Gi-LAN 統合
通常、Citrix ADCアプライアンスは、L3ルーターと同様に、Gi-LANに個別のL3インラインノードとして挿入されます。
図:Gi-lan の単純な描写
接続
十分な冗長性を確保するために、アップストリームスイッチへの物理的な Citrix ADC 接続をお勧めします。たとえば、合計(アップリンク+ダウンリンク)24Gbpsを処理するGi-LANにCitrix ADCアプライアンスが挿入されていると仮定すると、4x10GbE以上のインターフェイスとの接続を推奨します。これにより、リンク障害が発生した場合に N+1 の冗長性が効果的に提供されます。
アップストリームスイッチの関連ポートは、LACP ポート集約用に設定する必要があります。Citrix ADC 関連する構成の概要を以下に示します。
接続構成:
set interface 10/1 –tagall ON –lacpMode ACTIVE –lacpKey 1 set interface 10/2 –tagall ON –lacpMode ACTIVE –lacpKey 1 set interface 10/3 –tagall ON –lacpMode ACTIVE –lacpKey 1 set interface 10/4 –tagall ON –lacpMode ACTIVE –lacpKey 1 「show interface」コマンドを使用すると、LACP の適切な機能を確認できます。
インターフェイスの表示:
sh interface LA/1 1) Interface LA/1 (802.3ad Link Aggregate) #39 flags=0x4100c020 MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s Requested: media NONE, speed AUTO, duplex NONE, fctl NONE, throughput 0 Actual: throughput 4000 LLDP Mode: NONE, RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) Stalls(0) TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) Stalls(0) NIC: InDisc(0) OutDisc(0) Fctls(0) Stalls(0) Hangs(0) Muted(0) Bandwidth thresholds are not set. Disable the remaining unused interfaces and turn off the monitor. set interface 10/5 –haMonitor OFF コマンド:
set interface 10/24 –haMonitor OFF disable interface 10/5 disable interface 10/24 物理インターフェイスの構成は、2 つの Citrix ADC ユニット間で共有されません。したがって、HAペアを展開する場合は、上記のコマンドを両方のCitrix ADCノードで実行する必要があります。
HA 設定
他のすべての構成パラメータは、HAペアのCitrix ADCノード間で共有されます。したがって、HA 同期は、他の構成コマンドを実行する前に有効にしておく必要があります。基本的な HA 設定には、次の手順が含まれます。
1. まったく同じCitrix ADCハードウェア、ソフトウェア、ライセンスの使用:異なるモデル(T1100とMPX21550など)またはファームウェアレベルが異なる同じモデル間では、HAペアはサポートされません。既存の HA ペアのアップグレード(リリース 11.1 へのアップグレード)に関する適切な手順を参照してください。
2. HA ペアの確立。
例:
netscaler-1> add HA node 1 netscaler-2> add HA node 1 3. いずれかのノードで次のコマンドを実行して HA ペアの確立を確認します。両方のノードが認識され、一方はプライマリ(アクティブ)で、もう一方はセカンダリ(スタンバイ)になります。
例:
show HA node 4. フェイルセーフモードと maxFlips を有効にします。これにより、両方のノードでルートモニタに障害が発生しても、アクティブ/スタンバイステータスが常に切り替わることなく、少なくとも 1 つのノードがアクティブのままになります。
例:
set HA node –failsafe ON set HA node -maxFlips 3 -maxFlipTime 1200 5. 最後に、OAM ネットワークではなく、専用の イントラCitrix ADC ポートで高可用性同期を実行できるようにします。
例:
add vlan 4080 -aliasName syncVlan set HA node -syncvlan 4080 注
上の例のコマンドの VLAN 4080 は、文字どおりに解釈すべきではありません。未使用の VLAN-ID は予約されている可能性があります。
VLAN 設定
物理インターフェイスを適切に設定したら、適切な Gi-LAN VLAN を設定することができます。たとえば、100/101 の VLAN 識別子を持つ入力/出力 VLAN ペアを持つ、かなり単純な Gi-LAN 環境を考えてみましょう。
次のコマンドは、前の手順で作成した LACP チャネルの上に関連する VLAN を設定します。
add vlan 100 add vlan 101 bind vlan 100 –ifnum LA/1 –tagged bind vlan 101 –ifnum LA/1 –tagged IPv4 設定
通常、Citrix ADCアプライアンスでは、VLANごとに1つのSNIPが必要です。次の例では、このページの冒頭にある Gi-LAN 統合図で概説されているネットワークに /24 サブネットマスクがあることを前提としています。
add ns ip 192.168.1.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED add ns ip 192.168.2.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED SNIP を設定したら、適切な VLAN に関連付ける必要があります。
bind vlan 100 –IPAddress 192.168.1.254 255.255.255.0 bind vlan 101 –IPAddress 192.168.2.254 255.255.255.0 IPv4 スタティックルーティング
「管理ネットワーク」セクションで説明した例では、2 つのスタティックルーティングルールしか求めません。
- 入力ルータを経由してクライアントへの 10.0.0.0/8 スタティックルート
- 出力ルータを経由したインターネットへのデフォルトルート
例:
add route 0.0.0.0 0.0.0.0 192.168.2.1 add route 10.0.0.0 255.0.0.0 192.168.1.1 IPv4 ポリシーベース (VLAN-VLAN) ルーティング
Citrix ADCアプライアンスでは、静的ルーティングの代わりにポリシーベースのルーティングが可能で、ルーティングの決定は通常、宛先IPではなく着信インターフェイスやVLANに対してキーイングされます。ポリシーベースのルーティングは、クライアントの送信元 IP アドレス範囲が定期的に変更される場合や、パケットの宛先 IP アドレスだけではルーティングの決定に到達できない場合の (つまり、クライアント IP アドレスが重複している場合)、必須の考慮事項です。複数の VLAN にまたがる)
例:
add ns pbr fromWirelessToInternet ALLOW –nextHop 192.168.2.1 –vlan 100 –priority 10 Done add ns pbr fromInternetToWireless ALLOW –nextHop 192.168.1.1 –vlan 200 –priority 20 Done apply ns pbrs IPv6 設定
次のコマンドは、VLAN ごとに IPv6 SNIP を割り当てます。次の例では、図:このページの Gi-LAN の簡単な描写に概説されているネットワークに /64 サブネットマスクがあることを前提としています。
コマンド:
add ns ip6 fd00:192:168:1::254/64 -vServer DISABLED –mgmtAccess DISABLED add ns ip6 fd00:192:168:2::254/64 -vServer DISABLED –mgmtAccess DISABLED bind vlan 100 -IPAddress fd00:192:168:1::254/64 bind vlan 200 -IPAddress fd00:192:168:2::254/64 IPv6 ルーティング
IPv6 アドレッシングが完了すると、IPv6 スタティックルーティングが構成されることがあります。
- fd 00:10:: / 64入力ルーター経由のクライアントへのスタティックルート
- 出力ルータを経由したインターネットへのデフォルトルート
例:
add route6 fd00:10::/64 fd00:192:168:1::1 add route6 ::/0 fd00:192:168:2::1 または、ポリシーベースルーティングを使用します。
例:
add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd00:192:168:2::1 add ns pbr6 fromInternetToWirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd00:192:168:1::1 apply ns pbr6 LACP の冗長性とフェールオーバー
HA 構成の場合は、スループットオプションを利用して LACP チャネルの下限しきい値を設定することをお勧めします。たとえば、HA ペアの各 Citrix ADC アプライアンスとアップストリームスイッチの間に 25 Gbps Gi-LAN と 4x10GbE チャネルを設定して、N+1 リンクの冗長性を提供するとします。
例:
set interface LA/1 –haMonitor ON –throughput 29000 プライマリアプライアンスとアップストリームスイッチの間に二重リンク障害が発生した場合、サポートできる最大 Gi-LAN スループットは 20 Gbps に低下します。上記の例で 29 Gbps の下限しきい値を設定すると、セカンダリアプライアンス(同様のリンク障害が発生していない)に冗長スイッチオーバーイベントが発生し、Gi-LAN トラフィックは影響を受けません。
ルートモニター
LACP の冗長性に加えて、ルートモニタチェックを設定し、HA ペアの設定に関連付けることもできます。ルートモニターチェックは、Citrix ADCアプライアンスとネクストホップルーターの間の障害を検出するのに役立ちます。特に、ルーターが直接接続されておらず、アップストリームスイッチを介して接続されている場合に役立ちます。
セクション 2.5.1 のサンプル GiLAN ごとの一般的な HA ルートモニタの設定を次に示します。
add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp bind HA node -routeMonitor 192.168.1.0 255.255.255.0 bind HA node -routeMonitor 192.168.2.0 255.255.255.0