Citrix ADC

ネットワーク構成のベストプラクティス

以下のセクションでは、Citrix ADCアプライアンスのネットワーク機能を構成するためのベストプラクティスについて説明します。

ルーティングとデフォルトルート

Citrix ADCアプライアンスでレイヤー3機能を設定するためのベストプラクティスを以下に示します。

ベスト・プラクティスのレイヤー3構成

  • Citrix ADCアプライアンスまたはCitrix SDXアプライアンスのインターフェイス0/x は、本番トラフィックに使用しないでください 。MPX または SDX では、0/xという名前のインターフェイスは管理インターフェイスと呼ばれます。これは、管理にこれらのインターフェイスを使用する必要があるという意味ではありません。つまり、これらのインターフェイスは本番トラフィック用に設計されていないということです。1 Gbps の持続的なスループットを達成するために必要なハードウェアバッファと最適化はありません。したがって、デフォルトルートが NSIP と同じサブネットにある場合は、デフォルトルートを変更するか、管理ネットワークの1/xインターフェイスを使用する必要があります。これは、1/xインターフェイスが実稼働 1 Gbpsトラフィック用に完全に最適化されているためです。

    これは、Citrix ADC VPXアプライアンスには適用されません。

    • オプション 1。インターフェイスに接続しない0/x — インターフェイス0/1からケーブルを取り外します。NetScaler は、他のインターフェイスでNSIPをリッスンします。(注:SVMとXenServerは0/xインターフェイスに対してのみ話すことができるため、これはSDXではオプションではありません)

    • オプション 2:次のセクションで説明するように、デフォルトルートを別のインターフェイスに変更します。

  • デフォルト Gateway(ルート 0.0.0.0)は、0/xインターフェイスではなく、実稼動ネットワーク上に配置する必要があります 。NetScaler を最初にセットアップするときに、NSIP、サブネットマスク、ゲートウェイアドレスの入力を求められます。管理者にとっての問題は、インターフェイス 0/1 を使用して管理ネットワーク上にデフォルトルートを設定したことです。

    • あなたのルートが何であるかを確認するには、CLI show route で実行します。デフォルトGateway は、ネットワークとネットマスクが0.0.0.0である行のIPです。ゲートウェイがライン 1 にある例を次に示します。

       > sh route
               Network          Netmask          Gateway/OwnedIP  State   Traffic Domain  Type
               -------          -------          ---------------  -----   --------------  ----
       1)      0.0.0.0          0.0.0.0          10.25.213.65     UP      0              STATIC
       2)      127.0.0.0        255.0.0.0        127.0.0.1        UP      0              PERMANENT
       3)      10.25.213.64     255.255.255.192  10.25.213.68     UP      0              DIRECT
       4)      172.16.0.0       255.255.255.0    172.16.0.1       UP      0              DIRECT
      
      
    • デフォルトゲートウェイに使用されるインターフェイスと VLAN を確認するには、CLIでsh arpを使用して ARP テーブルを確認します。show arp | grep 10.25.213.65を使用して特定の IP を検索することもできます。次に、ゲートウェイ 10.25.213.65 がインターフェイス 1/1 および VLAN 1 を使用している例を示します。

       > sh arp
               IP               MAC                Iface VLAN  Origin     TTL     Traffic Domain
               --               ---                ----- ----  ------     ---     --------------
       1)      127.0.0.1        02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
       2)      10.25.213.70     02:00:0f:46:00:28  1/1   1     DYNAMIC    967    0
       3)      10.25.213.68     02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
       4)      10.25.213.67     02:00:0f:46:00:28  1/1   1     DYNAMIC    641    0
       5)      10.25.213.65     00:08:e3:ff:fd:90  1/1   1     DYNAMIC    483    0
      
    • 実稼働サブネットとインターフェイスでゲートウェイを使用するようにデフォルトルートを変更します。管理ネットワークがGateway 10.0.0.1 で 10.0.0.0/24 で、運用ネットワークがGateway 10.1.1.1 で 10.1.1.0/24 であると仮定します。次のように設定してください:

      • SNIP:(管理アクセス無効)10.1.1.2
      • NSIP:(管理アクセスが有効になっている)10.0.0.2
      • デフォルトルート:0.0.0.0 0.0.0 10.1.1.1 ([システム] > [ネットワーク] > [ルート])。これは、NSIPネットワークではなく、SNIPネットワーク上のルーターを使用します。

        デフォルト Gateway を変更すると、スタティックルート、ポリシーベースルートを設定するか、MAC ベースフォワーディングを有効にしない限り、管理トラフィックが切断される可能性があります。

インターフェイス、チャネル、VLAN

Citrix ADCアプライアンスでレイヤー2機能を設定するためのベストプラクティスを以下に示します。

ベスト・プラクティスのレイヤー2構成

  • VLAN 1 を含む複数のインターフェイス/チャネルを同じ VLAN に接続しないでください
    • VLAN を適切に設定しないと、ネットワーク内で予期しないパケットルーティングが発生し、同じ VLAN(ネイティブまたはタグ付き)を持つアクティブインターフェイスが複数あるときはいつでも、レイヤ 2 ループが発生する可能性があります。

    • デフォルトでは、すべてのインターフェイスおよびチャネルはネイティブ VLAN 1 上にあります。これにより、次の 2 つの問題が発生する可能性があります。

      • NetScaler は、受信したすべてのトラフィックが同じネットワーク上にあると考えているため、任意のインターフェイスを使用してトラフィックを送信します。データを送信したインターフェイスに異なるネイティブ VLAN がある場合、トラフィックは予想どおりにルーティングされません。

      • NetScaler が1つのポートでブロードキャストパケットを受信すると、別のポートで再送信することがあります。両方のスイッチポートが同じ VLAN 上にある場合は、レイヤ 2 ループを作成しました。

    • VLAN 1 からインターフェイス/チャネルを削除するには、次の手順を実行します。

      • スイッチインターフェイス/ポートチャネルでネイティブ VLAN を使用していない場合。NetScaler インターフェイス/チャネルのネイティブVLANを、999などの未使用のVLAN番号に変更します。レイヤ 2 ループが発生するため、複数のチャネルまたはインターフェイスに同じ未使用の VLAN 番号を使用しないでください。

      • スイッチインターフェイス/ポートチャネルでネイティブ VLAN を使用している場合。NetScaler インターフェイス/チャネルのネイティブVLANを一致するように変更します。ただし、同じ VLAN 上に複数のアクティブなインターフェイスまたはチャネルが存在しないように注意してください。そうすると、レイヤ 2 ループが作成されます。

      • ネイティブ VLAN は削除できません。代わりに、インターフェイスまたはチャネルの TagAll を変更したり、TagAll を設定したりできます。スイッチポートにタグなしのネイティブ VLAN が設定されていない場合は、インターフェイスで tagall を有効にして、高可用性ハートビートパケットにタグを付けます。

    • インターフェイス上のネイティブ VLAN を表示するには、CLI でsh interfaceを実行します。これにより、インターフェイスが TAGALL オプションを使用しているかどうかも通知されます。

  • インターフェイスをVLANにバインドする -NetScaler は、デフォルトでは、新しいVLANをインターフェイスに接続しません。つまり、VLAN はインターフェイスにバインドするまで使用されません。新しいVLANがインターフェイスにバインドされておらず、そのVLANがタグ付けされている場合、NetScaler はそのVLANからのすべてのインバウンドトラフィックをドロップします。また、同じ VLAN を複数のインターフェイスにバインドしないでください。

    • サブネットを VLAN にバインドします。NetScaler は、一般的なルーターのように動作しません。ほとんどのルータは IP をインターフェイスに接続します。NetScaler では、特に構成されていない限り、IPはインターフェイス上でフローティングします。したがって、NetScaler が特定のVLAN経由で送信することを保証するサブネット(特にNetScalerがそのトラフィックを開始しているとき)は、そのサブネット内のSNIPをVLANにバインドする必要があります。

    • これに対して一般的な議論は、以前は正常に動作していましたが、サブネットを VLAN にバインドしないと解決できないということです。これは、NetScaler がトラフィックを送信するVLANを学習するためによく発生しますが、ARPテーブルの構築には時間がかかることがあります。リブートまたはファームウェアアップグレード後、ARP テーブルの構築が再び開始されると、最初は学習されるため、デフォルトルートなど、希望とは異なるパスを使用している可能性があります。SNIP を VLAN にバインドすることで、どのパスを取るべきかを指示するのが最善です。SNIP が VLAN にバインドされると、その SNIP のサブネット全体が VLAN にバインドされます。

    • すべての SNIP が 1 つの VLAN にバインドされていること(ただし、サブネット内に複数の SNIP がある場合は、1 つの SNIP だけをバインドする必要があります)、VLAN が 1 つのインターフェイスまたはチャネルにバインドされていることを確認します。また、すべてのサブネットに SNIP を設定するのが最善ですが、SNIP を持たない宛先サブネットには、最も具体的なルートが使用されるため必要ありません。

  • サブネットで使用される VLAN とインターフェイスを識別するには、次の手順を実行します。

    1. [システム] > [ネットワーク] > [VLAN]に移動します。

    2. 次の手順で説明する正しい IP アドレスが見つかるまで、設定済みの各 VLAN を編集します。

    3. [IP Bindings] タブをクリックして、どの IP、つまりどのサブネットがバインドされ、この VLAN を使用しているかを確認します。

    4. IP がバインドされている VLAN(デフォルトルートのサブネット内)を特定したら、[Interface Bindings] をクリックします。この VLAN にバインドされた各インターフェイスまたはチャネルが使用されます。

デフォルトルートは0.0.0.0 0.0.0.0 10.1.1.1であると仮定します。

10.0.0.5と10.1.1.69の2つのSNIPがあるとします。10.1.1.69 はデフォルトルートのサブネットにあるので、それが探したいものです。以下のスクリーンショットでは、VLAN 1 を確認しており、IP 10.1.1.69 がこの VLAN にバインドされていることがわかっているので、正しい VLAN を確認しています。

次に、[インターフェイスのバインディング] をクリックします。VLAN インターフェイスバインディングでは、インターフェイス1/1がこのサブネットに使用されているため、デフォルトルートに使用されます。

VLAN 設定のベストプラクティス

ご注意

VLAN にバインドされた IP がない場合は、デフォルトで VLAN 1 が送信されます。この場合は、VLAN 1 にバインドされているインターフェイスを調べます。これは、新しいVLANにIPをバインドしない限り、NetScaler は開始トラフィックに構成されたVLANを使用しないことを意味します。

ARPの無償着信

GARPが機能しない場合は、VMACを使用します。デフォルトでは、NetScaler はGARPを使用してIPとMACアドレスのバインディングを他のネットワークデバイスに通知します。これは通常問題なく動作しますが、NetScaler でさらに多くのサービスを作成すると、HAペアでフェイルオーバーするときに問題が発生する可能性があります。最も一般的な問題は、一部のネットワークデバイスが新しいMACアドレスでARPテーブルを更新していないために、フェイルオーバーしたNetScaler でサービスがダウンしたままになることです。これは、ARPテーブルをチェックして、MACアドレスが現在のプライマリNetScaler のMACアドレスと一致しているかどうかを確認することで簡単に確認できます。この現象が発生すると、ネットワークデバイスの一部が優先する GARP アドバタイズメントの数を制限している可能性が高くなります。この場合、すべてのアクティブなインターフェイスまたはチャネルで VMAC を設定する必要があります。NetScaler で大規模な構成を行うことが予想される場合は、初期展開時にすべてのインターフェイスとチャネルに対してVMACを構成することをお勧めします。

デフォルトルートで使用されるインターフェイスまたはチャネルに VMAC を設定することを忘れないでください。

Citrix ADCが所有するIPアドレス

このセクションでは、Citrix ADCが所有するIPアドレスを構成するためのベストプラクティスについて説明します。

Citrix ADCが所有するIPアドレスのベストプラクティス

  • Citrix ADC IP(NSIP):一般的にこのIPは、高可用性またはクラスタ環境における個々のNetScaler に固有の唯一のIPであるため、管理に使用されます。また、LDAP、RADIUS、およびユーザースクリプトモニターのトラフィック(LDAPモニターやStoreFront モニターなど)がNSIPから送信されるため、NSIPがバインドされているVLANとインターフェイス(デフォルトのネイティブVLAN 1)を介してルーティングされることに注意してください。SNIP から発信する LDAP および RADIUS トラフィックが必要な場合は、バックエンドサーバー用の LB 仮想サーバーを作成します。

  • サブネット IP (SNIP): この IP アドレスは、バックエンドサーバーとの通信を開始するために使用され、常にトラフィックを開始します。つまり、次の場合にトラフィックの宛先になる可能性があります。

    • NetScaler でレイヤー3ルーティングを行うときに、他のデバイスのゲートウェイアドレスとして使用できます。

    • 有効にすると、GUI、SSH、SNMPへのアクセスなどの管理サービスを受け入れることができます。

  • 仮想 IP (VIP): VIP は、発信トラフィックの開始に使用されないという点で一意です。これは、トラフィックのみを受信することを目的としています。トラフィックを受信すると、クライアントに応答してアウトバウンドのトラフィックを送信します。つまり、VIP アドレスは発信トラフィックを開始しません。

これは、LB 仮想サーバーなどで使用されるバックエンドサーバーと通信するためのソースとして使用されていないことを意味します。

ネットワーク構成のベストプラクティス