, сервер Terminal Services/Citrix MetaFrame запрашивает поиск сервера лицензирования в Windows 2000 Active Directory. Эти проверки порождают незначительный сетевой траффик. Для уменьшения этого траффика идентифицируйте один или несколько серверов Terminal Services Licensing в Active Directory.
Active Directory автоматически распознает сервер Terminal Services Licensing, если он был инсталлирован в режиме Enterprise лицом, имеющим права администратора предприятия (Enterprise Administrator). Обратите внимание, что по умолчанию инсталляция Terminal Services Licensing осуществляется в режиме Domain, а не Enterprise.
Вы можете изменить реестр на каждом сервере Windows 2000 Terminal Services/Citrix MetaFrame, чтобы явно указать сервер лицензирования. Важно заметить, что в реестре можно указать только один сервер лицензирования. Кроме того, если сервер лицензирования меняется, а значение реестра останется старым, то служба лицензирования даст сбой через 90 дней.
Для указания предпочтительного сервера лицензирования найдите в реестре ключ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters
и добавьте значение:
Имя: DefaultLicenseServer
Тип данных: REG_SZ
Значение: ServerName
Замените ServerName на имя подходящего сервера лицензирования.
Критически важно регулярно делать резервную копию сервера лицензирования. Резервирование должно в себя включать:
Данные состоянии системы (System State data)
Каталог Lserver (по умолчанию %windir%\system32\Lserver)
Подробнее о лицензировании Windows 2000 Terminal Services см. http://www.microsoft.com/windows2000/en/server/help/default.asp?url=/WINDOWS2000/en/server/help/ts_lice_c_015.htm.
3. Настройка сетевых адаптеров
3.1 Дуплекс и скорость
3.1.1 Сетевые адаптеры
По умолчанию сетевые адаптеры с маркировкой 10/100 или 100/1000 настроены на автообнаружение скорости и дуплекса подключенного устройства. Автообнаружение определяет наибольшие поддерживаемые скорость и дуплекс. Например, для среды 10/100 обнаружение идет в следующем порядке: 100BaseTX full duplex, 100BaseT4 half duplex, 100Base TX half duplex, 10BaseT full duplex и, наконец, 10BaseT half duplex.
Хотя гигабитные сетевые адаптеры упали в цене и в настоящее время поставляются с новыми серверами, пропускная способность, ассоциированная с 1000 Mbps, редко нужна на серверах MetaFrame. В большинстве случаев достаточно скорости 100 Mbps, хотя можно использовать объединение (teaming) сетевых адаптеров для повышения отказоустойчивости.
Скорость и дуплекс следует настраивать вручную. Автообнаружение не только создает небольшую задержку, но иногда ее результаты не оптимальны. Более того, в результате несовпадения настроек сетевого адаптера и порта коммутатора будут пропадать пакеты.
При подключении к коммутатору рекомендуется вручную настроить сетевую карту на максимальную скорость и полный дуплекс. При подключении к концентратору (хабу) необходимо настроить на максимальную скорость и полудуплекс; это необходимо для избежания коллизий. Учтите, что подключение серверов MetaFrame к концентраторам не рекомендуется, независимо от размера среды; всегда следует использовать коммутаторы.
При обновлении драйверов адаптеров обязательно проверяйте, что настройки скорости и дуплекса сохранились. Иногда новые драйверы переопределяют сделанные настройки и заново устанавливают автообнаружение.
3.2 Протоколы
Если к одному сетевому адаптеру привязано несколько протоколов, это может вызвать нежелательные задержки, поэтому рекомендуется удалить ненужные протоколы. Также важен порядок привязки протоколов, в котором наиболее часто используемый протокол должен стоять первым, поскольку каждый протокол перебирается в последовательном порядке. Поскольку большинство сред MetaFrame в качестве основного протокола используют TCP/IP, рекомендуется установить порядок привязки следующим образом:
TCP/IP
Client for Microsoft Networks
NWLink или IPX/SPX (если есть)
3.3 Несколько сетевых адаптеров
Иногда на одном сервере MetaFrame устанавливают несколько сетевых адаптеров. Их можно объединить или назначить адаптерам разные адреса. Объединение адаптеров (teaming) является лучшей практикой, а многоадресность часто неправильно настраивают, она создает брешь в безопасности и поэтому ее не следует использовать. Опции нескольких сетевых адаптеров далее обсуждаются в порядке от самой предпочтительной до самой нежелательной.
3.3.1 Объединение адаптеров
Существует несколько технологий объединения сетевых адаптеров от разных производителей. Cisco использует термин “Fast EtherChannel”. Разные производители используют разные термины, которые могут (или не могут) означать одно и то же.
Cisco Fast EtherChannel представляет собой технологию отказоустойчивости и распределения нагрузки, в которой один и тот же адрес MAC или IP привязывается к двум или четырем адаптерам Fast Ethernet или Gigabit Ethernet, формируя параллельные каналы связи. При этом обеспечивается высокая пропускная способность, распределение нагрузки и отказоустойчивость. Citrix MetaFrame поддерживает эту технологию, которая является самой рекомендуемой.
На одном сервере MetaFrame редко требуется более двух сетевых адаптеров. Основное назначение EtherChannel состоит в обеспечении отказоустойчивости на случай выхода из строя одной из сетевых карт или порта коммутатора. Помимо избыточности, предоставляемой виртуальным каналом, создаваемым при объединении, EtherChannel улучшает нагрузку адаптеров, удваивая или учетверяя (в случае 4 адаптеров) пропускную способность одной сетевой карты.
EtherChannel часто неправильно настраивают, и в результате вместо оптимизации получается масса проблем с сетью. Все порты коммутатора должны принадлежать одной и той же виртуальной сети (VLAN) или подсети. На портах коммутатора и на сетевом адаптере должны быть одинаковые настройки скорости и дуплекса. Более того, необходимо использовать Cisco IOS версии 12 или выше.
При конфигурировании коммутатора для поддержки EtherChannel, группу портов можно создать автоматически, используя Port Aggregation Protocol, или вручную. Рекомендуется второй способ. Точная команда для создания группы портов отличается в зависимости от модели коммутатора. Например, сетевой администратор может использовать следующую команду для каждого объединяемого порта коммутатора:
2900B(config-if)#port group [#] distribution [source|destination]
Если для метода distribution выбран источник (source), то все блоки входящих пакетов из одного источника будут проходить через один и тот же порт. Это рекомендуемый метод. Если же выбрано destination, то все входящие пакеты будут пересылаться на основе назначения.
На некоторых коммутаторах Cisco необходимо использовать смежные порты. Так, на 12-портовом коммутаторе можно объединить порты 1-4, 5-8 или 9-12; на 24-портовом коммутаторе лучше всего объединить порты 1-8, 9-16 или 17-24.
Использование технологии EtherChannel требует поддержки со стороны производителей сервера, сетевых адаптеров и коммутаторов. По состоянию на сентябрь 2002 г. Cisco поддерживает сетевые адаптеры от следующих производителей: Adaptec, Auspex, Compaq, Hewlett-Packard, Intel, Phobos, Sun Microsystems и ZNYX. При использовании драйверов Compaq, последний драйвер, поддерживающий объединение адаптеров, выпущен в декабре 2002 и называется CP002710.exe; он инсталлирует драйвер Compaq версии 7.11.711.1. Для загрузки драйвера используйте Add/Remove Programs, иначе объединение будет казаться настроенным, хотя на деле это будет не так. После загрузки драйвера на каждом сетевом адаптере необходимо вручную выставить максимальную скорость и полный дуплекс. Затем нужно выбрать адаптеры и выбрать Team. Наконец, в Teaming Controls необходимо включить Load Balancing и Switch-Assisted Load Balancing. Распределение нагрузки осуществляется через адрес MAC или IP. Использование адреса MAC более предпочтительно, поскольку осуществляется на уровне 2, т.е. на том же уровне OSI, на котором работает коммутатор. Объединение на базе IP не рекомендуется, поскольку адреса IP могут меняться и они зависят от адресов MAC и конфигурации сервера. После настройки объединения сетевых адаптеров, перезагрузите сервер и назначьте адрес IP новому объединенному сетевому адаптеру, иначе его адрес станет по умолчанию 169.254.x.x.
Для избежания проблем с Spanning Tree, исключите из участия в нем портов коммутатора, подключенных к сетевым адаптерам сервера MetaFrame, или включите PortFast. Рекомендуется последнее. PortFast разрешает портам, не участвующих Spanning Tree, подключаться к сети менее чем за секунду, переводя их в режим пересылки (“forwarding”). Таким образом сокращается 50-секундный процесс Spanning Tree.
Для настройки PortFast в Cisco 2900, для каждого порта коммутатора, подключенного к сетевому адаптеру сервера и использующего объединение, надо выполнить следущую команду:
2900B(config-if)#spanning-tree portfast
В случае адаптеров Intel, драйвер PROSet II обеспечивает функциональность, необходимую для объединения адаптеров. В Windows 2000, PROSet II необходимо установить как отдельный компонент, помимо самих драйверов Intel PRO. Для объединения адаптеров на экране конфигурации PROSet II щелкните правой кнопкой на желаемом адаптере и следуйте подсказкам мастера.
Очень важно, чтобы на сервере были инсталлированы последние драйверы сетевых адаптеров, и после установки драйверов необходимо проверять настройки адаптеров. Новый драйвер может переопределить сделанные вами настройки.
3.3.2 Отказоустойчивость
Отказустойчивость подразумевает, что в один и тот же момент времени работает только один сетевой адаптер, а второй активируется только в том случае, если первый выходит из строя. Хотя отказустойчивость предусматривает избыточность, она не предоставляет дополнительной полосы пропускания или распределение нагрузки, что доступно при объединении адаптеров. В случае, когда коммутатор не поддерживает объединение сетевых адаптеров, отказоустойчивость является лучшим решением.
Процесс перехода на другой адаптер вызывает задержку около 0.5 секунд. Тестировании показало, что эта задержка недостаточно велика для потери сеанса ICA.
3.3.3 Резервирование сетевых адаптеров
Хотя вероятность отказа сетевого адаптера невелика, единственный адаптер может представлять собой одинчную точку отказа. Поэтому если по каким-то причинам реализация объединения адаптеров невозможна, в качестве резерва можно использовать второй сетевой адаптер.
Если второй адаптер используется в качестве резервного, Windows 2000 автоматически обнаруживает его. Однако необходимо сделать настройки TCP/IP, а затем в диспетчере устройств запретить этот адаптер. В случае выхода основного адаптера из строя необходимо вручную разрешить резервный адаптер и подключить его к порту коммутатора.
3.3.4 Многоадресные серверы MetaFrame
Многоадресный сервер - это сервер, содержащий два и более сетевых адаптеров с разными адресами IP, обычно принадлежащим разным подсетям. Чаще всего многоадресность используется при подключении сервера MetaFrame к серверу базы данных, файловому серверу или другим ресурсам, расположенным в другой подсети.
При подключении к нескольким подсетям, сервер MetaFrame напрямую связывается с этими подсетями. В этом случае возникает потенциальная возможность перехитрить маршрутизаторы и создать брешь в безопасности.
Включение многоадресности на сервере MetaFrame может вызвать нежелательные задержки и последствия, если ее неправильно настроить. Начиная с MetaFrame XP Feature Release 1, многоадресность поддерживается только для TCP/IP. Только один адаптер должен иметь шлюз по умолчанию. Если другие адаптеры требуют доступ к адресам IP в другой напрямую недоступной подсети, необходимо настроить статический маршрут. Для дополнительных адаптеров шлюзы по умолчанию настраивать нельзя.
4. Конфигурация коммутаторов
4.1 Коммутаторы уровней 2 и 3
Использование соединений FastEthernet в коммутаторах уровня 2 обеспечивает, что каждый сервер MetaFrame находится в собственном домене коллизий. Единственные фреймы, которые видят клиенты в той же подсети - это широковещательные запросы. Каждый интефейс должен быть настроен на полный дуплекс и наивысшую скорость.
Коммутаторы Layer 3 обеспечивают функции Layer 2, а также включают модуль маршрутизации, поэтому данные могут проходить подсети через одно физическое устройство. Коммутаторы третьего уровня более эффективны.
4.2 Конфигурация портов коммутатора
При настройке порта коммутатора на полный дуплекс важно обеспечить, чтобы сетевой адаптер, к которому он подключен, также был настроен на полный дуплекс. В противном случае коммутатор может не обеспечить полный дуплекс, что может привести к потере пакетов, снижению скорости сети, возникновение задержек и прочим проблемам. Кроме того, скорость должна соответствовать максимальной скорости сетевого адаптера.
Наример, если на коммутаторе Cisco уровня 2 порт является FastEthernet, то по умолчанию он настроен на "Auto", т.е. автосогласование настройки дуплекса (полный дуплекс или полудуплекс) и скорости (10 или 100). Настройка порта Full означает, что будет использоваться только полный дуплекс. Это снижает нагрузку на процессор, связанную с согласованием, но также требует, чтобы сетевой адаптер также был настроен на полный дуплекс. Если сетевой адаптер был заменен или изменились его настройки, то, возможно, связь с коммутатором будет происходить неправильно.
Также и с кабелями - самый слабый канал связи диктует скорость соединения. Использование порта 10 Mbps или патч-корда категории 3 приведет к выбору максимальной скорости 10 Mbps, независимо от других настроек скорости. Коммутаторы (хабы) уровня 1, они могут передавать сигналы и не настраиваются; коммутаторы требуют настройки полудуплекса. Как уже упоминалось выше, использование коммутаторов не рекомендуется в среде MetaFrame.
Ниже приведены опции соединений для разных скоростей Ethernet. Обратите внимание, что для гигабита полудуплекс не используется.
Настройка сетевого адаптера Для этого устройства должно использоваться:
10 Mbps Half Duplex Концентратор 10Mbps
100 Mbps Half Duplex Концентратор 100Mbps
10 Mbps Full Duplex Порт коммутатора 10Mbps, Full Duplex
100 Mbps Full Duplex (recommended) Порт коммутатора 100Mbps, Full Duplex
1000 Mbps Full Duplex Порт коммутатора 1000Mbps, Full Duplex
На коммутаторах Cisco серий 1900, 2900 или 3500 для настройки портов на полный дуплекс дайте следующую команду:
2900A(config-if)#duplex full 2900A(config-if)#speed 100
Сетевой администратор также может назначить порту коммутатора уровня 2 постоянный адрес MAC. Преимущество постоянного адреса MAC состоит в том, что он никогда не устаревает, и коммутатору не надо создавать ассоциацию адреса MAC, поскольку она постоянно прописана в памяти адресов коммутатора. Недостатком является то, что при замене сетевого адаптера новый адаптер не сможет связаться с коммутатором, поскольку тот ожидает траффик от другого адреса MAC.
На коммутаторе Cisco 2900 для настройки постоянной ассоциации адреса MAC, введите команду:
2900A(config)#mac-address-table permanent [MAC Address] [port]
5. Глобальные сети и удаленный доступ
Часто пользователи подключаются к серверам MetaFrame через WAN. В этом разделе обсуждаются RAS, VPN, Web Interface и Secure Gateway, а также общие вопросы использования WAN.
5.1 Соединения через WAN
Наиболее общая причина пропадания сеансов MetaFrame заключается в недостаточной пропускной способности WAN. Для сеансов MetaFrame требуется ширина канала около 20 Kbps на одного пользователя.
Особенно это касается спутниковых каналов связи и беспроводных сетей. Очень важно постоянство соединения; потеря пакетов вызывает неустойчивые сеансы. В случае потери сеанса клиент ICA версии 6.00 и выше будет пытаться автоматически восстановить соединение.
При проектировании или при диагностике проблем в сети с большим количеством пользователей следует учитывать не только минимальные 20 Kbps на одного пользователя, но и дополнительную ширину канала, требуемую для печати и дополнительных расходов, например, шириковещательные рассылки маршрутизации, траффика ICMP и пр. В частности, иногда встречается недопонимание каналов связи Frame Relay. При получение услуги frame relay от провайдера используются два парамтера - CIR и Burst. CIR, или Committed Information Rate (гарантированная скорость передачи) означает гарантированную ширину канала, тогда как Burst означает дополнительную скорость, которая будет предоставлена по мере возможности. Поскольку провайдер обязуется обеспечить только CIR, администратор должен планировать канал соответствующим образом.
По мнению Cisco, каждый коммутатор, маршрутизатор и расстояние около 100 миль добавляют задержку около 1 миллисекунды. К сожалению, невозможно оценить максимальную задержку, которая будет приемлима для пользователей, вследсвие разнообразия приложений, каналов WAN и терпимости пользователей.
5.2 Мониторинг и управления сеансами ICA
На странице http://www.citrix.com/cdn доступен набор инструментов мониторинга и управления сеансами ICA (ICA Session Monitoring and Control Software Development Kit, SMC SDK). Это набор разрабочика, содержащий API, которые можно использовать для написания приложений, управляющих сетевыми аспектами сеансов ICA.
Примером реализации SMC SDK является консоль SMC Console, которая может быть запущена на любом сервере MetaFrame Feature Release 2 и выше. Она предоставляет средства тестирования и поиска неисправностей в приложениях, зависящих от полосы пропускания, виртуальных каналов и других сетевых возможностей.
5.3 Сложное кеширование и инкапсуляция
Сложное кеширование и инкапсуляция включают в себя сетевые устройства, использующие патентованные технологии кеширования, снижающие нагрузку на сеть. Эта технология включает в себя многие особенности протокола ICA. Но если ICA кеширует для отдельных сеансов, то продукты Expand Networks (http://www.expand.com/) и Peribit (http://www.peribit.com/) кешируют неизменяемые части экрана для нескольких пользователей. Поэтому если пользователи используют небольшое число приложений, велика вероятность того, что значительная часть изображений будет хранится на сетевых устройствах поблизости от клиентов. Кроме того, Expand и Peribit инкапсулируют множественные пакеты ICA в болшие пакеты, облегчая их прохождение через WAN.
5.4 Quality of Service (QoS)
QoS включает в себя политику формирования очередей, которая приоритезует отдельные типы пакетов при их прохождении через маршрутизатор. Чаще всего QoS используется в WAN, поскольку локальные сети, как правило, имеют пропускной способнрости в изобилии. Решения QoS предлагаются Cisco и другими производителями маршрутизаторов. Кроме того, Packeteer (http://www.packeteer.com/) и Sitara (http://www.sitara.com/) предлагают дополнительные аппаратные устройства для реализации QoS. Это решение позволяет сетевым администраторам следить за траффиком, проходящим через сеть, и применять политики в зависимости от желаемого приоритета.
В этой статье маршрутизаторы Cisco подробно обсуждаются потому, что большинство внедрений MetaFrame уже использует оборудование Cisco. Продукты Packeteer или Sitara могут предоставить оптимальное решение QoS.
На маршрутизаторах Cisco наиболее часто используются следующие типы QoS: FIFO, взвешенная очередь (WFQ), очередь приоритетов (priority queuing), заказная очередь (custom queuing) и недавно появилось "распознавание сетевых приложений" (network-based application recognition, NBAR). Взвешенные очереди по умолчанию используются в каналах WAN скоростью E1 (2.048 Mbps) или медленнее, а FIFO по умолчанию используется на всех каналах WAN и LAN со скоростью выше E1. В последнее время Cisco добавила взвешенные очереди на базе классов (class-based weighted fair queuing) и очереди с низкой задержкой (low-latency queuing); однако, эти новые технологии очень сложные и находятся за рамками этой статьи. Эти альтернативы позволяют сетевому администратору более точно указывать, какие пакеты надо приоритезировать.
Наиболее общие типы Cisco QoS и их характеристики:
Параметры/метод Weighted Fair
Queuing Priority Queuing Custom Queuing
База очереди Нет 4 очереди 16 очередей
Метод обслуживания Приоритезация небольшого по объему траффика На основе приоритета очередей Циклический перебор (Round robin)
Где используется WAN со скоростью до 2 Мбит/с WAN или LAN WAN или LAN
Как настраивается По умолчанию Вручную Вручную
В среде MetaFrame, когда пользователи подключаются к ферме по перегруженным каналам WAN, QoS улучшает траффик ICA. Если пакеты ICA постоянно пропадают по мере прохождения по сети, то сеансы ICA с большой долей вероятности будут отключаться. Например, если пользователь в удаленном офисе передает очень большой файл, который потребляет всю полосу пропускания, и этот траффик имеет больший приоритет, чем тарффик ICA, то у другого пользователя, использующего MetaFrame, скорее всего пропадет соединение.
Траффик MetaFrame небольшой (около 20 Кбит/с), но чрезвычайно важно, чтобы пакеты проходили по возможности без ретрансмиссии. Хотя MetaFrame имеет особенность переподключать пользователя к его предыдущему сеансу (в зависимости от значения тайм-аута), при частом пропадании соединения работа пользователя будет крайне некомфортной.
Хотя во многих компаниях QoS не применяется, настоятельно рекомендуется использовать ее преимущества.
Ниже описаны некоторые типы QoS.
5.4.1 First-In, First-Out (FIFO)
Очередь типа FIFO означает, что пакеты обрабатываются последовательно, независимо от приоритета. Это по умолчанию используется в локальных и глобальных сетях со скоростями выше 2 Мбит/с.
5.4.2 Weighted Fair Queuing (WFQ)
Взвешенные очереди (WFQ) - это алгоритм динамической приоритезации; он по умолчанию используется на всех портах Cisco, поддерживающих скорости WAN ниже 2Мбит/с (E1). Это метод приоритезации чувствительных к задержкам пакетов; он предотвращает интенсивному траффику потреблять всю полосу пропускания сети. WFQ сортирует траффик на основе адресов или портов источника, назначения, ретранслирует кадры, делает QoS и затем убеждается, что каждое соединение должным образом использует полосу пропускания. Низкоинтенсивному траффику дается более высокий приоритет, чем интенсивному траффику.
Интерфейсы WAN со скоростью выше 2 Мбит/с недоступны для WFQ. Интерфейсы Ethernet не могут использовать WFQ.
5.4.3 Priority Queuing
Очередь приоритетов позволять устанавливать приоритеты в зависимости от протокола и номера порта. Всякий раз, когда маршрутизатор получает пакет с указанным протоколом и номером порта, ему присваивается приоритет: высокий, средний, нормальный или низкий. Сначала обслуживается траффик с высоким приоритетом, затем - со средним и т.д.
При использование очереди приоритетов могут возникнуть проблемы с прочим траффиком на неприоритезированные протоколы или порты, если через маршрутизатор передается значительное количество траффика с высоким приоритетом. Например, во время передачи большого файла его приоритезированный траффик может оставить слишком мало полосы пропускания для траффика ICA, FTP и заданий печати.
Очереди приоритетов настроить несложно. Для этого сетевой администратор должен создать список очередей, назначить прочему траффику очередь по умолчанию, а затем назначить интерфейсу номер списка. Также можно использовать список доступа для определения входящего траффика, подлежащего приоритезации, и можно изменить размер очереди приоритетов, но последнее не рекомендуется делать, поскольку это может вызвать потрею пакетов.
В нашем примере мы назначим высокий приоритет для TCP 1494 и UDP 1604, а остальному траффику - нормальный приоритет:
RouterA(config)#priority-list 1 protocol ip high tcp 1494 RouterA(config)#priority-list 1 protocol ip high udp 1604 RouterA(config)#priority-list 1 default normal RouterA(config)#int s0 RouterA(config-if)#priority-group 1
В привилегированном режиме сетевой администратор может подтвердить настройки приоритетов, введя команду “show queueing priority”. Обратите внимание на написание слова "queueing". Вывод команды будет приблизительно следующим:
RouterA#show queueing priority Current DLCI priority queue configuration: Current priority queue configuration: List Queue Args 1 high protocol ip tcp port 1494 1 high protocol ip udp port 1604
5.4.4 Custom Queuing
Заказные очереди (Custom Queuing) позволяют ограниченному числу пакетов каждого заданного класса траффика передаваться через маршрутизатор. Можно настроить до 16 разных очередей, работающих по кругу. Это аналогично технологии, лежащей в основе Token Ring. Размер каждой очереди может быть разным, чтобы позволить отдельным типам траффика передавать большее или меньшее количество байт.
Маршрутизатор обрабатывает пакеты последовательно, в циклическом (round robin) формате. Администратор настраивает для отдельной очереди ее размер в байтах. Если в очереди нет пакетов, или очередь заполнена частично, маршрутизатор не останавливается на ней, а переходит к следующей очереди в последовательном порядке.
Процесс создания заказных очередей состоит в следующем:
Назначение заказной очереди по умолчанию
Настройка максимальной количества байт в каждой очереди
Назначение списка заказных очередей интерфейсу
В следующем примере сетевой администратор в привилегированном режиме создает пятикратное преимущество траффика TCP 1494 и UDP 1604 (в очереди 1) по сравнению с остальным сетевым траффиком (в очереди 2):
RouterA(config)#queue-list 1 protocol ip 1 tcp 1494 RouterA(config)#queue-list 1 protocol ip 1 udp 1604 RouterA(config)#queue-list 1 default 2 RouterA(config)#queue-list 1 queue 1 byte-count 30000 RouterA(config)#queue-list 1 queue 2 byte-count 6000 RouterA(config)#int s0 RouterA(config-if)#custom-queue-list 1
В привилегированном режиме сетевой администратор может подтвердить настройки приоритетов, введя команду “show queueing custom”:
RouterA#show queueing custom Current custom queue configuration: List Queue Args 1 2 default 1 1 protocol ip tcp port 1494 1 1 protocol ip udp port 1604 1 1 byte-count 30000 1 2 byte-count 6000
5.4.5 Network-Based Application Recognition
Начиная с Cisco IOS 12.1(2)E, для траффика ICA стало возможным использовать технологию распознавания приложений (Network-Based Application Recognition, NBAR). NBAR автоматически подразумевает, что порты TCP port 1494 и UDP port 1604 используются для траффика ICA и позволяет сетевым администраторам идентифицировать и классифицировать сетевой траффик на базе опубликованных приложений Citrix для дополнительной приоритезации.
NBAR эффективно только при использовании опубликованных приложений. Опубликованные рабочие столы с одинаковыми параметрами нельзя дифференцировать. Более того, приложения должноы быть опубликованы в seamless-режиме, совместное использование сеансов должно быть запрещено, чтобы можно было диффе