Citrix ADC

Prácticas recomendadas para redes de dispositivos Citrix ADC y VLAN

Un dispositivo Citrix ADC utiliza VLAN para determinar qué interfaz se debe utilizar para qué tráfico. Además, el dispositivo Citrix ADC no participa en el árbol de expansión. Sin la configuración adecuada de VLAN, el dispositivo Citrix ADC no puede determinar qué interfaz usar y puede funcionar más como un HUB que un conmutador o un enrutador. En otras palabras, el dispositivo Citrix ADC puede utilizar todas las interfaces para cada conversación.

Síntomas de una configuración incorrecta de VLAN

El problema de configuración incorrecta de VLAN puede manifestarse de muchas formas, incluidos problemas de rendimiento, incapacidad para establecer conexiones, sesiones desconectadas aleatoriamente y, en situaciones graves, interrupciones de red aparentemente no relacionadas con el propio dispositivo Citrix ADC. El dispositivo Citrix ADC también puede informar sobre movimientos de MAC, interfaces silenciadas y/o transferencia o recepción de desbordamientos de búfer de interfaz de administración, dependiendo de la naturaleza exacta de la interacción con la red.

Mover MAC (contador nic_tot_bdg_mac_move): Este problema indica que el dispositivo Citrix ADC está utilizando más de una interfaz para comunicarse con el mismo dispositivo (dirección MAC), ya que no pudo determinar correctamente qué interfaz usar.

Interfaces silenciadas (contador nic_err_bdg_muted): este problema indica que el dispositivo Citrix ADC ha detectado que está creando un bucle de enrutamiento debido a problemas de configuración de VLAN y, como tal, ha apagado una o varias de las interfaces ofensivas para evitar una red corte de suministro.

Desbordos de búfer de interfaz, que normalmente se refieren a interfaces de administración (contador nic_err_tx_overflow ):Esteproblema puede ser causado si se transmite demasiado tráfico a través de una interfaz de administración. Las interfaces de administración del dispositivo Citrix ADC no están diseñadas para gestionar grandes volúmenes de tráfico, lo que puede deberse a configuraciones incorrectas de red y VLAN que activen el dispositivo Citrix ADC para utilizar una interfaz de administración para el tráfico de datos de producción. Esto ocurre a menudo porque el dispositivo Citrix ADC no tiene forma de diferenciar el tráfico en la VLAN/subred del NSIP (NSVLAN) del tráfico de producción normal. Se recomienda encarecidamente que el NSIP esté en una VLAN y una subred independientes de cualquier dispositivo de producción, como estaciones de trabajo y servidores.

ACK huérfanos (counter tcp_err_orphan_ack): Este problema indica que el dispositivo Citrix ADC recibió un paquete ACK que no esperaba, normalmente en una interfaz diferente a la del tráfico ACK’d originado. Esta situación puede deberse a configuraciones incorrectas de VLAN en las que el dispositivo Citrix ADC transmite en una interfaz diferente a la que el dispositivo de destino utiliza normalmente para comunicarse con el dispositivo Citrix ADC (que suele verse junto con movimientos MAC)

Altas tasas de retransmisiones o renuncias de retransmisión (contadores: Tcp_err_retransmit_giveups, tcp_err_7th_retransmit, varios otros contadores de retransmisión): El dispositivo Citrix ADC intenta retransmitir un paquete TCP un total de 7 veces antes de que abandone y termine la conexión. Aunque esta situación puede deberse a condiciones de red, a menudo ocurre como resultado de una mala configuración de la VLAN y de la interfaz.

Cerebro dividido de alta disponibilidad: Cerebro dividido es una condición en la que ambos nodos de alta disponibilidad creen que son primarios, lo que da lugar a duplicaciones de direcciones IP y a la pérdida de funcionalidad del dispositivo Citrix ADC. Esto se debe a que los dos nodos de alta disponibilidad no pueden comunicarse entre sí mediante Heartbeats de alta disponibilidad en el puerto UDP 3003 mediante el NSIP, a través de cualquier interfaz. Esto suele deberse a configuraciones incorrectas de VLAN en las que la VLAN nativa de las interfaces del dispositivo Citrix ADC no tiene conectividad entre dispositivos Citrix ADC.

Prácticas recomendadas para configuraciones de red y VLAN

  1. Cada subred debe estar asociada a una VLAN.

  2. Se puede asociar más de una subred a la misma VLAN (dependiendo del diseño de la red).

  3. Cada VLAN debe estar asociada a una sola interfaz (para fines de esta discusión, un canal LA cuenta como una única interfaz).

  4. Si necesita que se asocie más de una subred a una interfaz, las subredes deben etiquetarse.

  5. Contrariamente a la creencia popular, la función de reenvío basado en Mac (MBF) del dispositivo Citrix ADC no está diseñada para mitigar este tipo de problema. MBF está diseñado principalmente para el modo DSR (retorno directo del servidor) del dispositivo Citrix ADC, que rara vez se utiliza en la mayoría de los entornos (está diseñado para permitir que el tráfico omita deliberadamente el dispositivo Citrix ADC en la ruta de retorno desde los servidores back-end). MBF puede ocultar problemas de VLAN en algunas instancias, pero no debe ser utilizado para resolver este tipo de problema.

  6. Cada interfaz del dispositivo Citrix ADC requiere una VLAN nativa (a diferencia de Cisco, donde las VLAN nativas son opcionales), aunque la configuración TagAll de una interfaz se puede utilizar para que ningún tráfico sin etiquetar salga de la interfaz en cuestión.

  7. La VLAN nativa se puede etiquetar si es necesario para el diseño de su red (esta es la opción TagAll para la interfaz).

  8. La VLAN de la subred del NSIP del dispositivo Citrix ADC es un caso especial. Esto se llama NSVLAN. Los conceptos son los mismos, pero los comandos para configurarlo son diferentes y los cambios en NSVLAN requieren un reinicio del dispositivo Citrix ADC para surtir efecto. Si intenta vincular una VLAN a un SNIP que comparte la misma subred que el NSIP, obtendrá “Operación no permitida”. Esto se debe a que debe usar los comandos NSVLAN en su lugar. Además, en algunas versiones de firmware, no se puede establecer un NSVLAN si ese número de VLAN existe mediante el comando add VLAN. Simplemente elimine la VLAN y vuelva a establecer la NSVLAN.

  9. Los latidos de alta disponibilidad siempre usan la VLAN nativa de la interfaz respectiva (etiquetada opcionalmente si la opción TagAll está configurada en la interfaz).

  10. Debe haber comunicación entre al menos un conjunto de VLAN nativas en los dos nodos de un par de alta disponibilidad (esto puede ser directo o a través de un router). Las VLAN nativas se utilizan para los latidos de alta disponibilidad. Si los dispositivos Citrix ADC no pueden comunicarse entre VLAN nativas en ninguna interfaz, esto dará lugar a fallas de alta disponibilidad y posiblemente a una situación de cerebro dividido en la que ambos dispositivos Citrix ADC creen que son primarios (dando lugar a direcciones IP duplicadas, entre otras cosas).

  11. El dispositivo Citrix ADC no participa en el árbol de expansión. Por lo tanto, no es posible utilizar el árbol de expansión para proporcionar redundancia de interfaz cuando se utiliza un dispositivo Citrix ADC. En su lugar, utilice un formulario de agregación de enlaces (LACP o LAG manual) para este fin.

    Nota: Si quiere tener agregación de enlaces entre varios conmutadores físicos, debe tener los conmutadores configurados como un conmutador virtual, mediante una función como la pila de conmutadores de Cisco.

  12. La sincronización de alta disponibilidad y el comando Propagación, de forma predeterminada, utilizan NSIP/NSVLAN. Para separarlos en una VLAN diferente, puede utilizar la opción SyncVLAN del comando set HA node.

  13. No hay nada integrado en la configuración predeterminada del dispositivo Citrix ADC que denote que una interfaz de administración (0/1 ó 0/2) está restringida únicamente al tráfico de administración. Esta restricción debe ser impuesta por el usuario final a través de la configuración de VLAN. Las interfaces de administración no están diseñadas para manejar el tráfico de datos, por lo que el diseño de la red debe tener en cuenta este punto. Las interfaces de administración, contenidas en la placa base del dispositivo Citrix ADC, carecen de varias funciones de descarga, como descarga de CRC, búferes de paquetes más grandes y otras optimizaciones, lo que las hace mucho menos eficientes en el manejo de grandes cantidades de tráfico. Para separar los datos de producción y el tráfico de administración, el NSIP no debe estar en la misma subnet/VLAN que el tráfico de datos.

  14. Si se quiere utilizar una interfaz de administración para transportar tráfico de administración, es recomendable que la ruta predeterminada esté en una subred que no sea la subred del NSIP (NSVLAN).

    En muchas configuraciones, se utiliza la ruta predeterminada para la comunicación de estaciones de trabajo (en un caso de Internet). Si la ruta predeterminada está en la misma subred que el NSIP, el dispositivo ADC puede utilizar la interfaz de administración para enviar y recibir tráfico de datos. Este uso del tráfico de datos puede sobrecargar la interfaz de administración.

  15. Además, un SDX: SVM, XenServer y todos los NSIP de instancias de Citrix ADC deben estar en la misma VLAN y subred. No hay ningún backplane en el dispositivo SDX que permita la comunicación entre SVM/Xen/instancias. Si no están en la misma VLAN/subnet/interfaz, el tráfico entre ellos debe salir del hardware físico, ser enrutado en la red y regresar.

    Esta configuración puede provocar problemas obvios de conectividad entre las instancias y SVM y, como tal, no se recomienda. Un síntoma común de esto es un indicador de estado de instancia amarilla en el SVM para la instancia VPX en cuestión y la imposibilidad de utilizar el SVM para reconfigurar una instancia VPX.

  16. Si algunas VLAN están enlazadas a subredes y otras no, durante una conmutación por error de alta disponibilidad, los paquetes GARP no se envían para ninguna dirección IP en ninguna de las subredes que no están enlazadas a una VLAN. Esta configuración puede causar problemas de conectividad y conexiones descartadas durante los failovers de alta disponibilidad. Este problema se debe a que el dispositivo Citrix ADC no puede notificar el cambio de direcciones IP de propiedad MAC de red en dispositivos Citrix ADC no configurados con VMAC.

    Los síntomas de esto son que durante o después de una conmutación por error de alta disponibilidad, el contador ip_tot_floating_ip_err se incrementa en el anterior dispositivo Citrix ADC principal durante más de unos segundos, lo que indica que la red no recibió ni procesó paquetes GARP y que la red continúa transmitiendo datos al nuevo dispositivo Citrix ADC secundario.

Prácticas recomendadas para redes de dispositivos Citrix ADC y VLAN