Gi-LAN-Integration
In der Regel wird eine Citrix ADC Appliance als separater L3-Inline-Knoten in das Gi-LAN eingefügt, ähnlich einem L3-Router.
Abbildung: Eine einfache Darstellung eines Gi-LAN
Verbindungen
Eine physische Citrix ADC-Konnektivität zu Upstream-Switches wird empfohlen, um eine ausreichende Redundanz zu gewährleisten. Angenommen, eine Citrix ADC Appliance ist in ein Gi-LAN eingefügt, das insgesamt 24 Gbit/s (Uplink+Downlink) verarbeitet, wird eine Konnektivität mit 4x10GbE oder mehr Schnittstellen empfohlen. Dies sorgt effektiv für eine N+1-Redundanz bei einem Verbindungsausfall.
Die entsprechenden Ports auf dem Upstream-Switch sollten für die LACP-Port-Aggregation konfiguriert werden. Die entsprechende Konfiguration auf Citrix ADC ist unten beschrieben:
Konnektivität Konfiguration:
set interface 10/1 –tagall ON –lacpMode ACTIVE –lacpKey 1
set interface 10/2 –tagall ON –lacpMode ACTIVE –lacpKey 1
set interface 10/3 –tagall ON –lacpMode ACTIVE –lacpKey 1
set interface 10/4 –tagall ON –lacpMode ACTIVE –lacpKey 1
<!--NeedCopy-->
Sie können die entsprechenden Funktionen von LACP mit dem Befehl “show interface” überprüfen:
Schnittstelle zeigen:
sh interface LA/1
1) Interface LA/1 (802.3ad Link Aggregate) #39
flags=0x4100c020 <ENABLED, UP, AGGREGATE, UP, HAMON, 802.1q>
MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s
Requested: media NONE, speed AUTO, duplex NONE, fctl NONE,
throughput 0
Actual: throughput 4000
LLDP Mode: NONE,
RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) Stalls(0)
TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) Stalls(0)
NIC: InDisc(0) OutDisc(0) Fctls(0) Stalls(0) Hangs(0) Muted(0)
Bandwidth thresholds are not set.
Disable the remaining unused interfaces and turn off the monitor.
set interface 10/5 –haMonitor OFF
<!--NeedCopy-->
Befehl:
set interface 10/24 –haMonitor OFF
disable interface 10/5
disable interface 10/24
<!--NeedCopy-->
Die Konfiguration physischer Schnittstellen wird nicht von den beiden Citrix ADC-Einheiten gemeinsam genutzt. Daher müssen die obigen Befehle im Falle einer HA-Paarbereitstellung auf beiden Citrix ADC-Knoten ausgeführt werden.
HA-Konfiguration
Alle anderen Konfigurationsparameter werden von den Citrix ADC Knoten eines HA-Paars gemeinsam genutzt. Daher sollte die HA-Synchronisierung vor der Ausführung anderer Konfigurationsbefehle aktiviert werden. Die grundlegende HA-Konfiguration umfasst die folgenden Schritte:
1. Verwendung der exakt gleichen Citrix ADC Hardware, Software und Lizenz: HA-Paare werden nicht zwischen verschiedenen Modellen (z. B. einem T1100 und einem MPX21550) oder denselben Modellen mit unterschiedlichen Firmware-Levels unterstützt. Lesen Sie die entsprechenden Anweisungen zum Upgrade eines vorhandenen HA-Paares - Upgrade auf Release 11.1.
2. Gründung des HA-Paars.
Beispiel:
netscaler-1> add HA node 1 <netscaler-2-NSIP>
netscaler-2> add HA node 1 <netscaler-1-NSIP>
<!--NeedCopy-->
3. Überprüfen Sie, ob die HA-Paar-Einrichtung den folgenden Befehl in beiden Knoten ausführt. Beide Knoten sollten sichtbar sein, einer von ihnen als Primär (aktiv), der andere als sekundärer (Standby).
Beispiel:
show HA node
<!--NeedCopy-->
4. Aktivieren Sie den ausfallsicheren Modus und MaxFlips. Dadurch wird sichergestellt, dass bei einem Ausfall des Routenmonitors auf beiden Knoten mindestens ein Knoten aktiv bleibt, ohne dass der Aktiv-/Standby-Status ständig wechselt.
Beispiel:
set HA node –failsafe ON
set HA node -maxFlips 3 -maxFlipTime 1200
<!--NeedCopy-->
5. Aktivieren Sie abschließend die HA-Synchronisierung über die dedizierten Intra-Citrix ADC-Ports und nicht über das OAM-Netzwerk.
Beispiel:
add vlan 4080 -aliasName syncVlan
set HA node -syncvlan 4080
<!--NeedCopy-->
Hinweis
Das VLAN 4080 in den Befehlen im obigen Beispiel sollte nicht wörtlich genommen werden. Jede nicht verwendete VLAN-ID kann reserviert sein.
VLAN-Konfiguration
Nachdem die physikalischen Schnittstellen entsprechend konfiguriert wurden, können Sie die entsprechenden Gi-LAN-VLANs konfigurieren. Stellen Sie sich zum Beispiel eine ziemlich einfache Gi-LAN-Umgebung mit einem Ingress/Egress-VLAN-Paar mit 100/101-VLAN-Kennung vor.
Mit den folgenden Befehlen werden die entsprechenden VLANs über dem im vorherigen Schritt erstellten LACP-Kanal konfiguriert.
add vlan 100
add vlan 101
bind vlan 100 –ifnum LA/1 –tagged
bind vlan 101 –ifnum LA/1 –tagged
<!--NeedCopy-->
IPv4-Konfiguration
In der Regel benötigt eine Citrix ADC Appliance ein SNIP pro VLAN. Im folgenden Beispiel wird davon ausgegangen, dass die Netzwerke, die im Gi-LAN-Integrationsdiagramm am Anfang dieser Seite beschrieben sind, eine /24-Subnetzmaske haben:
add ns ip 192.168.1.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
add ns ip 192.168.2.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
<!--NeedCopy-->
Nachdem die SNIPs konfiguriert wurden, sollten sie mit dem entsprechenden VLAN verknüpft werden:
bind vlan 100 –IPAddress 192.168.1.254 255.255.255.0
bind vlan 101 –IPAddress 192.168.2.254 255.255.255.0
<!--NeedCopy-->
Statisches IPv4-Routing
Das im Abschnitt Management Network beschriebene Beispiel erfordert nur ein paar statische Routing-Regeln:
- Eine statische Route 10.0.0.0/8 zu den Clients über den Eingangs-Router
- Eine Standardroute zum Internet über den Egress-Router
Beispiel:
add route 0.0.0.0 0.0.0.0 192.168.2.1
add route 10.0.0.0 255.0.0.0 192.168.1.1
<!--NeedCopy-->
IPv4-richtlinienbasiertes (VLAN - VLAN) -Routing
Eine Citrix ADC Appliance ermöglicht richtlinienbasiertes Routing anstelle von statischem Routing, wobei Routing-Entscheidungen normalerweise eher mit der eingehenden Schnittstelle und/oder dem VLAN als mit der Ziel-IP vergeben werden. Richtlinienbasiertes Routing ist entweder eine bequeme Alternative, falls der IP-Adressbereich der Clientquelle regelmäßigen Änderungen unterliegt, oder eine zwingende Überlegung, falls die Ziel-IP-Adresse eines Pakets allein nicht ausreicht, um eine Routingentscheidung zu treffen (d. h. bei sich überlappenden Client-IP-Adressen über mehrere VLANs hinweg).
Beispiel:
add ns pbr fromWirelessToInternet ALLOW –nextHop 192.168.2.1 –vlan 100 –priority 10
Done
add ns pbr fromInternetToWireless ALLOW –nextHop 192.168.1.1 –vlan 200 –priority 20
Done
apply ns pbrs
<!--NeedCopy-->
IPv6-Konfiguration
Die folgenden Befehle weisen IPv6 SNIP pro VLAN zu. Im folgenden Beispiel wird davon ausgegangen, dass die in der Abbildung skizzierten Netzwerke: Eine einfache Darstellung eines Gi-LAN auf dieser Seite eine /64-Subnetzmaske haben:
Befehl:
add ns ip6 fd00:192:168:1::254/64 -vServer DISABLED –mgmtAccess DISABLED
add ns ip6 fd00:192:168:2::254/64 -vServer DISABLED –mgmtAccess DISABLED
bind vlan 100 -IPAddress fd00:192:168:1::254/64
bind vlan 200 -IPAddress fd00:192:168:2::254/64
<!--NeedCopy-->
IPv6-Routing
Nachdem die IPv6-Adressierung abgeschlossen ist, kann das statische IPv6-Routing konfiguriert werden:
- Eine fd 00:10: :/64 statische Route zu den Clients über den Ingress-Router
- Eine Standardroute zum Internet über den Egress-Router
Beispiel:
add route6 fd00:10::/64 fd00:192:168:1::1
add route6 ::/0 fd00:192:168:2::1
<!--NeedCopy-->
Oder mit richtlinienbasiertem Routing:
Beispiel:
add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd00:192:168:2::1
add ns pbr6 fromInternetToWirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd00:192:168:1::1
apply ns pbr6
<!--NeedCopy-->
LACP-Redundanz und Failover
Im Falle einer HA-Konfiguration wird empfohlen, die Durchsatzoption zu nutzen, um einen niedrigen Schwellenwert für den LACP-Kanal zu konfigurieren. Stellen Sie sich beispielsweise ein 25-Gbit/s-Gi-LAN und einen 4x10GbE-Kanal zwischen jeder Citrix ADC Appliance im HA-Paar und dem Upstream-Switch vor, um eine N+1-Link-Redundanz bereitzustellen:
Beispiel:
set interface LA/1 –haMonitor ON –throughput 29000
<!--NeedCopy-->
Im Falle eines Double-Link-Ausfalls zwischen dem primären Gerät und dem Upstream-Switch würde der maximal unterstützte Gi-LAN-Durchsatz auf 20 Gbit/s sinken. Ein niedriger Schwellenwert von 29 Gbit/s gemäß dem obigen Beispiel würde zu einem Redundanz-Switchover-Ereignis zum sekundären Gerät führen (das keine ähnlichen Verbindungsausfälle erlitten hat), sodass der Gi-LAN-Verkehr nicht beeinträchtigt wird.
Routen-Monitore
Zusätzlich zur LACP-Redundanz können Routenüberwachungsprüfungen konfiguriert und mit der HA-Paar-Konfiguration verknüpft werden. Routenüberwachungsprüfungen können nützlich sein, um Fehler zwischen der Citrix ADC Appliance und den Next-Hop-Routern zu erkennen, insbesondere wenn diese Router nicht direkt, sondern über einen Upstream-Switch verbunden sind.
Eine typische Konfiguration des HA-Routenmonitors gemäß dem Beispiel Gi-LAN in Abschnitt 2.5.1 ist nachstehend beschrieben:
add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp
add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp
bind HA node -routeMonitor 192.168.1.0 255.255.255.0
bind HA node -routeMonitor 192.168.2.0 255.255.255.0
<!--NeedCopy-->