Citrix ADC Appliance-Netzwerk- und VLAN-Best Practices

Eine Citrix ADC Appliance ermittelt anhand von VLANs, welche Schnittstelle für welchen Datenverkehr verwendet werden muss. Darüber hinaus ist die Citrix ADC Appliance nicht am Spanning Tree beteiligt. Ohne die richtige VLAN-Konfiguration kann die Citrix ADC Appliance nicht bestimmen, welche Schnittstelle verwendet werden soll, und sie kann eher wie ein HUB als ein Switch oder ein Router funktionieren. Mit anderen Worten, die Citrix ADC Appliance kann für jede Konversation alle Schnittstellen verwenden.

Symptome einer VLAN-Fehlkonfiguration

VLAN-Fehlkonfigurationsproblem kann sich in vielen Formen manifestieren, darunter Leistungsprobleme, Unfähigkeit, Verbindungen herzustellen, zufällig getrennte Sitzungen und in schweren Situationen Netzwerkunterbrechungen scheinbar nicht mit der Citrix ADC Appliance selbst zu tun. Die Citrix ADC Appliance kann außerdem berichten, dass MAC-Verschiebungen, stummgeschaltete Schnittstellen und/oder Management-Schnittstelle Pufferüberläufe übertragen oder empfangen, abhängig von der genauen Art der Interaktion mit Ihrem Netzwerk.

MAC Moves (Zähler nic_tot_bdg_mac_moved): Dieses Problem weist darauf hin, dass die Citrix ADC Appliance mehr als eine Schnittstelle für die Kommunikation mit demselben Gerät (MAC-Adresse) verwendet, da sie nicht richtig bestimmen konnte, welche Schnittstelle verwendet werden soll.

Stummgeschaltete Schnittstellen (Zähler nic_err_bdg_muted): Dieses Problem weist darauf hin, dass die Citrix ADC Appliance erkannt hat, dass sie aufgrund von VLAN-Konfigurationsproblemen eine Routingschleife erstellt und daher eine oder mehrere der störenden Schnittstellen heruntergefahren hat, um ein Netzwerk zu verhindern Ausfall.

Schnittstellenpufferüberläufe, die sich normalerweise auf Verwaltungsschnittstellen beziehen (counter nic_err_tx_overflow ): Dieses Problem kann verursacht werden, wenn zu viel Datenverkehr über eine Management-Schnittstelle übertragen wird. Verwaltungsschnittstellen der Citrix ADC Appliance sind nicht für die Verarbeitung großer Datenmengen ausgelegt. Dies kann dazu führen, dass Netzwerk- und VLAN-Fehlkonfigurationen auftreten, die die Citrix ADC-Appliance dazu führen, eine Verwaltungsschnittstelle für den Datenverkehr in der Produktion zu verwenden. Dies tritt häufig auf, weil die Citrix ADC Appliance keine Möglichkeit hat, den Datenverkehr im VLAN/Subnetz des NSIP (NSVLAN) vom regulären Produktionsverkehr zu unterscheiden. Es wird dringend empfohlen, dass sich das NSIP in einem separaten VLAN und Subnetz von allen Produktionsgeräten wie Workstations und Servern befindet.

Orphan ACK (Leistungsindikator tcp_err_orphan_ack): Dieses Problem weist darauf hin, dass die Citrix ADC Appliance ein ACK-Paket empfangen hat, das sie nicht erwartet hat, normalerweise auf einer anderen Schnittstelle als der ACK-Datenverkehr. Diese Situation kann durch VLAN-Fehlkonfigurationen verursacht werden, bei denen die Citrix ADC Appliance auf einer anderen Schnittstelle überträgt, als das Zielgerät normalerweise für die Kommunikation mit der Citrix ADC-Appliance verwenden würde (häufig in Verbindung mit MAC-Verschiebungen).

Hohe Übertragungsraten oder Wiederübertragungsraten (Zähler: tcp_err_retransmit_giveups, tcp_err_7th_retransmit, verschiedene andere Wiederübertragungszähler): Die Citrix ADC Appliance versucht, ein TCP-Paket insgesamt 7 Mal neu zu übertragen, bevor sie aufgibt und die Verbindung beendet. Obwohl diese Situation durch Netzwerkbedingungen verursacht werden kann, tritt sie häufig als Folge von VLAN- und Schnittstellen-Fehlkonfiguration auf.

Hochverfügbarkeit Split Brain: Split Brain ist eine Bedingung, bei der beide Hochverfügbarkeitsknoten glauben, dass sie primär sind, was zu doppelten IP-Adressen und zum Verlust der Citrix ADC Appliance-Funktionalität führt. Dies wird verursacht, wenn die beiden Hochverfügbarkeitsknoten nicht miteinander über Hochverfügbarkeits-Heartbeats auf UDP-Port 3003 über das NSIP über eine beliebige Schnittstelle miteinander kommunizieren können. Dies wird in der Regel durch VLAN-Fehlkonfigurationen verursacht, bei denen das native VLAN auf den Citrix ADC Appliance-Schnittstellen keine Konnektivität zwischen Citrix ADC-Appliances aufweist.

Best Practices für VLAN- und Netzwerkkonfigurationen

  1. Jedes Subnetz muss einem VLAN zugeordnet sein.

  2. Mehrere Subnetze können demselben VLAN zugeordnet werden (abhängig vom Netzwerkdesign).

  3. Jedes VLAN sollte nur einer Schnittstelle zugeordnet sein (für die Zwecke dieser Diskussion zählt ein LA-Kanal als eine einzige Schnittstelle).

  4. Wenn mehr als ein Subnetz einer Schnittstelle zugeordnet werden muss, müssen die Subnetze mit Tags versehen sein.

  5. Entgegen der landläufigen Meinung ist die Funktion Mac-Based-Forwarding (MBF) der Citrix ADC Appliance nicht dazu ausgelegt, diese Art von Problem zu verringern. MBF wurde in erster Linie für den DSR-Modus (Direct Server Return) der Citrix ADC Appliance entwickelt, der in den meisten Umgebungen selten verwendet wird (es ist so konzipiert, dass Datenverkehr die Citrix ADC-Appliance auf dem Rückgabepfad von den Back-End-Servern absichtlich umgehen kann). MBF kann VLAN-Probleme in einigen Fällen verbergen, aber es sollte nicht verlassen werden, um diese Art von Problem zu lösen.

  6. Jede Schnittstelle der Citrix ADC Appliance erfordert ein natives VLAN (im Gegensatz zu Cisco, wo native VLANs optional sind), obwohl die TagAll-Einstellung auf einer Schnittstelle verwendet werden kann, sodass kein nicht markierter Datenverkehr die betreffende Schnittstelle verlässt.

  7. Das native VLAN kann bei Bedarf für Ihr Netzwerkdesign getaggt werden (dies ist die TagAll-Option für die Schnittstelle).

  8. Das VLAN für das Subnetz des NSIP Ihrer Citrix ADC Appliance ist ein Sonderfall. Dies wird NSVLAN genannt. Die Konzepte sind identisch, aber die Befehle zur Konfiguration sind unterschiedlich, und Änderungen am NSVLAN erfordern einen Neustart der Citrix ADC Appliance. Wenn Sie versuchen, ein VLAN an ein SNIP zu binden, das dasselbe Subnetz wie das NSIP teilt, erhalten Sie Operation not permitted. Dies liegt daran, dass Sie stattdessen die NSVLAN-Befehle verwenden müssen. Außerdem können Sie bei einigen Firmware-Versionen kein NSVLAN festlegen, wenn diese VLAN-Nummer mit demadd VLAN Befehl vorhanden ist. Entfernen Sie einfach das VLAN und stellen Sie dann das NSVLAN wieder ein.

  9. Heartbeats mit hoher Verfügbarkeit verwenden immer das native VLAN der jeweiligen Schnittstelle (optional markiert, wenn die Option TagAll auf der Schnittstelle gesetzt ist).

  10. Es muss eine Kommunikation zwischen mindestens einem Satz nativer VLANs auf den beiden Knoten eines Hochverfügbarkeitspaares erfolgen (dies kann direkt oder über einen Router erfolgen). Die nativen VLANs werden für Hochverfügbarkeits-Heartbeats verwendet. Wenn die Citrix ADC Appliances nicht zwischen nativen VLANs auf einer Schnittstelle kommunizieren können, führt dies zu Hochverfügbarkeits-Failovers und möglicherweise zu einer Split-Hirn-Situation, in der beide Citrix ADC Appliances für primär halten (was unter anderem zu doppelten IP-Adressen führt).

  11. Die Citrix ADC Appliance ist nicht am Spanning Tree beteiligt. Daher ist es nicht möglich, Spanning Tree zu verwenden, um Schnittstellenredundanz bei Verwendung einer Citrix ADC Appliance bereitzustellen. Verwenden Sie stattdessen eine Form der Link-Aggregation (LACP oder manuelle LAG) für diesen Zweck.

    Hinweis: Wenn Sie eine Link-Aggregation zwischen mehreren physischen Switches wünschen, müssen Sie die Switches als virtueller Switch konfiguriert haben, indem Sie eine Funktion wie den Switch-Stack von Cisco verwenden.

  12. Die Synchronisation mit hoher Verfügbarkeit und Befehl Propagation verwenden standardmäßig das NSIP/NSVLAN. Um diese in ein anderes VLAN zu trennen, können Sie die SyncVLAN-Option des Befehls set HA node verwenden.

  13. In der Standardkonfiguration der Citrix ADC Appliance ist nichts integriert, was darauf hinweist, dass eine Verwaltungsschnittstelle (0/1 oder 0/2) nur auf Verwaltungsdatenverkehr beschränkt ist. Diese Einschränkung muss vom Endbenutzer über die VLAN-Konfiguration erzwungen werden. Die Verwaltungsschnittstellen sind nicht für den Datenverkehr ausgelegt, daher muss Ihr Netzwerkdesign diesen Punkt berücksichtigen. Management-Schnittstellen, die auf dem Motherboard der Citrix ADC Appliance enthalten sind, fehlen verschiedene Abladungsfunktionen wie CRC-Abladung, größere Paketpuffer und andere Optimierungen, wodurch sie bei der Handhabung großer Datenmengen wesentlich weniger effizient sind. Um Produktionsdaten und Verwaltungsdatenverkehr zu trennen, darf sich der NSIP nicht auf demselben Subnetz/VLAN befinden wie Ihr Datenverkehr.

  14. Wenn Sie eine Verwaltungsschnittstelle verwenden möchten, um den Verwaltungsdatenverkehr zu übertragen, empfiehlt es sich, dass sich die Standardroute in einem anderen Subnetz als dem Subnetz des NSIP (NSVLAN) befindet.

    In vielen Konfigurationen wird die Standardroute für die Arbeitsplatzkommunikation (in einem Internet-Szenario) verwendet. Wenn sich die Standardroute im selben Subnetz wie das NSIP befindet, kann die ADC-Appliance die Verwaltungsschnittstelle zum Senden und Empfangen von Datenverkehr verwenden. Diese Verwendung von Datenverkehr kann die Management-Schnittstelle überlasten.

  15. Außerdem müssen ein SDX die SVM, XenServer und alle Citrix ADC Instanz-NSIPs im gleichen VLAN und Subnetz sein. Es gibt keine Rückwandplatine in der SDX-Appliance, die die Kommunikation zwischen SVM/XEN/Instanzen ermöglicht. Wenn sie sich nicht auf demselben VLAN/Subnet/Interface befinden, muss der Datenverkehr zwischen ihnen die physische Hardware verlassen, im Netzwerk weitergeleitet werden und zurückkehren.

    Diese Konfiguration kann zu offensichtlichen Verbindungsproblemen zwischen den Instanzen und SVM führen und wird daher nicht empfohlen. Ein häufiges Symptom dafür ist ein Indikator für den gelben Instanzstatus in der SVM für die betreffende VPX-Instanz und die Unfähigkeit, die SVM zur Neukonfiguration einer VPX-Instanz zu verwenden.

  16. Wenn einige VLANs an Subnetze gebunden sind und andere nicht, werden GARP-Pakete während eines Hochverfügbarkeits-Failovers für IP-Adressen in keinem der Subnetze gesendet, die nicht an ein VLAN gebunden sind. Diese Konfiguration kann bei Hochverfügbarkeits-Failovers zu Verbindungsproblemen und Verbindungsproblemen führen. Dieses Problem wird dadurch verursacht, dass die Citrix ADC Appliance die Netzwerk-MAC-Besitzer-IP-Adressen auf Nicht-VMAC-konfigurierten Citrix ADC-Appliances nicht benachrichtigen kann.

    Die Symptome hierfür sind, dass der Leistungsindikator ip_tot_floating_ip_err nach einem Hochverfügbarkeits-Failover länger als einige Sekunden auf der früheren primären Citrix ADC Appliance inkrementiert wird, was darauf hinweist, dass das Netzwerk keine GARP-Pakete empfangen oder verarbeitet hat und das Netzwerk weiterhin Daten an die neue sekundäre Citrix ADC Appliance.

Citrix ADC Appliance-Netzwerk- und VLAN-Best Practices