Gi-LAN集成
通常,Citrix ADC设备作为单独的L3内联节点插入Gi-LAN,类似于L3路由器。
图:一个简单的描述基兰
连接
建议将物理Citrix ADC连接到上游交换机,以提供足够的冗余。例如,假设Citrix ADC设备插入到处理总容量(上行链路+下行链路)为24Gbps的Gi-LAN中,则建议连接4x10GbE或更多接口。这有效地提供了N+1冗余的情况下,链路故障。
上行交换机的相关端口需要配置为LACP端口聚合。Citrix ADC的相关配置概述如下:
连接配置:
set interface 10/1 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/2 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/3 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/4 -tagall ON -lacpMode ACTIVE -lacpKey 1 您可以使用" show interface "命令验证LACP的适当功能:
显示界面:
sh interface LA/1 1) interface LA/1 (802.3ad Link Aggregate) #39 flags=0x4100c020 MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s Requested: media NONE, speed AUTO, duplex NONE, fctl NONE, throughput 0 Actual: throughput 4000 LLDP Mode: NONE, RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) slots (0) TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) slots (0) NIC:InDisc(0) OutDisc(0) Fctls(0) stall (0) hanging (0) mute(0)带宽阈值未设置。禁用其余未使用的接口并关闭监视器。set interface 10/5 -haMonitor OFF 命令:
set interface 10/24 -haMonitor OFF禁用接口10/5禁用接口10/24 两个Citrix ADC单元之间不共享物理接口的配置。因此,在HA对部署的情况下,上面的命令必须在两个Citrix ADC节点上运行。
HA配置
所有其他配置参数在HA pair的Citrix ADC节点之间共享。因此,应该在运行任何其他配置命令之前启用HA同步。HA基本配置包括以下步骤:
1.使用完全相同的Citrix ADC硬件、软件和license:不同型号(即T1100和MPX21550)或不同固件级别的相同型号之间不支持HA对。请参考升级现有HA pair的相关说明-升级到版本11.1.
2.创建HA pair。
例子:
netscaler-1> add HA node 1 netscaler-2> add HA node 1 3.在任意一个节点上执行以下命令验证HA pair的建立;两个节点都应该是可见的,其中一个是Primary (active),另一个是Secondary (standby)。
例子:
显示HA节点4.启用故障安全模式和maxflipps。这确保了在两个节点上的路由监视器故障的情况下,至少有一个节点保持活动状态,而不会不断切换主备状态。
例子:
set HA node -failsafe ON set HA node - maxflipps 3 -maxFlipTime 1200 5.最后,在专用的citrix内部ADC端口而不是OAM网络上启用HA同步。
例子:
add vlan 4080 -aliasName syncVlan set HA节点——NeedCopy >请注意
上面例子中的命令中的VLAN 4080不应该从字面上理解。任何未使用的VLAN-ID都可能被保留。
VLAN配置
在正确配置物理接口之后,您可以配置适当的Gi-LAN vlan。例如,考虑一个相当简单的Gi-LAN环境,其入口/出口VLAN对分别具有100/101 VLAN-identifier。
下面的命令在上一步创建的LACP通道之上配置相关的vlan。
add vlan 100 add vlan 101 bind vlan 100 -ifnum LA/1——NeedCopy >IPv4配置
通常,Citrix ADC设备每个VLAN需要一个SNIP。下面的例子假设在本页开头给出的Gi-LAN集成图中概述的网络具有/24子网掩码:
add ns ip 192.168.2.254 255.255.255.0 -vserver DISABLED -mgmtAccess DISABLED add ns ip 192.168.2.254 255.255.255.0 -vserver DISABLED -mgmtAccess DISABLED 在配置了SNIPs之后,它们应该与适当的VLAN相关联:
绑定vlan 100 - 192.168.2.254 255.255.255.0——NeedCopy >IPv4静态路由
中概述的示例管理网络节只调用两个静态路由规则:
- 10.0.0.0/8静态路由通过入口路由器到达客户端
- 通过出口路由器到internet的默认路由
例子:
添加路由10.0.0.0 255.0.0.0 192.168.1.1 IPv4基于策略的路由(VLAN - VLAN)
Citrix ADC设备支持基于策略的路由而不是静态路由,路由决策通常根据传入接口和/或VLAN(而不是目标IP)进行键控。在客户端源IP地址范围周期性变化的情况下,基于策略的路由是一种方便的替代方案;在数据包的目的IP地址本身不足以达到路由决策的情况下(即在多个vlan的客户端IP地址重叠的情况下),策略路由是一种强制性的考虑。
例子:
add ns策略路由fromWirelessToInternet ALLOW -nextHop 192.168.2.1 -vlan 100 -priority 10 Done add ns策略路由from minternettowireless ALLOW -nextHop 192.168.1.1 -vlan 200 -priority 20 Done apply ns策略路由IPv6的配置
以下命令为每个vlan分配IPv6 SNIP。下面的例子假设图中概述的网络:本页中对Gi-LAN的简单描述具有/64子网掩码:
命令:
add ns ip6 fd0:192:168:1::254/64 -vServer DISABLED -mgmtAccess DISABLED add ns ip6 fd0:192:168:2::254/64 -vServer DISABLED -mgmtAccess DISABLED bind vlan 100 -IPAddress fd0:192:168:1::254/64 bind vlan 200 -IPAddress fd0:192:168:2::254/64 IPv6路由
在IPv6寻址完成后,可能会配置IPv6静态路由:
- 通过入口路由器到客户端的静态路由fd00:10::/64
- 通过出口路由器到因特网的默认路由
例子:
Add route6 fd0:10::/64 fd0:192:168:1::1 Add route6::/0 fd0:192:168:2::1 或者使用基于策略的路由:
例子:
add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd0:192:168:2::1 add ns pbr6 from minternettowirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd0:192:168:1::1 apply ns pbr6 冗余和故障转移
在HA配置的情况下,建议利用吞吐量选项为LACP通道配置一个低阈值。例如,考虑HA对中的每个Citrix ADC设备和上游交换机之间的25Gbps Gi-LAN和4x10GbE通道,以提供N+1链路冗余:
例子:
set interface LA/1 -haMonitor ON -吞吐量29000 在主设备和上游交换机之间的双链路故障的情况下,所能支持的最大Gi-LAN吞吐量将下降到20Gbps。对于上述示例,29Gbps的低阈值将导致次要设备(未遭受类似链路故障)的冗余切换事件,因此Gi-LAN流量不会受到影响。
路线监控
除了LACP冗余之外,还可以配置路由监视器检查,并与HA对配置相关联。路由监视器检查可用于检测Citrix ADC设备和下一跳路由器之间的故障,特别是如果所述路由器不是直接连接,而是通过上游交换机连接。
下面概述了2.5.1节中每个示例Gi-LAN的典型HA路由监视器配置:
add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp bind HA node -routeMonitor 192.168.1.0 255.255.255.0 bind HA node -routeMonitor 192.168.2.0 255.255.255.0