Citrix ADC

Grundlegendes zu VLANs

Eine Citrix ADC Appliance unterstützt Layer 2-Port und IEEE 802.1q getaggte VLANs. VLAN-Konfigurationen sind nützlich, wenn Sie den Verkehr auf bestimmte Gruppen von Stationen beschränken müssen. Sie können eine Netzwerkschnittstelle als Teil mehrerer VLANs konfigurieren, indem Sie IEEE 802.1q-Tagging verwenden.

Sie können VLANs konfigurieren und an IP-Subnetze binden. Das Citrix ADC führt dann die IP-Weiterleitung zwischen diesen VLANs durch (wenn es als Standardrouter für die Hosts in diesen Subnetzen konfiguriert ist).

Citrix ADC unterstützt die folgenden VLAN-Typen:

  • Port-basierte VLANs. Die Mitgliedschaft in einem portbasierten VLAN wird durch eine Reihe von Netzwerkschnittstellen definiert, die eine gemeinsame, exklusive Layer-2-Broadcastdomäne verwenden. Sie können mehrere portbasierte VLANs konfigurieren. Standardmäßig sind alle Netzwerkschnittstellen auf dem Citrix ADC Mitglieder von VLAN 1.

    Wenn Sie 802.1q-Tagging auf den Port anwenden, gehört die Netzwerkschnittstelle zu einem portbasierten VLAN. Layer-2-Datenverkehr wird in einem portbasierten VLAN überbrückt, und Layer-2-Übertragungen werden an alle Mitglieder des VLAN gesendet, wenn der Layer-2-Modus aktiviert ist. Wenn Sie eine nicht markierte Netzwerkschnittstelle als Mitglied eines neuen VLAN hinzufügen, wird sie aus dem aktuellen VLAN entfernt.

  • Standard-VLAN. Standardmäßig sind die Netzwerkschnittstellen des Citrix ADC in einem einzigen, portbasierten VLAN als nicht getaggte Netzwerkschnittstellen enthalten. Dieses VLAN ist das Standard-VLAN. Es hat eine VLAN-ID (VID) von 1. Dieses VLAN ist dauerhaft vorhanden. Es kann nicht gelöscht werden und seine VID kann nicht geändert werden.

    Wenn Sie eine Netzwerkschnittstelle zu einem anderen VLAN als Mitglied ohne Tags hinzufügen, wird die Netzwerkschnittstelle automatisch aus dem Standard-VLAN entfernt. Wenn Sie die Bindung einer Netzwerkschnittstelle von ihrem aktuellen portbasierten VLAN aufheben, wird sie erneut dem Standard-VLAN hinzugefügt.

  • Mit VLANs gekennzeichnet. 802.1q-Tagging (definiert im IEEE 802.1q-Standard) ermöglicht es einem Netzwerkgerät (z. B. dem Citrix ADC), einem Frame auf Layer 2 Informationen hinzuzufügen, um die VLAN-Mitgliedschaft des Frames zu identifizieren. Tagging ermöglicht Netzwerkumgebungen VLANs, die sich über mehrere Geräte erstrecken. Ein Gerät, das das Paket empfängt, liest das Tag und erkennt das VLAN, zu dem der Frame gehört. Einige Netzwerkgeräte unterstützen den Empfang von markierten und nicht markierten Paketen auf derselben Netzwerkschnittstelle nicht, insbesondere Force10-Switches. In solchen Fällen müssen Sie sich an den Kundendienst wenden, um Hilfe zu erhalten.

    Die Netzwerkschnittstelle kann ein markierter oder nicht markierter Member eines VLAN sein. Jede Netzwerkschnittstelle ist nur ein nicht getaggtes Mitglied eines VLAN (natives VLAN). Diese Netzwerkschnittstelle überträgt die Frames für das native VLAN als nicht markierte Frames. Eine Netzwerkschnittstelle kann Teil von mehr als einem VLAN sein, wenn die anderen VLANs getaggt sind.

    Achten Sie beim Konfigurieren der Tagging darauf, dass Sie mit der Konfiguration des VLAN an beiden Enden der Verbindung übereinstimmen. Der Port, zu dem der Citrix ADC eine Verbindung herstellt, muss sich im gleichen VLAN wie die Citrix ADC-Netzwerkschnittstelle befinden.

    Hinweis: Diese VLAN-Konfiguration ist weder synchronisiert noch weitergegeben, daher müssen Sie die Konfiguration für jede Einheit in einem HA-Paar unabhängig durchführen.

Regeln zum Klassifizieren von Frames anwenden

VLANs haben zwei Arten von Regeln zum Klassifizieren von Frames:

  • Eindringen Regeln. Ingress-Regeln klassifizieren jeden Frame als nur zu einem einzelnen VLAN. Wenn ein Frame auf einer Netzwerkschnittstelle empfangen wird, werden die folgenden Regeln angewendet, um den Frame zu klassifizieren:

    • Wenn der Frame nicht markiert ist oder einen Tag-Wert gleich 0 hat, wird die VID des Frames auf den Port VID (PVID) der empfangenden Schnittstelle gesetzt, der als gehörend zum nativen VLAN klassifiziert wird. (PVIDs sind im IEEE 802.1q-Standard definiert.)
    • Wenn Frame einen Tag-Wert gleich FFF aufweist, wird der Frame gelöscht.
    • Wenn die VID des Frames ein VLAN angibt, dessen empfangende Netzwerkschnittstelle kein Mitglied ist, wird der Frame gelöscht. Wenn beispielsweise ein Paket aus einem Subnetz mit VLAN-ID 12 an ein Subnetz gesendet wird, das mit VLAN-ID 10 verknüpft ist, wird das Paket gelöscht. Wenn ein nicht getaggtes Paket mit VID 9 aus dem Subnetz mit VLAN-ID 10 an eine Netzwerkschnittstelle PVID 9 gesendet wird, wird das Paket gelöscht.
  • Ausreiher Regeln. Es gelten folgende Regeln für den Ausstieg:

    • Wenn die VID des Frames ein VLAN angibt, dessen Übertragungsnetzwerkschnittstelle kein Mitglied ist, wird der Frame verworfen.
    • Während des Lernprozesses (definiert durch den IEEE 802.1q-Standard) werden Src MAC und VID verwendet, um die Bridge-Nachschlagetabelle des Citrix ADC zu aktualisieren.
    • Ein Frame wird verworfen, wenn seine VID ein VLAN angibt, das keine Mitglieder hat. (Sie definieren Elemente, indem Sie Netzwerkschnittstellen an ein VLAN binden.)

VLANs und Paketweiterleitung auf dem Citrix ADC

Der Weiterleitungsprozess auf der Citrix ADC Appliance ist ähnlich wie bei jedem Standard-Switch. Citrix ADC führt die Weiterleitung jedoch nur dann durch, wenn der Layer-2-Modus aktiviert ist. Die wichtigsten Merkmale des Weiterleitungsprozesses sind:

  • Topologieeinschränkungen werden erzwungen. Die Erzwingung umfasst die Auswahl jeder Netzwerkschnittstelle im VLAN als Übertragungsport (abhängig vom Zustand der Netzwerkschnittstelle), Überbrückungsbeschränkungen (nicht auf der empfangenden Netzwerkschnittstelle weiterleiten) und MTU-Einschränkungen.
  • Frames werden anhand von Informationen in der Bridge-Tabellensuche in der Forwarding Database (FDB) -Tabelle des Citrix ADC gefiltert. Die Bridge-Tabellensuche basiert auf dem Ziel-MAC und der VID. Pakete, die an die MAC-Adresse des Citrix ADC adressiert werden, werden auf den oberen Schichten verarbeitet.
  • Alle Broadcast- und Multicast-Frames werden an jede Netzwerkschnittstelle weitergeleitet, die Mitglied des VLAN ist. Weiterleitung erfolgt jedoch nur, wenn der L2-Modus aktiviert ist. Wenn der L2-Modus deaktiviert ist, werden die Broadcast- und Multicastpakete gelöscht. Dies gilt auch für MAC-Adressen, die sich derzeit nicht in der Bridging-Tabelle befinden.
  • Ein VLAN-Eintrag enthält eine Liste von Netzwerkschnittstellen, die Teil seiner nicht markierten Elementgruppe sind. Beim Weiterleiten von Frames an diese Netzwerkschnittstellen wird kein Tag in den Frame eingefügt.
  • Wenn die Netzwerkschnittstelle ein markierter Member dieses VLAN ist, wird das Tag beim Weiterleiten des Frames in den Frame eingefügt.

Wenn ein Benutzer Broadcast- oder Multicastpakete sendet, ohne dass das VLAN identifiziert wird, d. h. bei der Erkennung von doppelten Adressen (DAD) für NSIP oder ND6 für den nächsten Hop der Route, wird das Paket auf allen Netzwerkschnittstellen gesendet, wobei entsprechende Tagging entweder auf den Ingress und Egress Regeln basieren. ND6 identifiziert normalerweise ein VLAN, und ein Datenpaket wird nur in diesem VLAN gesendet. Port-basierte VLANs sind für IPv4 und IPv6 üblich. Für IPv6 unterstützt Citrix ADC Präfix-basierte VLANs.

Grundlegendes zu VLANs