网络配置的最佳实践
以下各节介绍在 Citrix ADC 设备上配置网络功能的一些最佳实践。
路由和默认路由
以下是在 Citrix ADC 设备上配置第 3 层功能的一些最佳实践。
-
不得将 Citrix ADC 设备或 Citrix SDX 设备上的接口
0/x用于生产流量。在 MPX 或 SDX 上,名为的接口0/x被称为管理接口。这并不意味着您必须使用这些接口进行管理。这意味着这些接口不是为生产流量设计的。它们没有实现持续 1 Gbps 吞吐量所需的硬件缓冲区和优化。因此,如果您的默认路由与 NSIP 位于同一个子网中,则必须更改默认路由或使用管理网络1/x接口,因为1/x接口已针对生产 1 Gbps 流量进行了全面优化。注意:
这不适用于 Citrix ADC VPX 设备。
-
备选案文1。不要连接到接口
0/x-断开电缆与接口的连接0/1。NetScaler 在其他接口上监听 NSIP。(注意:这不是 SDX 的选项,因为 SVM 和 XenServer 只能与接口通话)0/x -
选项 2。将默认路由更改为其他接口,详见下一节。
-
-
默认网关(路由 0.0.0.0)应位于生产网络上,而不是在任何
0/x接口上。首次设置 NetScaler 时,它会要求您提供 NSIP、子网掩码和网关地址。这给管理员带来的问题是,他们刚刚使用 Interface 0/1 将自己的默认路由配置为在管理网络上。-
要检查您的路由是什么,请在 CLI 中运行,您的默认网关是网络
show route和网络掩码为 0.0.0.0 的行中的 IP。以下是网关位于第 1 行的示例:> sh route Network Netmask Gateway/OwnedIP State Traffic Domain Type ------- ------- --------------- ----- -------------- ---- 1) 0.0.0.0 0.0.0.0 10.25.213.65 UP 0 STATIC 2) 127.0.0.0 255.0.0.0 127.0.0.1 UP 0 PERMANENT 3) 10.25.213.64 255.255.255.192 10.25.213.68 UP 0 DIRECT 4) 172.16.0.0 255.255.255.0 172.16.0.1 UP 0 DIRECT <!--NeedCopy--> -
要检查用于默认网关的接口和 VLAN,请在 CLI 中使用
sh arp查看 ARP 表。您也可以使用搜索特定 IPshow arp | grep 10.25.213.65。以下是您看到网关 10.25.213.65 正在使用接口 1/1 和 VLAN 1 的示例:> sh arp IP MAC Iface VLAN Origin TTL Traffic Domain -- --- ----- ---- ------ --- -------------- 1) 127.0.0.1 02:00:18:a4:00:1e LO/1 1 PERMANENT N/A 0 2) 10.25.213.70 02:00:0f:46:00:28 1/1 1 DYNAMIC 967 0 3) 10.25.213.68 02:00:18:a4:00:1e LO/1 1 PERMANENT N/A 0 4) 10.25.213.67 02:00:0f:46:00:28 1/1 1 DYNAMIC 641 0 5) 10.25.213.65 00:08:e3:ff:fd:90 1/1 1 DYNAMIC 483 0 <!--NeedCopy--> -
更改默认路由,在您的生产子网和接口上使用网关。假设您的管理网络是 10.0.0.0/24,网关 10.0.0.1,生产网络是 10.1.1.0/24,网关 10.1.1.1。像这样设置您的配置:
- SNIP:(已禁用管理访问权限)10.1.1.2
- NSIP:(已启用管理访问权限)10.0.0.2
-
默认路由:0.0.0.0 0.0.0.0 10.1.1.1(系统 > 网络 > 路由)。这使用 SNIP 网络上的路由器而不是 NSIP 网络。
注意:
除非您配置静态路由、基于策略的路由或启用基于 MAC 的转发,否则更改默认网关可能会中断管理流量。
-
接口、信道和 VLAN
以下是在 Citrix ADC 设备上配置第 2 层功能的一些最佳实践。
-
不要将多个接口/信道连接到同一 VLAN,包括 VLAN 1:
-
如果您未正确配置 VLAN,则只要有多个活动接口使用同一 VLAN(本地接口或已标记),就会导致网络中出现一些意外的数据包路由和第 2 层循环。
-
默认情况下,所有接口和信道都位于本地 VLAN 1 上。这会产生两个可能的问题:
-
NetScaler 认为收到的所有流量都在同一个网络上,因此它使用任何接口发送流量。如果您在发送数据的接口上有不同的本地 VLAN,则流量将无法按预期路由。
-
如果 NetScaler 在一个端口上接收广播数据包,它可能会在另一个端口上重新传输。如果两个交换机端口位于同一 VLAN 上,则您刚刚创建了第 2 层环路。
-
-
要从 VLAN 1 中删除接口/信道,请执行以下操作:
-
如果您没有在交换机接口/端口通道上使用本地 VLAN。将 NetScaler 接口/通道上的本地 VLAN 更改为未使用的 VLAN 编号,例如 999。不应为多个通道或接口使用相同的未使用的 VLAN 编号,因为它会创建第 2 层环路。
-
如果您在交换机接口/端口通道上使用本地 VLAN。将 NetScaler 接口/通道上的本地 VLAN 更改为匹配。但是,请注意不要在同一 VLAN 上有多个活动接口或信道,因为这样做会产生第 2 层环路。
-
您无法删除本地 VLAN。相反,您可以对其进行更改或为接口或通道设置 TagAll。如果交换机端口未配置未标记的本地 VLAN,则在接口上启用 tagall,以便对高可用性心跳数据包进行标记。
-
-
要在接口上查看本地 VLAN,请
sh interface在 CLI 中运行。这也将通知您该接口是否在使用 TAGALL 选项。
-
-
将接口绑定到您的 VLAN -默认情况下,NetScaler 不会将新的 VLAN 连接到接口。这意味着在将 VLAN 绑定到接口之前,它不会被使用。当新 VLAN 未绑定到接口且该 VLAN 被标记时,NetScaler 会丢弃来自该 VLAN 的所有入站流量。此外,不要将同一 VLAN 绑定到多个接口。
-
将子网绑定到您的 VLAN。NetScaler 不像普通的路由器那样工作。大多数路由器将 IP 连接到接口。在 NetScaler 上,除非另有配置,否则 IP 会在任何接口上浮动。因此,如果您想确保 NetScaler 通过特定的 VLAN 发送任何子网,尤其是当 NetScaler 启动该流量时,则必须将该子网中的 SNIP 绑定到该 VLAN。
-
我们听到的反对这个观点的一个常见参数是,它以前可以正常工作,现在如果不将子网绑定到 VLAN,它就无法正常工作。这通常是因为 NetScaler 会得知要向哪个 VLAN 发送流量,但这可能需要一些时间来构建 ARP 表。重新启动或固件升级后,当它再次开始构建 ARP 表时,它最初可能会学习,因此使用的路径与您想要的路径不同,例如您的默认路由。最好通过将 SNIP 绑定到 VLAN 来指示它采用哪条路径。SNIP 绑定到 VLAN 后,该 SNIP 的整个子网都将绑定到该 VLAN。
-
确保每个 SNIP 都绑定到 VLAN(除非在一个子网中有多个 SNIP,则只需要绑定一个),并且 VLAN 反过来仅绑定到一个接口或信道。通常,最好在每个子网中都有一个 SNIP,但这不是必需的,因为最具体的路由将用于任何没有 SNIP 的目标子网。
-
-
要识别子网使用的 VLAN 和接口,请执行以下操作:
-
转到“系统”>“网络”>“VLAN”。
-
依次编辑配置的每个 VLAN,直到找到正确的 IP 地址,如下一步所述。
-
单击 IP 绑定选项卡,查看哪个 IP,以及哪个子网已绑定,因此正在使用此 VLAN。
-
确定了绑定了 IP 的 VLAN(该 IP 位于默认路由的子网内)后,单击“接口绑定”。将使用绑定到此 VLAN 的每个接口或信道。
-
示例
假设默认路由是 0.0.0.0 0.0.0.0 10.1.1.1。
假设您有两个 10.0.0.5 和 10.1.1.69 的 SNIP。由于 10.1.1.69 位于默认路由的子网中,因此您要查找的是该子网。在下面的屏幕截图中,我们正在查看 VLAN 1,我们看到 IP 10.1.1.69 已绑定到此 VLAN,因此我们知道我们在寻找正确的 VLAN。
现在单击“接口绑定”。在 VLAN 接口绑定中,我们看到接口 1/1 用于此子网,因此用作默认路由。
注意:
如果您没有将任何 IP 绑定到 VLAN,则默认情况下它将从 VLAN 1 发出,因此在这种情况下,请查看哪些接口绑定到 VLAN 1。这也意味着,除非您将 IP 绑定到新的 VLAN,否则 NetScaler 不会将您配置的 VLAN 用于它发起的流量。
无理由的 ARP
如果 GARP 不起作用,请使用 VMAC-默认情况下,NetScaler 使用 GARP 将其 IP 与 MAC 地址绑定通告给其他网络设备。这通常可以正常运行,但是,当您在 NetScaler 中创建更多服务时,在 HA 对上进行故障转移时可能会开始遇到问题。最常见的问题是,由于某些网络设备未使用新的 MAC 地址更新其 ARP 表,您故障切换到的 NetScaler 中的服务仍然处于关闭状态。您可以通过查看他们的 ARP 表来轻松验证这一点,看看 MAC 地址是否与 Now-Primary NetScaler 上的地址相匹配。发生这种情况时,很可能是您的某些网络设备限制了它们所支持的 GARP 广告的数量。在这种情况下,必须在所有活动接口和/或信道上配置 VMAC。如果您希望在 NetScaler 上进行大型配置,则最好在初始部署期间为所有接口和通道配置 VMAC。
注意:
不要忘记为默认路由使用的接口或通道配置 VMAC。
Citrix ADC 拥有的 IP 地址
本节讨论配置 Citrix ADC 拥有的 IP 地址的最佳实践:
-
Citrix ADC IP (NSIP):通常使用此 IP 进行管理,因为它是高可用性或群集环境中单个 NetScaler 唯一唯一的 IP。同样需要注意的是,LDAP、RADIUS 和用户脚本监视流量(例如 LDAP 监视器和 StoreFront 监视器)将从 NSIP 发出,因此会通过 NSIP 绑定的 VLAN 和接口进行路由(默认本地 VLAN 1)。如果您需要从 SNIP 获取 LDAP 和 RADIUS 流量,请为后端服务器创建 LB 虚拟服务器。
-
子网 IP (SNIP):此 IP 地址用于启动与后端服务器的通信,并始终用于启动流量。也就是说,在以下情况下,它可能是流量的目的地:
-
在 NetScaler 上进行第 3 层路由时,它可以用作其他设备上的网关地址。
-
启用后,它可以接受管理服务,例如访问 GUI、SSH 和 SNMP。
-
-
虚拟 IP (VIP):VIP 的独特之处在于它永远不会被用来启动出站流量。它仅用于接收流量。一旦收到流量,它就会回复并将出站流量发送回客户端。换句话说,VIP 地址不会启动出站流量。
请注意,这也意味着它不用作与 LB 虚拟服务器中使用的后端服务器进行通信的源。