Meilleures pratiques pour les configurations réseau
Les sections suivantes traitent des meilleures pratiques pour la configuration des fonctionnalités de mise en réseau sur une appliance Citrix ADC.
Routage et itinéraires par défaut
Voici quelques bonnes pratiques pour configurer les fonctionnalités de couche 3 sur une appliance Citrix ADC.
-
L’interface
0/x
d’une appliance Citrix ADC ou d’une appliance Citrix SDX ne doit pas être utilisée pour le trafic de production. Sur un MPX ou SDX, les interfaces nommées0/x
sont référencées aux interfaces de gestion. Cela ne signifie pas que vous devez utiliser ces interfaces pour Management. Cela signifie que ces interfaces ne sont PAS conçues pour le trafic de production. Ils ne disposent pas des tampons matériels et de l’optimisation nécessaires pour atteindre un débit soutenu de 1 Gbit/s. Par conséquent, si votre itinéraire par défaut se trouve dans le même sous-réseau que votre NSIP, vous devez modifier l’itinéraire par défaut ou utiliser une interface1/x
pour votre réseau de gestion car les interfaces1/x
sont entièrement optimisées pour la production 1 Trafic Gbit/s.Remarque :
Cela ne s’applique pas à une appliance Citrix ADC VPX.
-
Option 1. Ne pas se connecter aux interfaces
0/x
: déconnectez le câble de l’interface0/1
. NetScaler écoute le NSIP sur les autres interfaces. (REMARQUE : Ce n’est pas une option pour SDX, car SVM et XenServer ne peuvent parler qu’aux0/x
interfaces) -
Option 2. Changez l’itinéraire par défaut pour une interface différente, comme indiqué dans la section suivante.
-
-
La Gateway par défaut (route 0.0.0.0) doit se trouver sur un réseau de production et non sur une
0/x
interface . Lors de la première configuration d’un NetScaler, il vous demande l’adresse NSIP, le masque de sous-réseau et la passerelle. Le problème que cela crée pour les administrateurs est qu’ils ont simplement configuré leur route par défaut pour être sur leur réseau de gestion à l’aide de l’interface 0/1.-
Pour vérifier quelles sont vos routes, exécutez dans CLI
show route
et votre Gateway par défaut est l’adresse IP dans la ligne où le réseau et le masque de réseau sont 0.0.0.0. Voici un exemple où la passerelle est sur la ligne 1 :> sh route Network Netmask Gateway/OwnedIP State Traffic Domain Type ------- ------- --------------- ----- -------------- ---- 1) 0.0.0.0 0.0.0.0 10.25.213.65 UP 0 STATIC 2) 127.0.0.0 255.0.0.0 127.0.0.1 UP 0 PERMANENT 3) 10.25.213.64 255.255.255.192 10.25.213.68 UP 0 DIRECT 4) 172.16.0.0 255.255.255.0 172.16.0.1 UP 0 DIRECT <!--NeedCopy-->
-
Pour vérifier l’interface et le VLAN utilisés pour votre passerelle par défaut, vérifiez la table ARP
sh arp
à l’aide de la CLI. Vous pouvez également rechercher l’adresse IP spécifique en utilisantshow arp | grep 10.25.213.65
. Voici un exemple où vous voyez que la passerelle 10.25.213.65 utilise Interface 1/1 et VLAN 1 :> sh arp IP MAC Iface VLAN Origin TTL Traffic Domain -- --- ----- ---- ------ --- -------------- 1) 127.0.0.1 02:00:18:a4:00:1e LO/1 1 PERMANENT N/A 0 2) 10.25.213.70 02:00:0f:46:00:28 1/1 1 DYNAMIC 967 0 3) 10.25.213.68 02:00:18:a4:00:1e LO/1 1 PERMANENT N/A 0 4) 10.25.213.67 02:00:0f:46:00:28 1/1 1 DYNAMIC 641 0 5) 10.25.213.65 00:08:e3:ff:fd:90 1/1 1 DYNAMIC 483 0 <!--NeedCopy-->
-
Modifiez l’itinéraire par défaut pour utiliser une passerelle sur votre sous-réseau et interface de production. Supposons que votre réseau de gestion est 10.0.0.0/24 avec Gateway 10.0.0.1 et que le réseau de production est 10.1.1.0/24 avec Gateway 10.1.1.1. Configurez votre configuration comme ceci :
- SNIP : (Accès de gestion désactivé) 10.1.1.2
- NSIP : (Accès de gestion activé) 10.0.0.2
-
Route par défaut : 0.0.0.0 0.0.0.0 10.1.1.1 (Système > Réseau > Routes). Cela utilise un routeur sur le réseau SNIP au lieu du réseau NSIP.
Remarque :
La modification de la Gateway par défaut peut interrompre le trafic de gestion, sauf si vous configurez des routes statiques, une route basée sur une stratégie ou activez le transfert basé sur MAC.
-
Interfaces, canaux et VLAN
Voici quelques bonnes pratiques pour configurer les fonctionnalités de couche 2 sur une appliance Citrix ADC.
-
Ne connectez pas plusieurs interfaces/canaux au même VLAN, y compris le VLAN 1 :
-
Si vous ne configurez pas correctement vos VLAN, cela peut entraîner un routage de paquets inattendu dans votre réseau et une boucle de couche 2 à chaque fois qu’il existe plusieurs interfaces actives avec le même VLAN (natif ou balisé).
-
Par défaut, toutes les interfaces et les canaux sont sur le VLAN natif 1. Cela crée deux problèmes possibles :
-
Le NetScaler pense que tout le trafic reçu est sur le même réseau, il utilise donc n’importe quelle interface pour envoyer le trafic sur. Si vous avez un VLAN natif différent sur l’interface sur laquelle il a envoyé des données, le trafic ne sera pas routé comme prévu.
-
Si NetScaler reçoit des paquets de diffusion sur un port, il peut retransmettre sur un autre port. Si les deux ports de commutation sont sur le même VLAN, vous venez de créer une boucle de couche 2.
-
-
Pour supprimer une interface/canal du VLAN 1 :
-
Si vous n’utilisez pas de VLAN natifs sur votre canal d’interface de commutateur/port. Remplacez le VLAN natif sur NetScaler Interface/Channel par un numéro de VLAN inutilisé tel que 999. Vous ne devez pas utiliser le même numéro de VLAN inutilisé pour plusieurs canaux ou interfaces, car il crée une boucle de couche 2.
-
Si vous utilisez des VLAN natifs sur votre canal d’interface de commutateur/port. Modifiez le VLAN natif sur NetScaler Interface/Channel pour qu’il corresponde. Cependant, prenez soin de ne pas avoir plusieurs interfaces ou canaux actifs sur le même VLAN car cela crée des boucles de couche 2.
-
Vous ne pouvez pas supprimer le VLAN natif. Au lieu de cela, vous pouvez le modifier ou définir TagAll pour l’interface ou le canal. Si le port du commutateur n’est pas configuré avec un VLAN natif non marqué, activez le tagall sur l’interface afin que les paquets de pulsations de haute disponibilité soient balisés.
-
-
Pour afficher le VLAN natif sur une interface, exécutez
sh interface
dans CLI. Cela vous informera également si l’interface utilise l’option TAGALL.
-
-
Liez une interface à votre VLAN - Le NetScaler, par défaut, n’attache pas de nouveau VLAN à une interface. Cela signifie que le VLAN ne sera pas utilisé tant que vous ne le liez pas à une interface. Lorsque le nouveau VLAN n’est pas lié à une interface et que ce VLAN est marqué, NetScaler supprime tout le trafic entrant de ce VLAN. En outre, ne liez pas le même VLAN à plusieurs interfaces.
-
Liez des sous-réseaux à vos VLAN. Le NetScaler ne fonctionne pas comme un routeur typique. La plupart des routeurs attachent des adresses IP aux interfaces. Sur un NetScaler, les adresses IP flottent sur n’importe quelle interface, sauf configuration contraire. Par conséquent, tout sous-réseau que vous souhaitez vous assurer que NetScaler envoie via un VLAN spécifique, en particulier lorsque NetScaler lance ce trafic, vous devez lier un SNIP dans ce sous-réseau au VLAN.
-
Un argument commun que nous entendons contre cela est qu’il fonctionnait bien et maintenant il ne le fait pas sans lier le sous-réseau au VLAN. Cela se produit souvent parce que NetScaler apprend quel VLAN envoyer du trafic, mais cela peut prendre du temps lors de la création de ses tables ARP. Après un redémarrage ou une mise à niveau du microprogramme, alors qu’il commence à construire à nouveau les tables ARP, il peut d’abord apprendre et donc utiliser un chemin différent de celui que vous souhaitez, tel que votre itinéraire par défaut. Il est préférable de lui indiquer quel chemin prendre en liant le SNIP au VLAN. Une fois qu’un SNIP est lié à un VLAN, l’ensemble du sous-réseau de ce SNIP sera lié au VLAN.
-
Assurez-vous que chaque SNIP est lié à un VLAN (sauf dans les cas où vous avez plus d’un SNIP dans un sous-réseau, alors vous ne devez en lier qu’un), et que le VLAN, à son tour, est lié à une seule interface ou canal. Il est également souvent préférable d’avoir un SNIP dans chaque sous-réseau, mais cela n’est pas requis car l’itinéraire le plus spécifique sera utilisé pour tout sous-réseau de destination qui n’a pas de SNIP.
-
-
Pour identifier le VLAN et l’interface utilisés par un sous-réseau :
-
Accédez à System>Réseau > VLAN.
-
Modifiez chaque VLAN configuré, à son tour, jusqu’à ce que vous trouviez l’adresse IP correcte comme expliqué à l’étape suivante.
-
Cliquez sur l’onglet Liaisons IP pour voir quelle adresse IP, et donc quel sous-réseau est lié et utilise donc ce VLAN.
-
Une fois que vous avez identifié le VLAN auquel une adresse IP est liée, où cette adresse IP se trouve dans le sous-réseau de l’itinéraire par défaut, puis cliquez sur les liaisons d’interface. Chaque interface ou canal lié à ce VLAN sera utilisé.
-
Exemple
Supposons que l’itinéraire par défaut est0.0.0.0 0.0.0.0 10.1.1.1
.
Supposons que vous avez deux SNIP de 10.0.0.5 et 10.1.1.69. Puisque 10.1.1.69 se trouve dans le sous-réseau de l’itinéraire par défaut, c’est celui que vous voulez rechercher. Dans les captures d’écran ci-dessous, nous examinons VLAN 1 et nous voyons l’IP 10.1.1.69 est lié à ce VLAN, donc nous savons que nous regardons le VLAN correct.
Cliquez maintenant sur Liaisons d’interface. Dans les liaisons de l’interface VLAN, nous voyons que l’interface1/1
est utilisée pour ce sous-réseau, et est donc utilisée pour la route par défaut.
REMARQUE :
Si vous n’avez aucune adresse IP liée à vos VLAN, alors par défaut, il sera envoyé VLAN 1. Dans ce cas, regardez quelles interfaces sont liées au VLAN 1. Cela signifie également que NetScaler n’utilisera pas vos VLAN configurés pour le trafic qu’il initie, sauf si vous liez une IP au nouveau VLAN.
ARP gratuit
Si GARP ne fonctionne pas, utilisez VMAC - Par défaut, NetScaler utilise GARP pour annoncer ses liaisons d’adresse IP vers MAC sur d’autres périphériques réseau. Cela fonctionne généralement sans problème, cependant, lorsque vous créez plus de services dans NetScaler, vous pouvez commencer à rencontrer des problèmes lors du basculement sur une paire HA. Le problème le plus courant est que les services restent en panne dans le NetScaler vers lequel vous avez échoué en raison du fait que certains périphériques réseau n’ont pas mis à jour leurs tables ARP avec la nouvelle adresse MAC. Vous pouvez facilement vérifier cela en vérifiant leurs tables ARP pour voir si les adresses MAC correspondent à celles du NetScaler maintenant primaire. Lorsque cela se produit, il est fort probable que certains de vos périphériques réseau limitent le nombre de publicités GARP qu’ils honorent. Dans ce cas, il est nécessaire de configurer VMAC sur toutes vos interfaces et/ou canaux actifs. Si vous prévoyez disposer d’une configuration volumineuse sur votre NetScaler, il peut être préférable de configurer VMAC pour toutes les interfaces et tous les canaux au cours du déploiement initial.
REMARQUE :
N’oubliez pas de configurer VMAC pour l’interface ou le canal utilisé par votre itinéraire par défaut.
Adresses IP détenues par Citrix ADC
Cette section décrit les meilleures pratiques pour configurer les adresses IP appartenant à Citrix ADC :
-
Citrix ADC IP (NSIP) : Cette adresse IP est généralement utilisée pour la gestion car elle est la seule adresse IP unique à un NetScaler individuel dans un environnement HA ou Cluster. Il est également important de noter que le trafic du moniteur LDAP, RADIUS et User scripted Monitor (tel que le moniteur LDAP et le moniteur StoreFront) s’approvisionnera à partir du NSIP et acheminera ainsi sur le VLAN et l’interface auquel le NSIP est lié (VLAN natif par défaut 1). Si vous avez besoin de la source du trafic LDAP et RADIUS à partir du SNIP, créez un serveur virtuel LB pour vos serveurs back-end.
-
IP du sous-réseau (SNIP) : Cette adresse IP est utilisée pour initier la communication vers les serveurs back-end et va toujours lancer le trafic. Cela dit, il peut être la destination du trafic dans ces cas :
-
Il peut être utilisé comme adresse de passerelle sur d’autres périphériques lors du routage de couche 3 sur NetScaler.
-
Lorsqu’il est activé, il peut accepter des services de gestion, tels que l’accès à l’interface graphique, SSH et SNMP.
-
-
IP virtuelle (VIP) : Le VIP est unique en ce sens qu’il ne sera jamais utilisé pour lancer le trafic sortant. Il est destiné à recevoir le trafic uniquement. Une fois qu’il reçoit du trafic, il répond et renvoie le trafic sortant au client. En d’autres termes, l’adresse VIP n’initie pas le trafic sortant.
Notez que cela signifie également qu’il n’est pas utilisé comme source pour communiquer avec les serveurs back-end utilisés dans, par exemple, un serveur virtuel LB.