Citrix ADC

查看PDF

admin分区的VLAN配置

2021年9月16日

由:

VLAN可以作为专用VLAN或共享VLAN绑定到一个分区。根据实际部署情况，可以将VLAN绑定到分区，将VLAN的网络流量与其他分区隔离。

专用VLAN—未启用“共享”选项的VLAN，只能绑定一个分区，且必须是带标签的VLAN。例如，在客户机-服务器部署中，出于安全原因，系统管理员在服务器端为每个分区创建一个专用VLAN。

共享VLAN—VLAN绑定(共享)到多个分区，并启用“共享”选项。例如，在客户端-服务器部署中，如果系统管理员对客户端网络没有控制权，则创建一个VLAN并在多个分区之间共享。

共享VLAN可以跨多个分区使用。它创建在默认分区中，可以将一个共享VLAN绑定到多个分区。缺省情况下，共享VLAN隐式绑定到默认分区，因此不能显式绑定。

请注意

部署在任何hypervisor (ESX、KVM、Xen和Hyper-V)平台上的Citrix ADC设备必须在分区设置和流量域中同时满足以下条件:

对于带分区的共享vlan，启用混杂模式、MAC更改、MAC欺骗或伪造传输。

如果流量通过专用VLAN，则启用带有虚拟交换机端口组属性的VLAN。

在分区(多租户)Citrix ADC设备中，系统管理员可以隔离流向特定分区的流量。它通过将一个或多个vlan绑定到每个分区来实现。一个VLAN可以专用于一个分区，也可以跨多个分区共享。

专用vlan

为了隔离进入分区的流量，需要创建VLAN，并将VLAN与分区关联。这样，VLAN仅对关联分区可见，通过该VLAN的流量仅在关联分区中进行分类和处理。

专用VLAN管理分区

要为特定分区实现专用VLAN，请执行以下操作。

添加VLAN (V1)。
将网口作为tagged网口绑定到VLAN。
创建分区(P1)。
将分区(P1)绑定到专用VLAN (V1)。

使用CLI进行如下配置

创建VLAN
添加vlan

例子

添加vlan 100

绑定VLAN
绑定vlan -ifnum -tagged

例子

绑定vlan 100 -ifnum 1/8 -tagged

创建分区
添加ns分区<分区名> [-maxBandwidth ][-maxConn ][-maxMemLimit ]

例子

添加ns分区P1 -maxBandwidth 200 -maxconn 50 -maxmemlimit 90 Done

将分区与VLAN绑定
绑定partition -vlan

例子

绑定vlan 100

该任务指导管理员通过Citrix ADC界面配置专用VLAN

导航到配置>系统>网络> vlan*并按添加创建VLAN。
在创建VLAN页，设置以下参数:
- VLAN ID
- 别名
- 最大传输单元
- 动态路由
- IPv6动态路由
- 分区共享
在接口绑定，选中一个或多个接口，将其与VLAN绑定。
在IP绑定，选择一个或多个IP地址，并与VLAN绑定。
点击好吧而且完成．

共享VLAN

在共享VLAN配置中，每个分区都有一个MAC地址，在共享VLAN中接收的流量按照MAC地址进行分类。建议只配置三层VLAN，对子网流量有一定的限制。分区MAC地址仅在共享VLAN部署时有效。

请注意

从Citrix ADC version 12.1 build 51.16开始，分区设备中的共享VLAN支持动态路由协议。

下图显示了一个VLAN (VLAN 10)如何在两个分区之间共享。

共享VLAN admin分区

需要部署共享VLAN配置，操作步骤如下:

创建共享选项为“enabled”的VLAN，或在现有VLAN上启用共享选项。默认情况下，该选项为“disabled”。
将分区接口绑定到共享VLAN。
创建分区，每个分区都有自己的PartitionMAC地址。
将分区绑定到共享VLAN。

该任务指导管理员通过CLI配置共享VLAN

在命令提示符中输入以下命令，添加VLAN或设置已有VLAN的共享参数:

             add vlan  [-sharing (ENABLED | DISABLED)] set vlan  [-sharing (ENABLED | DISABLED)] add vlan 100 -sharing ENABLED set vlan 100 -sharing ENABLED
            

该任务指导管理员通过CLI将分区与共享VLAN绑定

在命令提示符下，输入:

             bind partition  -vlan  bind partition P1 -vlan 100 add ns partition P1 -maxBandwidth 200 -maxconn 50 -maxmemlimit 90 -partitionMAC


           该任务指导软件调测工程师通过CLI配置分区MAC地址
           
            
             set ns partition  [-partitionMAC] set ns partition P1 -partitionMAC 22:33:44:55:66:77
            
           
           该任务指导管理员通过CLI为共享VLAN绑定分区
           
            
             bind partition  -vlan  bind partition  -vlan  bind partition P1 -vlan 100 bind partition P2 -vlan 100 bind partition P3 -vlan 100 bind partition P4 -vlan 100
            
           
           该任务指导管理员通过Citrix ADC界面配置共享VLAN
           
            导航到配置>系统>网络> vlan然后选择VLAN配置文件，单击编辑设置分区共享参数。
            在创建VLAN页，选择分区共享复选框。
            点击好吧然后完成．
           
           跨管理分区的共享VLAN上的动态路由
           Citrix ADC设备中的管理分区提供了一种托管多个租户的方法。
           从Citrix ADC version 12.1 build 51.16开始，分区设备中的共享VLAN支持动态路由协议。路由可以在与管理分区关联的专用或共享vlan中配置。
           管理分区专用VLAN．在专用VLAN中，租户的数据路径由一个或多个VLAN标识。它会导致租户的配置和数据路径隔离。为了发布VIP地址的健康状态，在每个分区中启用动态路由，并在每个分区中建立路由邻接关系。
           
           跨管理分区的共享VLAN．在共享VLAN中，在非缺省分区中配置的VIP地址可以通过缺省分区中形成的单个邻接关系或对等体发布。所有VIP地址的下一跳均使用非默认分区的SNIP地址advertiseOnDefaultPartition选项)在非默认分区中。配置的SNIP地址在路由通告中被标记为下一跳地址。
           考虑一个在Citrix ADC设备中设置管理分区的示例，VLAN 100在默认分区和非默认分区之间共享:AP-3和AP-5。SNIP地址在默认分区中添加了SNIP1, AP-3中添加了SNIP3, AP-5中添加了SNIP5。SNIP1、SNIP3、SNIP5在vlan-100范围内可达。VIP地址默认分区中添加了VIP1, AP-3中添加了VIP3, AP-5中添加了VIP5。VIP3和VIP5通过在默认分区中形成的单邻接关系或对等关系发布。
           
           在开始之前
           在非缺省管理分区中配置共享VLAN的动态路由之前，请确保:
           
            在默认分区的共享VLAN上配置动态路由．在缺省分区的共享VLAN上配置动态路由包括以下步骤:
              开启共享VLAN的动态路由功能。
              添加启用动态路由的SNIP地址。该IP地址用于与上游动态路由。
              将SNIP IP子网与共享VLAN绑定。
             
            缺省分区上配置了一个或多个动态路由协议．有关更多信息，请参见配置动态路由协议．
           
           配置步骤
           在非缺省admin分区中配置共享VLAN的动态路由包括以下步骤:
           
            在非默认分区中添加一个SNIP IP地址．该SNIP地址必须与缺省分区中动态路由的SNIP地址在同一网段。
            在非默认分区中，使用动态路由方式发布VIP地址时，需要设置或启用以下参数．
             
              主机路由网关(hostRtGw)。此处填写为上一步中添加的SNIP地址。
              在默认分区上发布(advertiseOnDefaultPartition)。启用该参数。
             
           
           示例配置
           考虑一个Citrix ADC设备中的管理分区设置示例。在这个设备上配置了一个非默认的管理分区AP-3。AP-3绑定共享VLAN VLAN100。下面的示例配置在AP-3中通过VLAN100配置动态路由。
           
            
             
              步骤
              示例配置
             
            
            
             
              在默认管理分区上
              -
             
             
              开启共享VLAN 100的动态路由功能。
              使能vlan 100 -dynamicRouting
             
             
              添加启用动态路由的SNIP地址192.0.2.10。该IP地址用于与上游动态路由。
              add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
             
             
              将192.0.2.10子网绑定到共享VLAN 100。
              绑定vlan 100 -IPAddress 192.0.2.10 255.255.255.0
             
             
              在非默认的管理分区AP-3上
              -
             
             
              添加SNIP IP地址192.0.2.30。该SNIP地址与默认分区的SNIP地址192.0.2.10在同一网段。
              add ns ip 192.0.2.30 255.255.255.0 -type SNIP
             
             
              使用动态路由发布VIP地址203.0.113.300时，启用advertiseOnDefaultPartition参数和设置hostRtGw参数到192.0.2.30。
              set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.30
             
            
           
           跨管理分区的共享VLAN上的IPv6动态路由
           的使能ns特性IPv6PT而且设置L3Param ipv6dynamicrouting ENABLED命令必须使能，IPv6地址才能在管理分区的共享VLAN上动态路由。配置共享VLAN的IPv6动态路由举例如下。
           示例配置
           下面的示例配置在AP-3中通过VLAN 100配置动态路由。
           
            
             
              步骤
              示例配置
             
            
            
             
              在默认管理分区上
              -
             
             
              开启共享VLAN 100的动态路由功能。
              使能vlan 100 -dynamicRouting
             
             
              增加SNIP IP地址2001:b:c:d::1/64，启用动态路由。SNIP IP地址用于与上游动态路由。
              add ns ip6 2001:b:c:d::1/64 -type SNIP -dynamicRouting enabled
             
             
              将2001:b:c:d::1/64子网绑定到共享VLAN 100。
              绑定vlan 100 -IPAddress 2001:b:c:d::1/64
             
             
              在非默认的管理分区AP-3上
              -
             
             
              添加SNIP IP地址2001:b:c:d::2/64。该SNIP地址与默认分区的SNIP地址2001:b:c:d::2/64在同一网段。
              add ns ip6 2001:b:c:d::2/64 -type SNIP
             
             
              对于使用动态路由发布VIP地址2002::1/128，启用advertiseOnDefaultPartition参数和设置ip6hostRtGw参数为2001:b:c:d::2。
              set ns ip6 2002::1/128 -hostRoute enabled -advertiseOnDefaultPartition enabled -ip6hostRtGw 2001:b:c:d::2
             
            
           
           管理分区中的VIP必须在默认分区的VTYSH上视为内核路由。
           
            
             >开关默认分区完成> vtysh ns # ns # sh ipv6路由内核ipv6路由表代码:K -内核路线,C -连接,S -静态,R - RIP, O - OSPF IA - OSPF国米,E1 - OSPF外部类型1,E2 - OSPF外部2型,我——是什么,寿命是B -边界网关协议计时器:正常运行时间K 2002::通过2001:1/128 B: C: d:: 2, vlan0, 01:24:15 > >默认分区上,贵宾:2002::1通过SNIP6在美联社称:2001:B: C: d:: 2存在于美联社作为一个内核的路线
            
           
           可以通过缺省分区下OSPFv3/BGP+的redistribute kernel选项向上游发布。
           
            
             运行router ipv6 ospf !路由器ipv6 ospf 1重分发内核!
            
           
           在Citrix ADC SDX设备上具有管理分区的共享VLAN
           在SDX设备上，在使用具有共享vlan的管理分区之前，必须使用Management Service用户界面生成和配置PMAC地址。Management Service支持通过以下方式生成分区MAC地址:
           
            使用基本MAC地址
            指定自定义MAC地址
            随机生成MAC地址
           
           
            请注意
            
             随机生成的MAC地址用于高可用性以外的其他部署。
             生成分区MAC地址后，必须在配置管理分区之前重新启动Citrix ADC实例。有关从SDX设备生成分区MAC地址的详细信息，请参见生成分区MAC地址以在SDX设备的Citrix ADC实例上配置管理分区．

步骤	示例配置
在默认管理分区上	-
开启共享VLAN 100的动态路由功能。	`使能vlan 100 -dynamicRouting`
添加启用动态路由的SNIP地址192.0.2.10。该IP地址用于与上游动态路由。	`add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled`
将192.0.2.10子网绑定到共享VLAN 100。	`绑定vlan 100 -IPAddress 192.0.2.10 255.255.255.0`
在非默认的管理分区AP-3上	-
添加SNIP IP地址192.0.2.30。该SNIP地址与默认分区的SNIP地址192.0.2.10在同一网段。	`add ns ip 192.0.2.30 255.255.255.0 -type SNIP`
使用动态路由发布VIP地址203.0.113.300时，启用`advertiseOnDefaultPartition`参数和设置`hostRtGw`参数到192.0.2.30。	`set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.30`

步骤	示例配置
在默认管理分区上	-
开启共享VLAN 100的动态路由功能。	`使能vlan 100 -dynamicRouting`
增加SNIP IP地址2001:b:c:d::1/64，启用动态路由。SNIP IP地址用于与上游动态路由。	`add ns ip6 2001:b:c:d::1/64 -type SNIP -dynamicRouting enabled`
将2001:b:c:d::1/64子网绑定到共享VLAN 100。	`绑定vlan 100 -IPAddress 2001:b:c:d::1/64`
在非默认的管理分区AP-3上	-
添加SNIP IP地址2001:b:c:d::2/64。该SNIP地址与默认分区的SNIP地址2001:b:c:d::2/64在同一网段。	`add ns ip6 2001:b:c:d::2/64 -type SNIP`
对于使用动态路由发布VIP地址2002::1/128，启用`advertiseOnDefaultPartition`参数和设置`ip6hostRtGw`参数为2001:b:c:d::2。	`set ns ip6 2002::1/128 -hostRoute enabled -advertiseOnDefaultPartition enabled -ip6hostRtGw 2001:b:c:d::2`


          
           
           
           
            本内容的官方版本为英文。一些Citrix文档内容是机器翻译的，仅供您使用。Citrix无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英语原文翻译成任何其他语言的任何译文的准确性、可靠性、适用性或正确性，或者您的思杰产品或服务符合任何机器翻译内容，以及根据适用的最终用户许可协议或服务条款或与思杰的任何其他协议提供的任何保证，不作任何形式的明示或暗示保证。产品或服务符合任何文件的规定不适用于机器翻译的文件。思杰将不对因使用机器翻译内容而产生的任何损害或问题负责。
           
           
            
             diesel dienst kann Übersetzungen enthalten, die von谷歌bereitgestellt werden。谷歌lehnt jede ausdrÜckliche oder stillschweigende gewÄhrleistung in bezug auf die Übersetzungen ab, einschliesslich jeglicher gewÄhrleistung der genauigkeit, zuverlÄssigkeit und jeglicher stillschweigenden gewÄhrleistung der marktgÄngigkeit, der eignung fÜr einen bestimmten zweck und der nichtverletzung von rechten dritter。
            
             贸易服务适用于同等条件下的贸易。谷歌排除担保相对惯例，表达你隐含的，y包含担保正确，fiabilitÉ等担保隐含qualitÉ马尔钱德，'adÉquation À未特殊用法和缺席contrefaÇon。
            
             Este servicio puede contener traducciones con tecnologÍa de谷歌。谷歌renuncia a todas las garantÍas relacionadas con las traducciones, tanto implÍcitas como explÍcitas, incluidas las garantÍas de准确，fiabilidad y otras garantÍas implÍcitas de comerciabilidad, idoneidad para UN fin en particular y ausencia de infracciÓn de derechos。
            
             本服务可能包含由谷歌提供技术支持的翻译。谷歌对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性,特定用途的适用性和非侵权性的任何暗示保证。
            
             このサ，ビスには，谷歌が提供する翻訳が含まれている可能性があります。谷歌は翻訳について,明示的か黙示的かを問わず,精度と信頼性に関するあらゆる保証,および商品性,特定目的への適合性,第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め,一切保証しません。
            
             Este serviÇo pode conter traduÇÕes fornecidas pelo谷歌。O谷歌se exime de todas as garantias relacionadas com as traduÇÕes, expressas ou implÍcitas, incluindo qualquer garantia de precisÃo, confiabilidade e qualquer garantia implÍcita de comercializaÇÃo, adequaÇÃo a um propÓsito especÍfico e nÃo infraÇÃo。


        
         
          
           
            
             此内容已被机器动态翻译。
            
            
             在这里给出反馈
            
           
           
            
            
            谢谢你的反馈
           
          
          
           
            
             
             Citrix ADC
             Citrix ADC 13.1
            
           
          
          admin分区的VLAN配置
          
           
            
            2021年9月16日
            
             由:
              
              C
             
            
            
           
           
            
             
              
            
            
             
             
             
             
              分享
             
            
            
             
             
            
           
          
          
           
            
             
              
              2021年9月16日
              
               由:
                
                C
               
              
              
             
            
            
             
              
               
                
              
              
               
               
               
               
                分享
               
              
              
               
               
              
             
            
            
           
          
          
           
            
             
              在本文中
              
               
                专用vlan
                使用CLI进行如下配置
                该任务指导管理员通过Citrix ADC界面配置专用VLAN
                共享VLAN
                该任务指导管理员通过Citrix ADC界面配置共享VLAN
                跨管理分区的共享VLAN上的动态路由
                跨管理分区的共享VLAN上的IPv6动态路由
                在Citrix ADC SDX设备上具有管理分区的共享VLAN
               
              
             
            
           
           
            
             
              
              请将您对本文的反馈发送给我们


      
       
        
         
          
           
            
             Citrix预览文档
             
            
            
             此预览版产品文档是Citrix机密文档。
             您同意按照您的Citrix Beta/技术预览协议的条款对本文档进行保密。
             预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定，如有更改，恕不另行通知或咨询。
             本文档仅供参考之用，不构成提供任何材料、代码或功能的承诺、承诺或法律义务，不应作为思杰产品购买决策的依据。
             如果不同意，选择“不同意退出”。
            
            
             
             
            
           
          
         
        
       
      
      
       
        
         
          
           
            
             请将您的反馈发送给我们
             
            
            
             机器翻译反馈表
             
              
               
                
                 
                  
                 
                 是的
                
                
                 
                  
                 
                 没有
                
               
              
             
             
              
               写点东西吗?
               
              
              
               
              
             
            
           
          
         
        
       
      
      
       复制!
       失败了!