Citrix ADC

VLAN-Konfiguration für Admin-Partitionen

VLANs können als “dediziertes” VLAN oder als “freigegebenes” VLAN an eine Partition gebunden werden. Basierend auf Ihrer Bereitstellung können Sie ein VLAN an eine Partition binden, um den Netzwerkverkehr von anderen Partitionen zu isolieren.

Dediziertes VLAN — Ein VLAN, das nur an eine Partition gebunden ist und die Option “Sharing” deaktiviert ist und ein getaggtes VLAN sein muss. Beispielsweise erstellt ein Systemadministrator in einer Client-Server-Bereitstellung aus Sicherheitsgründen für jede Partition auf der Serverseite ein dediziertes VLAN.

Gemeinsames VLAN — Ein VLAN, das mit aktivierter Option “Sharing” an mehrere Partitionen gebunden (gemeinsam genutzt) ist. Wenn der Systemadministrator beispielsweise in einer Client-Server-Bereitstellung keine Kontrolle über das clientseitige Netzwerk hat, wird ein VLAN erstellt und über mehrere Partitionen freigegeben.

Gemeinsames VLAN kann über mehrere Partitionen hinweg verwendet werden. Es wird in der Standardpartition erstellt und Sie können ein freigegebenes VLAN an mehrere Partitionen binden. Standardmäßig ist ein freigegebenes VLAN implizit an die Standardpartition gebunden und kann daher nicht explizit gebunden werden.

Hinweis:

Wenn eine Citrix ADC Virtual Appliance auf einer ESX-Plattform bereitgestellt wird, müssen Sie den Promiscuous-Modus für freigegebene VLANs mit Partition aktivieren. Andernfalls müssen Sie das VLAN mit den Portgroup Eigenschaften des virtuellen Switches aktivieren, wenn der Datenverkehr über ein dediziertes VLAN erfolgt.

In einer partitionierten (mandantenanten) Citrix ADC Appliance kann ein Systemadministrator den Datenverkehr isolieren, der zu einer bestimmten Partition oder Partitionen fließt. Dies kann durch Binden eines oder mehrerer VLANs an jede Partition erfolgen. Ein VLAN kann für eine Partition oder für mehrere Partitionen freigegeben werden.

Dedizierte VLANs

Um den Datenverkehr zu isolieren, der in eine Partition fließt, erstellen Sie ein VLAN und ordnen es der Partition zu. Das VLAN ist dann nur für die zugeordnete Partition sichtbar, und der Datenverkehr, der durch das VLAN fließt, wird nur in der zugeordneten Partition klassifiziert und verarbeitet.

Dedizierte VLAN-Verwaltungspartition

Gehen Sie folgendermaßen vor, um ein dediziertes VLAN für eine bestimmte Partition zu implementieren.

  1. Fügen Sie ein VLAN (V1) hinzu.
  2. Binden Sie eine Netzwerkschnittstelle an VLAN als getaggte Netzwerkschnittstelle.
  3. Erstellen Sie eine Partition (P1).
  4. Binden Sie Partition (P1) an das dedizierte VLAN (V1).

Konfigurieren Sie Folgendes mit der CLI

  • Erstellen Sie ein VLAN

    add vlan <id>

Beispiel

    füge vlan 100 hinzu
  • Binden Sie ein VLAN

    bind vlan <id> -ifnum <interface> -tagged

Beispiel

    bind vlan 100 —ifnum 1/8 -tagged
  • Erstellen Sie eine Partition

    Add ns partition <partition name> [-maxBandwidth <positive_integer>][-maxConn <positive_integer>] [-maxMemLimit <positive_integer>]

Beispiel

    ns-Partition hinzufügen P1 —MaxBandWidth 200 —maxconn 50 —maxmemlimit 90

    Done
  • Binden einer Partition an ein VLAN

    bind partition <partition-id> -vlan <id>

Beispiel

    bindet Partition P1 — Vlan 100

Konfigurieren eines dedizierten VLAN mit der Citrix ADC GUI

  1. Navigieren Sie zu Konfiguration > System > Netzwerk > VLANs* und klicken Sie auf Hinzufügen, um ein VLAN zu erstellen.
  2. Legen Sie auf der Seite VLAN erstellen die folgenden Parameter fest:

    • VLAN-ID
    • Aliasname
    • Maximale Übertragungseinheit
    • Dynamisches Routing
    • Dynamisches IPv6-Routing
    • Partitionenfreigabe
  3. Wählen Sie im Abschnitt Schnittstellenbindungen eine oder mehrere Schnittstellen aus und binden Sie sie an das VLAN.
  4. Wählen Sie im Abschnitt IP-Bindings eine oder mehrere IP-Adressen aus und binden Sie an das VLAN.
  5. Klicken Sie auf OK und Fertig.

Gemeinsames VLAN

In einer freigegebenen VLAN-Konfiguration verfügt jede Partition über eine MAC-Adresse, und der im freigegebenen VLAN empfangene Datenverkehr wird nach MAC-Adresse klassifiziert. Es wird nur ein Layer3-VLAN empfohlen, da es den Subnetzdatenverkehr einschränken kann. Eine Partitions-MAC-Adresse ist nur für eine gemeinsam genutzte VLAN-Bereitstellung anwendbar und wichtig.

Hinweis:

Ab Citrix ADC Version 12.1 Build 51.16 unterstützt gemeinsam genutztes VLAN in einer partitionierten Appliance dynamisches Routingprotokoll.

Das folgende Diagramm zeigt, wie ein VLAN (VLAN 10) über zwei Partitionen gemeinsam genutzt wird.

Gemeinsam genutzte VLAN-Admin

Gehen Sie folgendermaßen vor, um eine freigegebene VLAN-Konfiguration bereitzustellen:

  1. Erstellen Sie ein VLAN mit der Freigabeoption ‘aktiviert’, oder aktivieren Sie die Freigabeoption in einem vorhandenen VLAN. Standardmäßig ist die Option deaktiviert.
  2. Binden Sie die Partitionsschnittstelle an gemeinsam genutztes VLAN.
  3. Erstellen Sie die Partitionen mit jeweils einer eigenen PartitionMac-Adresse.
  4. Binden Sie die Partitionen an das gemeinsam genutzte VLAN.

Konfigurieren eines gemeinsam genutzten VLANs mit der CLI

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein, um VLAN hinzuzufügen oder den Freigabe-Parameter eines vorhandenen VLANs festzulegen:

add vlan <id> [-sharing (ENABLED | DISABLED)]

set vlan <id> [-sharing (ENABLED | DISABLED)]

add vlan 100 –sharing ENABLED

set vlan 100 –sharing ENABLED

Binden einer Partition an ein freigegebenes VLAN mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

add ns partition P1 –maxBandwidth 200 –maxconn 50   –maxmemlimit 90 -partitionMAC<mac_addr

Done

Konfigurieren einer Partition MAC-Adresse mit der CLI

set ns partition <partition name> [-partitionMAC<mac_addr>]

set ns partition P1 –partitionMAC 22:33:44:55:66:77

Binden von Partitionen an ein freigegebenes VLAN mithilfe der CLI

bind partition <partition-id> -vlan <id>

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

bind partition P2 –vlan 100

bind partition P3 –vlan 100

bind partition P4 –vlan 100

Konfigurieren von freigegebenem VLAN mit der Citrix ADC GUI

  1. Navigieren Sie zu Konfiguration > System > Netzwerk > VLANs, wählen Sie ein VLAN-Profil aus, und klicken Sie auf Bearbeiten, um den Partitionsparameter festzulegen.

  2. Aktivieren Sie auf der Seite VLAN erstellen das Kontrollkästchen Partitionsfreigabe.

  3. Klicken Sie auf OK und dann auf Fertig.

Dynamisches Routing über ein gemeinsames VLAN über Admin-Partitionen

Admin-Partitionen in einer Citrix ADC Appliance bieten eine Möglichkeit, mehrere Mandanten zu hosten.

Ab Citrix ADC Version 12.1 Build 51.16 unterstützt ein gemeinsam genutztes VLAN in einer partitionierten Appliance das dynamische Routing-Protokoll. Routing kann in dedizierten oder gemeinsam genutzten VLANs konfiguriert werden, die mit Admin-Partitionen verknüpft sind.

Dediziertes VLAN einer Admin-Partition. In einem dedizierten VLAN wird der Datenpfad für den Mandanten mithilfe eines oder mehrerer VLANs identifiziert. Dies führt zu einer strengen Konfiguration und Datenpfad-Isolation für den Mandanten. Um den Zustand einer VIP-Adresse zu bewerben, ist dynamisches Routing in jeder Partition aktiviert und die Routing-Nachbarschaft wird pro Partition festgelegt.

Dynamisches Routing über ein dediziertes VLAN pro Partition

Ein gemeinsames VLAN für Admin-Partitionen. In einem freigegebenen VLAN können VIP-Adressen, die in einer nicht standardmäßigen Partition konfiguriert sind, über eine einzige Adjacency oder ein Peering in der Standardpartition angekündigt werden. Eine SNIP-Adresse in der nicht standardmäßigen Partition wird als Next-Hop für alle VIP-Adressen (konfiguriert mit der Option advertiseOnDefaultPartition) in dieser nicht standardmäßigen Partition verwendet. Die konfigurierte SNIP-Adresse wird in den Routing-Advertisements als Next-Hop-IP-Adresse gekennzeichnet.

Betrachten Sie ein Beispiel-Setup von Admin-Partitionen in einer Citrix ADC Appliance, VLAN 100 wird über die Standardpartition und nicht standardmäßige Partitionen freigegeben: AP-3 und AP-5. SNIP-Adressen SNIP1 wird in der Standardpartition hinzugefügt, SNIP3 wird in AP-3 hinzugefügt und SNIP5 wird in AP-5 hinzugefügt. SNIP1, SNIP3 und SNIP5 sind über den VLAN-100 erreichbar. VIP-Adressen VIP1 wird in der Standardpartition hinzugefügt, VIP3 wird in AP-3 hinzugefügt und VIP5 wird in AP-5 hinzugefügt. VIP3 und VIP5 werden über die einzelne Nachbarschaft oder das Peering in der Standardpartition beworben.

Dynamisches Routing über ein gemeinsames VLAN über Partitionen hinweg

Bevor Sie beginnen

Bevor Sie dynamisches Routing über ein freigegebenes VLAN in einer nicht standardmäßigen Admin-Partition konfigurieren, sollten Sie Folgendes sicherstellen:

  • Dynamisches Routing wird auf dem gemeinsam genutzten VLAN in der Standardpartition konfiguriert. Die Konfiguration des dynamischen Routings für das freigegebene VLAN in der Standardpartition umfasst die folgenden Schritte:
    1. Aktivieren Sie dynamisches Routing auf dem gemeinsam genutzten VLAN.
    2. Fügen Sie eine SNIP-IP-Adresse mit aktiviertem dynamischem Routing hinzu. Diese SNIP-IP-Adresse wird für dynamisches Routing mit dem Upstream verwendet.
    3. Binden Sie das SNIP-IP-Subnetz an das freigegebene VLAN.
  • Ein oder mehrere dynamische Routingprotokolle ist auf der Standardpartition konfiguriert. Weitere Informationen finden Sie unter Konfigurieren von dynamischen Routing-Protokollen.

Konfigurationsschritte

Die Konfiguration des dynamischen Routings über ein freigegebenes VLAN in einer nicht standardmäßigen Admin-Partition umfasst die folgenden Schritte:

  1. Fügen Sie eine SNIP-IP-Adresse in der nicht standardmäßigen Partitionhinzu. Diese SNIP-IP-Adresse muss sich im selben Subnetz der SNIP-IP-Adresse befinden, die für dynamisches Routing in der Standardpartition verwendet wird.

  2. Legen Sie die folgenden Parameter für die Werbung für eine VIP-Adresse in einer nicht standardmäßigen Partition mithilfe von dynamischem Routing fest oder aktivieren Sie sie.

    • Host-Routen-Gateway (hostRtGw). Setzen Sie diesen Parameter auf die im vorherigen Schritt hinzugefügte SNIP-Adresse.
    • Werben auf Standardpartition (advertiseOnDefaultPartition). Aktivieren Sie diesen Parameter.

Beispielkonfiguration

Betrachten Sie ein Beispiel für ein Admin-Partitions-Setup in einer Citrix ADC Appliance. Auf dieser Appliance ist eine nicht standardmäßige Admin-Partition AP-3 konfiguriert. Ein gemeinsames VLAN-VLAN100 ist an AP-3 gebunden. Die folgende Beispielkonfiguration konfiguriert das dynamische Routing über VLAN100 in AP-3.

Schritte Beispielkonfiguration
Auf Standard-Admin-Partition -
Aktivieren Sie dynamisches Routing auf gemeinsam genutztem VLAN 100. set vlan 100 -dynamicRouting enabled
Fügen Sie die SNIP-IP-Adresse 192.0.2.10 mit aktiviertem dynamischem Routing hinzu.Diese SNIP-IP-Adresse wird für dynamisches Routing mit dem Upstream verwendet. add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
Binden Sie ein Subnetz von 192.0.2.10 an gemeinsam genutztes VLAN 100. bind vlan 100 -IPAddress 192.0.2.10 255.255.255.0
Auf nicht standardmäßiger Admin-Partition AP-3 -
Fügen Sie die SNIP-IP-Adresse 192.0.2.30 hinzu. Diese SNIP-IP-Adresse befindet sich im selben Subnetz wie die SNIP-IP-Adresse 192.0.2.30 auf der Standardpartition. add ns ip 192.0.2.30 255.255.255.0 -type SNIP
Aktivieren Sie für die Werbe-VIP-Adresse 203.0.113.300 mit dynamischem Routing den advertiseOnDefaultPartition Parameter und legen Sie den hostRtGwParameter auf 192.0.2.20 fest. set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.20

Gemeinsames VLAN mit Admin-Partition auf der Citrix ADC SDX-Appliance

Auf der SDX-Appliance müssen Sie die PMAC-Adresse über die Benutzeroberfläche des Verwaltungsdienstes generieren und konfigurieren, bevor Sie die Administratorpartitionen mit gemeinsam genutzten VLANs verwenden. Mit dem Verwaltungsdienst können Sie Partitions-MAC-Adressen wie folgt generieren:

  • Verwenden einer Basis-MAC-Adresse
  • Angeben benutzerdefinierter MAC-Adressen
  • Zufällige Generierung von MAC-Adressen

Hinweis: