Gi-LAN集成
通常,Citrix ADC设备作为单独的L3内联节点插入到Gi-LAN中,类似于L3路由器。
图:基兰的简单描绘
连接
建议使用Citrix ADC到上游交换机的物理连接,以提供足够的冗余。例如,假设在处理总(上行+下行)24Gbps的Gi-LAN中插入一个Citrix ADC设备,建议连接4x10GbE或更多的接口。这有效地提供了N+1冗余,以防链路故障。
上游交换机的相应端口需要配置为LACP端口聚合。Citrix ADC的相关配置概述如下:
连接配置:
set interface 10/1 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/2 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/3 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/4 -tagall ON -lacpMode ACTIVE -lacpKey 1
您可以使用" show interface "命令验证LACP的适当功能:
显示界面:
sh interface LA/1 1) interface LA/1 (802.3ad Link Aggregate) #39 flags=0x4100c020 MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s Requested: media NONE, speed AUTO, duplex NONE, fctl NONE, throughput 0 Actual: throughput 4000 LLDP Mode: NONE, RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) slots (0) TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) slots (0) NIC:InDisc(0) OutDisc(0) fctl (0) stall (0) hanging (0) mute(0)未设置带宽阈值。禁用剩余的未使用的接口并关闭监视器。set interface 10/5 -haMonitor OFF
命令:
set interface 10/24 -haMonitor OFF disable interface 10/5 disable interface 10/24
物理接口的配置不会在两个Citrix ADC单元之间共享。因此,在HA对部署的情况下,必须在两个Citrix ADC节点上运行上述命令。
HA配置
所有其他配置参数都在HA pair的Citrix ADC节点之间共享。因此,应该在运行任何其他配置命令之前启用HA同步。HA的基本配置步骤如下:
1.使用完全相同的Citrix ADC硬件、软件和许可证:不同型号(即T1100和MPX21550)或不同固件级别的同一型号之间不支持HA对。请参考升级现有HA pair的相关说明-升级到版本11.1.
2.建立HA pair。
例子:
netscaler-1> add HA node 1 netscaler-2> add HA node 1
3.在任意一个节点上运行以下命令验证HA pair的建立;两个节点都应该可见,其中一个作为Primary(活动),另一个作为Secondary(备用)。
例子:
显示HA节点
4.启用故障安全模式和maxflip。这确保在两个节点上的路由监视失败的情况下,至少有一个节点保持活动状态,而不需要主备状态不断切换。
例子:
set HA node -failsafe ON set HA node - maxflipps 3 -maxFlipTime 1200
5.最后,在专用的citrix内部ADC端口而不是OAM网络上启用HA同步。
例子:
add vlan 4080 -aliasName syncVlan set HA node -syncvlan 4080
请注意
上面示例中的命令中的VLAN 4080不应该被字面理解。任何未使用的VLAN-ID都可能被保留。
VLAN配置
在正确配置了物理接口之后,可以配置相应的Gi-LAN vlan。例如,考虑一个非常简单的Gi-LAN环境,其中的入口/出口VLAN对分别具有100/101 VLAN-identifier。
下面的命令在上一步创建的LACP通道上配置相应的vlan。
add vlan 100 add vlan 101 bind vlan 100 -ifnum LA/1 -tagged bind vlan 101 -ifnum LA/1 -tagged
IPv4配置
通常,Citrix ADC设备每个VLAN需要一个SNIP。下面的例子假设在Gi-LAN集成图中列出的网络,在本页开头给出,子网掩码为/24:
add ns ip 192.168.1.254 255.255.255.0 -vserver DISABLED -mgmtAccess DISABLED add ns ip 192.168.2.254 255.255.255.0 -vserver DISABLED -mgmtAccess DISABLED
在配置了SNIPs之后,它们应该与适当的VLAN相关联:
bind vlan 101 -IPAddress 192.168.2.254 255.255.255.0
IPv4静态路由
概述的示例管理网络节只调用一对静态路由规则:
- 10.0.0.0/8静态路由,通过入口路由器到达客户端
- 通过出口路由器到达internet的缺省路由
例子:
Add route 10.0.0.0 255.0.0.0 192.168.1.1
IPv4 VLAN - VLAN (Policy-Based)路由
Citrix ADC设备支持基于策略的路由而不是静态路由,路由决策通常针对传入接口和/或VLAN而不是目标IP进行关键字处理。在客户端源IP地址范围周期性变化的情况下,策略路由是一种方便的备选方案;在包的目的IP地址本身不足以达到路由决策的情况下(即在多个vlan的客户端IP地址重叠的情况下),策略路由是一种强制考虑。
例子:
add ns pbr fromWirelessToInternet ALLOW -nextHop 192.168.2.1 -vlan 100 -priority 10 Done add ns pbr fromInternetToWireless ALLOW -nextHop 192.168.1.1 -vlan 200 -priority 20 Done apply ns pbrs
IPv6的配置
下面的命令为每个vlan分配IPv6 SNIP。下面的例子假设在图中列出的网络:在这个页面中一个Gi-LAN的简单描述有一个/64的子网掩码:
命令:
add ns ip6 fd00:192:168:1::254/64 -vServer DISABLED -mgmtAccess DISABLED add ns ip6 fd00:192:168:2::254/64 -vServer DISABLED -mgmtAccess DISABLED bind vlan 100 -IPAddress fdaddress:192:168:1::254/64 bind vlan 200 -IPAddress fd00:192:168:2::254/64
IPv6路由
IPv6寻址完成后,可能会配置IPv6静态路由:
- fd0:10::/64静态路由通过入口路由器到达客户端
- 通过出口路由器到达因特网的默认路由
例子:
Add route6::/0 fd00:192:168:1::1 Add route6::/0 fd00:192:168:2::1
或者使用基于策略的路由:
例子:
add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd0:192:168:2::1 add ns pbr6 fromInternetToWirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd0:192:168:1::1 apply ns pbr6
LACP冗余和故障切换
在HA配置的情况下,建议利用吞吐量选项为LACP通道配置一个低阈值。例如,考虑HA对中的每个Citrix ADC设备和上游交换机之间的25Gbps Gi-LAN和4x10GbE通道,以提供N+1链路冗余:
例子:
set interface LA/1 -haMonitor ON -throughput 29000
在主设备和上游交换机之间的双链路故障的情况下,可支持的最大Gi-LAN吞吐量将下降到20Gbps。对于上面的示例,29Gbps的低阈值将导致冗余切换事件到辅助设备(没有遭受类似的链路故障),因此Gi-LAN流量不受影响。
路线监控
除了LACP冗余之外,还可以配置路由监视器检查,并将其与HA对配置关联起来。路由监视器检查对于检测Citrix ADC设备和下一跳路由器之间的故障非常有用,特别是当上述路由器不是直接连接,而是通过上行交换机连接时。
下面列出了2.5.1节中Gi-LAN示例的典型HA路由监视器配置:
add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp bind HA node -routeMonitor 192.168.1.0 255.255.255.0 bind HA node -routeMonitor 192.168.2.0 255.255.255.0