了解VLAN

Citrix ADC设备支持第2层端口和IEEE 802.1 q标记的VLAN。如果您需要将流量限制到特定的工作站组,则VLAN配置非常有用。您可以使用IEEE 802.1 q标记将网络接口配置为多个VLAN的一部分。

您可以配置VLAN并将其绑定到IP子网。然后Citrix ADC在这些VLAN之间执行IP转发(如果将其配置为这些子网上主机的默认路由器)。

Citrix ADC支持以下类型的VLAN:

• 基于端口的VLAN。基于端口的VLAN的成员身份由一组网络接口定义,这些接口共享一个共用的第2层广播域。您可以配置多个基于端口的VLAN。默认情况下,Citrix ADC上的所有网络接口都是VLAN 1的成员。

  如果将802.1 q标记应用于端口,则网络接口属于基于端口的VLAN。在基于端口的VLAN中桥接第2层流量,如果启用了第2层模式,则将第2层广播发送到VLAN的所有成员。将未标记的网络接口添加为新VLAN的成员时,它将从其当前VLAN中移除。

• 默认VLAN。默认情况下,Citrix ADC上的网络接口作为未标记的网络接口包含在单个基于端口的VLAN中。此VLAN是默认的VLAN。它有一个VLAN ID (VID)为1。此VLAN永久存在。不能将其删除,也不能更改其视频。

  将网络接口作为未标记成员添加到其他VLAN时,网络接口将自动从默认VLAN中删除。如果从当前基于端口的VLAN中取消绑定网络接口,则会再次将其添加到默认VLAN中。

• 标记的VLAN。802.1问标记(在IEEE 802.1 q标准中定义)允许网络设备(如Citrix ADC)向第2层的帧添加信息,以识别该帧的VLAN成员身份。标记允许网络环境拥有跨多个设备的VLAN。接收数据包的设备读取标签并识别帧所属的VLAN。某些网络设备不支持在同一网络接口(尤其是Force10交换机)上接收标记和未标记的数据包。在这种情况下，您需要联系客户支持以获得帮助。

  网络接口可以是VLAN的标记或未标记成员。每个网络接口只是一个VLAN(其原生VLAN)的未标记成员。此网络接口将本机VLAN的帧作为未标记的帧传输。如果标记了其他VLAN,则网络接口可以是多个VLAN的一部分。

  配置标记时,请确保与链接两端的VLAN配置匹配。Citrix ADC连接的端口必须与 Citrix ADC 网络接口位于同一 VLAN 上。

  注意：此VLAN配置既不同步也不传播,因此您必须在HA对中的每个单元上独立执行配置。

应用规则对帧进行分类

VLAN有两种类型的帧分类规则:

• 进入规则。入口规则将每个帧分类为仅属于单个VLAN。当网络接口上接收帧时，将应用以下规则对帧进行分类：

  • 如果帧未标记,或者标记值等于0,则帧的视频将设置为接收接口的端口VID (PVID),该端口被分类为属于本机VLAN。(PVID在IEEE 802.1 q标准中定义)。
  • 如果帧的标签值等于FFF,则该帧将被删除。
  • 如果帧的VID指定了接收网络接口不是其成员的VLAN,则该帧将被删除。例如,如果数据包从与VLAN ID 12关联的子网发送到与VLAN ID 10关联的子网,则数据包将被删除。如果将带有VID 9的未标记数据包从与VLAN ID 10关联的子网发送到网络接口PDID 9,则该数据包将被删除。

• 导出规则。应用以下导出规则：

  • 如果帧的VLAN指定了传输网络接口不是其成员的VLAN,则丢弃该帧。
  • 在学习过程中(由IEEE 802.1 q标准定义),Src MAC和VID用于更新Citrix ADC的桥接查找表。
  • 如果帧的VLAN指定了一个没有任何成员的VLAN,则该帧将被丢弃。(您可以通过将网络接口绑定到VLAN来定义成员)。

Citrix ADC上的VLAN和数据包转发

Citrix ADC设备上的转发过程与任何标准交换机上的转发过程相似。但是,Citrix ADC仅在第2层模式打开时执行转发。转发过程的主要特点是：

• 强制执行拓扑限制。强制执行涉及在VLAN中选择每个网络接口作为传输端口(取决于网络接口的状态),桥接限制(不转发接收网络接口)和MTU限制。
• 将根据Citrix ADC的转发数据库(身上)表中的桥接表查找中的信息筛选帧。网桥表查找基于目标MAC和视频。发往Citrix ADC MAC地址的数据包将在上层处理。
• 所有广播和多播帧都被转发到作为VLAN成员的每个网络接口,但只有在启用L2模式时才会发生转发。如果禁用L2模式,则会丢弃广播和多播数据包。对于当前不在桥接表中的MAC地址也是如此。
• VLAN条目具有成员网络接口的列表,这些接口是其未标记成员集的一部分。将帧转发到这些网络接口时，不会在框架中插入标签。
• 如果网络接口是此VLAN的标记成员,则该标记将在转发帧时插入到帧中。

当用户在没有识别VLAN的情况下发送任何广播或多播数据包时,即在路由的下一个跃点的NSIP地址检测(爸爸)或ND6的重复地址检测(爸爸)期间,数据包将在所有网络接口上发送,并根据“入口”和“导”出规则进行适当的标记。ND6通常标识VLAN,并且仅在此VLAN上发送数据包。基于端口的VLAN是IPv4和IPv6通用的。对于IPv6, Citrix ADC支持基于前缀的VLAN。