Citrix ADC

Configuración de VLAN para particiones de administración

Las VLAN se pueden enlazar a una partición como una VLAN “dedicada” o una VLAN “compartida”. Según su implementación, puede enlazar una VLAN a una partición para aislar su tráfico de red de otras particiones.

VLAN dedicada : una VLAN enlazada solo a una partición con la opción “Compartir” inhabilitada y debe ser una VLAN etiquetada. Por ejemplo, en una implementación cliente-servidor, por razones de seguridad, un administrador del sistema crea una VLAN dedicada para cada partición del lado del servidor.

VLAN compartida: VLAN enlazada (compartida en) a varias particiones con la opción “Compartir” habilitada. Por ejemplo, en una implementación cliente-servidor, si el administrador del sistema no tiene control sobre la red del lado del cliente, se crea una VLAN y se comparte en varias particiones.

La VLAN compartida se puede utilizar en varias particiones. Se crea en la partición predeterminada y puede enlazar una VLAN compartida a varias particiones. De forma predeterminada, una VLAN compartida está vinculada implícitamente a la partición predeterminada y, por lo tanto, no se puede enlazar explícitamente.

Nota

  • Un dispositivo Citrix ADC implementado en cualquier plataforma de hipervisor (ESX, KVM, Xen e Hyper-V) debe cumplir las condiciones siguientes en una configuración de partición y dominio de tráfico:

    • Enable the promiscuous mode, MAC changes, MAC spoofing, or forged transmit for shared VLANs with partition.
    • Enable the VLAN with port group properties of the virtual switch, if the traffic is through a dedicated VLAN.
  • En un dispositivo Citrix ADC con particiones (multiarrendatario), un administrador del sistema puede aislar el tráfico que fluye a una partición o particiones concretas. Se realiza vinculando una o más VLAN a cada partición. Una VLAN se puede dedicar a una partición o Compartida a través de varias particiones.

VLAN dedicadas

Para aislar el tráfico que fluye hacia una partición, cree una VLAN y asócielo a la partición. La VLAN es visible solo para la partición asociada y el tráfico que fluye a través de la VLAN se clasifica y procesa solo en la partición asociada.

Partición de administración de VLAN dedicada

Para implementar una VLAN dedicada para una partición concreta, haga lo siguiente.

  1. Agregue una VLAN (V1).
  2. Enlazar una interfaz de red a la VLAN como interfaz de red etiquetada.
  3. Crea una partición (P1).
  4. Enlazar partición (P1) a la VLAN dedicada (V1).

Configure lo siguiente mediante la CLI

  • Crear una VLAN

    add vlan <id>

Ejemplo

    add vlan 100
  • Vincular una VLAN

    bind vlan <id> -ifnum <interface> -tagged

Ejemplo

    bind vlan 100 –ifnum 1/8 -tagged
  • Crear una partición

    Add ns partition <partition name> [-maxBandwidth <positive_integer>][-maxConn <positive_integer>] [-maxMemLimit <positive_integer>]

Ejemplo

    Add ns partition P1 –maxBandwidth 200 –maxconn 50 –maxmemlimit 90

    Done
  • Enlazar una partición a una VLAN

    bind partition <partition-id> -vlan <id>

Ejemplo

    bind partition P1 –vlan 100

Configurar una VLAN dedicada mediante la GUI de Citrix ADC

  1. Vaya a Configuración > Sistema > Red > VLAN* y haga clic en Agregar para crear una VLAN.
  2. En la página Crear VLAN, defina los siguientes parámetros:

    • ID DE VLAN
    • Alias
    • Unidad de transmisión máxima
    • Redirección dinámica
    • Redirección dinámica IPv6
    • Uso compartido de particiones
  3. En la sección Enlaces de interfaz, seleccione una o más interfaces y enlácelas a la VLAN.
  4. En la sección Enlaces IP, seleccione una o más direcciones IP y enlácelas a la VLAN.
  5. Haga clic en Aceptar y Listo.

VLAN compartida

En una configuración de VLAN compartida, cada partición tiene una dirección MAC y el tráfico recibido en la VLAN compartida se clasifica por dirección MAC. Solo se recomienda una VLAN de capa 3 porque puede restringir el tráfico de subred. Una dirección MAC de partición es aplicable e importante solo para una implementación de VLAN compartida.

Nota

A partir de Citrix ADC versión 12.1 compilación 51.16, la VLAN compartida en un dispositivo con particiones admite el protocolo de redirección dinámica.

El siguiente diagrama muestra cómo se comparte una VLAN (VLAN 10) en dos particiones.

Partición de administración de VLAN compartida

Para implementar una configuración de VLAN compartida, haga lo siguiente:

  1. Cree una VLAN con la opción de compartir “habilitada” o habilite la opción de compartir en una VLAN existente. Por defecto, la opción está “inhabilitada”.
  2. Enlazar la interfaz de partición a la VLAN compartida.
  3. Crea las particiones, cada una con su propia dirección PartitionMac.
  4. Enlazar las particiones a la VLAN compartida.

Configurar una VLAN compartida mediante la CLI

En el símbolo del sistema, escriba uno de los siguientes comandos para agregar VLAN o establezca el parámetro de uso compartido de una VLAN existente:

add vlan <id> [-sharing (ENABLED | DISABLED)]

set vlan <id> [-sharing (ENABLED | DISABLED)]

add vlan 100 –sharing ENABLED

set vlan 100 –sharing ENABLED

Enlazar una partición a una VLAN compartida mediante la CLI

En el símbolo del sistema, escriba:

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

add ns partition P1 –maxBandwidth 200 –maxconn 50   –maxmemlimit 90 -partitionMAC<mac_addr

Done

Configurar una dirección MAC de partición mediante la CLI

set ns partition <partition name> [-partitionMAC<mac_addr>]

set ns partition P1 –partitionMAC 22:33:44:55:66:77

Vincular particiones a una VLAN compartida mediante la CLI

bind partition <partition-id> -vlan <id>

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

bind partition P2 –vlan 100

bind partition P3 –vlan 100

bind partition P4 –vlan 100

Configurar VLAN compartida mediante la GUI de Citrix ADC

  1. Vaya a Configuración > Sistema > Red > VLAN y, a continuación, seleccione un perfil de VLAN y haga clic en Modificar para establecer el parámetro de compartición de particiones.

  2. En la página Crear VLAN, seleccione la casilla de verificación Compartir particiones .

  3. Haga clic en Aceptar y, a continuación, Listo.

Redirección dinámica a través de una VLAN compartida entre particiones de administración

Las particiones de administración de un dispositivo Citrix ADC proporcionan una forma de alojar a varios arrendatarios.

A partir de la versión 12.1 de Citrix ADC, compilación 51.16, una VLAN compartida en un dispositivo con particiones admite el protocolo de redirección dinámica. La redirección se puede configurar en VLAN dedicadas o compartidas asociadas con particiones administrativas.

VLAN dedicada de una partición de administración. En una VLAN dedicada, la ruta de datos del arrendatario se identifica mediante una o más VLAN. El resultado es una configuración estricta y un aislamiento de rutas de datos para el arrendatario. Para anunciar el estado de una dirección VIP, la redirección dinámica está habilitado en cada partición y la adyacencia de redirección se establece por partición.

Redirección dinámica a través de una VLAN dedicada por partición

Una VLAN compartida entre particiones de administración. En una VLAN compartida, las direcciones VIP configuradas en una partición no predeterminada se pueden anunciar mediante una única adyacencia o interconexión formada en la partición predeterminada. Se utiliza una dirección SNIP en la partición no predeterminada como siguiente salto para todas las direcciones VIP (configuradas con la opción AdvertiseOnDefaultPartition ) de esa partición no predeterminada. La dirección SNIP configurada se marca como una dirección IP de salto siguiente en los anuncios de redirección.

Considere un ejemplo de configuración de particiones de administración en un dispositivo Citrix ADC, la VLAN 100 se comparte en la partición predeterminada y en particiones no predeterminadas: AP-3 y AP-5. Las direcciones SNIP SNIP1 se agregan en la partición predeterminada, SNIP3 se agrega en AP-3 y SNIP5 en AP-5. Se puede acceder a SNIP1, SNIP3 y SNIP5 a través de la vlan-100. Las direcciones VIP VIP1 se agregan en la partición predeterminada, VIP3 se agrega en AP-3 y VIP5 en AP-5. VIP3 y VIP5 se anuncian mediante la adyacencia única o el peering formado en la partición predeterminada.

Redirección dinámica a través de una VLAN compartida entre particiones

Antes de comenzar

Antes de configurar el redirección dinámica a través de una VLAN compartida en una partición de administración no predeterminada, asegúrese de que:

  • El redirección dinámica se configura en la VLAN compartida en la partición predeterminada. La configuración del redirección dinámica en la VLAN compartida en la partición predeterminada consta de los siguientes pasos:
    1. Habilite el redirección dinámica en la VLAN compartida.
    2. Agregar una dirección IP de SNIP con redirección dinámica habilitado. Esta dirección IP de SNIP se utiliza para redirección dinámica con el flujo ascendente.
    3. Enlazar la subred IP SNIP a la VLAN compartida.
  • Uno o varios protocolos de redirección dinámica se configuran en la partición predeterminada. Para obtener más información, consulte Configuración de protocolos de redirección dinámica.

Pasos de configuración

La configuración del redirección dinámica a través de una VLAN compartida en una partición de administración no predeterminada consta de los siguientes pasos:

  1. Agregue una dirección IP SNIP en la partición no predeterminada. Esta dirección IP del SNIP debe estar en la misma subred de la dirección IP del SNIP que se utiliza para el redirección dinámica en la partición predeterminada.

  2. Establezca o habilite los siguientes parámetros para anunciar una dirección VIP, en una partición no predeterminada, mediante redirección dinámica.

    • Puerta de enlace de ruta de host (HostRTGW). Establezca este parámetro en la dirección SNIP agregada en el paso anterior.
    • Publicidad en la partición predeterminada (AdvertiseOnDefaultPartition). Active este parámetro.

Configuración de ejemplo

Considere un ejemplo de configuración de una partición de administración en un dispositivo Citrix ADC. En este dispositivo se ha configurado una partición de administración no predeterminada AP-3. Una VLAN100 de VLAN compartida está vinculada a AP-3. La siguiente configuración de ejemplo configura el redirección dinámica, a través de VLAN100, en AP-3.

Pasos Configuración de ejemplo
En la partición de administración predeterminada -
Habilite el redirección dinámica en la VLAN 100 compartida. set vlan 100 -dynamicRouting enabled
Agregar dirección IP SNIP 192.0.2.10 con redirección dinámica habilitado.Esta dirección IP SNIP se utiliza para la redirección dinámica con la dirección ascendente. add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
Enlazar la subred de 192.0.2.10 a la VLAN 100 compartida. bind vlan 100 -IPAddress 192.0.2.10 255.255.255.0
En la partición de administración no predeterminada AP-3 -
Agregar la dirección IP del SNIP 192.0.2.30. Esta dirección IP del SNIP se encuentra en la misma subred que la dirección IP del SNIP 192.0.2.10 en la partición predeterminada. add ns ip 192.0.2.30 255.255.255.0 -type SNIP
Para publicidad de la dirección VIP 203.0.113.300 mediante redirección dinámica, habilite el parámetro advertiseOnDefaultPartition y establezca el parámetro hostRtGw en 192.0.2.30. set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.30

Redirección dinámica de IPv6 a través de una VLAN compartida en la partición de administración

Los comandos enable ns feature IPv6PT y set L3Param –ipv6DynamicRouting ENABLED deben estar habilitados para que una dirección IPv6 se redirija dinámicamente a través de una VLAN compartida en una partición de administración. Las siguientes configuraciones de ejemplo le ayudan a configurar el redirección dinámica de IPv6 a través de VLAN compartida.

Configuración de ejemplo

La siguiente configuración de ejemplo configura el redirección dinámica, a través de VLAN 100, en AP-3.

Pasos Configuración de ejemplo
En la partición de administración predeterminada -
Habilite el redirección dinámica en la VLAN 100 compartida. set vlan 100 -dynamicRouting enabled
Agregue la dirección IP SNIP 2001:b:c:d። 1/64 con el redirección dinámica habilitado.La dirección IP SNIP se utiliza para el redirección dinámica con el flujo ascendente. add ns ip6 2001:b:c:d::1/64 -type SNIP -dynamicRouting enabled
Enlazar subred de 2001:b:c:d። 1/64 a la VLAN 100 compartida. bind vlan 100 -IPAddress 2001:b:c:d::1/64
En la partición de administración no predeterminada AP-3 -
Agregue la dirección IP SNIP 2001:b:c:d። 2/64. Esta dirección IP SNIP se encuentra en la misma subred que la dirección IP SNIP 2001:b:c:d። 2/64 en la partición predeterminada. add ns ip6 2001:b:c:d::2/64 -type SNIP
Para publicidad de la dirección VIP 2002። 1/128 mediante redirección dinámica, habilite el parámetro advertiseOnDefaultPartition y establezca el parámetro ip6hostRtGw en 2001:b:c:d። 2. set ns ip6 2002::1/128 -hostRoute enabled -advertiseOnDefaultPartition enabled -ip6hostRtGw 2001:b:c:d::2

El VIP presente en la partición de administración debe verse en VTYSH de la partición predeterminada como una ruta del núcleo.

> switch partition default
Done

>vtysh
ns#

ns# sh ipv6 route kernel

IPv6 routing table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
   IA - OSPF inter area, E1 - OSPF external type 1,
   E2 - OSPF external type 2, I - IS-IS, B - BGP
Timers: Uptime

K      2002::1/128 via 2001:b:c:d::2, vlan0, 01:24:15                             >> on Default Partition, VIP : 2002::1 present in AP known via SNIP6 : 2001:b:c:d::2 is present in AP as a Kernel Route

Se puede anunciar hacia arriba mediante la opción “redistribuir kernel” en OSPFv3/BGP+ en la partición predeterminada.

ns# sh run router ipv6 ospf
!
router ipv6 ospf 1
redistribute kernel
!

VLAN compartida con partición de administración en el dispositivo Citrix ADC SDX

En el dispositivo SDX, debe generar y configurar la dirección PMAC mediante la interfaz de usuario de Management Service antes de utilizar las particiones de administración con VLAN compartidas. Management Service le permite generar direcciones MAC de partición mediante:

  • Uso de una dirección MAC base
  • Especificación de direcciones MAC personalizadas
  • Generación aleatoria de direcciones MAC

Nota