Citrix ADC

Configuración de VLAN para particiones de administración

Las VLAN se pueden vincular a una partición como una VLAN “dedicada” o una VLAN “compartida”. Según la implementación, puede enlazar una VLAN a una partición para aislar su tráfico de red de otras particiones.

VLAN dedicada: Una VLAN enlazada solo a una partición con la opción “Compartir” inhabilitada y debe ser una VLAN etiquetada. Por ejemplo, en una implementación cliente-servidor, por razones de seguridad, un administrador del sistema crea una VLAN dedicada para cada partición del lado del servidor.

VLAN compartida : VLAN enlazada (compartida en) a varias particiones con la opción “Compartir” habilitada. Por ejemplo, en una implementación cliente-servidor, si el administrador del sistema no tiene control sobre la red del lado del cliente, se crea una VLAN y se comparte entre varias particiones.

La VLAN compartida se puede utilizar en varias particiones. Se crea en la partición predeterminada y puede enlazar una VLAN compartida a varias particiones. De forma predeterminada, una VLAN compartida está vinculada implícitamente a la partición predeterminada y, por lo tanto, no puede vincularse explícitamente.

Nota

Si un dispositivo Citrix ADC Virtual Appliance se implementa en una plataforma ESX, debe habilitar el modo promiscuo para las VLAN compartidas con partición. De lo contrario, si el tráfico se realiza a través de una VLAN dedicada, debe habilitar la VLAN con Portgroup las propiedades del conmutador virtual.

En un dispositivo Citrix ADC con particiones (multiarrendatario), un administrador del sistema puede aislar el tráfico que fluye a una partición o particiones concretas. Se puede hacer vinculando una o más VLAN a cada partición. Una VLAN se puede dedicar a una partición o Compartida a través de varias particiones.

VLAN dedicadas

Para aislar el tráfico que fluye en una partición, cree una VLAN y asociarla a la partición. La VLAN es entonces visible solo para la partición asociada, y el tráfico que fluye a través de la VLAN se clasifica y procesa solo en la partición asociada.

Partición de administración de VLAN dedicada

Para implementar una VLAN dedicada para una partición concreta, haga lo siguiente.

  1. Agregue una VLAN (V1).
  2. Enlazar una interfaz de red a VLAN como una interfaz de red etiquetada.
  3. Crear una partición (P1).
  4. Enlace la partición (P1) a la VLAN dedicada (V1).

Configure lo siguiente mediante la CLI

  • Crear una VLAN

    add vlan <id>

Ejemplo

    add vlan 100
  • Vincular una VLAN

    bind vlan <id> -ifnum <interface> -tagged

Ejemplo

    bind vlan 100 —ifnum 1/8 -etiquetado
  • Crear una partición

    Add ns partition <partition name> [-maxBandwidth <positive_integer>][-maxConn <positive_integer>] [-maxMemLimit <positive_integer>]

Ejemplo

    Add ns partition P1 –maxBandwidth 200 –maxconn 50 –maxmemlimit 90

    Completado
  • Enlazar una partición a una VLAN

    bind partition <partition-id> -vlan <id>

Ejemplo

    partición de enlace P1 —vlan 100

Configurar una VLAN dedicada mediante la GUI de Citrix ADC

  1. Vaya a Configuración > Sistema > Red > VLAN* y haga clic en Agregar para crear una VLAN.
  2. En la página Crear VLAN, establezca los siguientes parámetros:

    • ID DE VLAN
    • Alias
    • Unidad de transmisión máxima
    • Redirección dinámica
    • Enrutamiento dinámico IPv6
    • Particiones compartidas
  3. En la sección Enlaces de interfaz, seleccione una o más interfaces y enlaza a la VLAN.
  4. En la sección Enlaces IP, seleccione una o más direcciones IP y enlazar a la VLAN.
  5. Haga clic en Aceptar y Listo.

VLAN compartida

En una configuración de VLAN compartida, cada partición tiene una dirección MAC y el tráfico recibido en la VLAN compartida se clasifica por dirección MAC. Solo se recomienda una VLAN de capa 3 porque puede restringir el tráfico de subred. Una dirección MAC de partición es aplicable e importante solo para una implementación de VLAN compartida.

Nota

A partir de Citrix ADC versión 12.1 compilación 51.16, la VLAN compartida en un dispositivo con particiones admite el protocolo de enrutamiento dinámico.

El siguiente diagrama muestra cómo se comparte una VLAN (VLAN 10) en dos particiones.

Partición de administración de VLAN compartida

Para implementar una configuración de VLAN compartida, haga lo siguiente:

  1. Cree una VLAN con la opción de uso compartido ‘habilitada’ o habilite la opción de uso compartido en una VLAN existente. De forma predeterminada, la opción es ‘inhabilitada’.
  2. Vincular la interfaz de partición a VLAN compartida.
  3. Cree las particiones, cada una con su propia dirección de PartitionMac.
  4. Enlazar las particiones a la VLAN compartida.

Configurar una VLAN compartida mediante la CLI

En el símbolo del sistema, escriba uno de los siguientes comandos para agregar VLAN o establezca el parámetro de uso compartido de una VLAN existente:

add vlan <id> [-sharing (ENABLED | DISABLED)]

set vlan <id> [-sharing (ENABLED | DISABLED)]

add vlan 100 —compartir HABILITADO

set vlan 100 —compartir HABILITADO

Enlazar una partición a una VLAN compartida mediante la CLI

En el símbolo del sistema, escriba:

bind partición <partition-id> -vlan <id>

partición de enlace P1 —vlan 100

add ns partición P1 —maxBandwidth 200 —maxconn 50   —maxmemlimit 90 -PartitionMac<mac_addr

Completado

Configurar una dirección MAC de partición mediante la CLI

set ns partición <partition name> [-partitionMac <mac_addr>]

set ns partición P1 —PartitionMac 22:33:44:55:66:77

Vincular particiones a una VLAN compartida mediante la CLI

bind partición <partition-id> -vlan <id>

bind partición <partition-id> -vlan <id>

partición de enlace P1 —vlan 100

partición de enlace P2 —vlan 100

partición de enlace P3 —vlan 100

partición de enlace P4 —vlan 100

Configurar VLAN compartida mediante la GUI de Citrix ADC

  1. Vaya a Configuración > Sistema > Red > VLAN y, a continuación, seleccione un perfil de VLAN y haga clic en Modificar para establecer el parámetro de partición compartida.

  2. En la página Crear VLAN, active la casilla de verificación Compartir particiones.

  3. Haga clic en Aceptar y, a continuación, Hecho.

Enrutamiento dinámico a través de una VLAN compartida entre particiones de administración

Las particiones de administrador en un dispositivo Citrix ADC proporcionan una forma de alojar varios arrendatarios.

A partir de la versión 12.1 de Citrix ADC, compilación 51.16, una VLAN compartida en un dispositivo con particiones admite el protocolo de enrutamiento dinámico. El enrutamiento se puede configurar en VLAN dedicadas o compartidas asociadas con particiones administrativas.

VLAN dedicada de una partición de administración. En una VLAN dedicada, la ruta de datos del arrendatario se identifica mediante una o más VLAN. Resulta en una configuración estricta y aislamiento de ruta de datos para el arrendatario. Para anunciar el estado de una dirección VIP, el enrutamiento dinámico está habilitado en cada partición y la adyacencia de enrutamiento se establece por partición.

Enrutamiento dinámico a través de una VLAN dedicada por partición

Una VLAN compartida entre particiones de administración. En una VLAN compartida, las direcciones VIP configuradas en una partición no predeterminada se pueden anunciar a través de una única adyacencia o peering formada en la partición predeterminada. Una dirección de recorte en la partición no predeterminada se utiliza como salto siguiente para todas las direcciones VIP (configuradas con la opción AdvertiseOnDefaultPartition ) en esa partición no predeterminada. La dirección SNIP configurada se marca como una dirección IP de salto siguiente en los anuncios de enrutamiento.

Considere un ejemplo de configuración de particiones administrativas en un dispositivo Citrix ADC, VLAN 100 se comparte en la partición predeterminada y particiones no predeterminadas: AP-3 y AP-5. Direcciones de recorte SNIP1 se agrega en la partición predeterminada, SNIP3 se agrega en AP-3 y SNIP5 se agrega en AP-5. SNIP1, SNIP3 y SNIP5 son accesibles a través de la vlan-100. Direcciones VIP VIP1 se agrega en la partición predeterminada, VIP3 se agrega en AP-3 y VIP5 se agrega en AP-5. VIP3 y VIP5 se anuncian a través de la adyacencia única o peering formada en la partición predeterminada.

Enrutamiento dinámico a través de una VLAN compartida entre particiones

Antes de comenzar

Antes de configurar el enrutamiento dinámico a través de una VLAN compartida en una partición de administración no predeterminada, asegúrese de que:

  • El enrutamiento dinámico se configura en la VLAN compartida en la partición predeterminada. La configuración del enrutamiento dinámico en la VLAN compartida en la partición predeterminada consta de los siguientes pasos:
    1. Habilite el enrutamiento dinámico en la VLAN compartida.
    2. Agregar una dirección IP de SNIP con enrutamiento dinámico habilitado. Esta dirección IP de SNIP se utiliza para enrutamiento dinámico con el flujo ascendente.
    3. Enlazar la subred IP de SNIP a la VLAN compartida.
  • Uno o varios protocolos de enrutamiento dinámico se configuran en la partición predeterminada. Para obtener más información, consulte configurar protocolos de enrutamiento dinámico.

Pasos de configuración

La configuración del enrutamiento dinámico a través de una VLAN compartida en una partición de administración no predeterminada consta de los siguientes pasos:

  1. Agregue una dirección IP de SNIP en la partición no predeterminada. Esta dirección IP del SNIP debe estar en la misma subred de la dirección IP del SNIP que se utiliza para el enrutamiento dinámico en la partición predeterminada.

  2. Establezca o habilite los siguientes parámetros para anunciar una dirección VIP, en una partición no predeterminada, mediante enrutamiento dinámico.

    • Puerta de enlace de ruta de host (HostrtGW). Establezca este parámetro en la dirección SNIP agregada en el paso anterior.
    • Anunciar en la partición predeterminada (AdvertiseOnDefaultPartition). Habilite este parámetro.

Configuración de ejemplo

Considere un ejemplo de configuración de una partición de administración en un dispositivo Citrix ADC. En este dispositivo se configura una partición de administración no predeterminada AP-3. Una VLAN VLAN100 compartida está vinculada a AP-3. La siguiente configuración de ejemplo configura el enrutamiento dinámico, a través de VLAN100, en AP-3.

Pasos Configuración de ejemplo
En la partición de administración predeterminada -
Habilite el enrutamiento dinámico en la VLAN 100 compartida. set vlan 100 -dynamicRouting enabled
Agregar dirección IP SNIP 192.0.2.10 con enrutamiento dinámico habilitado.Esta dirección IP de SNIP se utiliza para enrutamiento dinámico con el flujo ascendente. add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
Enlazar una subred de 192.0.2.10 a VLAN 100 compartida. bind vlan 100 -IPAddress 192.0.2.10 255.255.255.0
En la partición de administración no predeterminada AP-3 -
Agregar la dirección IP del SNIP 192.0.2.30. Esta dirección IP del SNIP se encuentra en la misma subred que la dirección IP del SNIP 192.0.2.30 en la partición predeterminada. add ns ip 192.0.2.30 255.255.255.0 -type SNIP
Para la publicidad de la dirección VIP 203.0.113.300 mediante enrutamiento dinámico, habilite el advertiseOnDefaultPartitionhostRtGwparámetro y establezca el parámetro en 192.0.2.20. set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.20

VLAN compartida con partición de administración en el dispositivo Citrix ADC SDX

En el dispositivo SDX, debe generar y configurar la dirección PMAC mediante la interfaz de usuario de Management Service antes de utilizar las particiones de administrador con VLAN compartidas. Management Service le permite generar direcciones MAC de partición mediante:

  • Uso de una dirección MAC base
  • Especificación de direcciones MAC personalizadas
  • Generar direcciones MAC aleatoriamente

Nota