ADC

Mejores prácticas de redes y VLAN de dispositivos NetScaler

Un dispositivo NetScaler usa las VLAN para determinar qué interfaz debe usarse para qué tráfico. Además, el dispositivo NetScaler no participa en Spanning Tree. Sin la configuración de VLAN adecuada, el dispositivo NetScaler no puede determinar qué interfaz utilizar y puede funcionar más como un HUB que como un conmutador o un enrutador. En otras palabras, el dispositivo NetScaler puede usar todas las interfaces para cada conversación.

Síntomas de una mala configuración de la VLAN

Los problemas de configuración incorrecta de la VLAN pueden manifestarse de muchas formas, incluidos problemas de rendimiento, incapacidad para establecer conexiones, sesiones desconectadas aleatoriamente y, en situaciones graves, interrupciones de la red que parecen no estar relacionadas con el propio dispositivo NetScaler. El dispositivo NetScaler también puede informar sobre movimientos de MAC, interfaces silenciadas o desbordamientos del búfer de transmisión o recepción de la interfaz de administración, según la naturaleza exacta de la interacción con la red.

Mover MAC (contador nic_tot_bdg_mac_move): Este problema indica que el dispositivo NetScaler está usando más de una interfaz para comunicarse con el mismo dispositivo (dirección MAC), ya que no pudo determinar correctamente qué interfaz usar.

Interfaces silenciadas (contador nic_err_bdg_muted): este problema indica que el dispositivo NetScaler ha detectado que está creando un bucle de redirección debido a problemas de configuración de VLAN y, como tal, ha apagado una o varias de las interfaces ofensivas para evitar una red corte de suministro.

Desbordamientos del búfer de la interfaz, que normalmente se refieren a las interfaces de administración (counter nic_err_tx_overflow): Esteproblema puede deberse a que se transmite demasiado tráfico a través de una interfaz de administración. Las interfaces de administración del dispositivo NetScaler no están diseñadas para gestionar grandes volúmenes de tráfico, lo que puede deberse a errores de configuración de la red y la VLAN que hacen que el dispositivo NetScaler utilice una interfaz de administración para el tráfico de datos de producción. Esto ocurre a menudo porque el dispositivo NetScaler no tiene forma de diferenciar el tráfico de la subred VLAN/ del NSIP (NSVLAN) del tráfico de producción normal. Se recomienda encarecidamente que el NSIP esté en una VLAN y una subred separadas de cualquier dispositivo de producción, como estaciones de trabajo y servidores.

ACKs huérfanos (counter tcp_err_orphan_ack): este problema indica que el dispositivo NetScaler recibió un paquete ACK que no esperaba, normalmente en una interfaz diferente a la de la que se originó el tráfico del ACK. Esta situación puede deberse a errores de configuración de la VLAN, en los que el dispositivo NetScaler transmite en una interfaz diferente a la que normalmente utilizaría el dispositivo de destino para comunicarse con el dispositivo NetScaler (lo que suele ocurrir junto con los movimientos de MAC)

Altas tasas de retransmisiones o cesiones de retransmisión (contadores: tcp_err_retransmit_giveups, tcp_err_7th_retransmit y varios otros contadores de retransmisión): el dispositivo NetScaler intenta retransmitir un paquete TCP un total de 7 veces antes de que se dé por vencido y terminela conexión. Si bien esta situación puede deberse a las condiciones de la red, a menudo se produce como resultado de una configuración incorrecta de la VLAN y la interfaz.

Cerebro dividido de alta disponibilidad: elcerebro dividido es una afección en la que ambos nodos de alta disponibilidad creen que son principales, lo que provoca la duplicación de direcciones IP y la pérdida de la funcionalidad del dispositivo NetScaler. Esto se produce cuando los dos nodos de alta disponibilidad no pueden comunicarse entre sí mediante Heartbeats de alta disponibilidad en el puerto UDP 3003 mediante el NSIP, a través de cualquier interfaz. Esto suele deberse a errores de configuración de la VLAN, en los que la VLAN nativa de las interfaces del dispositivo NetScaler no tiene conectividad entre los dispositivos NetScaler.

Mejores prácticas para configuraciones de redes y VLAN

  1. Cada subred debe estar asociada a una VLAN.

  2. Se puede asociar más de una subred a la misma VLAN (según el diseño de la red).

  3. Cada VLAN debe estar asociada a una sola interfaz (para los fines de esta discusión, un canal LA cuenta como una interfaz única).

  4. Si necesita que se asocie más de una subred a una interfaz, las subredes deben estar etiquetadas.

  5. Contrariamente a la creencia popular, la función de redireccionamiento basado en Mac (MBF) del dispositivo NetScaler no está diseñada para mitigar este tipo de problemas. El MBF está diseñado principalmente para el modo DSR (devolución directa del servidor) del dispositivo NetScaler, que rara vez se usa en la mayoría de los entornos (está diseñado para permitir que el tráfico omita deliberadamente el dispositivo NetScaler en la ruta de retorno desde los servidores de fondo). El MBF puede ocultar los problemas de la VLAN en algunos casos, pero no se debe confiar en él para resolver este tipo de problemas.

  6. Cada interfaz del dispositivo NetScaler requiere una VLAN nativa (a diferencia de Cisco, donde las VLAN nativas son opcionales), aunque se puede usar la configuración TagAll de una interfaz para que ningún tráfico sin etiquetar salga de la interfaz en cuestión.

  7. La VLAN nativa se puede etiquetar si es necesario para el diseño de la red (esta es la opción TagAll para la interfaz).

  8. La VLAN de la subred del NSIP del dispositivo NetScaler es un caso especial. Esto se denomina NSVLAN. Los conceptos son los mismos, pero los comandos para configurarlo son diferentes y los cambios en la NSVLAN requieren que se reinicie el dispositivo NetScaler para que surtan efecto. Si intenta vincular una VLAN a un SNIP que comparte la misma subred que el NSIP, aparece el mensaje “Operación no permitida”. Esto se debe a que, en su lugar, debe utilizar los comandos de NSVLAN. Además, en algunas versiones de firmware, no puede configurar una NSVLAN si ese número de VLAN existe mediante el comando. add VLAN Simplemente extraiga la VLAN y, a continuación, vuelva a configurar la NSVLAN.

  9. Los Heartbeats de alta disponibilidad siempre utilizan la VLAN nativa de la interfaz correspondiente (se etiqueta opcionalmente si la opción TagAll está configurada en la interfaz).

  10. Debe haber comunicación entre al menos un conjunto de VLAN nativas en los dos nodos de un par de alta disponibilidad (puede ser directa o mediante un enrutador). Las VLAN nativas se utilizan para los latidos del corazón de alta disponibilidad. Si los dispositivos NetScaler no pueden comunicarse entre las VLAN nativas de ninguna interfaz, esto provocará conmutaciones por error de alta disponibilidad y, posiblemente, una situación de división cerebral en la que ambos dispositivos NetScaler piensen que son principales (lo que provocará la duplicación de direcciones IP, entre otras cosas).

  11. El dispositivo NetScaler no participa en el árbol de expansión. Por lo tanto, no es posible utilizar el árbol de expansión para proporcionar redundancia de interfaz cuando se utiliza un dispositivo NetScaler. En su lugar, utilice una forma de agregación de enlaces (LACP o LAG manual) para este propósito.

    Nota: Si desea tener una agregación de enlaces entre varios conmutadores físicos, debe configurarlos como conmutadores virtuales, mediante una función como el Switch Stack de Cisco.

  12. La sincronización de alta disponibilidad y la propagación de comandos utilizan de forma predeterminada el NSIP/NSVLAN. Para separarlos en una VLAN diferente, puede usar la opción SyncVLAN del comando. set HA node

  13. La configuración predeterminada del dispositivo NetScaler no incluye nada que indique que una interfaz de administración (0/1 o 0/2) esté restringida únicamente al tráfico de administración. El usuario final debe aplicar esta restricción mediante la configuración de la VLAN. Las interfaces de administración no están diseñadas para gestionar el tráfico de datos, por lo que el diseño de la red debe tener en cuenta este punto. Las interfaces de administración, que se encuentran en la placa base del dispositivo NetScaler, carecen de varias funciones de descarga, como la descarga de CRC, los búferes de paquetes más grandes y otras optimizaciones, lo que las hace mucho menos eficientes a la hora de gestionar grandes cantidades de tráfico. Para separar los datos de producción y el tráfico de administración, el NSIP no debe estar en la misma subred/VLAN que el tráfico de datos.

  14. Si se desea utilizar una interfaz de administración para transmitir el tráfico de administración, se recomienda que la ruta predeterminada esté en una subred que no sea la subred del NSIP (NSVLAN).

    En muchas configuraciones, se utiliza la ruta predeterminada para la comunicación con la estación de trabajo (en un caso de Internet). Si la ruta predeterminada está en la misma subred que el NSIP, el dispositivo ADC puede usar la interfaz de administración para enviar y recibir tráfico de datos. Este uso del tráfico de datos puede sobrecargar la interfaz de administración.

  15. Además, un SDX, el SVM, XenServer y todos los NSIP de las instancias de NetScaler deben estar en la misma VLAN y subred. No hay una placa base en el dispositivo SDX que permita la comunicación entre SVM/XEN/Instances. Si no están en la misma VLAN/subred/interfaz, el tráfico entre ellas debe salir del hardware físico, enrutarse en la red y regresar.

    Esta configuración puede provocar problemas de conectividad obvios entre las instancias y el SVM y, por lo tanto, no se recomienda. Un síntoma habitual de esto es que el SVM muestre un indicador amarillo del estado de la instancia VPX en cuestión y que no se pueda utilizar el SVM para reconfigurar una instancia VPX.

  16. Si algunas VLAN están enlazadas a subredes y otras no, durante una conmutación por error de alta disponibilidad, no se enviarán paquetes GARP a ninguna dirección IP de ninguna de las subredes que no estén enlazadas a una VLAN. Esta configuración puede provocar conexiones interrumpidas y problemas de conectividad durante las conmutaciones por error de alta disponibilidad. Este problema se debe a que el dispositivo NetScaler no puede notificar el cambio de direcciones IP de propiedad MAC de la red en los dispositivos NetScaler no configurados con VMAC.

    Los síntomas de esto son que durante o después de una conmutación por error de alta disponibilidad, el contador ip_tot_floating_ip_err aumenta en el antiguo dispositivo NetScaler principal durante más de unos segundos, lo que indica que la red no recibió ni procesó paquetes GARP y que la red sigue transmitiendo datos al nuevo dispositivo NetScaler secundario.

Mejores prácticas de redes y VLAN de dispositivos NetScaler