Gi-LAN統合
通常、Citrix ADCアプライアンスは、L3ルーターと同様に、Gi-LANに個別のL3インラインノードとして挿入されます。
図:Gi-lan の単純な描写
接続
十分な冗長性を確保するために、アップストリームスイッチへの物理的な NetScaler 接続をお勧めします。たとえば、合計(アップリンク+ダウンリンク)24Gbpsを処理するGi-LANにCitrix ADCアプライアンスが挿入されていると仮定すると、4x10GbE以上のインターフェイスとの接続を推奨します。これにより、リンク障害が発生した場合に N+1 の冗長性が効果的に提供されます。
アップストリームスイッチの関連ポートは、LACP ポート集約用に設定する必要があります。NetScaler 関連する構成の概要を以下に示します。
接続構成:
set interface 10/1 –tagall ON –lacpMode ACTIVE –lacpKey 1
set interface 10/2 –tagall ON –lacpMode ACTIVE –lacpKey 1
set interface 10/3 –tagall ON –lacpMode ACTIVE –lacpKey 1
set interface 10/4 –tagall ON –lacpMode ACTIVE –lacpKey 1
<!--NeedCopy-->
「show interface」コマンドを使用すると、LACP の適切な機能を確認できます。
インターフェイスの表示:
sh interface LA/1
1) Interface LA/1 (802.3ad Link Aggregate) #39
flags=0x4100c020 <ENABLED, UP, AGGREGATE, UP, HAMON, 802.1q>
MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s
Requested: media NONE, speed AUTO, duplex NONE, fctl NONE,
throughput 0
Actual: throughput 4000
LLDP Mode: NONE,
RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) Stalls(0)
TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) Stalls(0)
NIC: InDisc(0) OutDisc(0) Fctls(0) Stalls(0) Hangs(0) Muted(0)
Bandwidth thresholds are not set.
Disable the remaining unused interfaces and turn off the monitor.
set interface 10/5 –haMonitor OFF
<!--NeedCopy-->
コマンド:
set interface 10/24 –haMonitor OFF
disable interface 10/5
disable interface 10/24
<!--NeedCopy-->
物理インターフェイスの構成は、2 つの NetScaler ユニット間で共有されません。したがって、HAペアを展開する場合は、上記のコマンドを両方のCitrix ADCノードで実行する必要があります。
HA 設定
他のすべての構成パラメータは、HAペアのCitrix ADCノード間で共有されます。したがって、HA 同期は、他の構成コマンドを実行する前に有効にしておく必要があります。基本的な HA 設定には、次の手順が含まれます。
1. まったく同じCitrix ADCハードウェア、ソフトウェア、ライセンスの使用:異なるモデル(T1100とMPX21550など)またはファームウェアレベルが異なる同じモデル間では、HAペアはサポートされません。既存の HA ペアのアップグレード( リリース 11.1 へのアップグレード)に関する適切な手順を参照してください。
2. HA ペアの確立。
例:
netscaler-1> add HA node 1 <netscaler-2-NSIP>
netscaler-2> add HA node 1 <netscaler-1-NSIP>
<!--NeedCopy-->
3. いずれかのノードで次のコマンドを実行して HA ペアの確立を確認します。両方のノードが認識され、一方はプライマリ(アクティブ)で、もう一方はセカンダリ(スタンバイ)になります。
例:
show HA node
<!--NeedCopy-->
4. フェイルセーフモードと maxFlips を有効にします。これにより、両方のノードでルートモニタに障害が発生しても、アクティブ/スタンバイステータスが常に切り替わることなく、少なくとも 1 つのノードがアクティブのままになります。
例:
set HA node –failsafe ON
set HA node -maxFlips 3 -maxFlipTime 1200
<!--NeedCopy-->
5. 最後に、OAM ネットワークではなく、専用のイントラCitrix ADC ポートで高可用性同期を実行できるようにします。
例:
add vlan 4080 -aliasName syncVlan
set HA node -syncvlan 4080
<!--NeedCopy-->
注
上の例のコマンドの VLAN 4080 は、文字どおりに解釈すべきではありません。未使用の VLAN-ID は予約されている可能性があります。
VLAN 設定
物理インターフェイスを適切に設定したら、適切な Gi-LAN VLAN を設定することができます。たとえば、100/101 の VLAN 識別子を持つ入力/出力 VLAN ペアを持つ、かなり単純な Gi-LAN 環境を考えてみましょう。
次のコマンドは、前の手順で作成した LACP チャネルの上に関連する VLAN を設定します。
add vlan 100
add vlan 101
bind vlan 100 –ifnum LA/1 –tagged
bind vlan 101 –ifnum LA/1 –tagged
<!--NeedCopy-->
IPv4 設定
通常、Citrix ADCアプライアンスでは、VLANごとに1つのSNIPが必要です。次の例では、このページの冒頭にある Gi-LAN 統合図で概説されているネットワークに /24 サブネットマスクがあることを前提としています。
add ns ip 192.168.1.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
add ns ip 192.168.2.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
<!--NeedCopy-->
SNIP を設定したら、適切な VLAN に関連付ける必要があります。
bind vlan 100 –IPAddress 192.168.1.254 255.255.255.0
bind vlan 101 –IPAddress 192.168.2.254 255.255.255.0
<!--NeedCopy-->
IPv4 スタティックルーティング
「 管理ネットワーク 」セクションで説明した例では、2 つのスタティックルーティングルールしか求めません。
- 入力ルータを経由してクライアントへの 10.0.0.0/8 スタティックルート
- 出力ルータを経由したインターネットへのデフォルトルート
例:
add route 0.0.0.0 0.0.0.0 192.168.2.1
add route 10.0.0.0 255.0.0.0 192.168.1.1
<!--NeedCopy-->
IPv4 ポリシーベース (VLAN-VLAN) ルーティング
Citrix ADCアプライアンスでは、静的ルーティングの代わりにポリシーベースのルーティングが可能で、ルーティングの決定は通常、宛先IPではなく着信インターフェイスやVLANに対してキーイングされます。ポリシーベースのルーティングは、クライアントの送信元 IP アドレス範囲が定期的に変更される場合や、パケットの宛先 IP アドレスだけではルーティングの決定に到達できない場合の (つまり、クライアント IP アドレスが重複している場合)、必須の考慮事項です。複数の VLAN にまたがる)
例:
add ns pbr fromWirelessToInternet ALLOW –nextHop 192.168.2.1 –vlan 100 –priority 10
Done
add ns pbr fromInternetToWireless ALLOW –nextHop 192.168.1.1 –vlan 200 –priority 20
Done
apply ns pbrs
<!--NeedCopy-->
IPv6 設定
次のコマンドは、VLAN ごとに IPv6 SNIP を割り当てます。次の例では、図:このページの Gi-LAN の簡単な描写に概説されているネットワークに /64 サブネットマスクがあることを前提としています。
コマンド:
add ns ip6 fd00:192:168:1::254/64 -vServer DISABLED –mgmtAccess DISABLED
add ns ip6 fd00:192:168:2::254/64 -vServer DISABLED –mgmtAccess DISABLED
bind vlan 100 -IPAddress fd00:192:168:1::254/64
bind vlan 200 -IPAddress fd00:192:168:2::254/64
<!--NeedCopy-->
IPv6 ルーティング
IPv6 アドレッシングが完了すると、IPv6 スタティックルーティングが構成されることがあります。
- fd 00:10:: /64 入力ルーター経由のクライアントへのスタティックルート
- 出力ルータを経由したインターネットへのデフォルトルート
例:
add route6 fd00:10::/64 fd00:192:168:1::1
add route6 ::/0 fd00:192:168:2::1
<!--NeedCopy-->
または、ポリシーベースルーティングを使用します。
例:
add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd00:192:168:2::1
add ns pbr6 fromInternetToWirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd00:192:168:1::1
apply ns pbr6
<!--NeedCopy-->
LACP の冗長性とフェールオーバー
HA 構成の場合は、スループットオプションを利用して LACP チャネルの下限しきい値を設定することをお勧めします。たとえば、HA ペアの各 NetScaler アプライアンスとアップストリームスイッチの間に 25 Gbps Gi-LAN と 4x10GbE チャネルを設定して、N+1 リンクの冗長性を提供するとします。
例:
set interface LA/1 –haMonitor ON –throughput 29000
<!--NeedCopy-->
プライマリアプライアンスとアップストリームスイッチの間に二重リンク障害が発生した場合、サポートできる最大 Gi-LAN スループットは 20 Gbps に低下します。上記の例で 29 Gbps の下限しきい値を設定すると、セカンダリアプライアンス(同様のリンク障害が発生していない)に冗長スイッチオーバーイベントが発生し、Gi-LAN トラフィックは影響を受けません。
ルートモニター
LACP の冗長性に加えて、ルートモニタチェックを設定し、HA ペアの設定に関連付けることもできます。ルートモニターチェックは、Citrix ADCアプライアンスとネクストホップルーターの間の障害を検出するのに役立ちます。特に、ルーターが直接接続されておらず、アップストリームスイッチを介して接続されている場合に役立ちます。
セクション 2.5.1 のサンプル GiLAN ごとの一般的な HA ルートモニタの設定を次に示します。
add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp
add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp
bind HA node -routeMonitor 192.168.1.0 255.255.255.0
bind HA node -routeMonitor 192.168.2.0 255.255.255.0
<!--NeedCopy-->