Citrix ADC

管理パーティションの VLAN 設定

VLAN は、「専用」VLAN または「共有」VLAN としてパーティションにバインドできます。導入環境に基づいて、VLAN をパーティションにバインドして、そのネットワークトラフィックを他のパーティションから分離できます。

専用 VLAN :「共有」オプションが無効になっている 1 つのパーティションにのみバインドされた VLAN で、タグ付き VLAN である必要があります。たとえば、クライアント/サーバ配置では、セキュリティ上の理由から、システム管理者はサーバ側のパーティションごとに専用 VLAN を作成します。

共有 VLAN :「共有」オプションが有効になっている複数のパーティションにバインドされた VLAN(全体で共有)。たとえば、クライアント/サーバ配置では、システム管理者がクライアント側のネットワークを制御できない場合、VLAN が作成され、複数のパーティションで共有されます。

共有 VLAN は複数のパーティションで使用できます。デフォルトパーティションに作成され、共有 VLAN を複数のパーティションにバインドできます。デフォルトでは、共有 VLAN はデフォルトパーティションに暗黙的にバインドされるため、明示的にバインドすることはできません。

  • 任意のハイパーバイザー(ESX、KVM、Xen、およびHyper-V)プラットフォームに展開されたCitrix ADCアプライアンスは、パーティション設定とトラフィックドメインにおける次の条件の両方に準拠している必要があります。

    • Enable the promiscuous mode, MAC changes, MAC spoofing, or forged transmit for shared VLANs with partition.
    • Enable the VLAN with port group properties of the virtual switch, if the traffic is through a dedicated VLAN.
  • パーティション化された(マルチテナント)Citrix ADCアプライアンスでは、システム管理者は特定の1つまたは複数のパーティションに流れるトラフィックを分離できます。これは、1 つ以上の VLAN を各パーティションにバインドすることによって行われます。VLAN は、1 つのパーティション専用にすることも、複数のパーティション間で共有することもできます。

専用 VLAN

パーティションに流れるトラフィックを分離するには、VLAN を作成し、それをパーティションに関連付けます。これにより、VLAN は関連付けられたパーティションにだけ認識され、VLAN を通過するトラフィックは、関連付けられたパーティションでのみ分類および処理されます。

専用 VLAN 管理パーティション

特定のパーティションに専用 VLAN を実装するには、次の手順を実行します。

  1. VLAN(V1)を追加します。
  2. ネットワークインターフェースをタグ付きネットワークインターフェースとして VLAN にバインドします。
  3. パーティション (P1) を作成します。
  4. パーティション(P1)を専用 VLAN(V1)にバインドします。

CLI を使用して次の設定を行います

  • VLAN を作成する

    add vlan <id>

    add vlan 100
  • VLANをバインドする

    bind vlan <id> -ifnum <interface> -tagged

    bind vlan 100 –ifnum 1/8 -tagged
  • パーティションを作成する

    Add ns partition <partition name> [-maxBandwidth <positive_integer>][-maxConn <positive_integer>] [-maxMemLimit <positive_integer>]

    Add ns partition P1 –maxBandwidth 200 –maxconn 50 –maxmemlimit 90

    Done
  • パーティションをVLANにバインドする

    bind partition <partition-id> -vlan <id>

    bind partition P1 –vlan 100

Citrix ADC GUIを使用して専用VLANを構成します

  1. 設定 > システム > ネットワーク > VLAN* に移動し、VLAN を作成するために『 Add 』をクリックして下さい。
  2. [VLAN の作成(Create VLAN )] ページで、次のパラメータを設定します。

    • VLAN ID
    • エイリアス名
    • 最大伝送ユニット
    • 動的ルーティング
    • IPv6 ダイナミックルーティング
    • パーティション共有
  3. [ インターフェイスバインディング(Interface Bindings )] セクションで、1 つ以上のインターフェイスを選択し、VLAN にバインドします。
  4. [ IP バインディング ] セクションで、1 つ以上の IP アドレスを選択し、VLAN にバインドします。
  5. [OK] をクリックし、[完了] をクリックします。

共有 VLAN

共有 VLAN 設定では、各パーティションに MAC アドレスがあり、共有 VLAN で受信されるトラフィックは MAC アドレスで分類されます。レイヤ 3 VLAN はサブネットトラフィックを制限できるため、レイヤ 3 VLAN だけを推奨します。パーティション MAC アドレスは、共有 VLAN 配置にのみ適用され、重要です。

Citrix ADCバージョン12.1ビルド51.16以降、パーティション化されたアプライアンスの共有VLANは動的ルーティングプロトコルをサポートします。

次の図は、VLAN(VLAN 10)が 2 つのパーティション間でどのように共有されるかを示しています。

共有 VLAN 管理パーティション

共有 VLAN 設定を展開するには、次の手順を実行します。

  1. 共有オプション「enabled」で VLAN を作成するか、既存の VLAN で共有オプションを有効にします。デフォルトでは、このオプションは「無効」です。
  2. パーティションインターフェイスを共有 VLAN にバインドします。
  3. パーティションを作成します。各パーティションには独自のパーティションMACアドレスがあります。
  4. パーティションを共有 VLAN にバインドします。

CLI を使用した共有 VLAN の設定

コマンドプロンプトで、次のいずれかのコマンドを入力して、VLANを追加するか、既存のVLANの共有パラメータを設定します。

add vlan <id> [-sharing (ENABLED | DISABLED)]

set vlan <id> [-sharing (ENABLED | DISABLED)]

add vlan 100 –sharing ENABLED

set vlan 100 –sharing ENABLED

CLIを使用してパーティションを共有VLANにバインドします

コマンドプロンプトで入力します。

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

add ns partition P1 –maxBandwidth 200 –maxconn 50   –maxmemlimit 90 -partitionMAC<mac_addr

Done

CLIを使用してパーティションのMACアドレスを構成する

set ns partition <partition name> [-partitionMAC<mac_addr>]

set ns partition P1 –partitionMAC 22:33:44:55:66:77

CLIを使用してパーティションを共有VLANにバインドします

bind partition <partition-id> -vlan <id>

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

bind partition P2 –vlan 100

bind partition P3 –vlan 100

bind partition P4 –vlan 100

Citrix ADC GUIを使用して共有VLANを構成する

  1. [ 構成] > [システム] > [ネットワーク] > [VLAN ] に移動し、 VLAN プロファイルを選択し、[ 編集 ] をクリックしてパーティション共有パラメータを設定します。

  2. [Create VLAN]ページで[Partitions Sharing]チェックボックスをオンにします。

  3. OK」、「完了」の順にクリックします。

管理パーティション間の共有 VLAN を介したダイナミックルーティング

Citrix ADCアプライアンスの管理パーティションは、複数のテナントをホストする方法を提供します。

Citrix ADCバージョン12.1ビルド51.16以降、パーティション化されたアプライアンスの共有VLANは動的ルーティングプロトコルをサポートします。ルーティングは、管理パーティションに関連付けられた専用 VLAN または共有 VLAN で設定できます。

管理パーティションの専用 VLAN。専用 VLAN では、テナントのデータパスは 1 つ以上の VLAN を使用して識別されます。その結果、テナントの構成とデータパスの分離が厳密になります。VIP アドレスの健全性をアドバタイズするために、ダイナミックルーティングが各パーティションで有効になり、パーティションごとにルーティング隣接関係が確立されます。

パーティションごとの専用 VLAN を介したダイナミックルーティング

管理パーティション間の共有 VLAN。共有 VLAN では、デフォルト以外のパーティションに設定された VIP アドレスは、デフォルトパーティションで形成される単一の隣接またはピアリングを介してアドバタイズできます。デフォルト以外のパーティションの SNIP アドレスは、そのデフォルト以外のパーティション内のすべての VIP アドレス( advertiseOnDefaultPartition オプションを使用して設定)のネクストホップとして使用されます。設定された SNIP アドレスは、ルーティングアドバタイズメントでネクストホップ IP アドレスとしてマークされます。

Citrix ADCアプライアンスの管理パーティションの設定例を考えてみましょう。VLAN 100はデフォルトパーティションとデフォルト以外のパーティション(AP-3およびAP-5)で共有されます。SNIP アドレス SNIP1 はデフォルトパーティションに追加され、SNIP3 は AP-3 に追加され、SNIP5 は AP-5 に追加されます。SNIP1、SNIP3、および SNIP5 は vlan-100 を介して到達可能です。VIP アドレス VIP1 はデフォルトパーティションに追加され、VIP3 は AP-3 に追加され、VIP5 は AP-5 に追加されます。VIP3 および VIP5 は、デフォルトパーティションで形成される単一の隣接またはピアリングを介してアドバタイズされます。

パーティション間の共有 VLAN を介したダイナミックルーティング

はじめに

デフォルト以外の管理パーティションの共有 VLAN 上でダイナミックルーティングを設定する前に、次のことを確認してください。

  • ダイナミックルーティングは、デフォルトパーティションの共有 VLAN で設定されます。デフォルトパーティションの共有 VLAN でダイナミックルーティングを設定する手順は、次のとおりです。
    1. 共有 VLAN でダイナミックルーティングを有効にします。
    2. 動的ルーティングを有効にした状態で SNIP IP アドレスを追加します。この SNIP IP アドレスは、アップストリームとの動的ルーティングに使用されます。
    3. SNIP IP サブネットを共有 VLAN にバインドします。
  • 1つ以上の動的ルーティングプロトコルがデフォルトのパーティションに設定されています。詳細については、 ダイナミックルーティングプロトコルの設定を参照してください

構成の手順

デフォルト以外の管理パーティション内の共有 VLAN を介したダイナミックルーティングの設定は、次の手順で構成されます。

  1. デフォルト以外のパーティションに SNIP IP アドレスを追加します。この SNIP IP アドレスは、デフォルトパーティションの動的ルーティングに使用されている SNIP IP アドレスと同じサブネットに存在する必要があります。

  2. ダイナミックルーティングを使用して、デフォルト以外のパーティションで VIP アドレスをアドバタイズするための次のパラメータを設定または有効にします

    • ホストルートゲートウェイ (HostRtgW)。このパラメータを、前の手順で追加した SNIP アドレスに設定します。
    • デフォルトパーティションでアドバタイズ(AdvertiseOnDefaultPartition)。このパラメーターを有効にします。

構成例

Citrix ADCアプライアンスの管理パーティションセットアップの例を考えてみましょう。このアプライアンスには、デフォルト以外の管理パーティション AP-3 が設定されています。共有 VLAN VLAN100 は AP-3 にバインドされています。次の設定例では、AP-3 で VLAN100 を介したダイナミックルーティングを設定します。

手順 構成例
デフォルトの管理パーティション -
共有VLAN100で動的ルーティングを有効にします。 set vlan 100 -dynamicRouting enabled
動的ルーティングを有効にした状態で SNIP IPアドレス 192.0.2.10 を追加します。この SNIP IP アドレスは、アップストリームとの動的ルーティングに使用されます。 add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
192.0.2.10 のサブネットを共有 VLAN 100 にバインドします。 bind vlan 100 -IPAddress 192.0.2.10 255.255.255.0
デフォルト以外の管理パーティションAP-3 -
SNIP IPアドレス192.0.2.30を追加します。このSNIP IPアドレスは、デフォルトパーティションのSNIP IPアドレス192.0.2.10と同じサブネットにあります。 add ns ip 192.0.2.30 255.255.255.0 -type SNIP
ダイナミックルーティングを使用して VIP アドレス 203.0.113.300 をアドバタイズする場合は、advertiseOnDefaultPartitionパラメータを有効にし、hostRtGwパラメータを 192.0.2.30 に設定します。 set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.30

管理パーティション全体の共有 VLAN を介した IPv6 のダイナミックルーティング

IPv6 アドレスが管理パーティション内の共有 VLAN を介して動的にルーティングするには、 enable ns feature IPv6PTコマンドおよびset L3Param –ipv6DynamicRouting ENABLEDコマンドを有効にする必要があります。次の設定例は、共有 VLAN 経由の IPv6 のダイナミックルーティングの設定に役立ちます。

構成例

次の設定例では、AP-3 で VLAN 100 を介したダイナミックルーティングを設定します。

手順 構成例
デフォルトの管理パーティション -
共有VLAN100で動的ルーティングを有効にします。 set vlan 100 -dynamicRouting enabled
ダイナミックルーティングを有効にした状態で SNIP IP アドレス 2001: b: c: d። 1/64 を追加します。SNIP IP アドレスは、アップストリームとのダイナミックルーティングに使用されます。 add ns ip6 2001:b:c:d::1/64 -type SNIP -dynamicRouting enabled
2001: b: c: d። 1/64 のサブネットを共有 VLAN 100 にバインドします。 bind vlan 100 -IPAddress 2001:b:c:d::1/64
デフォルト以外の管理パーティションAP-3 -
SNIP IP アドレス 2001: b: c: d። 2/64 を追加します。この SNIP アドレスは、デフォルトパーティションの SNIP アドレス 2001: b: c: d። 2/64 と同じサブネット内にあります。 add ns ip6 2001:b:c:d::2/64 -type SNIP
ダイナミックルーティングを使用して VIP アドレス 2002። 1/128 をアドバタイズする場合は、 advertiseOnDefaultPartition パラメータを有効にし、 ip6hostRtGwパラメータを 2001: b: c: d። 2 に設定します。 set ns ip6 2002::1/128 -hostRoute enabled -advertiseOnDefaultPartition enabled -ip6hostRtGw 2001:b:c:d::2

管理パーティションに存在する VIP は、デフォルトパーティションの VTYSH でカーネルルートとして認識される必要があります。

> switch partition default
Done

>vtysh
ns#

ns# sh ipv6 route kernel

IPv6 routing table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
   IA - OSPF inter area, E1 - OSPF external type 1,
   E2 - OSPF external type 2, I - IS-IS, B - BGP
Timers: Uptime

K      2002::1/128 via 2001:b:c:d::2, vlan0, 01:24:15                             >> on Default Partition, VIP : 2002::1 present in AP known via SNIP6 : 2001:b:c:d::2 is present in AP as a Kernel Route

デフォルトパーティションで OSPFv3/bgp+ の下の「カーネルの再配布」オプションを使用して、アップストリームにアドバタイズできます。

ns# sh run router ipv6 ospf
!
router ipv6 ospf 1
redistribute kernel
!

Citrix ADC SDX アプライアンスの管理パーティションを持つ共有 VLAN

SDX アプライアンスでは、共有 VLAN で管理パーティションを使用する前に、管理サービスのユーザーインターフェイスを使用して PMAC アドレスを生成および設定する必要があります。管理サービスでは、次の方法によってパーティション MAC アドレスを生成できます。

  • ベース MAC アドレスの使用
  • カスタム MAC アドレスの指定
  • MAC アドレスをランダムに生成する