理解vlan

Citrix ADC设备支持二层端口和IEEE 802.1q标记vlan。当您需要将流量限制到某些站点组时，VLAN配置非常有用。通过IEEE 802.1q标签，可以将一个网口配置为多个vlan的一部分。

通过配置vlan，将vlan与IP子网绑定。然后Citrix ADC在这些vlan之间执行IP转发(如果它被配置为这些子网中的主机的默认路由器)。

Citrix ADC支持以下类型的vlan:

• 出口vlan。基于端口的VLAN的成员由一组网络接口定义，这些网络接口共享一个共同的、独占的二层广播域。可以配置多个基于端口的vlan。缺省情况下，Citrix ADC的所有网络接口都是VLAN 1的成员。

  如果在端口上配置802.1q标签，则该网口属于基于端口的VLAN。二层流量在基于端口的VLAN内桥接，如果二层模式使能，二层广播将发送给VLAN的所有成员。当将未标记的网口添加到新VLAN中时，该网口将从当前VLAN中移除。

• 默认的VLAN。缺省情况下，Citrix ADC上的网络接口作为未标记的网络接口包含在一个基于端口的VLAN中。该VLAN为缺省VLAN。VID (VLAN ID)为1。该VLAN永久存在。不能删除，不能修改VID。

  当将一个网口作为untagged成员加入到另一个VLAN中时，该网口将自动从缺省VLAN中移除。如果解除网口与当前基于端口的VLAN的绑定，则该网口将重新加入默认VLAN。

• vlan标记。802.1q标签(在IEEE 802.1q标准中定义)允许网络设备(如Citrix ADC)在第二层向帧添加信息，以识别帧的VLAN成员。标记允许网络环境拥有跨越多个设备的vlan。接收报文的设备通过读取tag来识别帧所属的VLAN。一些网络设备不支持在同一个网络接口上同时接收带标签和不带标签的数据包，特别是Force10交换机。在这种情况下，您需要联系客户支持以获得帮助。

  网络接口可以是VLAN的tagged成员，也可以是untagged成员。每个网络接口仅是一个VLAN(其原生VLAN)的untagged成员。该网络接口将本机VLAN的帧作为无标记帧传输。一个网口可以是多个VLAN的一部分。

  配置标签时，请确保与链路两端VLAN的配置相匹配。Citrix ADC所连接的端口必须与Citrix ADC网口在同一个VLAN中。

  注意:此VLAN配置既不会同步，也不会传播，因此必须在HA pair中的每个单元上分别进行配置。

应用规则对帧进行分类

vlan有两种类型的帧分类规则:

• 导入规则。入口规则将每个帧只属于一个VLAN。当网络接口接收到帧时，应用以下规则对帧进行分类:

  • 如果该帧不带tag，或者tag值为0，则将该帧的VID设置为接收接口的PVID (port VID)，将该帧划分为本机VLAN。(pvid在IEEE 802.1q标准中定义。)
  • 如果帧的标签值等于FFF，帧将被丢弃。
  • 如果帧的VID指定了接收网口不属于的VLAN，则丢弃该帧。例如，从VLAN ID为12的子网发送到VLAN ID为10的子网，该报文将被丢弃。如果VLAN ID为10的子网向PVID为9的网口发送一个VID为9的untagged报文，该报文将被丢弃。

• 出口规则。适用的出口规则如下:

  • 如果帧的VID指定的VLAN不是传输网口所属的VLAN，则丢弃该帧。
  • 在学习过程中(由IEEE 802.1q标准定义)，Src MAC和VID用于更新Citrix ADC的桥接查找表。
  • 如果一个帧的VID指定的VLAN没有任何成员，则该帧将被丢弃。(通过将网口绑定到VLAN来定义成员。)

Citrix ADC的vlan和报文转发

Citrix ADC设备上的转发过程与任何标准交换机上的转发过程相似。但是，Citrix ADC仅在二层模式开启时进行转发。转发过程的主要特征是:

• 拓扑限制被强制执行。强制包括选择VLAN中的每个网络接口作为传输端口(取决于网络接口的状态)、桥接限制(不在接收网络接口上转发)和MTU限制。
• 帧是根据Citrix ADC的转发数据库(FDB)表中的桥表查找中的信息进行过滤的。桥接表查找基于目标MAC和VID。针对Citrix ADC MAC地址的报文在上层进行处理。
• 所有广播帧和组播帧都被转发到VLAN成员中的每个网络接口，但只有在启用L2模式时才会转发。如果禁用L2模式，广播和组播报文将被丢弃。对于当前不在桥接表中的MAC地址也是如此。
• VLAN条目有一个成员网络接口列表，这些成员网络接口是其无标记成员集的一部分。当帧转发到这些网络接口时，帧中不插入标签。
• 如果该网口是该VLAN的带标签成员，则在转发该帧时将在该帧上插入tag。

当用户发送任何没有识别VLAN的广播或组播报文时，即NSIP或ND6对路由的下一跳进行DAD (duplicate address detection)检测时，报文将在所有网络接口上发送出去，并根据Ingress规则和Egress规则中的任何一个进行适当的标记。ND6通常用于标识一个VLAN，数据包仅在该VLAN内发送。基于端口的vlan在IPv4和IPv6中很常见。对于IPv6, Citrix ADC支持基于前缀的vlan。