ネットワーク構成のベストプラクティス
次のセクションでは、NetScalerアプライアンスのネットワーク機能を構成するためのベストプラクティスについて説明します。
ルーティングとデフォルトルート
NetScalerアプライアンスでレイヤー3機能を構成するためのベストプラクティスを以下に示します。
-
NetScalerアプライアンスまたはNetScaler SDXアプライアンスのインターフェイス
0/x
をプロダクショントラフィックに使用しないでください。MPX または SDX では、0/x
名前の付いたインターフェイスは管理インターフェイスを指します。だからといって、管理にこれらのインターフェースを使用しなければならないわけではありません。つまり、これらのインターフェースはプロダクショントラフィック用には設計されていないということです。1 Gbpsのスループットを維持するのに必要なハードウェアバッファや最適化機能はありません。したがって、デフォルトルートがNSIPと同じサブネットにある場合は、デフォルトルートを変更するか、管理ネットワークの1/x
インターフェイスを使用する必要があります。1/x
インターフェイスは運用環境の1 Gbpsトラフィック用に完全に最適化されているためです。注:
これはNetScaler VPXアプライアンスには適用されません。
-
オプション 1。インターフェイスに接続しないでください
0/x
—0/1
インターフェイスからケーブルを取り外します。NetScalerは他のインターフェースでNSIPを受信します。(注:SVMとXenServerは0/x
インターフェイスとしか通信できないため、これはSDXではオプションではありません) -
オプション2:次のセクションで説明するように、デフォルトルートを別のインターフェイスに変更します。
-
-
デフォルトゲートウェイ (ルート 0.0.0.0) は、どの
0/x
インターフェイスにも配置せず、プロダクションネットワークに配置する必要があります。 NetScalerを初めてセットアップするときに、NSIP、サブネットマスク、ゲートウェイアドレスの入力を求められます。これが管理者にもたらす問題は、インターフェイス 0/1 を使用して管理ネットワーク上にデフォルトルートを設定しただけということです。-
ルートを確認するには、CLIで実行します。デフォルトゲートウェイは、
show route
ネットワークとネットマスクが0.0.0.0の行のIPです。ゲートウェイが回線 1 にある例を次に示します。> sh route Network Netmask Gateway/OwnedIP State Traffic Domain Type ------- ------- --------------- ----- -------------- ---- 1) 0.0.0.0 0.0.0.0 10.25.213.65 UP 0 STATIC 2) 127.0.0.0 255.0.0.0 127.0.0.1 UP 0 PERMANENT 3) 10.25.213.64 255.255.255.192 10.25.213.68 UP 0 DIRECT 4) 172.16.0.0 255.255.255.0 172.16.0.1 UP 0 DIRECT <!--NeedCopy-->
-
デフォルトゲートウェイに使用されているインターフェイスとVLANを確認するには、CLIの
sh arp
を使用してARPテーブルを確認します。show arp | grep 10.25.213.65
を使用して特定の IP を検索することもできます。ゲートウェイ10.25.213.65がインターフェイス1/1とVLAN 1を使用している例を次に示します。> sh arp IP MAC Iface VLAN Origin TTL Traffic Domain -- --- ----- ---- ------ --- -------------- 1) 127.0.0.1 02:00:18:a4:00:1e LO/1 1 PERMANENT N/A 0 2) 10.25.213.70 02:00:0f:46:00:28 1/1 1 DYNAMIC 967 0 3) 10.25.213.68 02:00:18:a4:00:1e LO/1 1 PERMANENT N/A 0 4) 10.25.213.67 02:00:0f:46:00:28 1/1 1 DYNAMIC 641 0 5) 10.25.213.65 00:08:e3:ff:fd:90 1/1 1 DYNAMIC 483 0 <!--NeedCopy-->
-
デフォルトルートをプロダクションサブネットとインターフェースのゲートウェイを使用するように変更します。管理ネットワークが10.0.0.0/24でゲートウェイ10.0.0.1で、運用ネットワークが10.1.1.0/24でゲートウェイ10.1.1.1であると仮定します。以下のように設定してください。
- SNIP: (管理アクセスが無効) 10.1.1.2
- NSIP: (管理アクセスが有効) 10.0.0.2
-
デフォルトルート:0.0.0.0 0.0.0 10.1.1.1 ([システム] > [ネットワーク] > [ルート])。これは NSIP ネットワークの代わりに SNIP ネットワーク上のルーターを使用します。
注記:
デフォルトゲートウェイを変更すると、静的ルート、ポリシーベースルートを設定するか、MAC ベースの転送を有効にしない限り、管理トラフィックが中断する可能性があります。
-
インターフェイス、チャネル、VLAN
NetScalerアプライアンスでレイヤー2機能を構成するためのベストプラクティスを以下に示します。
- VLAN 1を含め、複数のインターフェイス/チャネルを同じ VLAN に接続しないでください。
-
VLAN を適切に設定しないと、ネットワーク内で予期しないパケットルーティングが発生し、同じ VLAN(ネイティブまたはタグ付き)のアクティブインターフェイスが複数ある場合にレイヤ 2 ループが発生する可能性があります。
-
デフォルトでは、すべてのインターフェイスとチャネルはネイティブ VLAN 1 上にあります。これにより、次の 2 つの問題が発生する可能性があります。
-
NetScalerは、受信したすべてのトラフィックが同じネットワーク上にあると見なすため、任意のインターフェイスを使用してトラフィックを送信します。データを送信したインターフェイスに別のネイティブ VLAN がある場合、トラフィックは期待どおりにルーティングされません。
-
NetScalerは、あるポートでブロードキャストパケットを受信すると、別のポートで再送信する可能性があります。両方のスイッチポートが同じ VLAN 上にある場合は、レイヤ 2 ループが作成されたことになります。
-
-
VLAN 1 からインターフェイス/チャネルを削除するには:
-
スイッチインターフェイス/ポートチャネルでネイティブ VLAN を使用していない場合。NetScalerインターフェイス/チャネルのネイティブVLANを999などの未使用のVLAN番号に変更します。複数のチャネルまたはインターフェイスに同じ未使用の VLAN 番号を使用しないでください。レイヤ 2 ループが発生するためです。
-
スイッチインターフェイス/ポートチャネルでネイティブ VLAN を使用している場合。NetScalerインターフェイス/チャネルのネイティブVLANをそれに合わせて変更します。ただし、同じ VLAN に複数のアクティブなインターフェイスまたはチャネルがあると、レイヤ 2 ループが発生しないよう注意してください。
-
ネイティブ VLAN は削除できません。代わりに、これを変更したり、インターフェイスまたはチャネルに tagAll を設定したりできます。スイッチポートにタグなしのネイティブ VLAN が設定されていない場合は、インターフェイスで tagall を有効にして High Availability ハートビートパケットがタグ付けされるようにします。
-
-
インターフェイス上のネイティブ VLAN を表示するには、CLIで
sh interface
を実行します。これにより、インターフェースが TAGALL オプションを使用しているかどうかもわかります。
-
-
インターフェイスをVLANにバインドする -NetScalerは、デフォルトでは新しいVLANをインターフェイスに接続しません。つまり、インターフェイスにバインドするまでは VLAN は使用されません。新しいVLANがインターフェイスにバインドされておらず、そのVLANがタグ付けされている場合、NetScalerはそのVLANからのすべての受信トラフィックをドロップします。また、同じ VLAN を複数のインターフェイスにバインドしないでください。
-
サブネットを VLAN にバインドします。NetScalerは一般的なルーターのようには機能しません。ほとんどのルータはインターフェイスに IP をアタッチします。NetScalerでは、特に構成されていない限り、IPはどのインターフェイスでもフローティングします。そのため、NetScalerが特定のVLANを介して送信するようにしたいサブネットは、特にNetScalerがそのトラフィックを開始する場合は、そのサブネット内のSNIPをVLANにバインドする必要があります。
-
これに対してよく聞かれる議論は、以前は正常に機能していましたが、現在はサブネットをVLANにバインドしないと機能しないというものです。これは、NetScalerがトラフィックを送信するVLANを学習するためによく発生しますが、ARPテーブルの作成には時間がかかる場合があります。再起動またはファームウェアのアップグレード後、ARP テーブルの構築が再開されると、最初は学習されるため、デフォルトルートなど、希望とは異なるパスを使用している場合があります。SNIPをVLANにバインドして、どのパスを取るかを指示するのが一番です。SNIPがVLANにバインドされると、そのSNIPのサブネット全体がVLANにバインドされます。
-
すべてのSNIPがVLANにバインドされ(サブネットに複数のSNIPがある場合は、1つだけをバインドする必要があります)、VLANが1つのインターフェイスまたはチャネルにのみバインドされていることを確認します。また、すべてのサブネットにSNIPを設定するのが最善ですが、SNIPのない宛先サブネットには最も具体的なルートが使用されるため、必須ではありません。
-
-
サブネットが使用する VLAN とインターフェイスを識別するには:
-
[ **システム] > [ネットワーク] **[VLAN] に移動します。
-
次のステップで説明するように、正しい IP アドレスが見つかるまで、設定した各 VLAN を順番に編集します。
-
IP バインディングタブをクリックすると、どの IP、つまりどのサブネットがバインドされ、この VLAN を使用しているかを確認できます。
-
IP がバインドされている VLAN(その IP がデフォルトルートのサブネット内にある場合)を特定したら、インターフェイスバインディングをクリックします。この VLAN にバインドされた各インターフェイスまたはチャネルが使用されます。
-
例
デフォルトルートは0.0.0.0 0.0.0.0 10.1.1.1
であると仮定します。
10.0.0.5 と 10.1.1.69 の 2 つの SNIP があるとします。10.1.1.69はデフォルトルートのサブネットにあるので、探したいのはそのルートです。下のスクリーンショットでは、VLAN 1を確認していますが、IP 10.1.1.69がこのVLANにバインドされていることがわかるので、正しいVLANを確認していることがわかります。
次に、「インターフェースバインディング」をクリックします。VLANインターフェースのバインディングを見ると、 1/1
このサブネットにはインターフェースが使用されており、したがってデフォルトルートにも使用されていることがわかります。
注意:
VLANにIPがバインドされていない場合、デフォルトではVLAN 1に送信されるため、その場合はどのインターフェイスがVLAN 1にバインドされているかを確認してください。つまり、NetScalerは、IPを新しいVLANにバインドしない限り、構成済みのVLANを起動するトラフィックに使用しません。
無償の ARP
GARPが機能しない場合は、VMACを使用してください-デフォルトでは、NetScalerはGARPを使用してIPとMACアドレスのバインディングを他のネットワークデバイスにアドバタイズします。これは通常問題なく機能しますが、NetScalerでより多くのサービスを作成するにつれて、HAペアでフェイルオーバーするときに問題が発生する可能性があります。最も一般的な問題は、一部のネットワークデバイスがARPテーブルを新しいMACアドレスで更新していないために、フェイルオーバー先のNetScalerでサービスが停止したままになることです。ARPテーブルをチェックして、MACアドレスが現在プライマリとなっているNetScaler上のアドレスと一致するかどうかを確認することで、これを簡単に確認できます。この場合、一部のネットワークデバイスが、受け入れるGARPアドバタイズメントの数を制限している可能性が高くなります。この場合、すべてのアクティブなインターフェイスやチャネルに VMAC を設定する必要があります。NetScalerで大規模な構成を行うことが予想される場合は、初期展開時にすべてのインターフェイスとチャネルに対してVMACを構成するのが最適な場合があります。
注:デフォルトルートで使用されるインターフェイスまたはチャネルに VMAC
を設定することを忘れないでください。
NetScaler が所有するIPアドレス
このセクションでは、NetScalerが所有するIPアドレスを構成するためのベストプラクティスについて説明します。
-
NetScaler IP(NSIP): このIPは、HAまたはクラスター環境の個々のNetScalerに固有の唯一のIPであるため、一般的に管理に使用されます。また、LDAP、RADIUS、およびユーザースクリプトモニターのトラフィック(LDAPモニターやStoreFront モニターなど)はNSIPから送信され、NSIPがバインドされているVLANとインターフェイス(デフォルトのネイティブVLAN 1)を介してルーティングされるという点にも注意してください。LDAPトラフィックとRADIUSトラフィックをSNIPから送信する必要がある場合は、バックエンドサーバー用のLB仮想サーバーを作成します。
-
サブネット IP (SNIP): この IP アドレスは、バックエンドサーバーとの通信を開始するために使用され、常にトラフィックを開始します。とはいえ、次のような場合はトラフィックの宛先になる可能性があります。
-
NetScalerでレイヤー3ルーティングを行うときに、他のデバイスのゲートウェイアドレスとして使用できます。
-
有効にすると、GUI、SSH、SNMPへのアクセスなどの管理サービスを受け入れることができます。
-
-
仮想 IP (VIP): VIP は、アウトバウンドトラフィックの開始には決して使用されないという点で独特です。トラフィックのみを受信することを目的としています。トラフィックを受信すると、応答してトラフィックをクライアントに送り返します。つまり、VIP アドレスはアウトバウンドトラフィックを開始しません。
これは、たとえばLB仮想サーバーで使用されるバックエンドサーバーとの通信のソースとして使用されないことも意味することにも注意してください。