理解vlan

Citrix ADC设备支持二层端口和IEEE 802.1q标记的vlan。当您需要将流量限制到某些组站时，VLAN配置是有用的。通过IEEE 802.1q标签，可以将一个网络接口配置为多个vlan的一部分。

您可以配置VLAN并将其绑定到IP子网。Citrix ADC然后在这些VLAN之间执行IP转发（如果它被配置为这些子网上主机的默认路由器）。

Citrix ADC支持以下类型的VLAN：

• 出口vlan。基于端口的VLAN的成员身份由一组网络接口定义，这些接口共享一个公共的、独占的第2层广播域。您可以配置多个基于端口的VLAN。默认情况下，Citrix ADC上的所有网络接口都是VLAN 1的成员。

  如果在端口上添加802.1q标签，则该网络接口属于基于端口的VLAN。使能二层模式后，二层流量在基于端口的VLAN内桥接，二层广播发送到该VLAN的所有成员。当您将一个未带标签的网络接口添加为一个新VLAN的成员时，它将从当前VLAN中删除。

• 默认的VLAN。默认情况下，Citrix ADC上的网络接口作为未标记的网络接口包含在单个基于端口的VLAN中。此VLAN是默认VLAN。它的VLAN ID（VID）为1。此VLAN永久存在。不能删除它，也不能更改其VID。

  当网络接口以untagged方式加入到其他VLAN时，该网络接口将自动从缺省VLAN中移除。解除当前网口与基于端口的VLAN的绑定后，网口将重新加入默认VLAN。

• vlan标记。802.1q标记（在IEEE 802.1q标准中定义）允许网络设备（如Citrix ADC）向第2层的帧添加信息，以识别帧的VLAN成员身份。标记允许网络环境具有跨多个设备的VLAN。接收数据包的设备读取标签并识别帧所属的VLAN。某些网络设备不支持在同一网络接口（特别是Force10交换机）上同时接收标记和未标记的数据包。在这种情况下，您需要联系客户支持以获得帮助。

  网络接口可以是带标签的VLAN成员，也可以是不带标签的VLAN成员。每个网络接口仅是一个VLAN(其本机VLAN)的一个未带标签的成员。这个网络接口将本地VLAN的帧作为untagged帧传输。一个网络接口可以是多个VLAN的一部分，如果其他VLAN都被标记。

  配置标签时，请确保与链路两端的VLAN配置一致。说明Citrix ADC连接的端口必须与Citrix ADC网络接口在同一个VLAN内。

  注意:该VLAN配置既不同步，也不传播，因此需要在HA对中的每个单元单独进行配置。

应用规则对框架进行分类

vlan有两种类型的帧分类规则:

• 导入规则。进入规则将每个帧划分为只属于一个VLAN。当网络接口接收到一个帧时，应用以下规则对该帧进行分类:

  • 如果帧未标记，或具有等于0的标记值，则帧的VID设置为接收接口的端口VID（PVID），该端口VID被分类为属于本机VLAN。（PVID在IEEE 802.1q标准中定义。）
  • 如果帧的标签值等于FFF，则帧被丢弃。
  • 如果帧的VID指定接收网络接口不是其成员的VLAN，则丢弃该帧。例如，如果数据包从与VLAN ID 12关联的子网发送到与VLAN ID 10关联的子网，则数据包被丢弃。如果带有VID 9的未标记数据包从与VLAN ID 10关联的子网发送到网络接口PVID 9，则该数据包将被丢弃。

• 出口规则。出口规则如下:

  • 如果帧的VID指定传输网络接口不是其成员的VLAN，则丢弃该帧。
  • 在学习过程中(IEEE 802.1q标准定义)，使用Src MAC和VID更新Citrix ADC的桥接查找表。
  • 如果一个帧的VID指定了一个没有任何成员的VLAN，则该帧将被丢弃。（通过将网络接口绑定到VLAN来定义成员。）

Citrix ADC上的vlan和报文转发

Citrix ADC设备上的转发过程与任何标准交换机上的转发过程类似。但是，只有在开启二层模式时，才会进行转发。转发过程的关键特征是:

• 实施拓扑限制。强制包括选择VLAN中的每个网络接口作为传输端口(取决于网络接口的状态)、桥接限制(不要在接收网络接口上转发)和MTU限制。
• 帧过滤是基于在Citrix ADC的转发数据库(FDB)表中查找桥接表中的信息。桥接表查找是基于目的MAC和VID的。到Citrix ADC的MAC地址的报文在上层进行处理。
• 所有的广播帧和组播帧都被转发到属于VLAN成员的每个网络接口，但只有在L2模式开启的情况下才会转发。如果关闭L2模式，广播和组播报文将被丢弃。对于当前不在桥接表中的MAC地址也是如此。
• VLAN条目具有作为其未标记成员集一部分的成员网络接口列表。将帧转发到这些网络接口时，不会在帧中插入标记。
• 如果网络接口是此VLAN的标记成员，则在转发帧时将标记插入帧中。

当用户在未识别VLAN的情况下发送任何广播或多播数据包时，即，在路由下一跳的NSIP或ND6的重复地址检测（DAD）期间，数据包在所有网络接口上发送，并根据入口和出口规则进行适当标记。ND6通常标识一个VLAN，数据包仅在该VLAN上发送。基于端口的VLAN在IPv4和IPv6中很常见。对于IPv6，Citrix ADC支持基于前缀的VLAN。