ADC

VLANs verstehen

Eine NetScaler-Appliance unterstützt Layer-2-Port und IEEE 802.1q-markierte VLANs. VLAN-Konfigurationen sind nützlich, wenn Sie den Verkehr auf bestimmte Stationsgruppen beschränken müssen. Sie können eine Netzwerkschnittstelle als Teil mehrerer VLANs konfigurieren, indem Sie IEEE 802.1q-Tagging verwenden.

Sie können VLANs konfigurieren und sie an IP-Subnetze binden. Der NetScaler führt dann die IP-Weiterleitung zwischen diesen VLANs durch (wenn er als Standardrouter für die Hosts in diesen Subnetzen konfiguriert ist).

Der NetScaler unterstützt die folgenden Arten von VLANs:

  • Portbasierte VLANs. Die Mitgliedschaft in einem portbasierten VLAN wird durch eine Reihe von Netzwerkschnittstellen definiert, die sich eine gemeinsame, exklusive Layer-2-Broadcast-Domäne teilen. Sie können mehrere portbasierte VLANs konfigurieren. Standardmäßig sind alle Netzwerkschnittstellen auf dem NetScaler Mitglieder von VLAN 1.

    Wenn Sie 802.1q-Tagging auf den Port anwenden, gehört die Netzwerkschnittstelle zu einem portbasierten VLAN. Der Layer-2-Verkehr wird innerhalb eines portbasierten VLAN überbrückt, und Layer-2-Broadcasts werden an alle Mitglieder des VLAN gesendet, wenn der Layer-2-Modus aktiviert ist. Wenn Sie eine Netzwerkschnittstelle ohne Tags als Mitglied eines neuen VLAN hinzufügen, wird sie aus dem aktuellen VLAN entfernt.

  • Standard-VLAN. Standardmäßig sind die Netzwerkschnittstellen auf dem NetScaler als ungetaggte Netzwerkschnittstellen in einem einzigen, portbasierten VLAN enthalten. Dieses VLAN ist das Standard-VLAN. Es hat eine VLAN-ID (VID) von 1. Dieses VLAN ist permanent vorhanden. Sie kann nicht gelöscht werden und ihre VID kann nicht geändert werden.

    Wenn Sie einem anderen VLAN als Mitglied ohne Tagged eine Netzwerkschnittstelle hinzufügen, wird die Netzwerkschnittstelle automatisch aus dem Standard-VLAN entfernt. Wenn Sie eine Netzwerkschnittstelle von ihrem aktuellen portbasierten VLAN trennen, wird sie wieder zum Standard-VLAN hinzugefügt.

  • Verschlagwortet mit VLANs. 802.1q-Tagging (definiert im IEEE 802.1q-Standard) ermöglicht es einem Netzwerkgerät (wie dem NetScaler), Informationen zu einem Frame auf Layer 2 hinzuzufügen, um die VLAN-Mitgliedschaft des Frames zu identifizieren. Durch Tagging können Netzwerkumgebungen über VLANs verfügen, die sich über mehrere Geräte erstrecken. Ein Gerät, das das Paket empfängt, liest das Tag und erkennt das VLAN, zu dem der Frame gehört. Einige Netzwerkgeräte unterstützen nicht den Empfang von Paketen mit und ohne Tags auf derselben Netzwerkschnittstelle, insbesondere Force10-Switches. In solchen Fällen müssen Sie sich an den Kundensupport wenden, um Unterstützung zu erhalten.

    Die Netzwerkschnittstelle kann ein markiertes oder ein ungetaggtes Mitglied eines VLAN sein. Jede Netzwerkschnittstelle ist ein unmarkiertes Mitglied nur eines VLANs (seines nativen VLAN). Diese Netzwerkschnittstelle überträgt die Frames für das native VLAN als ungetaggte Frames. Eine Netzwerkschnittstelle kann Teil von mehr als einem VLAN sein, wenn die anderen VLANs gekennzeichnet sind.

    Wenn Sie das Tagging konfigurieren, achten Sie darauf, dass die Konfiguration des VLAN an beiden Enden der Verbindung übereinstimmt. Der Port, mit dem der NetScaler eine Verbindung herstellt, muss sich im selben VLAN wie die NetScaler-Netzwerkschnittstelle befinden.

    Hinweis: Diese VLAN-Konfiguration ist weder synchronisiert noch propagiert, daher müssen Sie die Konfiguration auf jeder Einheit in einem HA-Paar unabhängig voneinander durchführen.

Regeln zur Klassifizierung von Frames anwenden

VLANs haben zwei Arten von Regeln für die Klassifizierung von Frames:

  • Eingangsregeln. Ingress-Regeln klassifizieren jeden Frame so, dass er nur zu einem einzigen VLAN gehört. Wenn ein Frame auf einer Netzwerkschnittstelle empfangen wird, werden die folgenden Regeln angewendet, um den Frame zu klassifizieren:

    • Wenn der Frame ungetaggt ist oder einen Tag-Wert gleich 0 hat, wird die VID des Frames auf die Port-VID (PVID) der Empfangsschnittstelle gesetzt, die als zum nativen VLAN gehörend eingestuft wird. (PVIDs sind im IEEE 802.1q-Standard definiert.)
    • Wenn der Frame einen Tag-Wert hat, der FFF entspricht, wird der Frame gelöscht.
    • Wenn die VID des Frames ein VLAN angibt, zu dem die empfangende Netzwerkschnittstelle kein Mitglied ist, wird der Frame gelöscht. Wenn beispielsweise ein Paket von einem Subnetz, das der VLAN-ID 12 zugeordnet ist, an ein Subnetz gesendet wird, das der VLAN-ID 10 zugeordnet ist, wird das Paket verworfen. Wenn ein Paket ohne Tags mit VID 9 von dem der VLAN-ID 10 zugeordneten Subnetz an eine Netzwerkschnittstelle PVID 9 gesendet wird, wird das Paket verworfen.
  • Regeln für ausgehenden Traffic. Die folgenden Ausgangsregeln werden angewendet:

    • Wenn die VID des Frames ein VLAN angibt, zu dem die Übertragungsnetzwerkschnittstelle kein Mitglied ist, wird der Frame verworfen.
    • Während des Lernprozesses (definiert durch den IEEE 802.1q-Standard) werden Src MAC und VID verwendet, um die Bridge-Lookup-Tabelle des NetScaler zu aktualisieren.
    • Ein Frame wird verworfen, wenn seine VID ein VLAN angibt, das keine Mitglieder hat. (Sie definieren Mitglieder, indem Sie Netzwerkschnittstellen an ein VLAN binden.)

VLANs und Paketweiterleitung auf dem NetScaler

Der Weiterleitungsprozess auf der NetScaler-Appliance ähnelt dem auf jedem Standard-Switch. Der NetScaler führt die Weiterleitung jedoch nur durch, wenn der Layer-2-Modus aktiviert ist. Die wichtigsten Merkmale des Weiterleitungsprozesses sind:

  • Topologieeinschränkungen werden durchgesetzt. Zur Durchsetzung gehören die Auswahl jeder Netzwerkschnittstelle im VLAN als Übertragungsport (abhängig vom Status der Netzwerkschnittstelle), Überbrückungsbeschränkungen (Weiterleitung nicht an der empfangenden Netzwerkschnittstelle) und MTU-Einschränkungen.
  • Frames werden auf der Grundlage von Informationen gefiltert, die in der Bridgetabellensuche in der Forwarding Database (FDB) -Tabelle des NetScaler enthalten sind. Die Suche nach der Bridgetabelle basiert auf dem Ziel-MAC und der VID. Pakete, die an die MAC-Adresse des NetScaler adressiert sind, werden in den oberen Layer verarbeitet.
  • Alle Broadcast- und Multicast-Frames werden an jede Netzwerkschnittstelle weitergeleitet, die Mitglied des VLAN ist. Die Weiterleitung erfolgt jedoch nur, wenn der L2-Modus aktiviert ist. Wenn der L2-Modus deaktiviert ist, werden die Broadcast- und Multicast-Pakete verworfen. Dies gilt auch für MAC-Adressen, die derzeit nicht in der Bridging-Tabelle enthalten sind.
  • Ein VLAN-Eintrag enthält eine Liste von Mitgliedsnetzwerkschnittstellen, die Teil seiner Elementgruppe ohne Tags sind. Bei der Weiterleitung von Frames an diese Netzwerkschnittstellen wird kein Tag in den Frame eingefügt.
  • Wenn die Netzwerkschnittstelle ein markiertes Mitglied dieses VLANs ist, wird das Tag in den Frame eingefügt, wenn der Frame weitergeleitet wird.

Wenn ein Benutzer Broadcast- oder Multicast-Pakete sendet, ohne dass das VLAN identifiziert wird, also während der Duplicate Address Detection (DAD) für NSIP oder ND6 für den nächsten Hop der Route, wird das Paket an alle Netzwerkschnittstellen gesendet, wobei das entsprechende Tagging entweder auf den Ein- und Ausgangsregeln basiert. ND6 identifiziert normalerweise ein VLAN, und ein Datenpaket wird nur über dieses VLAN gesendet. Portbasierte VLANs sind für IPv4 und IPv6 üblich. Für IPv6 unterstützt NetScaler Präfix-basierte VLANs.

VLANs verstehen