3. Citrix Networking-Lösungen XenDesktop
XenApp
Branch Access XenServer
Receiver Repeater Gateway NetScaler
Data
Center
4. Citrix Networking Lösungen – Checkliste
Verbesserung des Benutzer-Komforts
Bessere Performance beim Remote-Zugriff
Bandbreiten-Optimierung
Konsolidierung & Vereinfachung der IT
Höhere Sicherheit
Hochverfügbarkeit aller IT-Ressourcen
Verbesserte Skalierbarkeit
Senkung der TCO
6. Citrix Access Gateway
Citrix Access Gateway™ ist die einzige Lösung, die Richtlinien-
basierte Zugangskontrolle zu allen Anwendungen, Ressourcen und
virtuellen Desktops ermöglicht.
Beste Performance
Einfaches Management SmartAccess
& Skalierbarkeit
7. Warum Citrix Access Gateway?
• Flexible Einsatzmöglichkeiten: gehärtete physische oder virtuelle Appliance
• Bietet die beste Lösung für sicheren Zugriff auf Citrix-Infrastrukturen
• Ideales Zusammenspiel mit XenApp und XenDesktop
• Nahtloser Zugriff durch Citrix Receiver
• Zusammenspiel mit Repeater Plug-in
• Sicherer, beschleunigter Zugriff über WAN-Strecken
• Integration in NetScaler
• Multi-site DR/BC mit Access Gateway & Global Server Load Balancing (GSLB)
• Eine Appliance für Hochverfügbarkeit und sicheren Zugriff auf Citrix-Umgebungen
• Hohe Skalierbarkeit und Performance – marktführend
• Zentraler Zugangspunkt zu allen Anwendungen
8. Citrix SmartAccess
andere SSL VPNs gehen nur bis hierher
Wer und wo? Welche Wie Welche Aktionen?
Ressourcen? schnell?
Web und File Netzwerke
Welcher Welches VPN Clientless
Ressourcen Access
Benutzer Endgerät Access
Repeater
XenApp XenDesktop
Welche Welcher Mail Applikationen
Authentifizierung Standort Server • Applikationen • Desktops
• Virtuelle • Virtuelle
Kanäle Kanäle
Endpunkt-Analyse & Zugriffs- Beschleuni- Aktions-Kontrollle
Authentifizierung Kontrolle gung
9. Appliance Optionen für hohe Skalierbarkeit
Access Gateway 2010
500 Benutzer
Access Gateway
MPX 5500
5.000 Benutzer
NetScaler
MPX 7500 und 9500
10.000 Benutzer = 100
10. Access Gateway VPX
• CAG verfügbar als virtuelle Appliance
• Gleiche Firmware und Funktionen wie beim Modell 2010
Citrix Access Gateway VPX
• Läuft als virtuelle Maschine auf XenServer
• Einfache Administration und schnelle Inbetriebnahme
• Unterstützt bis zu 500 Benutzer gleichzeitig (CCU)
• Listenpreis CHF 1’343.-- (1’244.-- ab 1.11.2010)
• Inkl. 1 Jahr Subscription Advantage
• Kostenlose 5User VPX Express Edition
• www.citrix.com/tryaccessgateway
11. Auswahl der Appliance
Plattform Funktionen Universal Licenses
Secure Access für Secure Access für
XenApp & XenDesktop alle Anwendungen
(Receiver und Dazzle Support)
Welche Funktionalität? Sicherheit und Datenschutz
(SmartAccess)
Vereinfachtes Management
• Wieviele Benutzer?
• Gehärtete physische Appliance oder virtuelle
Welche Appliance? Appliance? User)
2010 (500 MPX 5500 (5000 User)
• Dediziert für Secure Access oder multifunktional? VPX
12. Beziehen von Lizenzen
Plattform Funktionen UniversalXenApp Platinum
Licenses
Secure Access für
(1:1)
Secure Access für
XenApp & XenDesktop alle Anwendungen
(Receiver und Dazzle Support)
SicherheitXenDesktop Platinum
und Datenschutz
Auf Appliance (SmartAccess)(1:1)
enthalten
(Access Gateway und Vereinfachtes Management
NetScaler) NetScaler Platinum
(100 pro Appliance)
Separate Bestellung
13. Appliance Optionen
• Multifunktions-Appliance (Secure Access, Load Balancing, Acceleration)
• Höchste Kapazität (10.000+ Benutzer pro Appliance)
NetScaler MPX 7500 oder größer • Ideal für Business Continuity über mehrere Rechenzentren (GSLB)
• Für Secure Access konzipiert
• Hohe Kapazität (5.000 Benutzer pro Appliance)
• HA für ein einzelnes Rechenzentrum
Access Gateway MPX 5500 • Möglichkeit des Upgrades auf NetScaler für weitere Funktionalität
• Ideal für Secure Access zu XenApp und XenDesktop
• Einfache Installation & Administration
• Kapazität für mittelgroße Umgebungen (500 Benutzer pro Appliance)
Access Gateway 2010
• Virtuelle Appliance mit den gleichen Funktionalitäten wie AG 2010
Access Gateway VPX • Kapazität für mittelgroße Umgebungen (500 Benutzer pro Appliance)
• Einfache Administration und Management
15. Benötigt
Plattform-
Funktion Universal
Feature
License
Sicherer Zugriff auf XenApp und XenDesktop
Bietet sicheren Zugriff auf XenApp und XenDesktop Sitzungen ohne dass
eine VPN Verbindung benötigt wird. Unterstützt auch Citrix Receiver, Dazzle
und Merchandising Server und bietet daher einen wichtigen Mehrwert
gegenüber Secure Gateway.
Sicherer Netzwerk Zugriff
Vollständige VPN-Unterstützung ermöglicht Zugriff auf Netzwerk-Ebene zu
jedem Server innerhalb des geschützten Netzwerks.
Einfacher Zugriff auf Anwendungen & Desktops
Sicherer Zugriff ohne Client – „Browser-only“
Bietet einen zentralen Zugriffspunkt für sicheren Zugriff Sicherer Zugriff auf Web Anwendungen und File Shares mittels Browser -
zu allen Anwendungen, Ressourcen und Desktops von auch ohne ein Access Gateway Plugin auf dem Client
jedem Endgerät und sorgt so für eine deutliche Zentraler Zugangspunkt
Vereinfachung für Benutzer und Administratoren. Bietet für alle Benutzer über eine Webseite den zentralen Zugriffspunkt zu
Anwendungen, File Shares, Email und anderen IT Ressourcen.
End-User Lokalisierung
Die Benutzeroberfläche (User Interfaces) ist in Englisch, Spanisch,
Französisch, Deutsch und Japanisch lokalisiert.
Unterstützung gängiger Client Betriebssysteme
Unterstützung aller gängigen Plattformen incl. Windows 32 und 64-Bit
Betriebssysteme (incl. Windows 7) und Mac Os X.
Integriertes Endgeräte-Scanning
Kontinuierlicher Scan von Endgeräten um festzugstellen, ob der Client
entspr. Sicherheitsvorgaben erfüllt (Anti Virus, Personal Firewall u.a. Apps).
Erweitertes Maschinen-Scanning
Endpunkt-Analyse Ermittelt Maschinen Identität durch Scanning und Überprüfung ob sich das
Stellt sicher, dass Geräte die sich mit dem Firmen-Image auf dem Client befindet.
Firmennetzwerk verbinden sicher sind und Benutzer eine Quarantäne-Gruppen und Problembehebung
einheitliche Methode nutzen können, um die Endgeräte Leitet Clients, die nach Endgeräte-Scan mit limitierten Zugriffs-
Berechtigungen eingestuft wurden an Server weiter, wo entspr. Updates und (MPX 5500 oder
entsprechend der Anforderungen und Richtlinien Patches geladen werden können. Außerdem bekommen sie weniger NetScaler)
upzudaten. Berechtigungen für Anwendungen und Aktionen.
Erweiterbare Endpunkt-Analyse
Endpunkt-Analyse Funktionalität kann mit Standard Entwicklungs-Tools (Benötigt Advanced
erweitert werden. Access Control Server)
16. Benötigt
Plattform-
Funktion Universal
Feature
License
Adaptive Zugriffskontrolle
Bietet Zugriffskontrolle zu Ressourcen basierend auf Endgeräte-Analyse.
Szenario-basierte Richtlinien-Kontrolle
Adaptive Zugriffs-Kontrolle für virtualisierte Anwendungen und
(SmartAccess)
Desktops
Bietet granulare Kontrolle, um höchste Sicherheit beim Bietet adaptive Zugriffs-Kontrolle zu Anwendungen und Desktops, die über
Zugriff auf Daten und Anwendungen zu gewährleisten XenApp und XenDesktop bereitgestellt werden.
und dynamische Konfigurations-Anpassungen abhängig Adaptive Kontrolle auf Anwendungsebene
von Endgerät, Konfiguration, Lokation und Identität Kontrolle des XenDesktop und XenApp Session-Verhaltens durch
Unterdrückung von Funktionen, von unsicher eingestuften Endgeräten.
durchzuführen.
Adaptive Sitzungs-Richtlinien
Dynamische Anpassung der Benutzer-Sitzungen basierend auf dem Ergebnis
der Endgeräte-Analyse.
Standardisierte Sicherheit
Anwendungs- und Daten-Sicherheit Sicherstellen, dass jegliche Kommunikation über SSL/TLS Verschlüsselung
gesichert ist.
Alle Daten-Transfers zwischen Client und Gateway Zweifaktor-Authentifizierung
werden geschützt. Bietet starke Zweifaktor Benutzer-Authentifizierung gegen - auch bereits
vorhandene - LDAP und RADIUS Server.
Repeater Integration
Im Zusammenspiel mit Citrix Repeater bietet Access Gateway performanten,
sicheren Zugriff durch den SSL VPN-Tunnel für
mobile und Remote-Anwender sichergestellt.
Unterstützung von Client-Zertifikaten
Um Endgeräte zu verifizieren validiert Access Gateway Zertifikate bevor
Verschlüsselung und Optimierung des Datenverkehrs Zugriff zu geschützten Ressourcen gewährt wird.
Eine Einzellösung, die sicherstellt dass Benutzer auch bei Split Tunneling Kontrolle
schlechter Netzwerk-Performance sicheren und Deaktiviert Zugriff zu allen Netzwerk Ressourcen, die nicht zum gesicherten
Netzwerk gehören.
performanten Zugriff auf alle Ressourcen haben.
Erweiterte Split Tunneling Kontrolle
Split Tunneling kann auf Clients deaktiviert werden, um direkten Internet-
(MPX 5500 oder NetScaler)
Zugriff zu unterdrücken aber Zugriff auf lokale Client-Ressourcen zu erlauben.
Löschen des Browser Verlaufs
Löschen von Objekten und Daten, die im lokalen Browser Cache während der
(MPX 5500 oder NetScaler)
SSL VPN Sitzungen gespeichert wurden.
17. Benötigt
Plattform-
Funktion Universal
Feature
License
Hochverfügbarkeits-Konfiguration (HA)
Fehler-Toleranz Konfiguration der Appliances zu einen Aktiv/Passiv Paar um sicherzustellen, (MPX 5500 oder
dass Sitzungen aktiv bleiben, wenn der Master nicht verfügbar ist. NetScaler)
Bereitstellen einer Secure Access-Lösung, die höchste Optionales Global Server Load Balancing (GSLB)
Verfügbarkeit und Zuverlässigkeit gewährleistet.
Weiterleitung der Client Verbindung zu der bestmöglichen VPN Site,
(benötigt NetScaler)
basierend auf Verfügbarkeit, geografischen Nähe und Auslastung.
Zentrale Administration
Konfiguration und Management von Access Gateway Appliances aus einer
einzelnen Management Konsole.
Wizard-gesteuerte Konfiguration
Bietet intuitive, aufeinanderfolgende Click-Through Masken und einfache
Beschreibungen um Adiministratoren durch Installation und Konfiguration zu
führen.
Mehrere virtuelle VPN Server
Eine einzelne Appliance kann mehrere SSL VPNs durch Hosting von einem
(MPX 5500 oder
oder mehreren virtuellen Servern mit jeweils einer eindeutigen IP, FQDN und
Zertifikaten emulieren NetScaler)
Einfaches Management und Administration
Historische Analysen und Reports
Erhöht die Effizienz von IT-Organsiationen durch Bietet Administratoren eine grafische Sicht auf System- und Benutzer- (MPX 5500 oder
Vereinfachung allgemeiner Installations- und Aktivitäten. NetScaler)
Management-Aufgaben und- Routinen.
Detaillierte administrative Auditierung
Monitoring aller administratorischen Konfigurations-Änderungen um
(MPX 5500 oder
Verantwortlichkeiten festzustellen und mögliche Konfigurations-Fehler per
Roll-Back rückgängig zu machen. NetScaler)
Auto-Download / Auto-Update des Client Plug-in
Automatischer Download des Citrix Secure Access Plug-in, wenn der
Benutzer sich am Citrix Access Gateway anmeldet um sicherzustellen, dass
immer die aktuelle Client Software eingesetzt wird.
Unterstützt automatische Verteilung des Access Gateway Plug-in
Vereinfacht die Client-Installation durch die Möglichkeit der Verteilung des
Access Gateway Plug-in durch System- oder Client-Management Lösungen.
19. Access Gateway 5.0
• Neuer Release für AG 2010 und AG VPX
• Speziell entwickelt für SecureAccess für
XenApp/XenDesktop
• Alle Appliance Firmware mit einfacher
Administrtion
• Kostenloser Upgrade für Kunden mit AG
Standard und AG Advanced Edition Verfügbar
• Subscription Advantage Eligibility date: Sep 1, 2010
22. Appliance Failover
Internal
Resources
Primary - active
External Virtual Internal Virtual
IP Address IP Address
Secondary - passive
Vorteile Appliance Failover
• Keine Auswirkung für den User bei Ausfall
• Sessions synchronisieren sich bei Ausfall
• Kein Access Gateway Plug-in notwendig
23. SmartGroups Simplify Access Control
Quickly associate users and device types with access controls and session preferences
24. Configuration Snapshots
• A “time machine” for firmware updates and configuration changes
• Roll back to an earlier snapshot or move forward to a new release
25. Multiple Username Authentication
• Users can be required to
provide one username and
two passwords…
• Or two usernames and two
passwords
27. Access Controller Option
XenDesktop
User Session Traffic XenApp
Access Gateway
Appliance Cluster
File & Web
Web Interface
Access Controller Benefits
• Centralized Cluster Management
• LAN-based Authentication Active Directory
• Native Active Directory authentication
• Enhanced Endpoint Analysis capabilities LDAP, RADIUS, RSA
• File share browser with XenApp launch
• MMC-based Administration Citrix Access Controller
(Delivery Services Console) Centralized Policy Management
and Authentication Services
28. Clustering
Appliance Cluster Access Controller
Cluster SQL Cluster
SQL
Users redirected to the Appliances auto-discover Session state stored in a
least busy appliance at controller servers and shared database
logon distribute AAA traffic evenly
33. Flexibler Einsatz von NetScaler VPX
• On-Demand Einsatz – überall
• Vereinfachte Logistik: Verteilung von
Application Delivery Controller-Funktionen
per Image
• Flexible Lizenzierung – eine Lösung sowohl
für kleine Unternehmen als auch für
grosse Service Provider
38. Warum Secure Gateway oder Access Gateway durch
NetScaler ersetzen?
• Eingebaute Redundanz
• Mit Secure Gateway und Access Gateway 2010 kann Ausfallsicherheit nur
durch Einsatz einer zusätzlichen Load Balancing Lösung erreicht werden
• GSLB bietet Hochverfügbarkeit über mehrere, verteilte
Rechenzentren
• Konsolidierung und Vereinfachung der Netzwerkinfrastruktur
• Umfangreiche Funktionalitäten auf einer Appliance
• Gehärtete Appliance in der DMZ
• Erhöhte Skalierbarkeit & HA – bis zu 10.000 Benutzer
• Zukunftssicher, skalierbar und modular erweiterbar– L7 Load
Balacing, GSLB, Web App Acceleration, App FW usw.
39. Business Continuity und Disaster Recovery Szenarien:
Access Gateway & NetScaler GSLB
• Umleitung des SSL VPN Traffics auf unterschiedliche Sites
• Umleitung der Client-Verbindung zum nahest gelegenem / verfügbarem Rechenzentrum
• Implementierung von Multi-Site Disaster Recovery
39 GSLB = Global Server Load Balancing
40. Wann ist die Positionierung von NetScaler innerhalb
einer XenApp Infrastruktur sinnvoll?
• Wenn mehrere WI, XML Broker vorhanden sind
• Mehrere Access Gateways vorhanden sind
• Access Gateway soll als Modul auf der NetScaler Appliance
betrieben werden
• Wenn Komponenten auf Sites verteilt sind (eine Site ist ein
Rechenzentrum an einem Standort)
• Wenn an Sites (Standorten) verteilte XenApp Farmen
existieren
44. Citrix Branch Repeater
Remote & Mobile Data Center
Applications:
Mobile Users Tele-workers XenApp
XenDesktop
Web
Exchange Email
File Servers
Repeater SharePoint
Repeater Plug-in Dynamics CRM
Redundant Datacenter or
Branch Offices Disaster Recovery Site
Branch Branch Repeater with
Windows Server Repeater
Repeater
Citrix Confidential - Do Not Distribute
45. HDX WAN Optimization
Branch Staging of
Streamed Apps Adaptive
Adaptive TCP Adaptive Prioritization &
Protocol
Branch Caching of Flow Control Compression QoS
Acceleration
Hosted Desktops
& Apps
WAN
Branch Repeater Repeater
46. Adaptive Protokoll Beschleunigung
Optimierung gängiger Applikations-Protokolle
• Minimiert Folgen der Latenz durch Example: CIFS
Reduzierung der Round Trips
(geschwätzige Protokolle)
• CIFS (Dateiaustausch)
• Meist verbreitetes Protokoll für den
Dateiaustausch
• Zugriff aufs Dateisystem
• MAPI (Exchange)
• Compression Engine erkennt Anwendung
• Separiert den Headers von Payload
• ICA, CIFS, MAPI, HTTP, FTP, NFS
47. Adaptive Compression
Unter Berücksichtigung aktuellem Netzwerk-Bedingungen
• First Pass Compression
• Im Level 2 (CPU) Cache und Arbeitsspeicher Disk
• Verschiedene Algorithmen (ZLIB, LZS) (Festplatte)
Access Time
• Byte Caching DRAM
• Im Speicher oder auf Festplatte
L2 Cache
• Delta-Compression CPU
• Über Workflows hinweg
• Über Anwendungen hinweg
• Über Benutzersitzungen hinweg
History Length
49. Adaptive Compression
Second Pass
Ein kleiner Token ersetzt tausende von Bytes
Compression History Compression History
(HDX IntelliCache) (HDX IntelliCache)
50. Adaptive TCP Flow Control
Unter Berücksichtigung von Latenz und Paketverlusten
Ohne Branch Repeater Mit Branch Repeater
Durchsatz Durchsatz
Link Geschw. durchschn.
Auslastung
durchschn.
Auslastung
Zeit Zeit
Slow Start Slow Ramp
51. Traffic Priorisierung und QoS
Zuweisung von Bandbreite über versch. Anwendungen und virtuelle ICA-Kanäle
Ohne Branch Repeater Mit Branch Repeater
20% ICA (Interactive)
Bulk Transfers 20% Unterhaltung (YouTube, MySpace)
1.5 Mbps
Unterhaltung (YouTube, MySpace)
ICA (Interactive) 60% Bulk Transfers
52. WAN Optimierung – Schlüssel-Technologien
• 5 verfügbare QoS Queues
• Jeder Queue wird ein best. %-Satz
der verfügbaren Bandbreite zugeteilt
• Wenn Queue-Bandbreite frei wird, kann diese von
anderem Datenverkehr genutzt werden
• QoS auch für Citrix ICA
• Dynamisches Mapping basierend auf den ICA
Priorisierungsklassen
• Spezifisches Reporting der Queues
53. Beschleunigung von XenApp Offline Apps
• Bereitstellung und Beschleunigung von gestreamten
Anwendungen in Niederlassungen
• Liefert LAN-ähnliche Performance
• Niederlassung ist auch im Falle eines WAN-Ausfalls
produktiv
• Reduziert die Komplexität und das Management des IT-
Equipments in Niederlassungen
54. Lokales Caching & Delta-Komprimierung über
mehrere XenApp Benutzer-Sitzungen
Niederlassung Optimierte TCP Rechenzentrum
Verbindungen
Branch
Repeater Repeater
Infrastruktur
XenDesktop Server
Farm
XenApp
Farm
55. Multi-User Optimierung für XenApp
• Mehrere Benutzer nutzen die gleichen textlastigen Applikationen,
z.B. MS Word oder Excel
• Mehrere Benutzer benutzen häufig Formular-basierte Web
Anwendungen, z.B. SAP NetWeaver
• Mehrere Benutzer drucken gleiche Daten über ICA aus, z.B.
Universal Print Driver (UPD)
• Mehrere Benutzer transferieren gleiche Dateien per File Transfer
über ICA, z.B. Client Drive Mapping
• Mehrere Benutzer streamen die gleichen Media Daten über ICA, z.B.
HDX MediaStream
56. Branch Repeater Produktlinie
Preis $K
Grosse Niederlassung oder R 8820HS
100 Rechenzentrum
R 8820
50
20 Kleine bis mittlere Niederlassung R 8540
R 8520
BR 300 VPX-45
10
BR 200 VPX-10
6
BR 100
4 VPX-2
VPX-Express
$0
0
512Kbps 1 Mbps 2 Mbps 10 Mbps 20 Mbps 45 Mbps 155 Mbps 500 Mbps
Bandbreite