网络配置的最佳实践
以下部分讨论在Citrix ADC设备上配置网络特性的一些最佳实践。
路由和缺省路由
以下是在Citrix ADC设备上配置第3层功能的一些最佳实践。
接口
0 / x
在Citrix ADC设备或Citrix SDX设备上的数据流不能用于生产流量。在MPX或SDX上,接口命名为0 / x
被引用到管理接口。这并不意味着您必须为Management使用这些接口。这意味着这些接口不是为生产流量设计的。它们没有实现持续1gbps吞吐量所需的硬件缓冲和优化。因此,如果您的默认路由与NSIP在同一子网中,则必须更改默认路由或使用缺省路由1 / x
的管理网络接口1 / x
接口针对生产1gbps流量进行了充分优化。请注意:
这不适用于Citrix ADC VPX设备。
选项1。不连接接口
0 / x
—断开接口线缆0/1
。NetScaler在其他接口上监听NSIP。(注意:这不是SDX的选项,因为SVM和XenServer只能与0 / x
接口)选项2。将默认路由更改为不同的接口,详见下一节。
默认网关(路由0.0.0.0)应该在生产网络上,而不是在任何网络上
0 / x
接口。当第一次设置NetScaler时,它要求您输入NSIP、子网掩码和网关地址。这给管理员带来的问题是,他们只是使用接口0/1将默认路由配置为在管理网络上。要查看路由,请在CLI中运行
显示路线
你的默认网关是网络和网掩码为0.0.0.0的那一行中的IP。这里有一个网关在第一行的例子:> sh路由网络掩码网关/OwnedIP状态流量域类型-------------- --------------- ----- -------------- ---- 1)0.0.0.0 0.0.0.0 10.25.213.65 UP 0 STATIC 2) 127.0.0.0 255.0.0.0 127.0.0.1 UP 0 PERMANENT 3) 10.25.213.64 255.255.255.192 10.25.213.68 UP 0 DIRECT 4) 172.16.0.0 255.255.255.0 172.16.0.1 UP 0 DIRECT
要查看默认网关使用的接口和VLAN,请查看ARP表使用情况
sh arp
在CLI。也可以使用显示arp b| grep 10.25.213.65
。下面是一个示例,您可以看到网关10.25.213.65正在使用接口1/1和VLAN 1:> sh arp IP MAC Iface VLAN起源TTL交通领域 -- --- ----- ---- ------ --- -------------- 1) 127.0.0.1 02:00:18: a4:00:1e LO / 1 1永久N / 0 2) 10.25.213.70 02:00:0f: 46:00:28 1/1 1动态967 0 3)10.25.213.68 02:00:18:a4:00:1e LO / 1 1永久N / A 0 4) 10.25.213.67 02:00:0f: 46:00:28 1/1 641 0 5)动态10.25.213.65 00:08:e3: ff:动态fd: 90 1/1 483 0 < !——NeedCopy >
将默认路由更改为使用生产子网和接口上的网关。假设您的管理网络为10.0.0.0/24,网关为10.0.0.1,生产网络为10.1.1.0/24,网关为10.1.1.1。像这样设置你的配置:
- SNIP:(Management Access Disabled) 10.1.1.2
- NSIP:(Management Access Enabled) 10.0.0.2
缺省路由:0.0.0.0 0.0.0.0 10.1.1.1 (System > Network > Routes)。使用SNIP网络中的路由器而不是NSIP网络中的路由器。
请注意:
更改默认网关可能会中断管理流量,除非您配置静态路由、基于策略的路由或启用基于MAC的转发。
接口、通道、vlan
以下是在Citrix ADC设备上配置第2层功能的一些最佳实践。
- 不要将多个接口/通道连接到同一个VLAN,包括VLAN 1:
如果您没有正确配置VLAN,则可能导致网络中出现一些意外的数据包路由,并且在有多个具有相同VLAN(本机或标记)的活动接口时,会导致第二层环路。
缺省情况下,所有接口和通道都属于原生VLAN 1。这产生了两个可能的问题:
NetScaler认为所有接收到的流量都在同一个网络上,所以它使用任何接口发送流量。如果在发送数据的接口上有不同的本机VLAN,那么流量将不会像您期望的那样路由。
如果NetScaler在一个端口上接收到广播数据包,它可能会在另一个端口上重传。如果两个交换机端口在同一个VLAN上,那么您只是创建了一个第二层环路。
从VLAN 1中移除接口/通道。
如果您没有在交换机接口/端口通道上使用本机vlan。修改NetScaler接口/通道的“本机VLAN”为未使用的VLAN号,如“999”。您不应该为多个通道或接口使用相同的未使用的VLAN号,因为它会创建第二层环路。
如果您在交换机接口/端口通道上使用本机vlan。修改NetScaler接口/通道的原生VLAN,使其匹配。但是,注意不要在同一个VLAN上有多个活动接口或通道,因为这样做会产生第二层环路。
不能删除本机VLAN。相反,您可以更改它或为接口或通道设置TagAll。如果交换机端口没有配置未标记的本机VLAN,则在接口上启用tagall,这样高可用性心跳数据包将被标记。
执行命令查看接口的Native VLAN
sh接口
在CLI。这还将通知您接口是否正在使用TAGALL选项。
将接口绑定到VLAN—缺省情况下,NetScaler不为接口添加新的VLAN。这意味着VLAN在绑定到接口之前不会被使用。当新的VLAN没有绑定到某个接口上,并且该VLAN被标记时,NetScaler将丢弃该VLAN的所有入方向流量。同一个VLAN不能绑定到多个接口上。
将子网绑定到vlan。NetScaler不像典型的路由器那样工作。大多数路由器都为接口附加ip地址。在NetScaler上,除非另有配置,否则ip地址在任何接口上都是浮动的。因此,您希望确保NetScaler通过特定VLAN发送的任何子网,特别是当NetScaler发起该流量时,则必须将该子网内的SNIP绑定到该VLAN。
我们听到的反对这种做法的一个常见论点是,它过去工作得很好,现在如果不将子网绑定到VLAN,它就不能工作了。这种情况经常发生,因为NetScaler了解要发送流量的VLAN,但这可能需要时间,因为它建立了ARP表。在重新启动或固件升级之后,当它再次开始构建ARP表时,它最初可能会学习,因此会使用与您希望的不同的路径,例如默认路由。最好通过将SNIP绑定到VLAN来指示它采取哪条路径。一旦SNIP绑定到一个VLAN,该SNIP的整个子网将绑定到该VLAN。
确保每个SNIP都绑定到一个VLAN(除非在一个子网中有多个SNIP,则只需绑定一个),并且该VLAN只能绑定到一个接口或通道。通常最好在每个子网中都有一个SNIP,但这不是必需的,因为最特定的路由将用于任何没有SNIP的目的子网。
识别子网所使用的VLAN和接口。
去系统>网络> vlan。
依次编辑配置的每个VLAN,直到找到正确的IP地址,这将在下一步中进行说明。
单击IP Bindings选项卡查看绑定了哪个IP,以及哪个子网,从而使用了这个VLAN。
一旦您确定了绑定了IP的VLAN,并且该IP位于缺省路由的子网内,然后单击接口绑定。每个绑定到该VLAN的接口或通道都会被使用。
例子
假设缺省路由为0.0.0.0 0.0.0.0 10.1.1.1
。
假设您有两个SNIPs 10.0.0.5和10.1.1.69。因为10.1.1.69在缺省路由的子网中,所以这是您要查找的路由。在下面的截图中,我们正在查看VLAN 1,我们看到IP 10.1.1.69绑定到这个VLAN,所以我们知道我们正在查看正确的VLAN。
现在单击接口绑定。在VLAN接口绑定中,我们看到了这个接口1/1
用于此子网,因此用于默认路由。
请注意:
如果没有任何ip绑定到VLAN,则默认情况下将发送VLAN 1,因此在这种情况下,请查看哪些接口绑定到VLAN 1。这也意味着NetScaler不会为它发起的流量使用您配置的VLAN,除非您将IP绑定到新的VLAN。
ARP
如果GARP不能工作,请使用VMAC。缺省情况下,NetScaler使用GARP向其他网络设备发布其IP地址与MAC地址绑定。这通常没有问题,但是,当您在NetScaler中创建更多服务时,在HA对上进行故障转移时可能会开始遇到问题。最常见的问题是,由于某些网络设备没有使用新的MAC地址更新其ARP表,您失败转移到的NetScaler中的服务仍然关闭。您可以通过检查它们的ARP表来查看MAC地址是否与现在为主NetScaler上的MAC地址匹配,从而轻松地验证这一点。发生这种情况时,很可能是您的某些网络设备限制了它们所支持的GARP广告的数量。在这种情况下,有必要在所有活动接口和/或通道上配置VMAC。如果您希望在NetScaler上有一个大的配置,那么最好在初始部署期间为所有接口和通道配置VMAC。
请注意:
不要忘记为默认路由使用的接口或通道配置VMAC。
Citrix ADC拥有的IP地址
本节讨论配置Citrix ADC拥有的IP地址的最佳实践:
Citrix ADC IP (NSIP):这个IP通常用于管理,因为它是HA或集群环境中单个NetScaler唯一的IP。同样需要注意的是,LDAP、RADIUS和用户脚本化的监视器流量(如LDAP监视器和StoreFront监视器)将从NSIP获取源,从而通过NSIP绑定的VLAN和接口(默认原生VLAN 1)进行路由。如果您需要从SNIP获取LDAP和RADIUS流量,则为后端服务器创建LB虚拟服务器。
子网IP (SNIP):该IP地址用于启动与后端服务器的通信,并且始终将启动流量。也就是说,在这些情况下,它可以成为流量的目的地:
在NetScaler上进行三层路由时,它可以用作其他设备上的网关地址。
当启用时,它可以接受Management服务,例如对GUI、SSH和SNMP的访问。
虚拟IP (VIP): VIP的独特之处在于它永远不会被用来发起出站流量。它仅用于接收流量。一旦接收到流量,它就进行应答并将出站流量发送回客户机。也就是说,VIP地址不发起出流量。
注意,这也意味着它不被用作与后端服务器通信的源,例如LB虚拟服务器。