Descripción de las VLAN
Un dispositivo NetScaler admite puertos de capa 2 y VLAN etiquetadas con IEEE 802.1q. Las configuraciones de VLAN son útiles cuando necesita restringir el tráfico a ciertos grupos de estaciones. Puede configurar una interfaz de red como parte de varias VLAN mediante el etiquetado IEEE 802.1q.
Puede configurar las VLAN y vincularlas a subredes IP. A continuación, el NetScaler realiza el reenvío de IP entre estas VLAN (si está configurado como el enrutador predeterminado para los hosts de estas subredes).
NetScaler admite los siguientes tipos de VLAN:
-
VLAN basadas en puertos. La pertenencia a una VLAN basada en puertos se define mediante un conjunto de interfaces de red que comparten un dominio de transmisión de capa 2 común y exclusivo. Puede configurar varias VLAN basadas en puertos. De forma predeterminada, todas las interfaces de red de NetScaler son miembros de la VLAN 1.
Si aplica el etiquetado 802.1q al puerto, la interfaz de red pertenece a una VLAN basada en puertos. El tráfico de capa 2 se conecta a una VLAN basada en puertos y las transmisiones de capa 2 se envían a todos los miembros de la VLAN si el modo de capa 2 está habilitado. Cuando agrega una interfaz de red sin etiquetar como miembro de una VLAN nueva, se elimina de su VLAN actual.
-
VLAN predeterminada. De forma predeterminada, las interfaces de red de NetScaler se incluyen en una única VLAN basada en puertos como interfaces de red sin etiquetar. Esta VLAN es la VLAN predeterminada. Tiene un ID de VLAN (VID) de 1. Esta VLAN existe permanentemente. No se puede eliminar y su VID no se puede cambiar.
Al agregar una interfaz de red a una VLAN diferente como miembro sin etiquetar, la interfaz de red se elimina automáticamente de la VLAN predeterminada. Si desvincula una interfaz de red de su VLAN actual basada en puertos, se vuelve a agregar a la VLAN predeterminada.
-
VLAN etiquetadas. El etiquetado 802.1q (definido en el estándar IEEE 802.1q) permite que un dispositivo de red (como el NetScaler) añada información a una trama en la capa 2 para identificar la pertenencia a la VLAN de la trama. El etiquetado permite que los entornos de red tengan VLAN que abarquen varios dispositivos. Un dispositivo que recibe el paquete lee la etiqueta y reconoce la VLAN a la que pertenece el marco. Algunos dispositivos de red no admiten la recepción de paquetes etiquetados y sin etiquetar en la misma interfaz de red, en particular, los conmutadores Force10. En tales casos, debe ponerse en contacto con el servicio de atención al cliente para obtener ayuda.
La interfaz de red puede ser un miembro etiquetado o no etiquetado de una VLAN. Cada interfaz de red es un miembro no etiquetado de una sola VLAN (su VLAN nativa). Esta interfaz de red transmite las tramas de la VLAN nativa como tramas sin etiquetar. Una interfaz de red puede formar parte de más de una VLAN si las otras VLAN están etiquetadas.
Al configurar el etiquetado, asegúrese de que coincida con la configuración de la VLAN en ambos extremos del enlace. El puerto al que se conecta NetScaler debe estar en la misma VLAN que la interfaz de red de NetScaler.
Nota: Esta configuración de VLAN no está sincronizada ni propagada, por lo que debe realizar la configuración en cada unidad de un par HA de forma independiente.
Aplicación de reglas para clasificar marcos
Las VLAN tienen dos tipos de reglas para clasificar los marcos:
-
Reglas de ingreso. Las reglas de ingreso clasifican cada marco como perteneciente solo a una VLAN. Cuando se recibe una trama en una interfaz de red, se aplican las siguientes reglas para clasificarla:
- Si el marco no está etiquetado o tiene un valor de etiqueta igual a 0, el VID del marco se establece en el puerto VID (PVID) de la interfaz de recepción, que se clasifica como perteneciente a la VLAN nativa. (Los PVIDs se definen en el estándar IEEE 802.1q).
- Si el fotograma tiene un valor de etiqueta igual a FFF, el fotograma se elimina.
- Si el VID de la trama especifica una VLAN de la que la interfaz de red receptora no es miembro, la trama se elimina. Por ejemplo, si se envía un paquete desde una subred asociada a la ID de VLAN 12 a una subred asociada a la ID de VLAN 10, el paquete se descarta. Si se envía un paquete sin etiquetar con VID 9 desde la subred asociada al ID de VLAN 10 a una interfaz de red PVID 9, el paquete se descarta.
-
Reglas de salida. Se aplican las siguientes reglas de salida:
- Si el VID de la trama especifica una VLAN de la que la interfaz de red de transmisión no es miembro, la trama se descarta.
- Durante el proceso de aprendizaje (definido por el estándar IEEE 802.1q), se utilizan Src MAC y VID para actualizar la tabla de búsqueda de puentes de NetScaler.
- Se descarta un marco si su VID especifica una VLAN que no tiene ningún miembro. (Los miembros se definen enlazando las interfaces de red a una VLAN).
VLAN y reenvío de paquetes en NetScaler
El proceso de reenvío del dispositivo NetScaler es similar al de cualquier conmutador estándar. Sin embargo, NetScaler realiza el reenvío solo cuando el modo de capa 2 está activado. Las características clave del proceso de reenvío son:
- Se aplican las restricciones de topología. La aplicación implica seleccionar cada interfaz de red de la VLAN como puerto de transmisión (según el estado de la interfaz de red), reducir las restricciones (no reenviar en la interfaz de red receptora) y las restricciones de MTU.
- Los marcos se filtran en función de la información de la búsqueda de tablas puente en la tabla de base de datos de reenvío (FDB) de NetScaler. La búsqueda en la tabla puente se basa en el MAC y el VID de destino. Los paquetes dirigidos a la dirección MAC del NetScaler se procesan en las capas superiores.
- Todas las tramas de transmisión y multidifusión se reenvían a cada interfaz de red que forma parte de la VLAN, pero el reenvío solo se produce si el modo L2 está activado. Si el modo L2 está desactivado, se descartan los paquetes de transmisión y multidifusión. Esto también se aplica a las direcciones MAC que no se encuentran actualmente en la tabla puente.
- Una entrada de VLAN tiene una lista de las interfaces de red miembros que forman parte de su conjunto de miembros sin etiquetar. Al reenviar marcos a estas interfaces de red, no se inserta una etiqueta en el marco.
- Si la interfaz de red es un miembro etiquetado de esta VLAN, la etiqueta se inserta en el marco cuando se reenvía el marco.
Cuando un usuario envía paquetes de transmisión o multidifusión sin que se identifique la VLAN, es decir, durante la detección de direcciones duplicadas (DAD) para NSIP o ND6 para el siguiente salto de la ruta, el paquete se envía a todas las interfaces de red, con el etiquetado adecuado según las reglas de entrada y salida. El ND6 normalmente identifica una VLAN y solo se envía un paquete de datos en esta VLAN. Las VLAN basadas en puertos son comunes a IPv4 e IPv6. Para IPv6, NetScaler admite VLAN basadas en prefijos.