Citrix ADC

Meilleures pratiques en matière de mise en réseau et de VLAN des appliances Citrix ADC

Une appliance Citrix ADC utilise des VLAN pour déterminer quelle interface doit être utilisée pour quel trafic. En outre, l’appliance Citrix ADC ne participe pas à Spanning Tree. Sans la configuration VLAN appropriée, l’appliance Citrix ADC n’est pas en mesure de déterminer l’interface à utiliser et il peut fonctionner plus comme un HUB qu’un commutateur ou un routeur. En d’autres termes, l’appliance Citrix ADC peut utiliser toutes les interfaces pour chaque conversation.

Symptômes d’une mauvaise configuration du VLAN

Un problème de configuration erronée du VLAN peut se manifester sous de nombreuses formes, notamment des problèmes de performances, l’incapacité d’établir des connexions, des sessions déconnectées aléatoirement et, dans des situations graves, des perturbations réseau apparemment sans rapport avec l’appliance Citrix ADC elle-même. L’appliance Citrix ADC peut également signaler les déplacements MAC, les interfaces mutées et/ou les dépassements de tampon de l’interface de gestion, selon la nature exacte de l’interaction avec votre réseau.

Déplacements MAC (counter nic_tot_bdg_mac_moves) : ce problème indique que l’appliance Citrix ADC utilise plusieurs interfaces pour communiquer avec le même périphérique (adresse MAC), car il n’a pas pu déterminer correctement quelle interface utiliser.

Interfaces mutées (counter nic_err_bdg_muted) : ce problème indique que l’appliance Citrix ADC a détecté qu’elle crée une boucle de routage en raison de problèmes de configuration de VLAN, et qu’en tant que telle, elle a arrêté une ou plusieurs interfaces incriminées afin d’empêcher un réseau panne.

Dépassements detampon d’interface, généralement en référence aux interfaces de gestion (counter nic_err_tx_overflow) : Ceproblème peut être causé si trop de trafic est transmis via une interface de gestion. Les interfaces de gestion de l’appliance Citrix ADC ne sont pas conçues pour gérer de grands volumes de trafic, ce qui peut résulter d’erreurs de configuration réseau et VLAN qui déclenchent l’appliance Citrix ADC à utiliser une interface de gestion pour le trafic de données de production. Cela se produit souvent parce que l’appliance Citrix ADC n’a aucun moyen de différencier le trafic sur le VLAN/sous-réseau du NSIP (NSVLAN) du trafic de production régulier. Il est fortement recommandé que le NSIP se trouve sur un VLAN et un sous-réseau distincts de tous les périphériques de production tels que les stations de travail et les serveurs.

ACKorphelins (counter tcp_err_orphan_ack) : ce problème indique que l’appliance Citrix ADC a reçu un paquet ACK qu’elle n’attendait pas, généralement sur une interface différente de celle du trafic ACK’d. Cette situation peut être causée par des erreurs de configuration VLAN lorsque l’appliance Citrix ADC transmet sur une interface différente de celle utilisée par la machine cible pour communiquer avec l’appliance Citrix ADC (souvent vu en conjonction avec des déplacements MAC)

Taux élevés de retransmissions ou d’abandon de retransmission (compteurs : tcp_err_retransmit_giveups, tcp_err_7th_retransmit, divers autres compteurs de retransmission) : L’appliance Citrix ADC tente de retransmettre un paquet TCP 7 fois au total avant d’abandonner et de mettre fin à la connexion. Bien que cette situation puisse être causée par des conditions réseau, elle se produit souvent à la suite d’une mauvaise configuration du VLAN et de l’interface.

Haute disponibilité Split Brain : Split Brain est une condition dans laquelle les deux nœuds haute disponibilité croient qu’ils sont Primary, entraînant des adresses IP dupliquées et la perte des fonctionnalités de l’appliance Citrix ADC. Cela se produit lorsque les deux nœuds haute disponibilité ne peuvent pas communiquer entre eux en utilisant Heartbeats haute disponibilité sur le port UDP 3003 à l’aide du NSIP, sur n’importe quelle interface. Cela est généralement dû à des erreurs de configuration VLAN dans lesquelles le VLAN natif sur les interfaces de l’appliance Citrix ADC n’a pas de connectivité entre les appliances Citrix ADC.

Meilleures pratiques pour les configurations VLAN et réseau

  1. Chaque sous-réseau doit être associé à un VLAN.

  2. Plusieurs sous-réseaux peuvent être associés au même VLAN (selon la conception de votre réseau).

  3. Chaque VLAN doit être associé à une seule interface (aux fins de cette discussion, un canal LA compte comme une seule interface).

  4. Si plusieurs sous-réseaux doivent être associés à une interface, les sous-réseaux doivent être balisés.

  5. Contrairement à la croyance populaire, la fonctionnalité MBF (Mac-Based-Forwarding) de l’appliance Citrix ADC n’est pas conçue pour atténuer ce type de problème. MBF est conçu principalement pour le mode DSR (Direct Server Return) de l’appliance Citrix ADC, qui est rarement utilisé dans la plupart des environnements (il est conçu pour permettre au trafic de contourner délibérément l’appliance Citrix ADC sur le chemin de retour à partir des serveurs back-end). MBF peut masquer les problèmes de VLAN dans certains cas, mais il ne doit pas être utilisé pour résoudre ce type de problème.

  6. Chaque interface de l’appliance Citrix ADC nécessite un VLAN natif (contrairement à Cisco, où les VLAN natifs sont facultatifs), bien que le paramètre TagAll sur une interface puisse être utilisé de sorte qu’aucun trafic non marqué ne quitte l’interface en question.

  7. Le VLAN natif peut être balisé si nécessaire pour la conception de votre réseau (il s’agit de l’option tagAll pour l’interface).

  8. Le VLAN du sous-réseau du NSIP de votre appliance Citrix ADC est un cas particulier. C’est ce qu’on appelle le NSVLAN. Les concepts sont les mêmes, mais les commandes pour le configurer sont différentes et les modifications apportées au NSVLAN nécessitent un redémarrage de l’appliance Citrix ADC pour prendre effet. Si vous tentez de lier un VLAN à un SNIP qui partage le même sous-réseau que le NSIP, vous obtenez « Opération non autorisée ». C’est parce que vous devez utiliser les commandes NSVLAN à la place. En outre, sur certaines versions de firmware, vous ne pouvez pas définir un NSVLAN si ce numéro de VLAN existe à l’aide de la commande add VLAN. Il suffit de supprimer le VLAN, puis de réinstaller le NSVLAN.

  9. Les Heartbeats haute disponibilité utilisent toujours le VLAN natif de l’interface respective (éventuellement marqué si l’option tagAll est définie sur l’interface).

  10. Il doit y avoir communication entre au moins un ensemble de VLAN natif sur les deux nœuds d’une paire haute disponibilité (ceci peut être direct ou via un routeur). Les VLAN natifs sont utilisés pour les pulsations de haute disponibilité. Si les appliances Citrix ADC ne peuvent pas communiquer entre des VLAN natifs sur n’importe quelle interface, cela entraînera des basculements de haute disponibilité et éventuellement une situation de split-brain où les deux appliances Citrix ADC pensent qu’elles sont primaires (conduisant, entre autres, à des adresses IP en double).

  11. L’appliance Citrix ADC ne participe pas à l’arborescence spanning. En tant que tel, il n’est pas possible d’utiliser spanning tree pour assurer la redondance d’interface lors de l’utilisation d’une appliance Citrix ADC. Utilisez plutôt une forme d’agrégation de liens (LACP ou LAG manuelle) à cet effet.

    Remarque : Si vous souhaitez disposer d’une agrégation de liens entre plusieurs commutateurs physiques, les commutateurs doivent être configurés en tant que commutateur virtuel, à l’aide d’une fonctionnalité telle que la pile de commutateurs de Cisco.

  12. La synchronisation haute disponibilité et la commande Propagation, par défaut, utilisent le NSIP/NSVLAN. Pour les séparer d’un VLAN différent, vous pouvez utiliser l’option SyncVLAN de la commande set HA node.

  13. Rien dans la configuration par défaut de l’appliance Citrix ADC n’indique qu’une interface de gestion (0/1 ou 0/2) est limitée au trafic de gestion uniquement. Cette restriction doit être appliquée par l’utilisateur final via la configuration VLAN. Les interfaces de gestion ne sont pas conçues pour gérer le trafic de données, donc votre conception de réseau doit tenir compte de ce point. Les interfaces de gestion, contenues sur la carte mère de l’appliance Citrix ADC, ne disposent pas de diverses fonctionnalités de déchargement, telles que le déchargement CRC, des tampons de paquets plus volumineux et d’autres optimisations, ce qui les rend beaucoup moins efficaces pour gérer de grandes quantités de trafic. Pour séparer les données de production et le trafic de gestion, le NSIP ne doit pas être sur le même sous-net/VLAN que votre trafic de données.

  14. S’il est souhaitable d’utiliser une interface de gestion pour transporter le trafic de gestion, il est recommandé que l’itinéraire par défaut soit sur un sous-réseau autre que le sous-réseau du NSIP (NSVLAN).

    Dans de nombreuses configurations, l’itinéraire par défaut est utilisé pour la communication des stations de travail (dans un scénario Internet). Si l’itinéraire par défaut se trouve sur le même sous-réseau que le NSIP, l’appliance ADC peut utiliser l’interface de gestion pour envoyer et recevoir du trafic de données. Cette utilisation du trafic de données peut surcharger l’interface de gestion.

  15. En outre, un SDX-SVM, XenServer et tous les NSIP d’instance Citrix ADC doivent être sur le même VLAN et sous-réseau. Il n’y a pas de backplane dans l’appliance SDX qui permet la communication entre SVM/XEN/instances. S’ils ne sont pas sur le même VLAN/sous-net/interface, le trafic entre eux doit quitter le matériel physique, être routé sur votre réseau et revenir.

    Cette configuration peut entraîner des problèmes de connectivité évidents entre les instances et SVM et, en tant que telle, n’est pas recommandée. Un symptôme courant de ceci est un indicateur d’état d’instance jaune dans la SVM pour l’instance VPX en question, et l’impossibilité d’utiliser la SVM pour reconfigurer une instance VPX.

  16. Si certains VLAN sont liés à des sous-réseaux et d’autres ne le sont pas, lors d’un basculement de haute disponibilité, les paquets GARP ne sont pas envoyés pour des adresses IP sur aucun des sous-réseaux qui ne sont pas liés à un VLAN. Cette configuration peut entraîner des problèmes de connexion et de connectivité lors de basculements à haute disponibilité. Ce problème est dû au fait que l’appliance Citrix ADC ne peut pas notifier la modification des adresses IP de propriété MAC réseau sur les appliances Citrix ADC non configurées par VMAC.

    Les symptômes de ceci sont que, pendant ou après un basculement de haute disponibilité, le compteur ip_tot_floating_ip_err incrémente sur l’ancienne appliance principale Citrix ADC pendant plus de quelques secondes, ce qui indique que le réseau n’a pas reçu ou ne traite pas les paquets GARP et que le réseau continue à transmettre des données au nouveau deuxième appliance Citrix ADC.

Meilleures pratiques en matière de mise en réseau et de VLAN des appliances Citrix ADC