Citrix ADC

Best Practices für Netzwerkkonfigurationen

January 19, 2021

Beigesteuert von:

In den folgenden Abschnitten werden einige Best Practices zum Konfigurieren von Netzwerkfunktionen auf einer Citrix ADC Appliance erläutert.

Routing und Standardrouten

Im Folgenden finden Sie einige Best Practices zum Konfigurieren von Layer 3-Features auf einer Citrix ADC Appliance.

Best Practices Layer-3-Konfigurationen

Die Schnittstelle 0/x auf einer Citrix ADC Appliance oder einer Citrix SDX-Appliance darf nicht für den Produktionsdatenverkehr verwendet werden. Auf einem MPX oder SDX werden die 0/x benannten Schnittstellen auf die Verwaltungsschnittstellen verwiesen. Dies bedeutet nicht, dass Sie diese Schnittstellen für die Verwaltung verwenden müssen. Was es bedeutet, ist, dass diese Schnittstellen NICHT für den Produktionsverkehr ausgelegt sind. Sie verfügen nicht über die erforderlichen Hardwarepuffer und -optimierungen, um einen dauerhaften Durchsatz von 1 Gbit/s zu erreichen. Wenn sich Ihre Standardroute im selben Subnetz wie Ihr NSIP befindet, müssen Sie entweder die Standardroute ändern oder eine 1/x-Schnittstelle für Ihr Management-Netzwerk verwenden, da die 1/xSchnittstellen vollständig für die Produktion optimiert sind 1 Gbit/s Datenverkehr.

Hinweis:

Dies gilt nicht für eine Citrix ADC VPX Appliance.
- Option 1. Keine Verbindung mit Schnittstellen herstellen0/x — Trennen Sie das Kabel von der Schnittstelle0/1 . NetScaler wartet auf das NSIP auf den anderen Schnittstellen. (HINWEIS: Dies ist keine Option für SDX, da SVM und XenServer nur mit0/x Schnittstellen sprechen können)
- Option 2.Ändern Sie die Standardroute auf eine andere Schnittstelle, wie im nächsten Abschnitt beschrieben.
Das Standard-Gateway (Route 0.0.0.0) sollte sich in einem Produktionsnetzwerk und nicht auf einer0/x Schnittstelle befinden . Beim ersten Einrichten eines NetScaler werden Sie nach der NSIP-, Subnetzmaske und Gateway-Adresse gefragt. Das Problem, das für Administratoren verursacht wird, besteht darin, dass sie gerade ihre Standardroute so konfiguriert haben, dass sie sich über die Schnittstelle 0/1 in ihrem Verwaltungsnetzwerk befinden.
- Um zu überprüfen, was Ihre Routen sind, führen Sie in CLI ausshow route und Ihr Standard-Gateway ist die IP in der Zeile, in der Netzwerk und Netzmaske 0.0.0.0 sind. Hier ist ein Beispiel, bei dem sich das Gateway in Zeile 1 befindet:
```
 > sh route
         Network          Netmask          Gateway/OwnedIP  State   Traffic Domain  Type
         -------          -------          ---------------  -----   --------------  ----
 1)      0.0.0.0          0.0.0.0          10.25.213.65     UP      0              STATIC
 2)      127.0.0.0        255.0.0.0        127.0.0.1        UP      0              PERMANENT
 3)      10.25.213.64     255.255.255.192  10.25.213.68     UP      0              DIRECT
 4)      172.16.0.0       255.255.255.0    172.16.0.1       UP      0              DIRECT
```
- Um die Schnittstelle und das VLAN für Ihr Standard-Gateway zu überprüfen, überprüfen Sie die ARP-Tabellesh arp in CLI. Sie können auch nach der spezifischen IP suchenshow arp | grep 10.25.213.65. Hier ist ein Beispiel, in dem das Gateway 10.25.213.65 Interface 1/1 und VLAN 1 verwendet:
```
 > sh arp
         IP               MAC                Iface VLAN  Origin     TTL     Traffic Domain
         --               ---                ----- ----  ------     ---     --------------
 1)      127.0.0.1        02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
 2)      10.25.213.70     02:00:0f:46:00:28  1/1   1     DYNAMIC    967    0
 3)      10.25.213.68     02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
 4)      10.25.213.67     02:00:0f:46:00:28  1/1   1     DYNAMIC    641    0
 5)      10.25.213.65     00:08:e3:ff:fd:90  1/1   1     DYNAMIC    483    0
```
- Ändern Sie die Standardroute, um ein Gateway im Produktionssubnetz und -schnittstelle zu verwenden. Angenommen, Ihr Verwaltungsnetzwerk ist 10.0.0.0/24 mit Gateway 10.0.0.1 und das Produktionsnetzwerk ist 10.1.1.0/24 mit Gateway 10.1.1.1. Richten Sie Ihre Konfiguration wie folgt ein:
  - SNIP: (Verwaltungszugriff deaktiviert) 10.1.1.2
  - NSIP: (Verwaltungszugriff aktiviert) 10.0.0.2
  - Standard-Route: 0.0.0.0 0.0.0.0 10.1.1.1 (System > Netzwerk > Routen). Dies verwendet einen Router im SNIP-Netzwerk anstelle des NSIP-Netzwerks.
    
    Hinweis:
    
    Das Ändern des Standard-Gateway kann den Verwaltungsdatenverkehr unterbrechen, es sei denn, Sie konfigurieren statische Routen, eine richtlinienbasierte Route oder aktivieren die MAC-basierte Weiterleitung.

Schnittstellen, Kanäle und VLANs

Im Folgenden finden Sie einige Best Practices zum Konfigurieren von Layer 2-Features auf einer Citrix ADC Appliance.

Best Practices Layer-2-Konfigurationen

Verbinden Sie nicht mehrere Schnittstellen/Kanäle mit demselben VLAN, einschließlich VLAN 1:
- Wenn Sie Ihre VLANs nicht richtig konfigurieren, kann dies zu unerwartetem Paketrouting in Ihrem Netzwerk und Layer 2-Looping führen, wenn mehr als eine aktive Schnittstelle mit demselben VLAN (entweder Native oder Tagged) vorhanden ist.
- Standardmäßig befinden sich alle Schnittstellen und Kanäle auf nativem VLAN 1. Dies verursacht zwei mögliche Probleme:
  - Der NetScaler denkt, dass sich der gesamte empfangene Datenverkehr im selben Netzwerk befindet. Daher verwendet er eine beliebige Schnittstelle zum Senden des Datenverkehrs. Wenn Sie ein anderes natives VLAN auf der Schnittstelle haben, an der es Daten gesendet hat, wird der Datenverkehr nicht wie erwartet weitergeleitet.
  - Wenn der NetScaler Broadcast-Pakete an einem Port empfängt, kann er an einem anderen Port erneut übertragen. Wenn sich beide Switchports auf demselben VLAN befinden, haben Sie gerade eine Layer-2-Schleife erstellt.
- So entfernen Sie eine Schnittstelle/einen Kanal aus VLAN 1:
  - Wenn Sie keine nativen VLANs auf Ihrer Switch-Schnittstelle/Portkanal verwenden. Ändern Sie das native VLAN auf der NetScaler Interface/Channel in eine nicht verwendete VLAN-Nummer wie 999. Sie sollten nicht dieselbe nicht verwendete VLAN-Nummer für mehrere Kanäle oder Schnittstellen verwenden, da sie eine Layer-2-Schleife erstellt.
  - Wenn Sie native VLANs auf Ihrer Switch-Schnittstelle/Portkanal verwenden. Ändern Sie das native VLAN auf der NetScaler Interface/Channel so, dass es übereinstimmt. Achten Sie jedoch darauf, dass nicht mehrere aktive Schnittstellen oder Kanäle auf demselben VLAN vorhanden sind, da dadurch Layer 2-Schleifen erstellt werden.
  - Sie können das native VLAN nicht entfernen. Stattdessen können Sie es ändern oder TagAll für die Schnittstelle oder den Kanal festlegen. Wenn der Switch-Port nicht mit einem nativen VLAN ohne Tags konfiguriert ist, aktivieren Sie tagall auf der Schnittstelle, damit Heartbeat-Pakete mit hoher Verfügbarkeit markiert werden.
- Um das native VLAN auf einer Schnittstelle anzuzeigen, führen Siesh interface in CLI aus. Dies informiert Sie auch, wenn die Schnittstelle die Option TAGALL verwendet.
Binden Sie eine Schnittstelle an Ihr VLAN - Der NetScaler fügt standardmäßig kein neues VLAN an eine Schnittstelle an. Dies bedeutet, dass das VLAN erst verwendet wird, wenn Sie es an eine Schnittstelle binden. Wenn das neue VLAN nicht an eine Schnittstelle gebunden ist und dass VLAN Tagged ist, löscht der NetScaler den gesamten eingehenden Datenverkehr aus diesem VLAN. Binden Sie dasselbe VLAN auch nicht an mehrere Schnittstellen.
- Binden Sie Subnetze an Ihre VLANs. Der NetScaler funktioniert nicht wie ein typischer Router. Die meisten Router verbinden IPs an Schnittstellen. Auf einem NetScaler schweben die IPs auf einer beliebigen Schnittstelle, sofern nicht anders konfiguriert. Daher müssen Sie jedes Subnetz, das Sie sicherstellen möchten, dass der NetScaler über ein bestimmtes VLAN sendet, insbesondere wenn der NetScaler diesen Datenverkehr initiiert, ein SNIP innerhalb dieses Subnetzes an das VLAN binden.
- Ein häufiges Argument, das wir dagegen hören, ist, dass es früher gut funktioniert und jetzt nicht ohne Bindung des Subnetzes an das VLAN. Dies tritt häufig auf, weil NetScaler erfährt, welches VLAN Datenverkehr aussendet, aber dies kann Zeit in Anspruch nehmen, wenn es seine ARP-Tabellen erstellt. Wenn nach einem Neustart oder einem Firmware-Upgrade die ARP-Tabellen erneut erstellt werden, kann es zunächst lernen und daher einen anderen Pfad verwenden, als Sie möchten, z. B. Ihre Standardroute. Es empfiehlt sich, den Pfad anzuweisen, indem Sie das SNIP an das VLAN binden. Sobald ein SNIP an ein VLAN gebunden ist, wird das gesamte Subnetz für dieses SNIP an das VLAN gebunden.
- Stellen Sie sicher, dass jedes SNIP an ein VLAN gebunden ist (außer in Fällen, in denen Sie mehr als 1 SNIP in einem Subnetz haben, dann müssen Sie nur eins binden) und dass das VLAN wiederum nur an eine Schnittstelle oder einen Kanal gebunden ist. Es ist auch oft am besten, ein SNIP in jedem Subnetz zu haben, aber das ist nicht erforderlich, da die spezifischste Route für jedes Zielsubnetz verwendet wird, das kein SNIP besitzt.
So identifizieren Sie das von einem Subnetz verwendete VLAN und die Schnittstelle:
1. Gehen Sie zu System>Netzwerk > VLANs.
2. Bearbeiten Sie jedes konfigurierte VLAN wiederum, bis Sie die richtige IP-Adresse finden, wie im nächsten Schritt erläutert.
3. Klicken Sie auf die Registerkarte IP-Bindungen, um zu sehen, welche IP und damit welches Subnetz gebunden ist und somit dieses VLAN verwendet.
4. Sobald Sie das VLAN identifiziert haben, das eine IP gebunden ist, wobei sich diese IP innerhalb des Subnetzes der Standardroute befindet, klicken Sie auf die Schnittstellenbindungen. Jede Schnittstelle oder Kanal, die an dieses VLAN gebunden ist, wird verwendet.

Beispiel

Angenommen, die Standardroute ist0.0.0.0 0.0.0.0 10.1.1.1.

Angenommen, Sie haben zwei SNIPs von 10.0.0.5 und 10.1.1.69. Da sich 10.1.1.69 im Subnetz der Standardroute befindet, ist dies diejenige, die Sie suchen möchten. In den folgenden Screenshots überprüfen wir VLAN 1 und wir sehen, dass die IP 10.1.1.69 an dieses VLAN gebunden ist, so dass wir wissen, dass wir uns das richtige VLAN anschauen.

Klicken Sie nun auf Schnittstellenbindungen. In den VLAN-Schnittstellen-Bindungen sehen wir, dass Interface für dieses Subnetz verwendet1/1 wird und daher für die Standardroute verwendet wird.

Best Practices VLAN-Konfigurationen

HINWEIS:

Wenn Sie keine IPs an Ihre VLANs gebunden haben, wird es standardmäßig aus VLAN 1 gesendet, also schauen Sie in diesem Fall, welche Schnittstellen an VLAN 1 gebunden sind. Dies bedeutet auch, dass NetScaler Ihre konfigurierten VLANs nicht für den initiierten Datenverkehr verwendet, es sei denn, Sie binden eine IP an das neue VLAN.

Unentgeltliche ARP

Wenn GARP nicht funktioniert, verwenden Sie VMAC - Standardmäßig verwendet NetScaler GARP, um seine IP-zu-MAC-Adressbindungen an andere Netzwerkgeräte anzukündigen. Dies funktioniert in der Regel ohne Probleme. Wenn Sie jedoch weitere Dienste im NetScaler erstellen, können Probleme auftreten, wenn ein Failover auf einem HA-Paar durchgeführt wird. Das häufigste Problem besteht darin, dass Dienste in dem NetScaler, auf den Sie ein Failover durchgeführt haben, ausfallen, da einige Netzwerkgeräte ihre ARP-Tabellen nicht mit der neuen MAC-Adresse aktualisiert haben. Sie können dies leicht überprüfen, indem Sie ihre ARP-Tabellen überprüfen, um zu sehen, ob die MAC-Adressen mit denen auf dem jetzt primären NetScaler übereinstimmen. In diesem Fall ist es sehr wahrscheinlich, dass einige Ihrer Netzwerkgeräte die Anzahl der GARP-Anzeigen einschränken, die sie berücksichtigen. In diesem Fall ist es notwendig, VMAC auf allen Ihren aktiven Schnittstellen und/oder Kanälen zu konfigurieren. Wenn Sie eine große Konfiguration auf Ihrem NetScaler erwarten, empfiehlt es sich, VMAC für alle Schnittstellen und Kanäle während der anfänglichen Bereitstellung zu konfigurieren.

HINWEIS:

Vergessen Sie nicht, VMAC für die Schnittstelle oder den Kanal zu konfigurieren, die von Ihrer Standardroute verwendet wird.

Citrix ADC eigene IP-Adressen

In diesem Abschnitt werden die bewährten Methoden zum Konfigurieren von IP-Adressen im Citrix ADC Besitz beschrieben:

Best Practices Citrix ADC eigene IP-Adressen

Citrix ADC IP (NSIP): Im Allgemeinen wird diese IP für die Verwaltung verwendet, da sie die einzige IP ist, die für einen einzelnen NetScaler in einer HA- oder Clusterumgebung eindeutig ist. Wichtig ist auch, dass LDAP-, RADIUS- und Benutzerskriptdatenverkehr (wie der LDAP-Monitor und StoreFront Monitor) aus dem NSIP quellt und somit über das VLAN und die Schnittstelle weitergeleitet werden, an die NSIP gebunden ist (Standard Native VLAN 1). Wenn der LDAP- und RADIUS-Datenverkehr aus dem SNIP stammen soll, erstellen Sie einen virtuellen LB-Server für Ihre Back-End-Server.
Subnetz-IP (SNIP): Diese IP-Adresse wird verwendet, um die Kommunikation mit Back-End-Servern zu initiieren und wird immer den Datenverkehr initiieren. Das heißt, es kann das Ziel für den Verkehr in diesen Fällen sein:
- Es kann als Gateway-Adresse auf anderen Geräten verwendet werden, wenn Layer 3-Routing auf dem NetScaler durchgeführt wird.
- Wenn diese Option aktiviert ist, kann sie Verwaltungsdienste akzeptieren, z. B. den Zugriff auf die GUI, SSH und SNMP.
Virtuelle IP (VIP): Der VIP ist einzigartig, da er niemals verwendet wird, um ausgehenden Datenverkehr zu initiieren. Es ist nur für den Empfang von Traffic vorgesehen. Sobald es Datenverkehr empfängt, antwortet es und sendet Datenverkehr ausgehend zurück an den Client. Mit anderen Worten, die VIP-Adresse initiiert den ausgehenden Datenverkehr nicht.

Beachten Sie, dass dies auch nicht als Quelle für die Kommunikation mit Back-End-Servern verwendet wird, die beispielsweise in einem virtuellen LB-Server verwendet werden.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Best Practices für Netzwerkkonfigurationen

January 19, 2021

Beigesteuert von:

January 19, 2021

Beigesteuert von: