Citrix ADC

Descripción de las VLAN

Un dispositivo Citrix ADC admite el puerto de Capa 2 y las VLAN etiquetadas IEEE 802.1q. Las configuraciones de VLAN son útiles cuando se necesita restringir el tráfico a determinados grupos de estaciones. Puede configurar una interfaz de red como parte de varias VLAN mediante el etiquetado IEEE 802.1q.

Puede configurar VLAN y vincularlas a subredes IP. A continuación, Citrix ADC realiza el reenvío de IP entre estas VLAN (si está configurado como el enrutador predeterminado para los hosts de estas subredes).

Citrix ADC admite los siguientes tipos de VLAN:

  • VLAN basadas en puertos. La pertenencia a una VLAN basada en puerto se define mediante un conjunto de interfaces de red que comparten un dominio de difusión exclusivo y común de Capa 2. Puede configurar varias VLAN basadas en puertos. De forma predeterminada, todas las interfaces de red del Citrix ADC son miembros de la VLAN 1.

    Si aplica el etiquetado 802.1q al puerto, la interfaz de red pertenece a una VLAN basada en puerto. El tráfico de capa 2 se puentina dentro de una VLAN basada en puerto y las difusiones de capa 2 se envían a todos los miembros de la VLAN si el modo de capa 2 está habilitado. Cuando agrega una interfaz de red sin etiqueta como miembro de una VLAN nueva, se elimina de su VLAN actual.

  • VLAN predeterminada. De forma predeterminada, las interfaces de red del Citrix ADC se incluyen en una única VLAN basada en puertos como interfaces de red sin etiquetas. Esta VLAN es la VLAN predeterminada. Tiene un ID de VLAN (VID) de 1. Esta VLAN existe permanentemente. No se puede eliminar y su VID no se puede cambiar.

    Cuando agrega una interfaz de red a una VLAN diferente como miembro sin etiqueta, la interfaz de red se elimina automáticamente de la VLAN predeterminada. Si desvincula una interfaz de red de su VLAN basada en puerto actual, se agrega de nuevo a la VLAN predeterminada.

  • VLAN etiquetadas. El etiquetado 802.1q (definido en el estándar IEEE 802.1q) permite que un dispositivo de red (como Citrix ADC) agregue información a una trama en la capa 2 para identificar la pertenencia a VLAN del marco. El etiquetado permite que los entornos de red tengan VLAN que abarcan varios dispositivos. Un dispositivo que recibe el paquete lee la etiqueta y reconoce la VLAN a la que pertenece la trama. Algunos dispositivos de red no admiten recibir paquetes etiquetados y no etiquetados en la misma interfaz de red, en particular, conmutadores Force10. En tales casos, debe ponerse en contacto con el servicio de atención al cliente para obtener ayuda.

    La interfaz de red puede ser un miembro etiquetado o no etiquetado de una VLAN. Cada interfaz de red es un miembro sin etiqueta de una VLAN solamente (su VLAN nativa). Esta interfaz de red transmite las tramas de la VLAN nativa como tramas sin etiquetas. Una interfaz de red puede formar parte de más de una VLAN si las otras VLAN están etiquetadas.

    Cuando configure el etiquetado, asegúrese de que coincida con la configuración de la VLAN en ambos extremos del vínculo. El puerto al que se conecta Citrix ADC debe estar en la misma VLAN que la interfaz de red Citrix ADC.

    Nota: Esta configuración de VLAN no está sincronizada ni propagada, por lo que debe realizar la configuración en cada unidad en un par de HA de forma independiente.

Aplicación de reglas para clasificar marcos

Las VLAN tienen dos tipos de reglas para clasificar tramas:

  • Reglas de introducción. Las reglas de introducción clasifican cada trama como perteneciente solo a una VLAN única. Cuando se recibe un marco en una interfaz de red, se aplican las siguientes reglas para clasificar el marco:

    • Si el marco no está etiquetado o tiene un valor de etiqueta igual a 0, el VID del marco se establece en el puerto VID (PVID) de la interfaz de recepción, que se clasifica como perteneciente a la VLAN nativa. (Los PVID se definen en el estándar IEEE 802.1q.)
    • Si el marco tiene un valor de etiqueta igual a FFF, el marco se elimina.
    • Si el VID de la trama especifica una VLAN de la que la interfaz de red receptora no es miembro, se elimina la trama. Por ejemplo, si un paquete se envía desde una subred asociada con el ID de VLAN 12 a una subred asociada con el ID de VLAN 10, se elimina el paquete. Si un paquete sin etiquetas con VID 9 se envía desde la subred asociada con VLAN ID 10 a una interfaz de red PVID 9, el paquete se elimina.
  • Reglas de salida. Se aplican las siguientes reglas de salida:

    • Si el VID de la trama especifica una VLAN de la que la interfaz de red de transmisión no es miembro, se descarta la trama.
    • Durante el proceso de aprendizaje (definido por el estándar IEEE 802.1q), SRC MAC y VID se utilizan para actualizar la tabla de búsqueda de bridge del Citrix ADC.
    • Una trama se descarta si su VID especifica una VLAN que no tiene ningún miembro. (Los miembros se definen vinculando interfaces de red a una VLAN.)

VLAN y reenvío de paquetes en Citrix ADC

El proceso de reenvío en el dispositivo Citrix ADC es similar al de cualquier conmutador estándar. Sin embargo, Citrix ADC realiza el reenvío solo cuando el modo Capa 2 está activado. Las funciones clave del proceso de reenvío son:

  • Se aplican restricciones de topología. La aplicación implica seleccionar cada interfaz de red en la VLAN como puerto de transmisión (dependiendo del estado de la interfaz de red), restricciones de conexión en puente (no reenviar en la interfaz de red receptora) y restricciones de MTU.
  • Las tramas se filtran sobre la base de la información de la búsqueda de tabla de puente en la tabla de base de datos de reenvío (FDB) del Citrix ADC. La búsqueda de la tabla de puente se basa en el MAC de destino y el VID. Los paquetes dirigidos a la dirección MAC del Citrix ADC se procesan en las capas superiores.
  • Todas las tramas de difusión y multidifusión se reenvían a cada interfaz de red que es miembro de la VLAN, pero el reenvío solo se produce si el modo L2 está habilitado. Si el modo L2 está inhabilitado, se descartan los paquetes de difusión y multidifusión. Esto también es cierto para las direcciones MAC que no están actualmente en la tabla de puente.
  • Una entrada de VLAN tiene una lista de interfaces de red miembro que forman parte de su conjunto de miembros sin etiqueta. Al reenviar tramas a estas interfaces de red, no se inserta una etiqueta en el marco.
  • Si la interfaz de red es un miembro etiquetado de esta VLAN, la etiqueta se inserta en el marco cuando se reenvía el marco.

Cuando un usuario envía paquetes de difusión o multidifusión sin identificar la VLAN, es decir, durante la detección de direcciones duplicadas (DAD) para NSIP o ND6 para el siguiente salto de la ruta, el paquete se envía en todas las interfaces de red, con el etiquetado adecuado basado en las reglas de entrada y salida. ND6 normalmente identifica una VLAN y solo se envía un paquete de datos en esta VLAN. Las VLAN basadas en puertos son comunes a IPv4 e IPv6. Para IPv6, Citrix ADC admite VLAN basadas en prefijos.

Descripción de las VLAN