ADC

管理分区的 VLAN 配置

VLAN 可以作为“专用”VLAN 或“共享”VLAN 绑定到分区。根据您的部署,您可以将 VLAN 绑定到分区,以将其网络流量与其他分区隔离开来。

专用 VLAN — 仅绑定到一个分区且禁用了“共享”选项且必须是标记为 VLAN 的 VLAN。例如,在客户端-服务器部署中,出于安全原因,系统管理员为服务器端的每个分区创建一个专用 VLAN。

共享 VLAN — 在启用了“共享”选项的情况下绑定(共享)到多个分区的 VLAN。例如,在客户端-服务器部署中,如果系统管理员无法控制客户端网络,则会创建 VLAN 并在多个分区之间共享。

共享 VLAN 可以跨多个分区使用。它是在默认分区中创建的,您可以将共享 VLAN 绑定到多个分区。默认情况下,共享 VLAN 会隐式绑定到默认分区,因此无法显式绑定它。

注意

  • 部署在任何虚拟机管理程序(ESX、KVM、Xen 和 Hyper-V)平台上的 Citrix ADC 设备必须符合分区设置和流量域中的以下条件:

    • Enable the promiscuous mode, MAC changes, MAC spoofing, or forged transmit for shared VLANs with partition.
    • Enable the VLAN with port group properties of the virtual switch, if the traffic is through a dedicated VLAN.
  • 在分区(多租户)Citrix ADC 设备中,系统管理员可以隔离流向特定分区或分区的流量。通过将一个或多个 VLAN 绑定到每个分区来完成。VLAN 可以专用于一个分区,也可以跨多个分区共享。

专用 VLAN

要隔离流入分区的流量,请创建一个 VLAN 并将其与分区关联。然后,VLAN 仅对关联的分区可见,流经 VLAN 的流量仅在关联的分区中进行分类和处理。

专用 VLAN 管理员分区

要为特定分区实施专用 VLAN,请执行以下操作。

  1. 添加 VLAN (V1)。
  2. 将网络接口作为标记的网络接口绑定到 VLAN。
  3. 创建一个分区 (P1)。
  4. 将分区 (P1) 绑定到专用的 VLAN (V1)。

使用 CLI 配置以下内容

  • 创建 VLAN

    add vlan <id>

示例

    add vlan 100
  • 绑定 VLAN

    bind vlan <id> -ifnum <interface> -tagged

示例

    bind vlan 100 –ifnum 1/8 -tagged
  • 创建分区

    Add ns partition <partition name> [-maxBandwidth <positive_integer>][-maxConn <positive_integer>] [-maxMemLimit <positive_integer>]

示例

    Add ns partition P1 –maxBandwidth 200 –maxconn 50 –maxmemlimit 90

    Done
  • 将分区绑定到 VLAN

    bind partition <partition-id> -vlan <id>

示例

    bind partition P1 –vlan 100

使用 Citrix ADC GUI 配置专用 VLAN

  1. 导航到“配置”>“系统”>“网络”>“VLAN”*,然后单击“添加”以创建 VLAN。
  2. 创建 VLAN 页面上,设置以下参数:

    • VLAN ID
    • Alias Name(别名)
    • 最大传输单位
    • 动态路由
    • IPv6 动态路由
    • 分区共享
  3. 在接 口绑 定部分中,选择一个或多个接口并将其绑定到 VLAN。
  4. IP 绑 定部分中,选择一个或多个 IP 地址并绑定到 VLAN。
  5. 单击 确定完成

共享 VLAN

在共享 VLAN 配置中,每个分区都有一个 MAC 地址,在共享 VLAN 上接收的流量按 MAC 地址分类。建议仅使用 Layer3 VLAN,因为它可以限制子网流量。分区 MAC 地址仅对共享 VLAN 部署适用且重要。

注意

从 Citrix ADC 版本 12.1 Build 51.16 开始,分区设备中的共享 VLAN 支持动态路由协议。

下图显示了如何在两个分区之间共享 VLAN (VLAN 10)。

共享 VLAN 管理员分区

要部署共享 VLAN 配置,请执行以下操作:

  1. 在共享选项“启用”的情况下创建 VLAN,或在现有 VLAN 上启用共享选项。默认情况下,该选项为“禁用”。
  2. 将分区接口绑定到共享 VLAN。
  3. 创建分区,每个分区都有自己的 PartitionMAC 地址。
  4. 将分区绑定到共享 VLAN。

使用 CLI 配置共享 VLAN

在命令提示符下,键入以下命令之一以添加 VLAN 或设置现有 VLAN 的共享参数:

add vlan <id> \[-sharing \(ENABLED | DISABLED)]

set vlan <id> \[-sharing \(ENABLED | DISABLED)]

add vlan 100 –sharing ENABLED

set vlan 100 –sharing ENABLED

使用 CLI 将分区绑定到共享 VLAN

在命令提示符下,键入:

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

add ns partition P1 –maxBandwidth 200 –maxconn 50   –maxmemlimit 90 -partitionMAC<mac_addr

Done

使用 CLI 配置分区 MAC 地址

set ns partition <partition name> [-partitionMAC<mac_addr>]

set ns partition P1 –partitionMAC 22:33:44:55:66:77

使用 CLI 将分区绑定到共享 VLAN

bind partition <partition-id> -vlan <id>

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

bind partition P2 –vlan 100

bind partition P3 –vlan 100

bind partition P4 –vlan 100

使用 Citrix ADC GUI 配置共享 VLAN

  1. 导航到“配置”>“系统”>“网络”>“VLAN”,然后选择 VLAN 配置文件,然后单击“编辑”以设置分区共享参数。

  2. Create VLAN(创建虚拟 LAN)页面上,选中 Partitions Sharing(分区共享)复选框。

  3. 单击“确定”,然后单击“完成”。

跨管理分区的共享 VLAN 进操作态路由

Citrix ADC 设备中的管理分区提供了一种托管多个租户的方法。

从 Citrix ADC 版本 12.1 Build 51.16 开始,分区设备中的共享 VLAN 支持动态路由协议。可以在与管理分区关联的专用或共享 VLAN 中配置路由。

管理分区的专用 VLAN。在专用 VLAN 中,使用一个或多个 VLAN 标识租户的数据路径。这会导致租户的严格配置和数据路径隔离。为了通告 VIP 地址的运行状况,在每个分区中启用了动态路由,并为每个分区建立路由邻接关系。

每个分区通过专用 VLAN 进操作态路由

跨管理分区的共享 VLAN。在共享 VLAN 中,在非默认分区中配置的 VIP 地址可以通过默认分区中形成的单个邻接关系或对等互连进行通告。非默认分区中的 SNIP 地址用作该非默认分区中所有 VIP 地址(使用 advertiseOnDefaultPartition 选项配置)的下一跳。配置的 SNIP 地址在路由通告中被标记为下一跳 IP 地址。

考虑一下 Citrix ADC 设备中的管理分区设置示例,VLAN 100 在默认分区和非默认分区之间共享:AP-3 和 AP-5。SNIP 地址 SNIP1 被添加到默认分区中,SNIP3 添加到 AP-3 中,SNIP5 添加到 AP-5 中。SNIP1、SNIP3 和 SNIP5 可以通过 vlan-100 访问。VIP 地址 VIP1 添加到默认分区中,在 AP-3 中添加 VIP3,在 AP-5 中添加 VIP5。VIP3 和 VIP5 通过在默认分区中形成的单个邻接关系或对等互连进行通告。

跨分区的共享 VLAN 进操作态路由

开始之前的准备工作

在通过非默认管理分区中的共享 VLAN 配置动态路由之前,请确保:

  • 动态路由在默认分区的共享 VLAN 上配置。在默认分区的共享 VLAN 上配置动态路由包括以下步骤:
    1. 在共享 VLAN 上启用动态路由。
    2. 在启用动态路由的情况下添加 SNIP 地址。此 SNIP 地址用于与上游的动态路由。
    3. 将 SNIP 子网绑定到共享 VLAN。
  • 默认分区上配置了一个或多个动态路由协议。有关详细信息,请参阅 配置动态路由协议

配置步骤

在非默认管理分区中通过共享 VLAN 配置动态路由包括以下步骤:

  1. 非默认分区中添加 SNIP 地址。此 SNIP 地址必须位于默认分区中用于动态路由的 SNIP IP 地址的同一子网中。

  2. 设置或启用以下参数,以便使用动态路由在非默认分区中通告 VIP 地址

    • 主机路由网关 (hostRtGw)。将此参数设置为在上一步中添加的 SNIP 地址。
    • 在默认分区(advertiseOnDefaultPartition)上播发。启用此参数。

示例配置

考虑在 Citrix ADC 设备中设置管理分区的示例。此设备上配置了非默认管理分区 AP-3。共享的 VLAN VLAN100 绑定到 AP-3。以下示例配置在 AP-3 中通过 VLAN100 配置动态路由。

步骤 示例配置
在默认管理分区上 -
在共享 VLAN 100 上启用动态路由。 set vlan 100 -dynamicRouting enabled
在启用动态路由的情况下添加 SNIP 地址 192.0.2.10。此 SNIP 地址用于与上游的动态路由。 add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
将 192.0.2.10 的子网绑定到共享 VLAN 100。 bind vlan 100 -IPAddress 192.0.2.10 255.255.255.0
在非默认管理分区 AP-3 -
添加 SNIP 地址 192.0.2.30。此 SNIP 地址与默认分区上的 SNIP 地址 192.0.2.10 位于同一子网中。 add ns ip 192.0.2.30 255.255.255.0 -type SNIP
对于使用动态路由的广告 VIP 地址 203.0.113.300,请启用 advertiseOnDefaultPartition 参数并将 hostRtGw参数设置为 192.0.2.30。 set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.30

跨管理分区通过共享 VLAN 动态路由 IPv6

必须启用 enable ns feature IPv6PTset L3Param –ipv6DynamicRouting ENABLED 命令才能通过管理分区中的共享 VLAN 动态路由 IPv6 地址。以下示例配置可帮助您通过共享 VLAN 配置 IPv6 的动态路由。

示例配置

以下示例配置在 AP-3 中配置通过 VLAN 100 的动态路由。

步骤 示例配置
在默认管理分区上 -
在共享 VLAN 100 上启用动态路由。 set vlan 100 -dynamicRouting enabled
在启用动态路由的情况下添加 SNIP 地址 2001:b: c: d። 1/64。SNIP IP 地址用于与上游的动态路由。 add ns ip6 2001:b:c:d::1/64 -type SNIP -dynamicRouting enabled
将 2001:b: c:d። 1/64 的子网绑定到共享 VLAN 100。 bind vlan 100 -IPAddress 2001:b:c:d::1/64
在非默认管理分区 AP-3 -
添加截断 IP 地址 2001:b:c:d::2/64。此 SNIP 地址与默认分区上的 SNIP 地址 2001:b:c:d::2/64 位于同一子网中。 add ns ip6 2001:b:c:d::2/64 -type SNIP
对于使用动态路由广告 VIP 地址 2002። 1/128,请启用 advertiseOnDefaultPartition 参数并将 ip6hostRtGw参数设置为2001:b:c:d::2。 set ns ip6 2002::1/128 -hostRoute enabled -advertiseOnDefaultPartition enabled -ip6hostRtGw 2001:b:c:d::2

管理分区中存在的 VIP 必须在默认分区的 VTYSH 上看作为内核路由。

> switch partition default
Done

>vtysh
ns#

ns# sh ipv6 route kernel

IPv6 routing table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
   IA - OSPF inter area, E1 - OSPF external type 1,
   E2 - OSPF external type 2, I - IS-IS, B - BGP
Timers: Uptime

K      2002::1/128 via 2001:b:c:d::2, vlan0, 01:24:15                             >> on Default Partition, VIP : 2002::1 present in AP known via SNIP6 : 2001:b:c:d::2 is present in AP as a Kernel Route

它可以通过在默认分区中使用 OSPFv3/BGP+ 下的“重新分发内核”选项向上游播发。

ns# sh run router ipv6 ospf
!
router ipv6 ospf 1
redistribute kernel
!

与 Citrix ADC SDX 设备上的管理分区共享 VLAN

在 SDX 设备上,在将管理分区与共享 VLAN 一起使用之前,必须使用管理服务用户界面生成和配置 PMAC 地址。管理服务使您能够通过以下方式生成分区 MAC 地址:

  • 使用基本 MAC 地址
  • 指定自定义 MAC 地址
  • 随机生成 MAC 地址

注意