ADC

Bewährte Methoden für NetScaler-Appliance-Netzwerke und VLAN

Eine NetScaler-Appliance verwendet VLANs, um zu bestimmen, welche Schnittstelle für welchen Datenverkehr verwendet werden muss. Darüber hinaus nimmt die NetScaler-Appliance nicht an Spanning Tree teil. Ohne die richtige VLAN-Konfiguration kann die NetScaler-Appliance nicht bestimmen, welche Schnittstelle verwendet werden soll, und sie kann eher wie ein HUB als wie ein Switch oder ein Router funktionieren. Mit anderen Worten, die NetScaler-Appliance kann alle Schnittstellen für jede Konversation verwenden.

Symptome einer VLAN-Fehlkonfiguration

VLAN-Fehlkonfigurationsprobleme können sich in vielen Formen äußern, darunter Leistungsprobleme, Unfähigkeit, Verbindungen herzustellen, nach dem Zufallsprinzip unterbrochene Sitzungen und in schwerwiegenden Situationen Netzwerkstörungen, die scheinbar nichts mit der NetScaler-Appliance selbst zu tun haben. Die NetScaler-Appliance kann je nach Art der Interaktion mit Ihrem Netzwerk auch MAC-Verschiebungen, stummgeschaltete Schnittstellen und/oder Übertragungs- oder Empfangspufferüberläufe der Verwaltungsschnittstelle melden.

MAC-Moves (counter nic_tot_bdg_mac_moved): Dieses Problem weist darauf hin, dass die NetScaler-Appliance mehr als eine Schnittstelle verwendet, um mit demselben Gerät zu kommunizieren (MAC-Adresse), da sie nicht richtig bestimmen konnte, welche Schnittstelle verwendet werden sollte.

Stummschaltete Schnittstellen (counter nic_err_bdg_muted): Dieses Problem weist darauf hin, dass die NetScaler-Appliance aufgrund von VLAN-Konfigurationsproblemen erkannt hat, dass sie aufgrund von VLAN-Konfigurationsproblemen eine Routing-Schleife erstellt, und daher eine oder mehrere der störenden Schnittstellen heruntergefahren hat, um einen Netzwerkausfall zu verhindern.

Schnittstellenpufferüberläufe, die sich in der Regel auf Verwaltungsschnittstellen beziehen (counter nic_err_tx_overflow): DiesesProblem kann verursacht werden, wenn zu viel Datenverkehr über eine Verwaltungsschnittstelle übertragen wird. Die Verwaltungsschnittstellen der NetScaler-Appliance sind nicht für die Verarbeitung großer Datenverkehrsmengen konzipiert. Dies kann auf Netzwerk- und VLAN-Fehlkonfigurationen zurückzuführen sein, die die NetScaler-Appliance veranlassen, eine Verwaltungsschnittstelle für den Produktionsdatenverkehr zu verwenden. Dies tritt häufig auf, weil die NetScaler-Appliance den Verkehr im VLAN/Subnetz des NSIP (NSVLAN) nicht vom regulären Produktionsverkehr unterscheiden kann. Es wird dringend empfohlen, dass sich das NSIP in einem separaten VLAN und Subnetz von allen Produktionsgeräten wie Workstations und Servern befindet.

Orphan ACKs (counter tcp_err_orphan_ack): Dieses Problem weist darauf hin, dass die NetScaler-Appliance ein ACK-Paket empfangen hat, das sie nicht erwartet hatte, normalerweise auf einer anderen Schnittstelle als der ACK-Verkehr, von dem der ACK-Verkehr stammt. Diese Situation kann durch VLAN-Fehlkonfigurationen verursacht werden, bei denen die NetScaler-Appliance über eine andere Schnittstelle sendet, als das Zielgerät normalerweise für die Kommunikation mit der NetScaler-Appliance verwenden würde (häufig in Verbindung mit MAC-Verschiebungen).

Hohe Wiederholungs- oder Weiterübertragungsraten lassen nach (Zähler: tcp_err_retransmit_giveups, tcp_err_7th_retransfer, verschiedene andere Wiederübertragungszähler): Die NetScaler-Appliance versucht insgesamt 7 Mal, ein TCP-Paket erneut zu übertragen, bevor sie aufgibt und die Verbindungbeendet. Diese Situation kann zwar durch Netzwerkbedingungen verursacht werden, tritt jedoch häufig als Folge einer Fehlkonfiguration von VLAN und Schnittstelle auf.

Hochverfügbarkeit Split Brain: Split Brainist ein Zustand, bei dem beide Hochverfügbarkeitsknoten glauben, dass sie primär sind, was zu doppelten IP-Adressen und zum Verlust der NetScaler-Appliance-Funktionalität führt. Dies wird verursacht, wenn die beiden Hochverfügbarkeitsknoten nicht über Hochverfügbarkeits-Heartbeats auf dem UDP-Port 3003 unter Verwendung von NSIP über eine beliebige Schnittstelle miteinander kommunizieren können. Dies wird in der Regel durch VLAN-Fehlkonfigurationen verursacht, bei denen das native VLAN auf den NetScaler-Appliance-Schnittstellen keine Konnektivität zwischen NetScaler-Appliances hat.

Bewährte Methoden für VLAN- und Netzwerkkonfigurationen

  1. Jedes Subnetz muss mit einem VLAN verknüpft sein.

  2. Mit demselben VLAN kann mehr als ein Subnetz verknüpft werden (abhängig von Ihrem Netzwerkdesign).

  3. Jedes VLAN sollte nur einer Schnittstelle zugeordnet sein (für die Zwecke dieser Diskussion gilt ein LA-Kanal als eine einzelne Schnittstelle).

  4. Wenn Sie möchten, dass einer Schnittstelle mehr als ein Subnetz zugeordnet wird, müssen die Subnetze gekennzeichnet werden.

  5. Entgegen der landläufigen Meinung ist die Mac-Based-Forwarding (MBF) -Funktion der NetScaler-Appliance nicht darauf ausgelegt, diese Art von Problem zu lösen. MBF wurde in erster Linie für den DSR-Modus (Direct Server Return) der NetScaler-Appliance entwickelt, der in den meisten Umgebungen selten verwendet wird (er ist so konzipiert, dass der Datenverkehr die NetScaler-Appliance auf dem Rückpfad von den Back-End-Servern absichtlich Bypass kann). MBF kann in einigen Fällen VLAN-Probleme verbergen, aber bei der Lösung dieser Art von Problemen sollte man sich nicht darauf verlassen.

  6. Jede Schnittstelle auf der NetScaler-Appliance erfordert ein systemeigenes VLAN (im Gegensatz zu Cisco, wo native VLANs optional sind), obwohl die TagAll-Einstellung auf einer Schnittstelle verwendet werden kann, damit kein unmarkierter Datenverkehr die fragliche Schnittstelle verlässt.

  7. Das native VLAN kann bei Bedarf für Ihr Netzwerkdesign mit Tags versehen werden (dies ist die TagAll-Option für die Schnittstelle).

  8. Das VLAN für das Subnetz des NSIP Ihrer NetScaler-Appliance ist ein Sonderfall. Dies wird als NSVLAN bezeichnet. Die Konzepte sind dieselben, aber die Befehle zur Konfiguration sind unterschiedlich, und Änderungen am NSVLAN erfordern einen Neustart der NetScaler-Appliance, um wirksam zu werden. Wenn Sie versuchen, ein VLAN an ein SNIP zu binden, das dasselbe Subnetz wie das NSIP nutzt, erhalten Sie die Meldung „Operation not permitted“. Dies liegt daran, dass Sie stattdessen die NSVLAN-Befehle verwenden müssen. Bei einigen Firmware-Versionen können Sie außerdem kein NSVLAN einrichten, wenn diese VLAN-Nummer über den Befehl vorhanden ist. add VLAN Entfernen Sie einfach das VLAN und stellen Sie das NSVLAN erneut ein.

  9. Hochverfügbare Heartbeats verwenden immer das native VLAN der jeweiligen Schnittstelle (optional markiert, wenn die TagAll-Option auf der Schnittstelle gesetzt ist).

  10. Es muss eine Kommunikation zwischen mindestens einem Satz systemeigener VLANs auf den beiden Knoten eines Hochverfügbarkeitspaares bestehen (dies kann direkt oder über einen Router erfolgen). Die nativen VLANs werden für Hochverfügbarkeits-Taktsignale verwendet. Wenn die NetScaler-Appliances auf keiner Schnittstelle zwischen nativen VLANs kommunizieren können, führt dies zu Hochverfügbarkeits-Failovers und möglicherweise zu einer Split-Brain-Situation, in der beide NetScaler-Appliances denken, dass sie primär sind (was unter anderem zu doppelten IP-Adressen führt).

  11. Die NetScaler-Appliance nimmt nicht an Spanning Tree teil. Daher ist es nicht möglich, Spanning Tree zu verwenden, um Schnittstellenredundanz zu gewährleisten, wenn eine NetScaler-Appliance verwendet wird. Verwenden Sie zu diesem Zweck stattdessen eine Form der Link-Aggregation (LACP oder manuelles LAG).

    Hinweis: Wenn Sie eine Link-Aggregation zwischen mehreren physischen Switches einrichten möchten, müssen Sie die Switches als virtuellen Switch konfigurieren, indem Sie eine Funktion wie den Switch Stack von Cisco verwenden.

  12. Die Hochverfügbarkeitssynchronisierung und die Befehlsverbreitung verwenden standardmäßig das NSIP/NSVLAN. Um diese auf ein anderes VLAN zu verteilen, können Sie die SyncVLAN-Option des Befehls verwenden. set HA node

  13. In der Standardkonfiguration der NetScaler Appliance ist nichts integriert, was darauf hindeutet, dass eine Verwaltungsschnittstelle (0/1 oder 0/2) nur auf den Verwaltungsdatenverkehr beschränkt ist. Diese Einschränkung muss vom Endbenutzer durch die VLAN-Konfiguration durchgesetzt werden. Die Verwaltungsschnittstellen sind nicht für den Datenverkehr konzipiert, daher muss Ihr Netzwerkdesign diesen Punkt berücksichtigen. Den Verwaltungsschnittstellen, die auf der Hauptplatine der NetScaler Appliance enthalten sind, fehlen verschiedene Offloading-Funktionen wie CRC-Offload, größere Paketpuffer und andere Optimierungen, sodass sie bei der Verarbeitung großer Datenverkehrsmengen viel weniger effizient sind. Um Produktionsdaten und Verwaltungsdatenverkehr zu trennen, darf sich das NSIP nicht im selben Subnetz/VLAN wie Ihr Datenverkehr befinden.

  14. Wenn für die Übertragung des Verwaltungsdatenverkehrs eine Verwaltungsschnittstelle verwendet werden soll, empfiehlt es sich, dass sich die Standardroute in einem anderen Subnetz als dem Subnetz des NSIP (NSVLAN) befindet.

    In vielen Konfigurationen wird die Standardroute für die Workstation-Kommunikation verwendet (in einem Internetszenario). Wenn sich die Standardroute im selben Subnetz wie das NSIP befindet, kann die ADC-Appliance die Verwaltungsschnittstelle verwenden, um Datenverkehr zu senden und zu empfangen. Diese Nutzung des Datenverkehrs kann die Verwaltungsschnittstelle überlasten.

  15. Außerdem müssen sich ein SDX, die SVM, XenServer und alle NetScaler-Instanz-NSIPs im selben VLAN und Subnetz befinden. Es gibt keine Rückwandplatine in der SDX-Appliance, die die Kommunikation zwischen SVM/Xen/Instanzen ermöglicht. Wenn sie sich nicht auf demselben VLAN/Subnetz/Interface befinden, muss der Datenverkehr zwischen ihnen die physische Hardware verlassen, über Ihr Netzwerk weitergeleitet werden und zurückkehren.

    Diese Konfiguration kann zu offensichtlichen Verbindungsproblemen zwischen den Instanzen und der SVM führen und wird daher nicht empfohlen. Ein häufiges Symptom hierfür ist eine gelbe Instanzstatusanzeige in der SVM für die fragliche VPX-Instanz und die Unfähigkeit, die SVM zur Neukonfiguration einer VPX-Instanz zu verwenden.

  16. Wenn einige VLANs an Subnetze gebunden sind und andere nicht, werden während eines Hochverfügbarkeits-Failovers keine GARP-Pakete für IP-Adressen in den Subnetzen gesendet, die nicht an ein VLAN gebunden sind. Diese Konfiguration kann bei Failovers mit hoher Verfügbarkeit zu Verbindungsabbrüchen und Verbindungsproblemen führen. Dieses Problem wird dadurch verursacht, dass die NetScaler-Appliance die Änderung der Netzwerk-MAC-Besitz-IP-Adressen auf nicht VMAC-konfigurierten NetScaler-Appliances nicht benachrichtigen kann.

    Die Symptome hierfür sind, dass der Leistungsindikator ip_tot_floating_ip_err nach einem Hochverfügbarkeits-Failover länger als einige Sekunden auf der früheren primären NetScaler Appliance inkrementiert wird, was darauf hinweist, dass das Netzwerk keine GARP-Pakete empfangen oder verarbeitet hat und das Netzwerk weiterhin Daten an die neue sekundäre NetScaler Appliance.

Bewährte Methoden für NetScaler-Appliance-Netzwerke und VLAN