网络配置的最佳实践

以下部分介绍了在Citrix ADC设备上配置网络功能的一些最佳实践。

路由和默认路由

以下是在Citrix ADC设备上配置第3层功能的一些最佳做法。

• Citrix ADC设备或Citrix SDX设备0 / x上的接口不得用于生产流量。在MPX或SDX上，名为的接口0 / x被引用到管理接口。这并不意味着您必须使用这些接口进行管理。这意味着这些接口不是为生产流量设计的。它们没有实现持续1 Gbps吞吐量所需的硬件缓冲区和优化。因此，如果您的默认路由与nsip位于同一子网中，则必须更改默认路由或使用管理网络的接1 / x口，因为这些1 / x接口已完全针对生产1Gbps的流量。

  注意：

  这不适用于Citrix ADC VPX设备。

  • 备选案文 1．请勿连接到接口0 / x-从接口断开电缆0/1。NetScaler侦听其他接口上的NSIP。(注意:这不是SDX的选项，因为SVM和XenServer只能与接0 / x口交谈）

  • 选项 2．将默认路由更改为其他界面，详见下一节。

• 默认网关(路由0.0.0.0)应位于生产网络上，而不是位于任何0 / x接口上。首次设置NetScaler时，它会要求您输入NSIP，子网掩码和网关地址。这为管理员创建的问题是，他们只是将默认路由配置为使用接口 0/1 在其管理网络上。

  • 要检查路由是什么，请在cli显示路线中运行，您的默认网关是网络和网络掩码为0.0.0.0的行中的IP。以下是网关位于第 1 行的示例：

    > sh route Network Netmask Gateway/OwnedIP State Traffic Domain Type -------------- --------------- ----- -------------- ---- 1) 0.0.0.0 0.0.0.0 10.25.213.65 UP 0 STATIC 2) 127.0.0.0 255.0.0.0 127.0.0.1 UP 0 PERMANENT 3) 10.25.213.64 255.255.255.192 10.25.213.68 UP 0 DIRECT 4) 172.16.0.0 255.255.255.0 172.16.0.1 UP 0 DIRECT 

  • 要检查用于默认网关的接口和vlan，请sh arp在cli中使用检查arp表。您也可以使用搜索特定的IPShow arp | grep 10.25.213.65。以下是您看到网关10.25.213.65正在使用接口1/1和vlan 1的示例:

    > sh arp IP MAC Iface VLAN起源TTL交通领域  -- --- ----- ---- ------ --- -------------- 1) 127.0.0.1 02:00:18: a4:00:1e LO / 1 1永久N / 0 2) 10.25.213.70 02:00:0f: 46:00:28 1/1 1动态967 0 3)10.25.213.68 02:00:18:a4:00:1e LO / 1 1永久N / A 0 4) 10.25.213.67 02:00:0f: 46:00:28 1/1 641 0 5)动态10.25.213.65 00:08:e3: ff:动态fd: 90 1/1 483 0 < !——NeedCopy >

  • 将默认路由更改为在生产子网和接口上使用网关。假设您的管理网络,是10.0.0.0 / 24网关10.0.0.1,表示生产网络是10.1.1.0/24,网关10.1.1.1。像这样设置您的配置：

    • Snip:(管理访问禁用)10.1.1.2
    • Nsip:(已启用管理访问权限)10.0.0.2

    • 默认路由:0.0.0.0 0.0.0.0 10.1.1.1(系统>网络>路由)。这使用snip网络上的路由器，而不是nsip网络。

      注意：

      更改默认网关可能会中断管理流量,除非您配置静态路由,基于策略的路由或启用基于MAC的转发。

接口，通道和vlan

以下是在Citrix ADC设备上配置第2层功能的一些最佳做法。

• 不要将多个接口/通道连接到同一个vlan，包括vlan 1：

  • 如果您没有正确配置VLAN,则可能会导致网络中出现意外的数据包路由和第2层循环,只要有多个具有相同VLAN的活动接口(本机或已标记)。

  • 默认情况下，所有接口和通道都位于本机vlan 1上。这会产生两个可能的问题：

    • NetScaler认为接收到的所有流量都位于同一网络上，因此它使用任何接口来发送流量。如果您在其发送数据的接口上有不同的本机vlan，则流量将不会按预期路由。

    • 如果NetScaler在一个端口上接收广播数据包，它可能会在另一个端口上重新传输。如果两个交换机端口位于同一vlan上，则您只需创建了一个第2层循环。

  • 若要从vlan 1中删除接口/通道，请执行以下操作:

    • 如果您没有在交换机接口/端口通道上使用本机vlan。将NetScaler 接口/通道上的本机 VLAN 更改为未使用的 VLAN 编号，如 999。对于多个通道或接口，不应使用相同的未使用 VLAN 号码，因为它会创建第 2 层循环。

    • 如果您在交换机接口/端口通道上使用本机vlan。更改NetScaler接口/通道上的本机VLAN以匹配。但是，请注意不要在同一个vlan上有多个活动接口或通道，因为这样做会创建第2层循环。

    • 您无法删除本机vlan。相反，您可以更改它或为接口或频道设置TagAll。如果交换机端口未配置未标记的本机VLAN,则在接口上启用tagall,以便将标记高可用性检测信号数据包。

  • 要在接口上查看本机vlan，请sh接口在cli中运行。这也会通知您界面是否使用TAGAll选项。

• 将接口绑定到您的vlan—默认情况下，NetScaler不会将新的VLAN附加到接口。这意味着在将vlan绑定到接口之前，才会使用vlan。当新的VLAN未绑定到接口,并且该VLAN被标记时,NetScaler会删除该VLAN中的所有入站流量。此外，不要将同一个vlan绑定到多个接口。

  • 将子网绑定到您的vlan。NetScaler不像典型的路由器一样工作。大多数路由器将IP连接到接口。在NetScaler上，除非另有配置，否则IP会浮动在任何接口上。因此,要确保NetScaler通过特定VLAN发送的任何子网,尤其是当NetScaler正在启动该流量时,您必须将该子网内的剪断绑定到VLAN。

  • 我们听到反对这种情况的一个常见论点是，它曾经工作正常，现在它不会没有将子网绑定到vlan。这通常是因为NetScaler会知道要发送流量的VLAN,但在构建其ARP表时,这可能需要一些时间。重新启动或固件升级后,当它再次开始构建ARP表时,它最初可能会学习,因此使用不同于您想要的路径,例如默认路由。最好通过将snip绑定到vlan来指示它采取哪个路径。一旦snip绑定到vlan，该snip的整个子网将绑定到vlan。

  • 确保每个剪都绑定到VLAN(除非在子网中有多个剪断,则只必须绑定一个),并且VLAN只绑定到一个接口或通道。通常最好在每个子网中都有剪断,但这并不是必需的,因为最具体的路由将用于任何没有剪断的目标子网。

• 要识别子网使用的vlan和接口，请执行以下操作:

  1. 转到系统>网络> vlan。

  2. 依次编辑配置的每个vlan，直到找到正确的IP地址，如下一步所述。

  3. 单击" ip绑定"选项卡可查看哪个ip，以及哪个子网被绑定，因此正在使用此vlan。

  4. 确定绑定到该IP的vlan后，该IP位于默认路由的子网中，然后单击接口绑定。将使用绑定到此vlan的每个接口或频道。

示例

假定默认路由为0.0.0.0 0.0.0.0 10.1.1.1。

假设您有两个剪本，分别为10.0.0.5和10.1.1.69。由于10.1.1.69位于默认路由的子网中，所以这是您想要查找的路由。在下面的屏幕截图中,我们正在审查VLAN 1,我们看到IP 10.1.1.69绑定到此VLAN,所以我们知道我们正在查看正确的VLAN。

现在点击界面绑定。在vlan接口绑定中，我们看到1／1接口用于此子网，因此用于默认路由。

注意：

如果您没有任何IP绑定到您的VLAN,那么默认情况下它将被发出VLAN 1,所以在这种情况下,看看哪些接口绑定到VLAN 1。这也意味着除非您将IP绑定到新VLAN,否则NetScaler将不会对其启动的流量使用已配置的VLAN。

ARP

如果GARP不起作用,请使用VMAC——默认情况下,NetScaler使用GARP将其IP通告到MAC地址绑定到其他网络设备。这通常没有问题,但是,当您在NetScaler中创建更多服务时,您可能会在HA对上进行故障转移时遇到问题。最常见的问题是,由于某些网络设备没有使用新的MAC地址更新其ARP表,故障转移到的NetScaler中的服务保持关闭状态。您可以通过检查其ARP表以查看MAC地址是否与现在主NetScaler上的地址相匹配来轻松验证这一点。发生这种情况时，您的某些网络设备很可能会限制他们遵守的garp广告的数量。在这种情况下，有必要在所有活动接口和/或通道上配置vmac。如果您希望在NetScaler上进行大型配置,则最好在初始部署期间为所有接口和通道配置VMAC。

注意：

不要忘记为默认路由使用的接口或频道配置vmac。

Citrix ADC拥有的IP地址

本节介绍配置Citrix ADC拥有的IP地址的最佳实践:

• Citrix ADC IP (NSIP):通常此IP用于管理，因为它是HA或群集环境中单个NetScaler唯一的IP。同样重要的是、LDAP、半径和用户脚本监视器流量(如LDAP监视器和店面监视器)将从NSIP源,从而通过NSIP绑定到的VLAN和接口路由(默认本机VLAN 1)。如果需要来自剪断的LDAP和半径流量,则为后端服务器创建磅虚拟服务器。

• 子网IP (snip):此IP地址用于启动与后端服务器的通信，并始终启动流量。也就是说，在这些情况下，它可以是流量的目的地：

  • 在NetScaler上执行第3层路由时，它可以用作其他设备上的网关地址。

  • 启用后，它可以接受管理服务，例如访问gui, ssh和snmp。

• 虚拟IP (vip): vip是独一无二的，因为它永远不会被用于启动出站流量。它仅用于接收流量。接收流量后，它会回复并将出站流量发送回客户端。换句话说，vip地址不会启动出站流量。

请注意，这也意味着它不用作与lb虚拟服务器中使用的后端服务器进行通信的源。