Présentation des VLAN

Une appliance Citrix ADC prend en charge le port de couche 2 et les VLAN balisés IEEE 802.1q. Les configurations VLAN sont utiles lorsque vous devez restreindre le trafic à certains groupes de stations. Vous pouvez configurer une interface réseau dans le cadre de plusieurs VLAN à l’aide du balisage IEEE 802.1q.

Vous pouvez configurer des VLAN et les lier à des sous-réseaux IP. Citrix ADC effectue ensuite le transfert IP entre ces VLAN (s’il est configuré comme routeur par défaut pour les hôtes de ces sous-réseaux).

Le Citrix ADC prend en charge les types de VLAN suivants :

  • VLAN basés sur les ports. L’appartenance à un VLAN basé sur un port est définie par un ensemble d’interfaces réseau qui partagent un domaine de diffusion de couche 2 commun et exclusif. Vous pouvez configurer plusieurs VLAN basés sur des ports. Par défaut, toutes les interfaces réseau du Citrix ADC sont membres du VLAN 1.

    Si vous appliquez le balisage 802.1q au port, l’interface réseau appartient à un VLAN basé sur le port. Le trafic de couche 2 est ponté dans un VLAN basé sur un port, et les diffusions de couche 2 sont envoyées à tous les membres du VLAN si le mode de couche 2 est activé. Lorsque vous ajoutez une interface réseau non balisée en tant que membre d’un nouveau VLAN, elle est supprimée de son VLAN actuel.

  • VLAN par défaut. Par défaut, les interfaces réseau sur Citrix ADC sont incluses dans un seul VLAN basé sur le port en tant qu’interfaces réseau non marquées. Ce VLAN est le VLAN par défaut. Il a un ID VLAN (VID) de 1. Ce VLAN existe en permanence. Il ne peut pas être supprimé et son VID ne peut pas être modifié.

    Lorsque vous ajoutez une interface réseau à un autre VLAN en tant que membre non marqué, l’interface réseau est automatiquement supprimée du VLAN par défaut. Si vous dissociez une interface réseau de son VLAN basé sur le port actuel, elle est à nouveau ajoutée au VLAN par défaut.

  • VLAN taggés. Le balisage 802.1q (défini dans la norme IEEE 802.1q) permet à un périphérique réseau (tel que Citrix ADC) d’ajouter des informations à une trame de couche 2 pour identifier l’appartenance au VLAN de la trame. Le balisage permet aux environnements réseau d’avoir des VLAN qui couvrent plusieurs périphériques. Un périphérique qui reçoit le paquet lit la balise et reconnaît le VLAN auquel appartient la trame. Certains périphériques réseau ne prennent pas en charge la réception de paquets balisés et non balisés sur la même interface réseau, en particulier les commutateurs Force10. Dans de tels cas, vous devez contacter le support client pour obtenir de l’aide.

    L’interface réseau peut être un membre balisé ou non marqué d’un VLAN. Chaque interface réseau est un membre non marqué d’un seul VLAN (son VLAN natif). Cette interface réseau transmet les trames du VLAN natif en tant que trames non marquées. Une interface réseau peut faire partie de plusieurs VLAN si les autres VLAN sont balisés.

    Lorsque vous configurez le balisage, assurez-vous de correspondre à la configuration du VLAN aux deux extrémités de la liaison. Le port auquel le Citrix ADC se connecte doit se trouver sur le même VLAN que l’interface réseau Citrix ADC.

    Remarque : Cette configuration de VLAN n’est ni synchronisée ni propagée, vous devez donc effectuer la configuration sur chaque unité d’une paire HA indépendamment.

Application de règles pour classer des images

Les VLAN ont deux types de règles pour classer les trames :

  • Règles d’entrée. Les règles d’entrée classent chaque image comme appartenant à un seul VLAN. Lorsqu’une trame est reçue sur une interface réseau, les règles suivantes sont appliquées pour classer la trame :

    • Si la trame n’est pas balisée ou a une valeur de balise égale à 0, le VID de la trame est défini sur le port VID (PVID) de l’interface de réception, qui est classé comme appartenant au VLAN natif. (Les PVID sont définis dans la norme IEEE 802.1q.)
    • Si frame a une valeur de balise égale à FFF, le cadre est supprimé.
    • Si le VID de la trame spécifie un VLAN dont l’interface réseau de réception n’est pas membre, la trame est supprimée. Par exemple, si un paquet est envoyé à partir d’un sous-réseau associé à l’ID VLAN 12 vers un sous-réseau associé à l’ID VLAN 10, le paquet est supprimé. Si un paquet non marqué avec VID 9 est envoyé à partir du sous-réseau associé à l’ID VLAN 10 vers une interface réseau PVID 9, le paquet est supprimé.
  • Règles de sortie. Les règles de sortie suivantes sont appliquées :

    • Si le VID de la trame spécifie un VLAN dont l’interface réseau de transmission n’est pas membre, la trame est supprimée.
    • Au cours du processus d’apprentissage (défini par la norme IEEE 802.1q), le Src MAC et le VID sont utilisés pour mettre à jour la table de recherche de pont du Citrix ADC.
    • Une trame est supprimée si son VID spécifie un VLAN qui n’a aucun membre. (Vous définissez des membres en liant des interfaces réseau à un VLAN.)

VLAN et transfert de paquets sur Citrix ADC

Le processus de transfert sur l’appliance Citrix ADC est similaire à celui sur n’importe quel commutateur standard. Toutefois, Citrix ADC effectue le transfert uniquement lorsque le mode de couche 2 est activé. Les principales caractéristiques du processus de transmission sont les suivantes :

  • Les restrictions topologiques sont appliquées. L’application implique la sélection de chaque interface réseau dans le VLAN en tant que port de transmission (selon l’état de l’interface réseau), des restrictions de pontage (ne pas transférer sur l’interface réseau de réception) et des restrictions MTU.
  • Les trames sont filtrées sur la base des informations contenues dans la recherche de table de pont dans la table de base de données de transfert (FDB) de Citrix ADC. La recherche de table de pont est basée sur le MAC de destination et le VID. Les paquets adressés à l’adresse MAC du Citrix ADC sont traités sur les couches supérieures.
  • Toutes les trames de diffusion et de multidiffusion sont transférées à chaque interface réseau membre du VLAN, mais le transfert n’a lieu que si le mode L2 est activé. Si le mode L2 est désactivé, les paquets de diffusion et de multidiffusion sont supprimés. Ceci est également vrai pour les adresses MAC qui ne sont pas actuellement dans la table de pontage.
  • Une entrée VLAN contient une liste d’interfaces réseau membres qui font partie de son ensemble de membres non marqués. Lors du transfert de trames vers ces interfaces réseau, aucune balise n’est insérée dans la trame.
  • Si l’interface réseau est un membre balisé de ce VLAN, la balise est insérée dans la trame lorsque la trame est transférée.

Lorsqu’un utilisateur envoie des paquets de diffusion ou de multidiffusion sans que le VLAN soit identifié, c’est-à-dire lors de la détection d’adresses en double (DAD) pour NSIP ou ND6 pour le prochain saut de l’itinéraire, le paquet est envoyé sur toutes les interfaces réseau, avec un balisage approprié basé sur les règles d’entrée et d’évacuation. ND6 identifie généralement un VLAN et un paquet de données est envoyé sur ce VLAN uniquement. Les VLAN basés sur les ports sont communs à IPv4 et IPv6. Pour IPv6, Citrix ADC prend en charge les VLAN basés sur préfixe.