网络配置的最佳实践

以下部分讨论在Citrix ADC设备上配置网络特性的一些最佳实践。

路由和缺省路由

以下是在Citrix ADC设备上配置第3层功能的一些最佳实践。

• 接口0 / x在Citrix ADC设备或Citrix SDX设备上的数据流不能用于生产流量。在MPX或SDX上，接口命名为0 / x被引用到管理接口。这并不意味着您必须为Management使用这些接口。这意味着这些接口不是为生产流量设计的。它们没有实现持续1gbps吞吐量所需的硬件缓冲和优化。因此，如果您的默认路由与NSIP在同一子网中，则必须更改默认路由或使用缺省路由1 / x的管理网络接口1 / x接口针对生产1gbps流量进行了充分优化。

  请注意：

  这不适用于Citrix ADC VPX设备。

  • 选项1。不连接接口0 / x—断开接口线缆0/1。NetScaler在其他接口上监听NSIP。(注意:这不是SDX的选项，因为SVM和XenServer只能与0 / x接口)

  • 选项2。将默认路由更改为不同的接口，详见下一节。

• 默认网关(路由0.0.0.0)应该在生产网络上，而不是在任何网络上0 / x接口。当第一次设置NetScaler时，它要求您输入NSIP、子网掩码和网关地址。这给管理员带来的问题是，他们只是使用接口0/1将默认路由配置为在管理网络上。

  • 要查看路由，请在CLI中运行显示路线你的默认网关是网络和网掩码为0.0.0.0的那一行中的IP。这里有一个网关在第一行的例子:

    > sh路由网络掩码网关/OwnedIP状态流量域类型-------------- --------------- ----- -------------- ---- 1)0.0.0.0 0.0.0.0 10.25.213.65 UP 0 STATIC 2) 127.0.0.0 255.0.0.0 127.0.0.1 UP 0 PERMANENT 3) 10.25.213.64 255.255.255.192 10.25.213.68 UP 0 DIRECT 4) 172.16.0.0 255.255.255.0 172.16.0.1 UP 0 DIRECT 

  • 要查看默认网关使用的接口和VLAN，请查看ARP表使用情况sh arp在CLI。也可以使用显示arp b| grep 10.25.213.65。下面是一个示例，您可以看到网关10.25.213.65正在使用接口1/1和VLAN 1:

    > sh arp IP MAC Iface VLAN起源TTL交通领域  -- --- ----- ---- ------ --- -------------- 1) 127.0.0.1 02:00:18: a4:00:1e LO / 1 1永久N / 0 2) 10.25.213.70 02:00:0f: 46:00:28 1/1 1动态967 0 3)10.25.213.68 02:00:18:a4:00:1e LO / 1 1永久N / A 0 4) 10.25.213.67 02:00:0f: 46:00:28 1/1 641 0 5)动态10.25.213.65 00:08:e3: ff:动态fd: 90 1/1 483 0 < !——NeedCopy >

  • 将默认路由更改为使用生产子网和接口上的网关。假设您的管理网络为10.0.0.0/24，网关为10.0.0.1，生产网络为10.1.1.0/24，网关为10.1.1.1。像这样设置你的配置:

    • SNIP:(Management Access Disabled) 10.1.1.2
    • NSIP:(Management Access Enabled) 10.0.0.2

    • 缺省路由:0.0.0.0 0.0.0.0 10.1.1.1 (System > Network > Routes)。使用SNIP网络中的路由器而不是NSIP网络中的路由器。

      请注意：

      更改默认网关可能会中断管理流量，除非您配置静态路由、基于策略的路由或启用基于MAC的转发。

接口、通道、vlan

以下是在Citrix ADC设备上配置第2层功能的一些最佳实践。

• 不要将多个接口/通道连接到同一个VLAN，包括VLAN 1：

  • 如果您没有正确配置VLAN，则可能导致网络中出现一些意外的数据包路由，并且在有多个具有相同VLAN(本机或标记)的活动接口时，会导致第二层环路。

  • 缺省情况下，所有接口和通道都属于原生VLAN 1。这产生了两个可能的问题:

    • NetScaler认为所有接收到的流量都在同一个网络上，所以它使用任何接口发送流量。如果在发送数据的接口上有不同的本机VLAN，那么流量将不会像您期望的那样路由。

    • 如果NetScaler在一个端口上接收到广播数据包，它可能会在另一个端口上重传。如果两个交换机端口在同一个VLAN上，那么您只是创建了一个第二层环路。

  • 从VLAN 1中移除接口/通道。

    • 如果您没有在交换机接口/端口通道上使用本机vlan。修改NetScaler接口/通道的“本机VLAN”为未使用的VLAN号，如“999”。您不应该为多个通道或接口使用相同的未使用的VLAN号，因为它会创建第二层环路。

    • 如果您在交换机接口/端口通道上使用本机vlan。修改NetScaler接口/通道的原生VLAN，使其匹配。但是，注意不要在同一个VLAN上有多个活动接口或通道，因为这样做会产生第二层环路。

    • 不能删除本机VLAN。相反，您可以更改它或为接口或通道设置TagAll。如果交换机端口没有配置未标记的本机VLAN，则在接口上启用tagall，这样高可用性心跳数据包将被标记。

  • 执行命令查看接口的Native VLANsh接口在CLI。这还将通知您接口是否正在使用TAGALL选项。

• 将接口绑定到VLAN—缺省情况下，NetScaler不为接口添加新的VLAN。这意味着VLAN在绑定到接口之前不会被使用。当新的VLAN没有绑定到某个接口上，并且该VLAN被标记时，NetScaler将丢弃该VLAN的所有入方向流量。同一个VLAN不能绑定到多个接口上。

  • 将子网绑定到vlan。NetScaler不像典型的路由器那样工作。大多数路由器都为接口附加ip地址。在NetScaler上，除非另有配置，否则ip地址在任何接口上都是浮动的。因此，您希望确保NetScaler通过特定VLAN发送的任何子网，特别是当NetScaler发起该流量时，则必须将该子网内的SNIP绑定到该VLAN。

  • 我们听到的反对这种做法的一个常见论点是，它过去工作得很好，现在如果不将子网绑定到VLAN，它就不能工作了。这种情况经常发生，因为NetScaler了解要发送流量的VLAN，但这可能需要时间，因为它建立了ARP表。在重新启动或固件升级之后，当它再次开始构建ARP表时，它最初可能会学习，因此会使用与您希望的不同的路径，例如默认路由。最好通过将SNIP绑定到VLAN来指示它采取哪条路径。一旦SNIP绑定到一个VLAN，该SNIP的整个子网将绑定到该VLAN。

  • 确保每个SNIP都绑定到一个VLAN(除非在一个子网中有多个SNIP，则只需绑定一个)，并且该VLAN只能绑定到一个接口或通道。通常最好在每个子网中都有一个SNIP，但这不是必需的，因为最特定的路由将用于任何没有SNIP的目的子网。

• 识别子网所使用的VLAN和接口。

  1. 去系统>网络> vlan。

  2. 依次编辑配置的每个VLAN，直到找到正确的IP地址，这将在下一步中进行说明。

  3. 单击IP Bindings选项卡查看绑定了哪个IP，以及哪个子网，从而使用了这个VLAN。

  4. 一旦您确定了绑定了IP的VLAN，并且该IP位于缺省路由的子网内，然后单击接口绑定。每个绑定到该VLAN的接口或通道都会被使用。

例子

假设缺省路由为0.0.0.0 0.0.0.0 10.1.1.1。

假设您有两个SNIPs 10.0.0.5和10.1.1.69。因为10.1.1.69在缺省路由的子网中，所以这是您要查找的路由。在下面的截图中，我们正在查看VLAN 1，我们看到IP 10.1.1.69绑定到这个VLAN，所以我们知道我们正在查看正确的VLAN。

现在单击接口绑定。在VLAN接口绑定中，我们看到了这个接口1／1用于此子网，因此用于默认路由。

请注意：

如果没有任何ip绑定到VLAN，则默认情况下将发送VLAN 1，因此在这种情况下，请查看哪些接口绑定到VLAN 1。这也意味着NetScaler不会为它发起的流量使用您配置的VLAN，除非您将IP绑定到新的VLAN。

ARP

如果GARP不能工作，请使用VMAC。缺省情况下，NetScaler使用GARP向其他网络设备发布其IP地址与MAC地址绑定。这通常没有问题，但是，当您在NetScaler中创建更多服务时，在HA对上进行故障转移时可能会开始遇到问题。最常见的问题是，由于某些网络设备没有使用新的MAC地址更新其ARP表，您失败转移到的NetScaler中的服务仍然关闭。您可以通过检查它们的ARP表来查看MAC地址是否与现在为主NetScaler上的MAC地址匹配，从而轻松地验证这一点。发生这种情况时，很可能是您的某些网络设备限制了它们所支持的GARP广告的数量。在这种情况下，有必要在所有活动接口和/或通道上配置VMAC。如果您希望在NetScaler上有一个大的配置，那么最好在初始部署期间为所有接口和通道配置VMAC。

请注意：

不要忘记为默认路由使用的接口或通道配置VMAC。

Citrix ADC拥有的IP地址

本节讨论配置Citrix ADC拥有的IP地址的最佳实践:

• Citrix ADC IP (NSIP):这个IP通常用于管理，因为它是HA或集群环境中单个NetScaler唯一的IP。同样需要注意的是，LDAP、RADIUS和用户脚本化的监视器流量(如LDAP监视器和StoreFront监视器)将从NSIP获取源，从而通过NSIP绑定的VLAN和接口(默认原生VLAN 1)进行路由。如果您需要从SNIP获取LDAP和RADIUS流量，则为后端服务器创建LB虚拟服务器。

• 子网IP (SNIP):该IP地址用于启动与后端服务器的通信，并且始终将启动流量。也就是说，在这些情况下，它可以成为流量的目的地:

  • 在NetScaler上进行三层路由时，它可以用作其他设备上的网关地址。

  • 当启用时，它可以接受Management服务，例如对GUI、SSH和SNMP的访问。

• 虚拟IP (VIP): VIP的独特之处在于它永远不会被用来发起出站流量。它仅用于接收流量。一旦接收到流量，它就进行应答并将出站流量发送回客户机。也就是说，VIP地址不发起出流量。

注意，这也意味着它不被用作与后端服务器通信的源，例如LB虚拟服务器。