Citrix ADC

VLAN-Konfiguration für Admin-Partitionen

VLANs können als “dediziertes” VLAN oder “Shared” VLAN an eine Partition gebunden werden. Basierend auf Ihrer Bereitstellung können Sie ein VLAN an eine Partition binden, um den Netzwerkverkehr von anderen Partitionen zu isolieren.

Dediziertes VLAN — Ein VLAN, das nur an eine Partition gebunden ist, wobei die Option “Freigabe” deaktiviert ist und ein getaggtes VLAN sein muss. Beispielsweise erstellt ein Systemadministrator in einer Client-Server-Bereitstellung aus Sicherheitsgründen ein dediziertes VLAN für jede Partition auf der Serverseite.

Gemeinsames VLAN — Ein VLAN, das an mehrere Partitionen gebunden (gemeinsam genutzt) ist, wobei die Option “Freigabe” aktiviert ist. Wenn der Systemadministrator beispielsweise in einer Client-Server-Bereitstellung keine Kontrolle über das clientseitige Netzwerk hat, wird ein VLAN erstellt und über mehrere Partitionen freigegeben.

Gemeinsam genutztes VLAN kann über mehrere Partitionen hinweg verwendet werden. Es wird in der Standardpartition erstellt und Sie können ein freigegebenes VLAN an mehrere Partitionen binden. Standardmäßig ist ein freigegebenes VLAN implizit an die Standardpartition gebunden und kann daher nicht explizit gebunden werden.

Hinweis

  • Eine Citrix ADC-Appliance, die auf einer beliebigen Hypervisor-Plattform (ESX, KVM, Xen und Hyper-V) bereitgestellt wird, muss sowohl die folgenden Bedingungen in einer Partitionseinrichtung als auch in einer Datenverkehrsdomäne erfüllen:

    • Enable the promiscuous mode, MAC changes, MAC spoofing, or forged transmit for shared VLANs with partition.
    • Enable the VLAN with port group properties of the virtual switch, if the traffic is through a dedicated VLAN.
  • In einer partitionierten (mandantenanten) Citrix ADC-Appliance kann ein Systemadministrator den Datenverkehr isolieren, der zu einer bestimmten Partition oder Partitionen fließt. Dies geschieht durch Binden eines oder mehrerer VLANs an jede Partition. Ein VLAN kann für eine Partition oder für mehrere Partitionen freigegeben werden.

Dedizierte VLANs

Um den in eine Partition fließenden Datenverkehr zu isolieren, erstellen Sie ein VLAN und verknüpfen Sie es mit der Partition. Das VLAN ist dann nur für die zugehörige Partition sichtbar, und der durch das VLAN fließende Datenverkehr wird nur in der zugehörigen Partition klassifiziert und verarbeitet.

Dedizierte VLAN-Verwaltungspartition

Gehen Sie wie folgt vor, um ein dediziertes VLAN für eine bestimmte Partition zu implementieren.

  1. Fügen Sie ein VLAN hinzu (V1).
  2. Binden Sie eine Netzwerkschnittstelle als getaggte Netzwerkschnittstelle an VLAN.
  3. Erstellen Sie eine Partition (P1).
  4. Binden Sie die Partition (P1) an das dedizierte VLAN (V1).

Konfigurieren Sie Folgendes über die CLI

  • Erstellen Sie ein VLAN

    add vlan <id>

Beispiel

    add vlan 100
  • Binden Sie ein VLAN

    bind vlan <id> -ifnum <interface> -tagged

Beispiel

    bind vlan 100 –ifnum 1/8 -tagged
  • Erstellen Sie eine Partition

    Add ns partition <partition name> [-maxBandwidth <positive_integer>][-maxConn <positive_integer>] [-maxMemLimit <positive_integer>]

Beispiel

    Add ns partition P1 –maxBandwidth 200 –maxconn 50 –maxmemlimit 90

    Done
  • Binden einer Partition an ein VLAN

    bind partition <partition-id> -vlan <id>

Beispiel

    bind partition P1 –vlan 100

Konfigurieren eines dedizierten VLAN mit der Citrix ADC GUI

  1. Navigieren Sie zu Konfiguration > System > Netzwerk > VLANs* und klicken Sie auf Hinzufügen, um ein VLAN zu erstellen.
  2. Stellen Sie auf der Seite VLAN erstellen die folgenden Parameter ein:

    • VLAN-ID
    • Aliasname
    • Maximale Übertragungseinheit
    • Dynamisches Routing
    • IPv6 dynamisches Routing
    • Teilen von Partitionen
  3. Wählen Sie im Abschnitt Schnittstellenbindungen eine oder mehrere Schnittstellen aus und binden Sie sie an das VLAN.
  4. Wählen Sie im Abschnitt IP-Bindungen eine oder mehrere IP-Adressen aus und binden Sie an das VLAN.
  5. Klicken Sie auf OK und Fertig.

Gemeinsames VLAN

In einer gemeinsam genutzten VLAN-Konfiguration hat jede Partition eine MAC-Adresse, und der im freigegebenen VLAN empfangene Datenverkehr wird nach MAC-Adresse klassifiziert. Es wird nur ein Layer3-VLAN empfohlen, da es den Subnetzverkehr einschränken kann. Eine Partitions-MAC-Adresse ist nur für eine gemeinsame VLAN-Bereitstellung anwendbar und wichtig.

Hinweis

Ab Citrix ADC Version 12.1 Build 51.16 unterstützt gemeinsam genutztes VLAN in einer partitionierten Appliance das dynamische Routingprotokoll.

Das folgende Diagramm zeigt, wie ein VLAN (VLAN 10) über zwei Partitionen gemeinsam genutzt wird.

Gemeinsame VLAN-Administratorpartition

Gehen Sie wie folgt vor, um eine freigegebene VLAN-Konfiguration bereitzustellen:

  1. Erstellen Sie ein VLAN mit der Freigabeoption “aktiviert” oder aktivieren Sie die Freigabeoption für ein vorhandenes VLAN. Standardmäßig ist die Option “deaktiviert”.
  2. Binden Sie die Partitionsschnittstelle an freigegebenes VLAN.
  3. Erstellen Sie die Partitionen, jede mit ihrer eigenen PartitionMac-Adresse.
  4. Binden Sie die Partitionen an das freigegebene VLAN.

Konfigurieren eines freigegebenen VLAN über die CLI

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein, um VLAN hinzuzufügen oder den Freigabe-Parameter eines vorhandenen VLANs festzulegen:

add vlan <id> [-sharing (ENABLED | DISABLED)]

set vlan <id> [-sharing (ENABLED | DISABLED)]

add vlan 100 –sharing ENABLED

set vlan 100 –sharing ENABLED

Binden einer Partition an ein freigegebenes VLAN mit der CLI

Geben Sie an der Eingabeaufforderung ein:

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

add ns partition P1 –maxBandwidth 200 –maxconn 50   –maxmemlimit 90 -partitionMAC<mac_addr

Done

Konfigurieren einer Partition MAC-Adresse mit der CLI

set ns partition <partition name> [-partitionMAC<mac_addr>]

set ns partition P1 –partitionMAC 22:33:44:55:66:77

Binden von Partitionen an ein freigegebenes VLAN über die Befehlszeilenschnittstelle

bind partition <partition-id> -vlan <id>

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

bind partition P2 –vlan 100

bind partition P3 –vlan 100

bind partition P4 –vlan 100

Konfigurieren von freigegebenem VLAN mit der Citrix ADC GUI

  1. Navigieren Sie zu Konfiguration > System > Netzwerk > VLANs, wählen Sie dann ein VLAN-Profil aus und klicken Sie auf Bearbeiten, um den Parameter für die Partitionsfreigabe festzulegen.

  2. Aktivieren Sie auf der Seite VLAN erstellen das Kontrollkästchen Partitionsfreigabe .

  3. Klicken Sie auf OK und dann auf Fertig.

Dynamisches Routing über ein freigegebenes VLAN über Admin-Partitionen hinweg

Admin-Partitionen in einer Citrix ADC-Appliance bieten eine Möglichkeit, mehrere Mandanten zu hosten.

Ab Citrix ADC Version 12.1 Build 51.16 unterstützt ein freigegebenes VLAN in einer partitionierten Appliance das dynamische Routingprotokoll. Das Routing kann in dedizierten oder gemeinsam genutzten VLANs konfiguriert werden, die mit Admin-Partitionen verknüpft sind.

Dediziertes VLAN einer Admin-Partition. In einem dedizierten VLAN wird der Datenpfad für den Mandanten mithilfe eines oder mehrerer VLANs identifiziert. Dies führt zu einer strengen Konfiguration und Datenpfadisolation für den Mandanten. Um den Zustand einer VIP-Adresse zu bewerben, ist dynamisches Routing in jeder Partition aktiviert und die Routing-Adjacenz wird pro Partition festgelegt.

Dynamisches Routing über ein dediziertes VLAN pro Partition

Ein gemeinsam genutztes VLAN über Admin-Partitionenhinweg. In einem gemeinsam genutzten VLAN können VIP-Adressen, die in einer nicht standardmäßigen Partition konfiguriert sind, über eine einzelne Adjacenz oder ein Peering in der Standardpartition angekündigt werden. Eine SNIP-Adresse in der nicht standardmäßigen Partition wird als nächster Hop für alle VIP-Adressen (konfiguriert mit der Option AdvertiseOnDefaultPartition ) in dieser nicht standardmäßigen Partition verwendet. Die konfigurierte SNIP-Adresse ist in den Routing-Ankündigungen als Next-Hop-IP-Adresse gekennzeichnet.

Betrachten Sie ein Beispiel für die Einrichtung von Administratorpartitionen in einer Citrix ADC-Appliance, VLAN 100 wird über die Standardpartition freigegeben und nicht standardmäßige Partitionen: AP-3 und AP-5. SNIP-Adressen SNIP1 wird in der Standardpartition hinzugefügt, SNIP3 wird in AP-3 hinzugefügt und SNIP5 wird in AP-5 hinzugefügt. SNIP1, SNIP3 und SNIP5 sind über den vlan-100 erreichbar. VIP-Adressen VIP1 wird in der Standardpartition hinzugefügt, VIP3 wird in AP-3 hinzugefügt und VIP5 wird in AP-5 hinzugefügt. VIP3 und VIP5 werden über die einzelne Adjacenz oder das Peering beworben, die in der Standardpartition gebildet werden.

Dynamisches Routing über ein freigegebenes VLAN über Partitionen hinweg

Voraussetzungen

Stellen Sie vor dem Konfigurieren des dynamischen Routing über ein freigegebenes VLAN in einer nicht standardmäßigen Admin-Partition Folgendes sicher:

  • Dynamisches Routing wird im freigegebenen VLAN in der Standardpartition konfiguriert. Das Konfigurieren des dynamischen Routing im freigegebenen VLAN in der Standardpartition umfasst die folgenden Schritte:
    1. Aktivieren Sie dynamisches Routing im freigegebenen VLAN.
    2. Fügen Sie eine SNIP-IP-Adresse mit aktiviertem dynamischem Routing hinzu. Diese SNIP-IP-Adresse wird für dynamisches Routing mit dem Upstream verwendet.
    3. Binden Sie das SNIP-IP-Subnetz an das freigegebene VLAN.
  • Ein oder mehrere dynamische Routingprotokolle ist auf der Standardpartition konfiguriert. Weitere Informationen finden Sie unter Konfigurieren dynamischer Routingprotokolle.

Konfigurationsschritte

Das Konfigurieren des dynamischen Routing über ein freigegebenes VLAN in einer nicht standardmäßigen Admin-Partition besteht aus den folgenden Schritten:

  1. Fügen Sie eine SNIP-IP-Adresse in der nicht standardmäßigen Partitionhinzu. Diese SNIP-IP-Adresse muss sich im selben Subnetz der SNIP-IP-Adresse befinden, die für dynamisches Routing in der Standardpartition verwendet wird.

  2. Legen Sie die folgenden Parameter für die Werbung für eine VIP-Adresse in einer nicht standardmäßigen Partition mithilfe des dynamischen Routing fest oder aktivieren Sie sie.

    • Host-Routen-Gateway (HostRTGW). Stellen Sie diesen Parameter auf die im vorherigen Schritt hinzugefügte SNIP-Adresse ein.
    • Ankündigen Sie auf der Standardpartition (AdvertiseOnDefaultPartition). Aktivieren Sie diesen Parameter.

Beispielkonfiguration

Betrachten Sie ein Beispiel für eine Einrichtung einer Admin-Partition in einer Citrix ADC-Appliance. Eine nicht standardmäßige Admin-Partition AP-3 ist auf dieser Appliance konfiguriert. Ein gemeinsam genutztes VLAN VLAN100 ist an AP-3 gebunden. Die folgende Beispielkonfiguration konfiguriert dynamisches Routing über VLAN100 in AP-3.

Schritte Beispielkonfiguration
Auf Standard-Admin-Partition -
Aktivieren Sie dynamisches Routing auf gemeinsam genutztem VLAN 100. set vlan 100 -dynamicRouting enabled
Fügen Sie die SNIP-IP-Adresse 192.0.2.10 mit aktiviertem dynamischem Routing hinzu.Diese SNIP-IP-Adresse wird für dynamisches Routing mit dem Upstream verwendet. add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
Binden Sie das Subnetz von 192.0.2.10 an das gemeinsame VLAN 100. bind vlan 100 -IPAddress 192.0.2.10 255.255.255.0
Auf nicht standardmäßiger Admin-Partition AP-3 -
Fügen Sie die SNIP-IP-Adresse 192.0.2.30 hinzu. Diese SNIP-IP-Adresse befindet sich im selben Subnetz wie die SNIP-IP-Adresse 192.0.2.10 auf der Standardpartition. add ns ip 192.0.2.30 255.255.255.0 -type SNIP
Um die VIP-Adresse 203.0.113.300 mit dynamischem Routing zu bewerben, aktivieren Sie den Parameter advertiseOnDefaultPartition und setzen Sie den Parameter hostRtGw auf 192.0.2.30. set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.30

Dynamisches Routing von IPv6 über ein freigegebenes VLAN über eine Admin-Partition

Die Befehle enable ns feature IPv6PT und set L3Param –ipv6DynamicRouting ENABLED müssen aktiviert sein, damit eine IPv6-Adresse dynamisch über ein freigegebenes VLAN in einer Admin-Partition weiterleiten kann. Die folgenden Beispielkonfigurationen helfen Ihnen, das dynamische Routing von IPv6 über gemeinsam genutztes VLAN zu konfigurieren.

Beispielkonfiguration

Die folgende Beispielkonfiguration konfiguriert das dynamische Routing über VLAN 100 in AP-3.

Schritte Beispielkonfiguration
Auf Standard-Admin-Partition -
Aktivieren Sie dynamisches Routing auf gemeinsam genutztem VLAN 100. set vlan 100 -dynamicRouting enabled
Fügen Sie die SNIP-IP-Adresse 2001:b:c:d። 1/64 hinzu, wobei dynamisches Routing aktiviert ist.Die SNIP-IP-Adresse wird für das dynamische Routing mit dem Upstream verwendet. add ns ip6 2001:b:c:d::1/64 -type SNIP -dynamicRouting enabled
Binden Sie Subnetz von 2001:b:c:d። 1/64 an gemeinsam genutztes VLAN 100. bind vlan 100 -IPAddress 2001:b:c:d::1/64
Auf nicht standardmäßiger Admin-Partition AP-3 -
Fügen Sie die SNIP-IP-Adresse 2001:b:c:d። 2/64 hinzu. Diese SNIP-IP-Adresse befindet sich im selben Subnetz wie die SNIP-IP-Adresse 2001:b:c:d። 2/64 auf der Standardpartition. add ns ip6 2001:b:c:d::2/64 -type SNIP
Aktivieren Sie für Werbung VIP-Adresse 2002። 1/128 mit dynamischem Routing den Parameter advertiseOnDefaultPartitionund setzen Sie den Parameter ip6hostRtGw auf 2001:b:c:d። 2. set ns ip6 2002::1/128 -hostRoute enabled -advertiseOnDefaultPartition enabled -ip6hostRtGw 2001:b:c:d::2

Der in der Admin-Partition vorhandene VIP muss auf VTYSH der Standardpartition als Kernel-Route angezeigt werden.

> switch partition default
Done

>vtysh
ns#

ns# sh ipv6 route kernel

IPv6 routing table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
   IA - OSPF inter area, E1 - OSPF external type 1,
   E2 - OSPF external type 2, I - IS-IS, B - BGP
Timers: Uptime

K      2002::1/128 via 2001:b:c:d::2, vlan0, 01:24:15                             >> on Default Partition, VIP : 2002::1 present in AP known via SNIP6 : 2001:b:c:d::2 is present in AP as a Kernel Route

Es kann im Upstream angekündigt werden, indem die Option “Kernel weiterverteilen” unter OspFv3/BGP+ in der Standardpartition verwendet wird.

ns# sh run router ipv6 ospf
!
router ipv6 ospf 1
redistribute kernel
!

Gemeinsames VLAN mit Admin-Partition auf der Citrix ADC SDX-Appliance

Auf der SDX-Appliance müssen Sie die PMAC-Adresse mithilfe der Verwaltungsdienst-Benutzeroberfläche generieren und konfigurieren, bevor Sie die Admin-Partitionen mit freigegebenen VLANs verwenden. Mit dem Management Service können Sie Partitions-MAC-Adressen generieren, indem Sie:

  • Verwenden einer Basis-MAC-Adresse
  • Benutzerdefinierte MAC-Adressen angeben
  • Zufällige Generierung von MAC-Adressen

Hinweis