ADC

Prácticas recomendadas para configuraciones de red

En las siguientes secciones se describen algunas de las mejores prácticas para configurar las funciones de red en un dispositivo Citrix ADC.

Redirección y rutas predeterminadas

Las siguientes son algunas de las mejores prácticas para configurar las funciones de capa 3 en un dispositivo Citrix ADC.

Mejores prácticas: configuraciones de capa 3

  • La interfaz 0/x de un dispositivo Citrix ADC o un dispositivo Citrix SDX no debe utilizarse para el tráfico de producción. En un MPX o SDX, las interfaces nombradas se 0/x denominan interfaces de administración. Esto no significa que deba utilizar estas interfaces para la administración. Lo que significa es que estas interfaces NO están diseñadas para el tráfico de producción. No cuentan con los búferes de hardware ni la optimización necesaria para lograr un rendimiento sostenido de 1 Gbps. Por lo tanto, si su ruta predeterminada está en la misma subred que su NSIP, debe cambiar la ruta predeterminada o utilizar una 1/x interfaz para la red de administración, ya que 1/x las interfaces están totalmente optimizadas para el tráfico de producción de 1 Gbps.

    Nota:

    Esto no se aplica a un dispositivo Citrix ADC VPX.

    • Opción 1. No conectar a interfaces 0/x: Desconecte el cable de la interfaz 0/1. NetScaler escucha el NSIP en las otras interfaces. (NOTA: Esta no es una opción para SDX, ya que el SVM y XenServer solo pueden comunicarse con las interfaces) 0/x

    • Opción 2. Cambie la ruta predeterminada a una interfaz diferente como se detalla en la siguiente sección.

  • Lapuerta de enlace predeterminada (ruta 0.0.0.0) debe estar en una red de producción y no en ninguna 0/x interfaz. Al configurar un NetScaler por primera vez, le pide el NSIP, la máscara de subred y la dirección de puerta de enlace. El problema que esto crea para los administradores es que acaban de configurar su ruta predeterminada para que esté en su red de administración mediante la interfaz 0/1.

    • Para comprobar cuáles son sus rutas, ejecútelo en la CLI show route y su puerta de enlace predeterminada es la IP de la línea en la que la red y la máscara de red son 0.0.0.0. Este es un ejemplo en el que el Gateway está en la línea 1:

       > sh route
               Network          Netmask          Gateway/OwnedIP  State   Traffic Domain  Type
               -------          -------          ---------------  -----   --------------  ----
       1)      0.0.0.0          0.0.0.0          10.25.213.65     UP      0              STATIC
       2)      127.0.0.0        255.0.0.0        127.0.0.1        UP      0              PERMANENT
       3)      10.25.213.64     255.255.255.192  10.25.213.68     UP      0              DIRECT
       4)      172.16.0.0       255.255.255.0    172.16.0.1       UP      0              DIRECT
      
       <!--NeedCopy-->
      
    • Para comprobar la interfaz y la VLAN utilizadas para su puerta de enlace predeterminada, consulte la tabla ARP mediante sh arp la CLI. También puede buscar la IP específica mediante show arp | grep 10.25.213.65. Este es un ejemplo en el que ve que el Gateway 10.25.213.65 utiliza la interfaz 1/1 y la VLAN 1:

       > sh arp
               IP               MAC                Iface VLAN  Origin     TTL     Traffic Domain
               --               ---                ----- ----  ------     ---     --------------
       1)      127.0.0.1        02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
       2)      10.25.213.70     02:00:0f:46:00:28  1/1   1     DYNAMIC    967    0
       3)      10.25.213.68     02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
       4)      10.25.213.67     02:00:0f:46:00:28  1/1   1     DYNAMIC    641    0
       5)      10.25.213.65     00:08:e3:ff:fd:90  1/1   1     DYNAMIC    483    0
       <!--NeedCopy-->
      
    • Cambie la ruta predeterminada para usar una puerta de enlace en su subred e interfaz de producción. Suponga que su red de administración es 10.0.0.0/24 con la puerta de enlace 10.0.0.1 y la red de producción es 10.1.1.0/24 con la puerta de enlace 10.1.1.1. Configura tu configuración de esta manera:

      • SNIP: (Acceso de administración desactivado) 10.1.1.2
      • NSIP: (Acceso de administración habilitado) 10.0.0.2
      • Ruta predeterminada: 0.0.0.0 0.0.0.0 10.1.1.1 (Sistema > Red > Rutas). Utiliza un router en la red SNIP en lugar de en la red NSIP.

        Nota:

        Cambiar la puerta de enlace predeterminada puede interrumpir el tráfico de administración, a menos que configure rutas estáticas, una ruta basada en directivas o habilite el reenvío basado en MAC.

Interfaces, canales y VLAN

Las siguientes son algunas de las mejores prácticas para configurar las funciones de capa 2 en un dispositivo Citrix ADC.

Mejores prácticas: configuraciones de capa 2

  • No conecte varias interfaces o canales a la misma VLAN, incluida la VLAN 1:
    • Si no configura correctamente las VLAN, puede provocar una redirección de paquetes inesperado en la red y un bucle de capa 2 en cualquier momento en que haya más de una interfaz activa con la misma VLAN (nativa o etiquetada).

    • De forma predeterminada, todas las interfaces y los canales están en la VLAN 1 nativa. Esto crea dos posibles problemas:

      • NetScaler cree que todo el tráfico recibido está en la misma red, por lo que utiliza cualquier interfaz para enviar el tráfico. Si tiene una VLAN nativa diferente en la interfaz desde la que envió los datos, el tráfico no se enrutará como esperaba.

      • Si NetScaler recibe paquetes de difusión en un puerto, puede retransmitirlos en otro puerto. Si ambos puertos del switch están en la misma VLAN, acaba de crear un bucle de capa 2.

    • Para eliminar una interfaz/un canal de la VLAN 1:

      • Si no está usando VLAN nativas en el canal de puerto o interfaz del switch. Cambie la VLAN nativa de la interfaz o el canal de NetScaler por un número de VLAN no utilizado, como 999. No debe utilizar el mismo número de VLAN no utilizado para varios canales o interfaces, ya que crea un bucle de capa 2.

      • Si está usando VLAN nativas en su canal de interface/puerto del switch. Cambie la VLAN nativa de la interfaz o el canal de NetScaler para que coincida. Sin embargo, tenga cuidado de no tener varias interfaces o canales activos en la misma VLAN, ya que al hacerlo se crean bucles de capa 2.

      • No puede eliminar la VLAN nativa. En su lugar, puede cambiarlo o configurar TagAll para la interfaz o el canal. Si el puerto del switch no está configurado con una VLAN nativa sin etiquetar, habilite tagall en la interfaz para etiquetar los paquetes de latidos de alta disponibilidad.

    • Para ver la VLAN nativa en una interfaz, ejecútelo sh interface en la CLI. Esto también le informará si la interfaz está usando la opción TAGALL.

  • Enlazar una interfaz a su VLAN : NetScaler, de forma predeterminada, no conecta una nueva VLAN a una interfaz. Esto significa que la VLAN no se utilizará hasta que la vincule a una interfaz. Cuando la nueva VLAN no está enlazada a una interfaz y esa VLAN está etiquetada, NetScaler elimina todo el tráfico entrante de esa VLAN. Además, no vincule la misma VLAN a más de una interfaz.

    • Enlaza subredes a tus VLAN. El NetScaler no funciona como un router típico. La mayoría de los enrutadores conectan las IP a las interfaces. En un NetScaler, las IP flotan en cualquier interfaz a menos que se configuren de otra manera. Por lo tanto, cualquier subred que desee garantizar que NetScaler envíe a través de una VLAN específica, especialmente cuando NetScaler inicie ese tráfico, debe vincular un SNIP dentro de esa subred a la VLAN.

    • Un argumento común que escuchamos en contra de esto es que solía funcionar bien y ahora no funciona sin vincular la subred a la VLAN. Esto suele ocurrir porque NetScaler aprende a qué VLAN enviar el tráfico, pero esto puede llevar tiempo a medida que crea sus tablas ARP. Después de reiniciar o actualizar el firmware, a medida que comienza a crear las tablas ARP de nuevo, es posible que inicialmente aprenda y, por lo tanto, esté mediante una ruta diferente de la que quiera, como la ruta predeterminada. Es mejor indicarle qué ruta tomar vinculando el SNIP a la VLAN. Una vez que un SNIP esté enlazado a una VLAN, toda la subred de ese SNIP se enlazará a la VLAN.

    • Asegúrese de que cada SNIP esté enlazado a una VLAN (excepto en los casos en los que tenga más de un SNIP en una subred, entonces solo debe vincular uno) y de que la VLAN, a su vez, esté enlazada a una sola interfaz o canal. También suele ser mejor tener un SNIP en cada subred, pero no es obligatorio, ya que se utilizará la ruta más específica para cualquier subred de destino que no tenga un SNIP.

  • Para identificar la VLAN y la interfaz utilizadas por una subred:

    1. Vaya a Sistema > RedVLAN.

    2. Edite cada VLAN configurada, sucesivamente, hasta que encuentre la dirección IP correcta, tal como se explica en el siguiente paso.

    3. Haga clic en la ficha Enlaces IP para ver qué IP y, por lo tanto, qué subred está enlazada y, por lo tanto, está usando esta VLAN.

    4. Una vez que identifique la VLAN que tiene una IP vinculada a ella, si esa IP se encuentra dentro de la subred de la ruta predeterminada, haga clic en los enlaces de interfaz. Se utilizará cada interfaz o canal enlazado a esta VLAN.

Ejemplo

Supongamos que la ruta predeterminada es 0.0.0.0 0.0.0.0 10.1.1.1.

Supongamos que tiene dos SNIP de 10.0.0.5 y 10.1.1.69. Como 10.1.1.69 está en la subred de la ruta predeterminada, esa es la que desea buscar. En las siguientes capturas de pantalla, estamos analizando la VLAN 1 y vemos que la IP 10.1.1.69 está vinculada a esta VLAN, por lo que sabemos que estamos buscando la VLAN correcta.

Ahora haga clic en Enlaces de interfaz. En los enlaces de la interfaz de VLAN, vemos que la interfaz 1/1 se usa para esta subred y, por lo tanto, se usa para la ruta predeterminada.

Mejores prácticas: configuraciones de VLAN

NOTA:

Si no tiene ninguna IP vinculada a sus VLAN, de forma predeterminada se le enviará la VLAN 1, por lo que, en ese caso, observe qué interfaces están enlazadas a la VLAN 1. Esto también significa que NetScaler no utilizará las VLAN configuradas para el tráfico que inicie, a menos que enlace una IP a la nueva VLAN.

ARP gratuito

Si GARP no funciona, utilice VMAC. De forma predeterminada, NetScaler usa GARP para anunciar sus enlaces de direcciones IP a MAC en otros dispositivos de red. Por lo general, esto funciona sin problemas; sin embargo, a medida que cree más servicios en NetScaler, es posible que comience a tener problemas al realizar una conmutación por error en un par de HA. El problema más común es que los servicios permanecen inactivos en el NetScaler al que se ha producido una conmutación por error debido a que algunos dispositivos de red no han actualizado sus tablas ARP con la nueva dirección MAC. Puede comprobarlo fácilmente consultando sus tablas ARP para ver si las direcciones MAC coinciden con las del ahora principal NetScaler. Cuando esto ocurre, es muy probable que algunos de sus dispositivos de red estén limitando la cantidad de anuncios de GARP que muestran. En este caso, es necesario configurar VMAC en todas las interfaces y/o canales activos. Si espera tener una configuración grande en su NetScaler, puede ser mejor configurar VMAC para todas las interfaces y canales durante la implementación inicial.

NOTA: No

olvide configurar VMAC para la interfaz o el canal que utiliza su ruta predeterminada.

Direcciones IP propiedad de Citrix ADC

En esta sección se describen las prácticas recomendadas para configurar las direcciones IP propiedad de Citrix ADC:

Mejores prácticas: direcciones IP propiedad de Citrix ADC

  • IP de Citrix ADC (NSIP): por lo general, esta IP se utiliza para la administración porque es la única IP exclusiva de un NetScaler individual en un entorno de alta disponibilidad o clúster. También es importante tener en cuenta que el tráfico de LDAP, RADIUS y User scripted Monitor (como el monitor LDAP y el monitor StoreFront) provendrá del NSIP y, por lo tanto, se enrutará a través de la VLAN y la interfaz a la que está enlazado el NSIP (VLAN nativa predeterminada 1). Si necesita que el tráfico LDAP y RADIUS provenga del SNIP, cree un servidor virtual LB para sus servidores de fondo.

  • IP de subred (SNIP): esta dirección IP se utiliza para iniciar la comunicación con los servidores de fondo y siempre iniciará el tráfico. Dicho esto, puede ser el destino del tráfico en los siguientes casos:

    • Se puede usar como dirección Gateway en otros dispositivos cuando se realiza la redirección de Capa 3 en NetScaler.

    • Cuando está habilitada, puede aceptar servicios de administración, como el acceso a la GUI, SSH y SNMP.

  • IP virtual (VIP): La VIP es única en el sentido de que nunca se utilizará para iniciar el tráfico saliente. Está destinado a recibir tráfico únicamente. Una vez que recibe tráfico, responde y envía el tráfico saliente de vuelta al cliente. En otras palabras, la dirección VIP no inicia el tráfico saliente.

Tenga en cuenta que esto también significa que no se usa como fuente de comunicación con los servidores de fondo que se utilizan, por ejemplo, en un servidor virtual LB.

Prácticas recomendadas para configuraciones de red