Citrix ADC

管理パーティションの VLAN 設定

VLAN は、「専用」VLAN または「共有」VLAN としてパーティションにバインドできます。配置に基づいて、VLAN をパーティションにバインドして、ネットワークトラフィックを他のパーティションから分離できます。

専用VLAN– 「共有」オプションが無効になっている1つのパーティションにのみバインドされているVLANであり、タグ付きVLANである必要があります。たとえば、クライアント/サーバ配置では、セキュリティ上の理由から、システム管理者がサーバ側のパーティションごとに専用 VLAN を作成します。

共有VLAN– 「共有」オプションが有効になっている複数のパーティションにバインドされた(共有された)VLAN。たとえば、クライアント/サーバ配置では、システム管理者がクライアント側ネットワークを制御できない場合、VLAN が作成され、複数のパーティション間で共有されます。

共有 VLAN は、複数のパーティションにわたって使用できます。デフォルトパーティションで作成され、共有 VLAN を複数のパーティションにバインドできます。デフォルトでは、共有 VLAN はデフォルトパーティションに暗黙的にバインドされるため、明示的にバインドすることはできません。

  • 任意のハイパーバイザー(ESX、KVM、Xen、およびHyper-V)プラットフォームに展開されたCitrix ADCアプライアンスは、パーティション設定とトラフィックドメインにおける次の条件の両方に準拠している必要があります。

    • Enable the promiscuous mode, MAC changes, MAC spoofing, or forged transmit for shared VLANs with partition.
    • Enable the VLAN with port group properties of the virtual switch, if the traffic is through a dedicated VLAN.
  • パーティション化された(マルチテナント)Citrix ADCアプライアンスでは、システム管理者は特定の1つまたは複数のパーティションに流れるトラフィックを分離できます。これは、1 つ以上の VLAN を各パーティションにバインドすることによって行われます。VLAN は、1 つのパーティション専用にすることも、複数のパーティション間で共有することもできます。

専用 VLAN

パーティションに流れるトラフィックを分離するには、VLAN を作成し、パーティションに関連付けます。これにより、VLAN は関連付けられたパーティションだけに認識され、VLAN を通過するトラフィックは関連付けられたパーティションでのみ分類され、処理されます。

専用VLAN管理パーティション

特定のパーティションに専用 VLAN を実装するには、次の手順を実行します。

  1. VLAN(V1)を追加します。
  2. ネットワークインターフェイスをタグ付きネットワークインターフェイスとして VLAN にバインドします。
  3. パーティション (P1) を作成します。
  4. パーティション(P1)を専用 VLAN(V1)にバインドします。

CLIを使用して以下を構成します

  • VLANを作成する

    add vlan <id>

    add vlan 100
  • VLANをバインドする

    bind vlan <id> -ifnum <interface> -tagged

    bind vlan 100 –ifnum 1/8 -tagged
  • パーティションを作成する

    Add ns partition <partition name> [-maxBandwidth <positive_integer>][-maxConn <positive_integer>] [-maxMemLimit <positive_integer>]

    Add ns partition P1 –maxBandwidth 200 –maxconn 50 –maxmemlimit 90

    Done
  • パーティションをVLANにバインドする

    bind partition <partition-id> -vlan <id>

    bind partition P1 –vlan 100

Citrix ADC GUIを使用して専用VLANを構成します

  1. [設定] > [システム] > [ネットワーク] > [VLAN*] に移動し、[追加] をクリックして VLAN を作成します。
  2. [VLAN の作成] ページで、次のパラメータを設定します。

    • VLAN ID
    • エイリアス名
    • 最大伝送ユニット
    • 動的ルーティング
    • IPv6 動的ルーティング
    • パーティションの共有
  3. [Interface Bindings] セクションで、1 つ以上のインターフェイスを選択し、VLAN にバインドします。
  4. [IP バインディング] セクションで、1 つ以上の IP アドレスを選択し、VLAN にバインドします。
  5. [OK] をクリックし、[完了] をクリックします。

共有VLAN

共有 VLAN 設定では、各パーティションに MAC アドレスが割り当てられ、共有 VLAN で受信されるトラフィックは MAC アドレスによって分類されます。サブネットトラフィックを制限できるため、レイヤ 3 VLAN だけをお勧めします。パーティション MAC アドレスは、共有 VLAN 配置にのみ適用され、重要です。

Citrix ADCバージョン12.1ビルド51.16以降、パーティション化されたアプライアンス内の共有VLANは動的ルーティングプロトコルをサポートします。

次の図は、VLAN(VLAN 10)が 2 つのパーティション間で共有される方法を示しています。

共有VLAN管理パーティション

共有 VLAN構成を展開するには、次の手順を実行します。

  1. 共有オプションが「enabled」で VLAN を作成するか、既存の VLAN で共有オプションを有効にします。デフォルトでは、このオプションは「無効」になっています。
  2. パーティションインターフェイスを共有 VLAN にバインドします。
  3. パーティションを作成します。各パーティションには独自のパーティション MAC アドレスが割り当てられます。
  4. パーティションを共有 VLAN にバインドします。

CLIを使用して共有VLANを構成します

コマンドプロンプトで、次のいずれかのコマンドを入力して、VLANを追加するか、既存のVLANの共有パラメータを設定します。

add vlan <id> [-sharing (ENABLED | DISABLED)]

set vlan <id> [-sharing (ENABLED | DISABLED)]

add vlan 100 –sharing ENABLED

set vlan 100 –sharing ENABLED

CLIを使用してパーティションを共有VLANにバインドします

コマンドプロンプトで入力します。

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

add ns partition P1 –maxBandwidth 200 –maxconn 50   –maxmemlimit 90 -partitionMAC<mac_addr

Done

CLIを使用してパーティションのMACアドレスを構成する

set ns partition <partition name> [-partitionMAC<mac_addr>]

set ns partition P1 –partitionMAC 22:33:44:55:66:77

CLIを使用してパーティションを共有VLANにバインドします

bind partition <partition-id> -vlan <id>

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

bind partition P2 –vlan 100

bind partition P3 –vlan 100

bind partition P4 –vlan 100

Citrix ADC GUIを使用して共有VLANを構成する

  1. [設定] > [システム] > [ネットワーク] > [VLAN] に移動し、VLAN プロファイルを選択し、[編集] をクリックしてパーティション共有パラメータを設定します。

  2. [Create VLAN]ページで[Partitions Sharing]チェックボックスをオンにします。

  3. [ OK]、[ 完了]の順にクリックします。

管理パーティション間の共有VLANを介した動的ルーティング

Citrix ADCアプライアンスの管理パーティションは、複数のテナントをホストする方法を提供します。

Citrix ADCバージョン12.1ビルド51.16以降、パーティション化されたアプライアンスの共有VLANは動的ルーティングプロトコルをサポートします。ルーティングは、管理パーティションに関連付けられた専用VLANまたは共有VLANで構成できます。

管理パーティションの専用VLAN。専用VLANでは、テナントのデータパスは1つ以上のVLANを使用して識別されます。その結果、テナントの構成とデータパスの分離が厳密になります。VIPアドレスの状態をアドバタイズするために、動的ルーティングが各パーティションで有効になり、ルーティングの隣接関係がパーティションごとに確立されます。

パーティションごとの専用VLANを介した動的ルーティング

管理パーティション間で共有VLAN。共有VLANでは、デフォルト以外のパーティションで設定されたVIPアドレスは、デフォルトのパーティションで形成された単一の隣接またはピアリングを介してアドバタイズできます。デフォルト以外のパーティションのSNIPアドレスは、デフォルト以外のパーティションのすべてのVIPアドレス( advertiseOnDefaultPartition オプションで構成されている)のネクストホップとして使用されます。設定されたSNIPアドレスは、ルーティングアドバタイズメントでネクストホップIPアドレスとしてマークされます。

Citrix ADCアプライアンスの管理パーティションのセットアップ例を考えてみましょう。VLAN100はデフォルトのパーティション間で共有され、デフォルト以外のパーティションはAP-3とAP-5です。SNIPアドレスSNIP1はデフォルトのパーティションに追加され、SNIP3はAP-3に追加され、SNIP5はAP-5に追加されます。SNIP1、SNIP3、およびSNIP5は、VLAN-100を介して到達可能です。VIPアドレスVIP1はデフォルトのパーティションに追加され、VIP3はAP-3に追加され、VIP5はAP-5に追加されます。VIP3とVIP5は、デフォルトのパーティションで形成された単一の隣接またはピアリングを介してアドバタイズされます。

パーティション間の共有VLANを介した動的ルーティング

はじめに

デフォルト以外の管理パーティションで共有VLANを介して動的ルーティングを構成する前に、次のことを確認してください。

  • 動的ルーティングは、デフォルトパーティションの共有VLANで構成されます。デフォルトパーティションの共有VLANでの動的ルーティングの構成は、次の手順で構成されます。
    1. 共有VLANで動的ルーティングを有効にします。
    2. 動的ルーティングを有効にしてSNIP IPアドレスを追加します。このSNIP IPアドレスは、アップストリームとの動的ルーティングに使用されます。
    3. SNIP IPサブネットを共有VLANにバインドします。
  • 1つ以上の動的ルーティングプロトコルがデフォルトのパーティションに設定されています。詳細については、 ダイナミックルーティングプロトコルの設定を参照してください

構成の手順

デフォルト以外の管理パーティションの共有VLANを介した動的ルーティングの構成は、次の手順で構成されます。

  1. デフォルト以外のパーティションにSNIP IPアドレスを追加します。このSNIP IPアドレスは、デフォルトパーティションの動的ルーティングに使用されているSNIP IPアドレスと同じサブネット内にある必要があります。

  2. 動的ルーティングを使用して、デフォルト以外のパーティションでVIPアドレスをアドバタイズするための次のパラメータを設定または有効にします

    • ホストルートゲートウェイ(hostRtGw)。このパラメーターを、前の手順で追加したSNIPアドレスに設定します。
    • デフォルトのパーティション(advertiseOnDefaultPartition)にアドバタイズします。このパラメーターを有効にします。

構成例

Citrix ADCアプライアンスでの管理パーティション設定の例を考えてみましょう。このアプライアンスには、デフォルト以外の管理パーティションAP-3が構成されています。共有VLANVLAN100はAP-3にバインドされています。次の設定例は、AP-3でVLAN100を介した動的ルーティングを設定します。

手順 構成例
デフォルトの管理パーティション -
共有VLAN100で動的ルーティングを有効にします。 set vlan 100 -dynamicRouting enabled
動的ルーティングを有効にしてSNIP IPアドレス192.0.2.10を追加します。このSNIP IPアドレスは、アップストリームとの動的ルーティングに使用されます。 add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
192.0.2.10のサブネットを共有VLAN100にバインドします。 bind vlan 100 -IPAddress 192.0.2.10 255.255.255.0
デフォルト以外の管理パーティションAP-3 -
SNIP IPアドレス192.0.2.30を追加します。このSNIP IPアドレスは、デフォルトパーティションのSNIP IPアドレス192.0.2.10と同じサブネットにあります。 add ns ip 192.0.2.30 255.255.255.0 -type SNIP
ダイナミックルーティングを使用して VIP アドレス 203.0.113.300 をアドバタイズする場合は、advertiseOnDefaultPartitionパラメータを有効にし、hostRtGwパラメータを 192.0.2.30 に設定します。 set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.30

管理パーティション全体の共有 VLAN を介した IPv6 のダイナミックルーティング

IPv6 アドレスが管理パーティション内の共有 VLAN を介して動的にルーティングするには、 enable ns feature IPv6PTコマンドおよびset L3Param –ipv6DynamicRouting ENABLEDコマンドを有効にする必要があります。次の設定例は、共有 VLAN 経由の IPv6 のダイナミックルーティングの設定に役立ちます。

構成例

次の設定例では、AP-3 で VLAN 100 を介したダイナミックルーティングを設定します。

手順 構成例
デフォルトの管理パーティション -
共有VLAN100で動的ルーティングを有効にします。 set vlan 100 -dynamicRouting enabled
ダイナミックルーティングを有効にした状態で SNIP IP アドレス 2001: b: c: d። 1/64 を追加します。SNIP IP アドレスは、アップストリームとのダイナミックルーティングに使用されます。 add ns ip6 2001:b:c:d::1/64 -type SNIP -dynamicRouting enabled
2001: b: c: d። 1/64 のサブネットを共有 VLAN 100 にバインドします。 bind vlan 100 -IPAddress 2001:b:c:d::1/64
デフォルト以外の管理パーティションAP-3 -
SNIP IP アドレス 2001: b: c: d። 2/64 を追加します。この SNIP アドレスは、デフォルトパーティションの SNIP アドレス 2001: b: c: d። 2/64 と同じサブネット内にあります。 add ns ip6 2001:b:c:d::2/64 -type SNIP
ダイナミックルーティングを使用して VIP アドレス 2002። 1/128 をアドバタイズする場合は、 advertiseOnDefaultPartition パラメータを有効にし、 ip6hostRtGwパラメータを 2001: b: c: d። 2 に設定します。 set ns ip6 2002::1/128 -hostRoute enabled -advertiseOnDefaultPartition enabled -ip6hostRtGw 2001:b:c:d::2

管理パーティションに存在する VIP は、デフォルトパーティションの VTYSH でカーネルルートとして認識される必要があります。

> switch partition default
Done

>vtysh
ns#

ns# sh ipv6 route kernel

IPv6 routing table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
   IA - OSPF inter area, E1 - OSPF external type 1,
   E2 - OSPF external type 2, I - IS-IS, B - BGP
Timers: Uptime

K      2002::1/128 via 2001:b:c:d::2, vlan0, 01:24:15                             >> on Default Partition, VIP : 2002::1 present in AP known via SNIP6 : 2001:b:c:d::2 is present in AP as a Kernel Route

デフォルトパーティションで OSPFv3/bgp+ の下の「カーネルの再配布」オプションを使用して、アップストリームにアドバタイズできます。

ns# sh run router ipv6 ospf
!
router ipv6 ospf 1
redistribute kernel
!

Citrix ADC SDX アプライアンスの管理パーティションを持つ共有 VLAN

SDXアプライアンスでは、共有VLANで管理パーティションを使用する前に、管理サービスのユーザーインターフェイスを使用してPMACアドレスを生成および構成する必要があります。管理サービスを使用すると、次の方法でパーティションのMACアドレスを生成できます。

  • ベース MAC アドレスの使用
  • カスタム MAC アドレスの指定
  • ランダムにMACアドレスを生成する