Citrix ADC

VLAN について

Citrix ADCアプライアンスは、レイヤー2ポートおよびIEEE 802.1qタグ付きVLANをサポートします。VLAN構成は、トラフィックを特定のワークステーショングループだけに制限しなければならない場合に便利です。IEEE 802.1q タグ付けを使用して、ネットワークインターフェイスを複数の VLAN の一部として構成できます。

VLAN を設定し、IP サブネットにバインドできます。Citrix ADCは、これらのVLAN間でIP転送を実行します(これらのサブネット上のホストのデフォルトルーターとして設定されている場合)。

Citrix ADCでは、次のタイプのVLANがサポートされています。

  • ポートベース VLAN。ポートベース VLAN のメンバシップは、共通の排他的なレイヤ 2 ブロードキャストドメインを共有する一連のネットワークインターフェイスによって定義されます。複数のポートベースVLANを構成できます。デフォルトでは、Citrix ADC上のすべてのネットワークインターフェイスはVLAN 1のメンバーです。

    ポートに 802.1q タグ付けを適用すると、ネットワークインターフェイスはポートベース VLAN に属します。レイヤ 2 トラフィックはポートベースの VLAN 内でブリッジングされ、レイヤ 2 モードが有効の場合、レイヤ 2 ブロードキャストは VLAN のすべてのメンバーに送信されます。タグなしネットワークインターフェイスを新しい VLAN のメンバーとして追加すると、現在の VLAN から削除されます。

  • デフォルト VLAN。デフォルトでは、Citrix ADC上のネットワークインターフェイスは、タグなしのネットワークインターフェイスとして単一のポートベースのVLANに含まれます。この VLAN がデフォルト VLAN です。VLAN ID(VID)は 1 です。この VLAN は永続的に存在します。デフォルトVLANを削除したり、そのVIDを変更したりすることはできません。

    ネットワークインターフェイスを別の VLAN にタグなしメンバーとして追加すると、ネットワークインターフェイスはデフォルト VLAN から自動的に削除されます。現在のポートベース VLAN からネットワークインターフェイスをバインド解除すると、デフォルト VLAN に再び追加されます。

  • タグ付き VLAN。802.1q タグ付け(IEEE 802.1q 標準で定義)を使用すると、ネットワーキングデバイス(Citrix ADC など)がレイヤ 2 のフレームに情報を追加して、フレームの VLAN メンバーシップを識別できます。タグ付けにより、ネットワーク環境は複数のデバイスにまたがる VLAN を持つことができます。パケットを受信するデバイスは、タグを読み取り、フレームが属する VLAN を認識します。一部のネットワークデバイスでは、タグ付きパケットとタグなしパケットの両方を同じネットワークインターフェイス(特に Force10 スイッチ)で受信できないことがあります。そのような場合は、カスタマーサポートに連絡して支援を受ける必要があります。

    ネットワークインターフェイスは、VLAN のタグ付きメンバーまたはタグなしメンバーにすることができます。各ネットワークインターフェイスは、1 つの VLAN だけ(ネイティブ VLAN)のタグなしメンバーです。このネットワークインターフェイスは、ネイティブ VLAN のフレームをタグなしフレームとして送信します。他の VLAN にタグが付けられている場合、ネットワークインターフェイスは複数の VLAN の一部になることができます。

    タグ付けを設定する場合は、リンクの両端の VLAN の設定を必ず一致させてください。Citrix ADCが接続するポートは、Citrix ADCネットワークインターフェイスと同じVLAN上にある必要があります。

    注: この VLAN 設定は同期化も伝播もされないため、HA ペアの各ユニットで個別に設定を実行する必要があります。

規則を適用してフレームを分類する

VLAN には、フレームを分類するための 2 種類のルールがあります。

  • 入力ルール。入力ルールは、各フレームを 1 つの VLAN にだけ属するものとして分類します。ネットワークインターフェイスでフレームを受信すると、フレームを分類するために次の規則が適用されます。

    • フレームにタグが付けられていないか、タグ値が 0 の場合、フレームの VID は受信インターフェイスのポート VID(PVID)に設定されます。PVID はネイティブ VLAN に属するものとして分類されます。(PVID は IEEE 802.1q 標準で定義されています)。
    • フレームに FFF と等しいタグ値がある場合、フレームはドロップされます。
    • フレームの VID で、受信ネットワークインターフェイスがメンバーではない VLAN が指定されている場合、フレームはドロップされます。たとえば、VLAN ID 12 に関連付けられたサブネットから VLAN ID 10 に関連付けられたサブネットにパケットが送信された場合、パケットはドロップされます。VID 9 のタグなしパケットが VLAN ID 10 に関連付けられたサブネットからネットワークインターフェイス PVID 9 に送信された場合、パケットはドロップされます。
  • 出力ルール。次の出力ルールが適用されます。

    • フレームの VID で、伝送ネットワークインターフェイスがメンバーではない VLAN が指定されている場合、フレームは廃棄されます。
    • 学習プロセス(IEEE 802.1q規格で定義)では、Citrix ADC ブリッジルックアップテーブルを更新するために、Src MACおよびVIDが使用されます。
    • フレームの VID にメンバーを持たない VLAN が指定されている場合、フレームは廃棄されます。(メンバーを定義するには、ネットワークインターフェイスを VLAN にバインドします)。

Citrix ADC 上のVLANとパケット転送

Citrix ADCアプライアンスの転送プロセスは、標準スイッチと同様です。ただし、Citrix ADCはレイヤー2モードがオンの場合にのみ転送を実行します。転送プロセスの主な機能は次のとおりです。

  • トポロジの制限が適用されます。適用には、VLAN 内の各ネットワークインターフェイスを伝送ポート(ネットワークインターフェイスの状態による)、ブリッジング制限(受信ネットワークインターフェイスでは転送しない)、および MTU 制限として選択します。
  • フレームは、Citrix ADC 転送データベース(FDB)テーブルのブリッジテーブルルックアップの情報に基づいてフィルタリングされます。ブリッジテーブルのルックアップは、宛先 MAC および VID に基づいて行われます。Citrix ADC MACアドレス宛てのパケットは、上位層で処理されます。
  • すべてのブロードキャストおよびマルチキャストフレームは、VLAN のメンバーである各ネットワークインターフェイスに転送されますが、転送は L2 モードが有効の場合だけ行われます。L2 モードが無効の場合、ブロードキャストパケットとマルチキャストパケットはドロップされます。これは、ブリッジングテーブルに現在存在しない MAC アドレスにも当てはまります。
  • VLAN エントリには、タグなしメンバセットの一部であるメンバネットワークインターフェイスのリストがあります。これらのネットワークインターフェイスにフレームを転送する場合、タグはフレームに挿入されません。
  • ネットワークインターフェイスがこの VLAN のタグ付きメンバーである場合、フレームが転送されるときにタグがフレームに挿入されます。

VLAN が識別されていないブロードキャストパケットまたはマルチキャストパケットを送信した場合、つまり、ルートのネクストホップの NSIP または ND6 の Duplicate Address Detection(DAD; 重複アドレス検出)中に、パケットはすべてのネットワークインターフェイスに送信され、入力規則と出力規則のいずれかに基づいて適切なタグ付けが行われます。ND6 は通常 VLAN を識別し、データパケットはこの VLAN 上でのみ送信されます。ポートベースの VLAN は、IPv4 および IPv6 に共通しています。IPv6の場合、Citrix ADCはプレフィックスベースのVLANをサポートします。

VLAN について