池兰集成
通常,Citrix ADC设备作为单独的L3内联节点插入到Gi-LAN中,类似于L3路由器。
图:吉-兰的简单描述
连接
建议使用物理Citrix ADC连接到上游交换机,以提供足够的冗余。例如,假设Citrix ADC设备插入处理总共24 gbps(上行链路+下行链路)的Gi-LAN中,建议使用4 x10gbe或更多接口进行连接。在链路故障的情况下,这有效地提供了n +1冗余。
应该为lacp端口聚合配置上游交换机上的相关端口。Citrix ADC上的相关配置概述如下:
连接配置:
set interface 10/1 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/2 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/3 -tagall ON -lacpMode ACTIVE -lacpKey 1 set interface 10/4 -tagall ON -lacpMode ACTIVE -lacpKey 1 您可以使用" show interface "命令验证LACP的适当功能:
显示界面:
sh interface LA/1 1) interface LA/1 (802.3ad Link Aggregate) #39 flags=0x4100c020 MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s Requested: media NONE, speed AUTO, duplex NONE, fctl NONE, throughput 0 Actual: throughput 4000 LLDP Mode: NONE, RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) slots (0) TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) slots (0) NIC:InDisc(0) OutDisc(0) Fctls(0) stall (0) hanging (0) mute(0)带宽阈值未设置。禁用其余未使用的接口并关闭监视器。set interface 10/5 -haMonitor OFF 命令:
set interface 10/24 -haMonitor OFF禁用接口10/5禁用接口10/24 物理接口的配置不会在两个Citrix ADC单元之间共享。因此,如果是HA对部署,上述命令必须在两个Citrix ADC节点上运行。
哈配置
所有其他配置参数在HA对的Citrix ADC节点之间共享。因此,应在运行任何其他配置命令之前启用ha同步。基本ha配置包括以下步骤:
1.使用完全相同的Citrix ADC硬件,软件和许可证:不同型号(即T1100和MPX21550)或具有不同固件级别的相同型号之间不支HA对持。请参阅有关升级现有ha对的相应说明-升级到版本11.1。
2.建立ha对。
示例:
netscaler-1> add HA node 1 netscaler-2> add HA node 1 3.验证在任一节点中运行以下命令的HA对建立;两个节点都应可见,其中一个为主节点(活动),另一个为辅助节点(备用)。
示例:
显示HA节点4.启用故障安全模式和maxFlips。这样可以确保在两个节点上发生路由监视器故障的情况下,至少有一个节点保持活动/备用状态,而不会不断切换活动
示例:
set HA node -failsafe ON set HA node - maxflipps 3 -maxFlipTime 1200 5.最后,启用HA同步通过专用Citrix ADC端口而不是OAM网络进行。
示例:
add vlan 4080 -aliasName syncVlan set HA节点——NeedCopy >注意
上面示例中的命令中的vlan 4080不应按字面意思来理解。任何未使用的vlan id都可能会被保留。
Vlan配置
正确配置物理接口后,您可以配置适当的Gi-LAN VLAN。例如,考虑一个相当简单的Gi-LAN环境,其入口/出口VLAN对分别带有100/101 VLAN标识符。
以下命令在上一步中创建的lacp通道之上配置相关vlan。
add vlan 100 add vlan 101 bind vlan 100 -ifnum LA/1——NeedCopy >IPv4配置
通常,Citrix ADC设备需要每个VLAN一个SNIP。以下示例假设本页开头给出的吉兰集成图中概述的网络具有/24子网掩码:
add ns ip 192.168.2.254 255.255.255.0 -vserver DISABLED -mgmtAccess DISABLED add ns ip 192.168.2.254 255.255.255.0 -vserver DISABLED -mgmtAccess DISABLED 在配置剪切之后,它们应该与相应的vlan关联:
绑定vlan 100 - 192.168.2.254 255.255.255.0——NeedCopy >IPv4静态路由
管理网络部分中概述的示例只需要几个静态路由规则:
- 通过入口路由器到客户端的10.0.0.0/8静态路由
- 通过出口路由器到互联网的默认路由
示例:
添加路由10.0.0.0 255.0.0.0 192.168.1.1 基于IPv4策略的(VLAN-VLAN)路由
Citrix ADC设备允许基于策略的路由而不是静态路由,路由决策通常以传入接口和/或VLAN为基础,而不是目标IP。如果客户端源IP地址范围需要定期更改,则基于策略的路由是一种方便的选择,或者在数据包的目的IP地址本身不足以达成路由决策的情况下(例如,在客户端IP地址重叠的情况下),则必须考虑基于策略的路由跨多个VLAN)。
示例:
add ns策略路由fromWirelessToInternet ALLOW -nextHop 192.168.2.1 -vlan 100 -priority 10 Done add ns策略路由from minternettowireless ALLOW -nextHop 192.168.1.1 -vlan 200 -priority 20 Done apply ns策略路由IPv6配置
以下命令为每个VLAN分配IPv6 SNIP。下面的示例假设图:本页中Gi-LAN的简单描述中概述的网络具有/64子网掩码:
命令:
add ns ip6 fd0:192:168:1::254/64 -vServer DISABLED -mgmtAccess DISABLED add ns ip6 fd0:192:168:2::254/64 -vServer DISABLED -mgmtAccess DISABLED bind vlan 100 -IPAddress fd0:192:168:1::254/64 bind vlan 200 -IPAddress fd0:192:168:2::254/64 IPv6路由
IPv6寻址完成后,可以配置IPv6静态路由:
- 通过入口路由器到达客户端的fd 00:10:: /64静态路由
- 通过出口路由器到互联网的默认路由
示例:
Add route6 fd0:10::/64 fd0:192:168:1::1 Add route6::/0 fd0:192:168:2::1 或者使用基于策略的路由:
示例:
add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd0:192:168:2::1 add ns pbr6 from minternettowirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd0:192:168:1::1 apply ns pbr6 Lacp冗余和故障转移
如果是ha配置,建议利用吞吐量选项为lacp通道配置低阈值。例如,考虑HA对中的每个Citrix ADC设备与上游交换机之间的25 gbps Gi-LAN和4 x10gbe通道,以提供N + 1链路冗余:
示例:
set interface LA/1 -haMonitor ON -吞吐量29000 如果主设备和上游交换机之间出现双链路故障,可支持的最大Gi-LAN吞吐量将降至20Gbps。根据上述示例29 gbps的低阈值将导致辅助设备的冗余切换事件(未遭受类似的链路故障),因此Gi-LAN流量不受影响。
路由监视器
除了lacp冗余之外,还可以配置路由监视器检查并将其与ha对配置关联。路由监视器检查对于检测 Citrix ADC 设备和下一跳路由器之间的故障非常有用,尤其是在所述路由器不是直接连接而是通过上游交换机连接的情况下。
下面概述了2.5.1节中每个样本Gi-LAN的典型HA路由监视器配置:
add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp bind HA node -routeMonitor 192.168.1.0 255.255.255.0 bind HA node -routeMonitor 192.168.2.0 255.255.255.0