Zuordnen eines IP-Subnetzes mit einer Citrix ADC Schnittstelle mithilfe von VLANs
Standardmäßig bietet eine Citrix ADC Appliance keine Unterscheidung zwischen Netzwerkschnittstellen. Die Appliance funktioniert eher wie ein Netzwerk-Hub als ein Switch. Dies kann zu Layer 3-Netzwerkschleifen führen, bei denen doppelter Datenverkehr auf mehreren Schnittstellen übertragen wird.
In solchen Szenarien ist es je nach Netzwerkdesign möglich, dass eine Anforderung auf einer Schnittstelle übertragen werden kann und die entsprechende Antwort auf einer anderen Schnittstelle empfangen wird.
Beispielsweise kann ein SYN-Paket, das auf einer Schnittstelle gesendet wird, und die SYN-ACK-Antwort, die auf einer anderen Schnittstelle empfangen wird, zu einer fehlgeschlagenen Verbindung führen, da die Appliance erwartet, den SYN-ACK auf derselben Schnittstelle zu empfangen, die das ursprüngliche SYN-Paket gesendet hat.
Um solche Probleme zu beheben, kann die Appliance interne oder externe VLANs verwenden, um bestimmte Subnetze Schnittstellen zuzuordnen.
Voraussetzungen
Bevor Sie mit der Zuordnung eines IP-Subnetzes mit einer Citrix ADC Schnittstelle mithilfe von VLANs beginnen, beachten Sie die folgenden Punkte:
-
Die Netzwerkkonnektivität kann versehentlich verloren gehen, wenn ein VLAN dem Subnetz oder der Schnittstelle zugeordnet wird, das derzeit für den Zugriff auf die Citrix ADC GUI oder die Befehlszeilenschnittstelle verwendet wird. Daher wird in solchen Szenarien dringend empfohlen, dass die Änderung durch den Zugriff auf die Befehlszeilenschnittstelle über die serielle Konsole einer physischen Citrix ADC-Appliance oder über die virtuelle serielle Konsole eines Citrix ADC VPX vorgenommen wird.
-
Citrix ADC Verwaltungsschnittstellen fehlen bestimmte Hardware-Optimierungsfunktionen, was sie für die Verwendung mit dem Datenverkehr in der Produktion weniger wünschenswert macht. Daher wird empfohlen, Citrix ADC so zu konfigurieren, dass nur die Verwaltungsschnittstellen für den Verwaltungsverkehr (NSIP) verwendet werden. In der Standardkonfiguration gibt es keine logische Unterscheidung zwischen Verwaltungsschnittstellen und Datenschnittstellen auf einem Hardware-NetScaler. Um dieses Ziel zu erreichen, wird empfohlen, dass sich der NSIP auf einem separaten VLAN als Datenverkehr befindet, wodurch sich der Verwaltungsdatenverkehr auf einer separaten Schnittstelle befindet.
Obwohl das Konzept identisch ist, müssen Sie NSVLAN anstelle der folgenden Anweisungen konfigurieren, um die VLAN-Zuordnungen des Subnetzes zu ändern, das die NSIP-Adresse enthält. Solche Änderungen erfordern auch einen Neustart des Citrix ADC, um wirksam zu werden. Weitere Informationen finden Sie unter Konfigurieren von NSVLAN.
-
Bei Citrix ADC SDX wird dringend empfohlen, dass sich das NSIP jeder Instanz im selben Subnetz und VLAN befindet wie die SVM (Management Service GUI) und XenServer des SDX. Die SVM kommuniziert mit Instanzen über das Netzwerk. Wenn sich SVM, XenServer und Instanzen nicht im gleichen VLAN und Subnetz befinden, muss der Verwaltungsdatenverkehr außerhalb des SDX fließen. In diesem Fall können Netzwerkprobleme dazu führen, dass der Instanzstatus gelb oder rot angezeigt wird und dass Verwaltungs- und Konfigurationsänderungen der Citrix ADC Instanzen verhindert werden.
Konfigurationsschritte
Das Zuordnen eines IP-Subnetzes mit einer Citrix ADC Schnittstelle besteht aus den folgenden Aufgaben:
Fügen Sie ein VLANhinzu. Wenn Sie beim Hinzufügen eines VLAN das VLAN kennzeichnen, müssen Sie beim Hinzufügen eines VLAN eine VLAN-Nummer auswählen, die im Netzwerk-Switch für den zugeordneten Switch-Port definiert ist. Wenn das VLAN nicht markiert ist und intern zur Appliance ist, empfiehlt es sich, die VLAN-Nummer auszuwählen, die in der Switch-Konfiguration verfügbar ist.
Binden Sie eine Schnittstelle an das VLAN. Wenn Sie die Link Aggregation verwenden, verknüpfen Sie während der Bindung das VLAN anstelle der physischen Schnittstelle mit dem LA-Kanal (z. B. LA/1). Das VLAN muss nur einer Netzwerkschnittstelle zugeordnet sein.
Wenn Sie den Datenverkehr auf der Schnittstelle markieren möchten, verwenden Sie die Option Tagged (Tag). Andernfalls verlässt der Datenverkehr die Appliance unmarkiert und ist mit dem nativen VLAN des Switch-Port verknüpft.
Binden Sie eine IP-Adresse an das VLAN. Wenn Sie während der Bindung mehr als eine IP-Adresse aus demselben Subnetz binden, tritt ein Fehler auf. Wenn eine IP-Adresse mit einem VLAN verknüpft ist, werden alle IP-Adressen in diesem Subnetz automatisch mit dem VLAN verknüpft.
Hinweis:
In einem Hochverfügbarkeitssetup (HA) werden diese VLAN-Konfigurationen während der HA-Synchronisierung automatisch vom primären Knoten zum sekundären Knoten hinzugefügt. Weitere Informationen zu Hochverfügbarkeits-Setups finden Sie unter Hochverfügbarkeit.
CLI-Verfahren
So fügen Sie ein VLAN mit der CLI hinzu:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- add vlan <id>
- sh vlan <id>
So binden Sie eine Schnittstelle mit der CLI an ein VLAN:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- bind vlan <id> -ifnum <slot/port>
- sh vlan <id>
So binden Sie eine IP-Adresse mit der CLI an ein VLAN:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- bind vlan <id> -IPAddress <IPAddress> <netMask>
- sh vlan <id>
Beispiel:
> add vlan 100
> bind vlan 100 -ifnum 1/1
> bind vlan 100 -ipAddress 10.0.1.0 255.255.255.0
<!--NeedCopy-->
GUI-Verfahren
So konfigurieren Sie ein VLAN mit der GUI:
-
Navigieren Sie zu System > Netzwerk > VLANs, fügen Sie ein neues VLAN hinzu.
-
Um eine Netzwerkschnittstelle an ein VLAN zu binden, wählen Sie unter Interface Bindings die Option Aktiv aus, die der Schnittstelle entspricht, die Sie an das VLAN binden möchten.
-
Um eine IP-Adresse an ein VLAN zu binden, wählen Sie unter IP-Bindungen die Option Aktiv aus, die der IP-Adresse entspricht, die Sie an das VLAN binden möchten (z. B. 10.102.29.54). In der Spalte Typ wird der IP-Adresstyp für jede IP-Adresse in der Spalte IP-Adresse angezeigt.