网络配置的最佳实践

October 7, 2021

投稿者:

以下部分介绍了在 Citrix ADC 设备上配置网络功能的一些最佳实践。

路由和默认路由

以下是在 Citrix ADC 设备上配置第 3 层功能的一些最佳做法。

最佳实践第 3 层配置

Citrix ADC 设备或 Citrix SDX 设备0/x 上的接口不得用于生产流量 。在 MPX 或 SDX 上，名为的接口0/x 被引用到管理接口。这并不意味着您必须使用这些接口进行管理。这意味着这些接口不是为生产流量设计的。它们没有实现持续 1 Gbps 吞吐量所需的硬件缓冲区和优化。因此，如果您的默认路由与 NSIP 位于同一子网中，则必须更改默认路由或使用管理网络的接1/x 口，因为这些1/x 接口已完全针对生产 1Gbps 的流量。

注意：

这不适用于 Citrix ADC VPX 设备。
- 备选案文 1. 请勿连接到接口0/x — 从接口断开电缆0/1 。NetScaler 侦听其他接口上的 NSIP。（注意：这不是 SDX 的选项，因为 SVM 和 XenServer 只能与接0/x 口交谈）
- 选项 2. 将默认路由更改为其他界面，详见下一节。
默认 Gateway（路由 0.0.0.0）应位于生产网络上，而不是位于任何0/x 接口 上。首次设置 NetScaler 时，它会要求您输入 NSIP、子网掩码和网关地址。这为管理员创建的问题是，他们只是将默认路由配置为使用接口 0/1 在其管理网络上。
- 要检查路由是什么，请在 CLIshow route 中运行，您的默认 Gateway 是网络和网络掩码为 0.0.0.0 的行中的 IP。以下是网关位于第 1 行的示例：
```
 > sh route
         Network          Netmask          Gateway/OwnedIP  State   Traffic Domain  Type
         -------          -------          ---------------  -----   --------------  ----
 1)      0.0.0.0          0.0.0.0          10.25.213.65     UP      0              STATIC
 2)      127.0.0.0        255.0.0.0        127.0.0.1        UP      0              PERMANENT
 3)      10.25.213.64     255.255.255.192  10.25.213.68     UP      0              DIRECT
 4)      172.16.0.0       255.255.255.0    172.16.0.1       UP      0              DIRECT

 
```
- 要检查用于默认网关的接口和 VLAN，请sh arp 在 CLI 中使用检查 ARP 表。您也可以使用搜索特定的 IPshow arp | grep 10.25.213.65。以下是您看到网关 10.25.213.65 正在使用接口 1/1 和 VLAN 1 的示例：
```
 > sh arp
         IP               MAC                Iface VLAN  Origin     TTL     Traffic Domain
         --               ---                ----- ----  ------     ---     --------------
 1)      127.0.0.1        02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
 2)      10.25.213.70     02:00:0f:46:00:28  1/1   1     DYNAMIC    967    0
 3)      10.25.213.68     02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
 4)      10.25.213.67     02:00:0f:46:00:28  1/1   1     DYNAMIC    641    0
 5)      10.25.213.65     00:08:e3:ff:fd:90  1/1   1     DYNAMIC    483    0
 
```
- 将默认路由更改为在生产子网和接口上使用网关。假设您的管理网络是 10.0.0.0/24，网关 10.0.0.1，生产网络是 10.1.1.0/24，网关 10.1.1.1。像这样设置您的配置：
  - SNIP: (管理访问禁用) 10.1.1.2
  - NSIP: (已启用管理访问权限) 10.0.0.2
  - 默认路由：0.0.0.0 0.0.0.0 10.1.1.1（系统 > 网络 > 路由）。这使用 SNIP 网络上的路由器，而不是 NSIP 网络。
    
    注意：
    
    更改默认 Gateway 可能会中断管理流量，除非您配置静态路由、基于策略的路由或启用基于 MAC 的转发。

接口、通道和 VLAN

以下是在 Citrix ADC 设备上配置第 2 层功能的一些最佳做法。

最佳实践第 2 层配置

不要将多个接口/通道连接到同一个 VLAN，包括 VLAN 1：
- 如果您没有正确配置 VLAN，则可能会导致网络中出现意外的数据包路由和第 2 层循环，只要有多个具有相同 VLAN 的活动接口（本机或已标记）。
- 默认情况下，所有接口和通道都位于本机 VLAN 1 上。这会产生两个可能的问题：
  - NetScaler 认为接收到的所有流量都位于同一网络上，因此它使用任何接口来发送流量。如果您在其发送数据的接口上有不同的本机 VLAN，则流量将不会按预期路由。
  - 如果 NetScaler 在一个端口上接收广播数据包，它可能会在另一个端口上重新传输。如果两个交换机端口位于同一 VLAN 上，则您只需创建了一个第 2 层循环。
- 若要从 VLAN 1 中删除接口/通道，请执行以下操作：
  - 如果您没有在交换机接口/端口通道上使用本机 VLAN。将 NetScaler 接口/通道上的本机 VLAN 更改为未使用的 VLAN 编号，如 999。对于多个通道或接口，不应使用相同的未使用 VLAN 号码，因为它会创建第 2 层循环。
  - 如果您在交换机接口/端口通道上使用本机 VLAN。更改 NetScaler 接口/通道上的本机 VLAN 以匹配。但是，请注意不要在同一个 VLAN 上有多个活动接口或通道，因为这样做会创建第 2 层循环。
  - 您无法删除本机 VLAN。相反，您可以更改它或为接口或频道设置 TagAll。如果交换机端口未配置未标记的本机 VLAN，则在接口上启用 tagall，以便将标记高可用性检测信号数据包。
- 要在接口上查看本机 VLAN，请sh interface 在 CLI 中运行。这也会通知您界面是否使用 TAGAll 选项。
将接口绑定到您的 VLAN -默认情况下，NetScaler 不会将新的 VLAN 附加到接口。这意味着在将 VLAN 绑定到接口之前，才会使用 VLAN。当新的 VLAN 未绑定到接口，并且该 VLAN 被标记时，NetScaler 会删除该 VLAN 中的所有入站流量。此外，不要将同一个 VLAN 绑定到多个接口。
- 将子网绑定到您的 VLAN。NetScaler 不像典型的路由器一样工作。大多数路由器将 IP 连接到接口。在 NetScaler 上，除非另有配置，否则 IP 会浮动在任何接口上。因此，要确保 NetScaler 通过特定 VLAN 发送的任何子网，尤其是当 NetScaler 正在启动该流量时，您必须将该子网内的 SNIP 绑定到 VLAN。
- 我们听到反对这种情况的一个常见论点是，它曾经工作正常，现在它不会没有将子网绑定到 VLAN。这通常是因为 NetScaler 会知道要发送流量的 VLAN，但在构建其 ARP 表时，这可能需要一些时间。重新启动或固件升级后，当它再次开始构建 ARP 表时，它最初可能会学习，因此使用不同于您想要的路径，例如默认路由。最好通过将 SNIP 绑定到 VLAN 来指示它采取哪个路径。一旦 SNIP 绑定到 VLAN，该 SNIP 的整个子网将绑定到 VLAN。
- 确保每个 SNIP 都绑定到 VLAN（除非在子网中有多个 SNIP，则只必须绑定一个），并且 VLAN 只绑定到一个接口或通道。通常最好在每个子网中都有 SNIP，但这并不是必需的，因为最具体的路由将用于任何没有 SNIP 的目标子网。
要识别子网使用的 VLAN 和接口，请执行以下操作：
1. 转到 系统 > 网络 > VLAN。
2. 依次编辑配置的每个 VLAN，直到找到正确的 IP 地址，如下一步所述。
3. 单击“IP 绑定”选项卡可查看哪个 IP，以及哪个子网被绑定，因此正在使用此 VLAN。
4. 确定绑定到该 IP 的 VLAN 后，该 IP 位于默认路由的子网中，然后单击接口绑定。将使用绑定到此 VLAN 的每个接口或频道。

示例

假定默认路由为0.0.0.0 0.0.0.0 10.1.1.1。

假设您有两个剪本，分别为 10.0.0.5 和 10.1.1.69。由于 10.1.1.69 位于默认路由的子网中，所以这是您想要查找的路由。在下面的屏幕截图中，我们正在审查 VLAN 1，我们看到 IP 10.1.1.69 绑定到此 VLAN，所以我们知道我们正在查看正确的 VLAN。

现在点击界面绑定。在 VLAN 接口绑定中，我们看到1/1 接口用于此子网，因此用于默认路由。

最佳实践 VLAN 配置

注意：

如果您没有任何 IP 绑定到您的 VLAN，那么默认情况下它将被发出 VLAN 1，所以在这种情况下，看看哪些接口绑定到 VLAN 1。这也意味着除非您将 IP 绑定到新 VLAN，否则 NetScaler 将不会对其启动的流量使用已配置的 VLAN。

Gratuitous ARP

如果 GARP 不起作用，请使用 VMAC-默认情况下，NetScaler 使用 GARP 将其 IP 通告到 MAC 地址绑定到其他网络设备。这通常没有问题，但是，当您在 NetScaler 中创建更多服务时，您可能会在 HA 对上进行故障转移时遇到问题。最常见的问题是，由于某些网络设备没有使用新的 MAC 地址更新其 ARP 表，故障转移到的 NetScaler 中的服务保持关闭状态。您可以通过检查其 ARP 表以查看 MAC 地址是否与现在主 NetScaler 上的地址相匹配来轻松验证这一点。发生这种情况时，您的某些网络设备很可能会限制他们遵守的 GARP 广告的数量。在这种情况下，有必要在所有活动接口和/或通道上配置 VMAC。如果您希望在 NetScaler 上进行大型配置，则最好在初始部署期间为所有接口和通道配置 VMAC。

注意：

不要忘记为默认路由使用的接口或频道配置 VMAC。

Citrix ADC 拥有的 IP 地址

本节介绍配置 Citrix ADC 拥有的 IP 地址的最佳实践：

Citrix ADC 拥有的 IP 地址的最佳实践

Citrix ADC IP (NSIP)：通常此 IP 用于管理，因为它是 HA 或群集环境中单个 NetScaler 唯一的 IP。同样重要的是，LDAP、RADIUS 和用户脚本监视器流量（如 LDAP 监视器和 StoreFront 监视器）将从 NSIP 源，从而通过 NSIP 绑定到的 VLAN 和接口路由（默认本机 VLAN 1）。如果需要来自 SNIP 的 LDAP 和 RADIUS 流量，则为后端服务器创建 LB 虚拟服务器。
子网 IP (SNIP)：此 IP 地址用于启动与后端服务器的通信，并始终启动流量。也就是说，在这些情况下，它可以是流量的目的地：
- 在 NetScaler 上执行第 3 层路由时，它可以用作其他设备上的网关地址。
- 启用后，它可以接受管理服务，例如访问 GUI、SSH 和 SNMP。
虚拟 IP (VIP)：VIP 是独一无二的，因为它永远不会被用于启动出站流量。它仅用于接收流量。接收流量后，它会回复并将出站流量发送回客户端。换句话说，VIP 地址不会启动出站流量。

请注意，这也意味着它不用作与 LB 虚拟服务器中使用的后端服务器进行通信的源。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

网络配置的最佳实践

October 7, 2021

投稿者:

October 7, 2021

投稿者: