Citrix ADC

Prácticas recomendadas para configuraciones de red

En las siguientes secciones se describen algunas prácticas recomendadas para configurar funciones de red en un dispositivo Citrix ADC.

Enrutamiento y rutas predeterminadas

Las siguientes son algunas de las prácticas recomendadas para configurar las funciones de la capa 3 en un dispositivo Citrix ADC.

Configuraciones de capa 3 de prácticas recomendadas

  • La interfaz 0/x en un dispositivo Citrix ADC o Citrix SDX no debe utilizarse para el tráfico de producción. En un MPX o SDX, las interfaces llamadas 0/x se refieren a las interfaces de administración. Esto no significa que deba usar estas interfaces para Administración. Lo que significa es que estas interfaces NO están diseñadas para el tráfico de producción. No tienen los búferes de hardware y la optimización necesarios para lograr un rendimiento sostenido de 1 Gbps. Por lo tanto, si su ruta predeterminada está en la misma subred que su NSIP, debe cambiar la ruta predeterminada o utilizar una interfaz 1/x para su red de administración, ya que las interfaces 1/x están totalmente optimizadas para un tráfico de producción de 1 Gbps.

    Nota:

    Esto no se aplica a un dispositivo Citrix ADC VPX.

    • Opción 1. No conectar a interfaces 0/x: Desconecte el cable de la interfaz 0/1. NetScaler escucha el NSIP en las otras interfaces. (NOTA: Esta no es una opción para SDX, ya que SVM y XenServer solo pueden hablar con interfaces 0/x)

    • Opción 2. Cambie la ruta predeterminada a una interfaz diferente como se detalla en la siguiente sección.

  • La puerta de enlace predeterminada (ruta 0.0.0.0) debe estar en una red de producción y no en ninguna interfaz 0/x. Al configurar por primera vez un NetScaler, le pide la dirección NSIP, la máscara de subred y la puerta de enlace. El problema que esto crea para los administradores es que acaban de configurar su ruta predeterminada para estar en su red de administración mediante la interfaz 0/1.

    • Para comprobar cuáles son sus rutas, ejecute en CLI show route y su puerta de enlace predeterminada es la IP en la línea donde la red y la máscara de red son 0.0.0.0. Aquí hay un ejemplo donde la puerta de enlace está en la línea 1:

       > sh route
               Network          Netmask          Gateway/OwnedIP  State   Traffic Domain  Type
               -------          -------          ---------------  -----   --------------  ----
       1)      0.0.0.0          0.0.0.0          10.25.213.65     UP      0              STATIC
       2)      127.0.0.0        255.0.0.0        127.0.0.1        UP      0              PERMANENT
       3)      10.25.213.64     255.255.255.192  10.25.213.68     UP      0              DIRECT
       4)      172.16.0.0       255.255.255.0    172.16.0.1       UP      0              DIRECT
      
      
    • Para comprobar la interfaz y la VLAN utilizadas para la puerta de enlace predeterminada, compruebe la tabla ARP mediante sh arp en CLI. También puede buscar la IP específica mediante show arp | grep 10.25.213.65. A continuación se muestra un ejemplo en el que la puerta de enlace 10.25.213.65 utiliza la interfaz 1/1 y VLAN 1:

       > sh arp
               IP               MAC                Iface VLAN  Origin     TTL     Traffic Domain
               --               ---                ----- ----  ------     ---     --------------
       1)      127.0.0.1        02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
       2)      10.25.213.70     02:00:0f:46:00:28  1/1   1     DYNAMIC    967    0
       3)      10.25.213.68     02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
       4)      10.25.213.67     02:00:0f:46:00:28  1/1   1     DYNAMIC    641    0
       5)      10.25.213.65     00:08:e3:ff:fd:90  1/1   1     DYNAMIC    483    0
      
    • Cambie la ruta predeterminada para utilizar una puerta de enlace en la subred de producción y la interfaz. Supongamos que la red de administración es 10.0.0.0/24 con Gateway 10.0.0.1 y la red de producción es 10.1.1.0/24 con Gateway 10.1.1.1. Configure su configuración de esta manera:

      • SNIP: (Acceso de administración inhabilitado) 10.1.1.2
      • NSIP: (Acceso de administración habilitado) 10.0.0.2
      • Ruta predeterminada: 0.0.0.0 0.0.0.0 10.1.1.1 (Sistema > Red > Rutas). Esto utiliza un enrutador en la red SNIP en lugar de la red NSIP.

        Nota:

        Cambiar la Gateway predeterminada podría interrumpir el tráfico de administración a menos que configure rutas estáticas, una ruta basada en directivas o habilite el reenvío basado en MAC.

Interfaces, canales y VLAN

Las siguientes son algunas de las prácticas recomendadas para configurar las funciones de la capa 2 en un dispositivo Citrix ADC.

Configuraciones de capa 2 de prácticas recomendadas

  • No conecte múltiples interfaz/canales a la misma VLAN, incluida la VLAN 1:
    • Si no configura correctamente las VLAN, puede provocar un enrutamiento de paquetes inesperado en la red y un bucle de capa 2 en cualquier momento en que haya más de una interfaz activa con la misma VLAN (nativa o etiquetada).

    • De forma predeterminada, todas las interfaces y canales están en VLAN 1 nativa. Esto crea dos posibles problemas:

      • NetScaler cree que todo el tráfico recibido está en la misma red, por lo que utiliza cualquier interfaz para enviar el tráfico hacia fuera. Si tiene una VLAN nativa diferente en la interfaz en la que envió los datos, entonces el tráfico no se enrutará como esperaba.

      • Si NetScaler recibe paquetes de difusión en un puerto, puede retransmitir en otro puerto. Si ambos puertos de conmutación están en la misma VLAN, acaba de crear un bucle de capa 2.

    • Para eliminar una interfaz/canal de la VLAN 1:

      • Si no está utilizando VLAN nativas en el canal de puerto o interfaz del switch. Cambie la VLAN nativa en NetScaler Interface/Channel a un número de VLAN no utilizado, como 999. No debe usar el mismo número de VLAN no utilizado para varios canales o interfaces, ya que crea un bucle de capa 2.

      • Si está utilizando VLAN nativas en su canal de interface/puerto del switch. Cambie la VLAN nativa en NetScaler Interface/Channel para que coincida. Sin embargo, tenga cuidado de no tener múltiples interfaces o canales activos en la misma VLAN, ya que al hacerlo crea bucles de Capa 2.

      • No se puede quitar la VLAN nativa. En su lugar, puede cambiarlo o establecer TagAll para la interfaz o el canal. Si el puerto del switch no está configurado con una VLAN nativa sin etiquetar, habilite el tagall en la interfaz para que se etiqueten los paquetes de latido de alta disponibilidad.

    • Para ver la VLAN nativa en una interfaz, ejecute sh interface en CLI. Esto también le informará si la interfaz está utilizando la opción TAGALL.

  • Enlazar una interfaz a su VLAN: NetScaler, de forma predeterminada, no conecta una nueva VLAN a una interfaz. Esto significa que la VLAN no se utilizará hasta que la vincule a una interfaz. Cuando la nueva VLAN no está enlazada a una interfaz y esa VLAN está etiquetada, NetScaler elimina todo el tráfico entrante de esa VLAN. Además, no vincule la misma VLAN a más de una interfaz.

    • Enlazar subredes a las VLAN. NetScaler no funciona como un router típico. La mayoría de los enrutadores conectan IP a las interfaces. En un NetScaler, las IPs flotan en cualquier interfaz a menos que se configure lo contrario. Por lo tanto, cualquier subred que desee asegurarse de que NetScaler envía a través de una VLAN específica, especialmente cuando NetScaler está iniciando ese tráfico, debe enlazar un SNIP dentro de esa subred a la VLAN.

    • Un argumento común que escuchamos en contra de esto es que solía funcionar bien y ahora no lo hace sin vincular la Subred a la VLAN. Esto ocurre a menudo porque NetScaler aprende qué VLAN enviar tráfico, pero esto puede llevar tiempo a medida que crea sus tablas ARP. Después de reiniciar o actualizar el firmware, a medida que comienza a crear las tablas ARP de nuevo, es posible que inicialmente aprenda y, por lo tanto, esté utilizando una ruta diferente de la que desee, como la ruta predeterminada. Lo mejor es indicarle qué ruta tomar vinculando el SNIP a la VLAN. Una vez que un SNIP está enlazado a una VLAN, toda la subred del SNIP se enlazará a la VLAN.

    • Asegúrese de que cada SNIP está enlazado a una VLAN (excepto en los casos en que tenga más de un SNIP en una subred, entonces solo debe enlazar uno) y que la VLAN, a su vez, esté enlazada a una sola interfaz o canal. A menudo también es mejor tener un SNIP en cada subred, pero eso no es necesario ya que la ruta más específica se utilizará para cualquier subred de destino que no tenga un SNIP.

  • Para identificar la VLAN y la interfaz utilizadas por una subred:

    1. Vaya a Sistema>Red > VLAN.

    2. Modifique cada VLAN configurada, a su vez, hasta que encuentre la dirección IP correcta como se explica en el siguiente paso.

    3. Haga clic en la ficha Enlaces IP para ver qué IP y, por lo tanto, qué subred está enlazada y, por lo tanto, está utilizando esta VLAN.

    4. Una vez que identifique la VLAN que tiene una IP enlazada a ella, donde esa IP se encuentra dentro de la subred de la ruta predeterminada, haga clic en los enlaces de interfaz. Se utilizará cada interfaz o canal vinculado a esta VLAN.

Ejemplo

Supongamos que la ruta predeterminada es 0.0.0.0 0.0.0.0 10.1.1.1.

Supongamos que tiene dos SNIP de 10.0.0.5 y 10.1.1.69. Puesto que 10.1.1.69 está en la subred de la ruta predeterminada, esa es la que quiere buscar. En las siguientes capturas de pantalla, estamos revisando la VLAN 1 y vemos que la IP 10.1.1.69 está vinculada a esta VLAN, por lo que sabemos que estamos buscando la VLAN correcta.

Ahora haga clic en Enlaces de interfaz. En los enlaces de interfaz VLAN vemos que la interfaz 1/1 se utiliza para esta subred, y por lo tanto se utiliza para la ruta predeterminada.

Prácticas recomendadas: Configuraciones de VLAN

NOTA:

Si no tiene ninguna IP enlazada a sus VLAN, entonces de forma predeterminada se enviará VLAN 1, por lo que en ese caso, mire qué interfaces están enlazadas a VLAN 1. Esto también significa que NetScaler no utilizará las VLAN configuradas para el tráfico que inicia a menos que vincule una IP a la nueva VLAN.

ARP gratuito

Si GARP no funciona, use VMAC: De forma predeterminada, NetScaler utiliza GARP para anunciar sus enlaces de direcciones IP a MAC a otros dispositivos de red. Normalmente, esto funciona sin problemas; sin embargo, a medida que crea más servicios en NetScaler, puede comenzar a experimentar problemas al realizar una conmutación por error en un par de HA. El problema más común es que los servicios permanecen inservidos en NetScaler en el que ha fallado debido a que algunos dispositivos de red no han actualizado sus tablas ARP con la nueva dirección MAC. Puede verificarlo fácilmente comprobando sus tablas ARP para ver si las direcciones MAC coinciden con las del NetScaler Now-Primary. Cuando esto ocurre, es muy probable que algunos de sus dispositivos de red estén limitando el número de anuncios GARP que honran. En este caso es necesario configurar VMAC en todas sus interfaces y/o canales activos. Si espera tener una configuración grande en su NetScaler, puede ser mejor configurar VMAC para todas las interfaces y canales durante la implementación inicial.

NOTA: No

olvide configurar VMAC para la interfaz o el canal utilizado por su ruta predeterminada.

Direcciones IP propiedad de Citrix ADC

En esta sección se describen las prácticas recomendadas para configurar direcciones IP propiedad de Citrix ADC:

Prácticas recomendadas Direcciones IP propiedad de Citrix ADC

  • Citrix ADC IP (NSIP): Generalmente esta IP se utiliza para Administración porque es la única IP exclusiva de un NetScaler individual en un entorno de alta disponibilidad o clúster. También es importante tener en cuenta que LDAP, RADIUS y el tráfico de Monitor con scripts de usuario (como el monitor LDAP y el monitor StoreFront) se originará desde el NSIP y, por lo tanto, se enrutará a través de la VLAN y la interfaz a la que está enlazado NSIP (VLAN nativa predeterminada 1). Si necesita que el tráfico LDAP y RADIUS se genere desde el SNIP, cree un servidor virtual LB para los servidores back-end.

  • IP de subred (SNIP): Esta dirección IP se utiliza para iniciar la comunicación con los servidores back-end y siempre va a iniciar el tráfico. Dicho esto, puede ser el destino del tráfico en estos casos:

    • Se puede usar como dirección Gateway en otros dispositivos cuando se realiza el enrutamiento de Capa 3 en NetScaler.

    • Cuando está habilitado, puede aceptar servicios de administración, como el acceso a la GUI, SSH y SNMP.

  • IP virtual (VIP): El VIP es único en el sentido de que nunca se usará para iniciar el tráfico saliente. Está destinado a recibir tráfico solamente. Una vez que recibe tráfico, responde y envía el tráfico saliente al cliente. En otras palabras, la dirección VIP no inicia el tráfico saliente.

Tenga en cuenta que esto también significa que no se utiliza como fuente para comunicarse con servidores back-end utilizados, por ejemplo, en un servidor virtual LB.

Prácticas recomendadas para configuraciones de red