Citrix ADC

Gi-LAN 統合

通常、Citrix ADCアプライアンスは、L3ルーターと同様に、Gi-LANに個別のL3インラインノードとして挿入されます。

図:Gi-lan の単純な描写

ローカライズされた画像

接続

十分な冗長性を確保するために、アップストリームスイッチへの物理的な Citrix ADC 接続をお勧めします。たとえば、合計(アップリンク+ダウンリンク)24Gbpsを処理するGi-LANにCitrix ADCアプライアンスが挿入されていると仮定すると、4x10GbE以上のインターフェイスとの接続を推奨します。これにより、リンク障害が発生した場合に N+1 の冗長性が効果的に提供されます。

アップストリームスイッチの関連ポートは、LACP ポート集約用に設定する必要があります。Citrix ADC 関連する構成の概要を以下に示します。

接続構成:

set interface 10/1 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/2 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/3 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/4 –tagall ON –lacpMode ACTIVE –lacpKey 1
<!--NeedCopy-->

「show interface」コマンドを使用すると、LACP の適切な機能を確認できます。

インターフェイスの表示:

sh interface LA/1

    1)      Interface LA/1 (802.3ad Link Aggregate) #39

             flags=0x4100c020 <ENABLED, UP, AGGREGATE, UP, HAMON, 802.1q>

             MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s

             Requested: media NONE, speed AUTO, duplex NONE, fctl NONE,

             throughput 0

             Actual: throughput 4000

             LLDP Mode: NONE,

             RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) Stalls(0)

             TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) Stalls(0)

             NIC: InDisc(0) OutDisc(0) Fctls(0) Stalls(0) Hangs(0) Muted(0)

             Bandwidth thresholds are not set.

Disable the remaining unused interfaces and turn off the monitor.

set interface 10/5 –haMonitor OFF
<!--NeedCopy-->

コマンド:

set interface 10/24 –haMonitor OFF

disable interface 10/5

disable interface 10/24
<!--NeedCopy-->

物理インターフェイスの構成は、2 つの Citrix ADC ユニット間で共有されません。したがって、HAペアを展開する場合は、上記のコマンドを両方のCitrix ADCノードで実行する必要があります。

HA 設定

他のすべての構成パラメータは、HAペアのCitrix ADCノード間で共有されます。したがって、HA 同期は、他の構成コマンドを実行する前に有効にしておく必要があります。基本的な HA 設定には、次の手順が含まれます。

1. まったく同じCitrix ADCハードウェア、ソフトウェア、ライセンスの使用:異なるモデル(T1100とMPX21550など)またはファームウェアレベルが異なる同じモデル間では、HAペアはサポートされません。既存の HA ペアのアップグレード( リリース 11.1 へのアップグレード)に関する適切な手順を参照してください。

2. HA ペアの確立。

例:

netscaler-1> add HA node 1 <netscaler-2-NSIP>

netscaler-2> add HA node 1 <netscaler-1-NSIP>
<!--NeedCopy-->

3. いずれかのノードで次のコマンドを実行して HA ペアの確立を確認します。両方のノードが認識され、一方はプライマリ(アクティブ)で、もう一方はセカンダリ(スタンバイ)になります。

例:

show HA node
<!--NeedCopy-->

4. フェイルセーフモードと maxFlips を有効にします。これにより、両方のノードでルートモニタに障害が発生しても、アクティブ/スタンバイステータスが常に切り替わることなく、少なくとも 1 つのノードがアクティブのままになります。

例:

set HA node –failsafe ON

set HA node -maxFlips 3 -maxFlipTime 1200
<!--NeedCopy-->

5. 最後に、OAM ネットワークではなく、専用の イントラCitrix ADC ポートで高可用性同期を実行できるようにします。

例:

add vlan 4080 -aliasName syncVlan

set HA node -syncvlan 4080
<!--NeedCopy-->

上の例のコマンドの VLAN 4080 は、文字どおりに解釈すべきではありません。未使用の VLAN-ID は予約されている可能性があります。

VLAN 設定

物理インターフェイスを適切に設定したら、適切な Gi-LAN VLAN を設定することができます。たとえば、100/101 の VLAN 識別子を持つ入力/出力 VLAN ペアを持つ、かなり単純な Gi-LAN 環境を考えてみましょう。

次のコマンドは、前の手順で作成した LACP チャネルの上に関連する VLAN を設定します。

add vlan 100
add vlan 101
bind vlan 100 –ifnum LA/1 –tagged
bind vlan 101 –ifnum LA/1 –tagged
<!--NeedCopy-->

IPv4 設定

通常、Citrix ADCアプライアンスでは、VLANごとに1つのSNIPが必要です。次の例では、このページの冒頭にある Gi-LAN 統合図で概説されているネットワークに /24 サブネットマスクがあることを前提としています。

add ns ip 192.168.1.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
add ns ip 192.168.2.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
<!--NeedCopy-->

SNIP を設定したら、適切な VLAN に関連付ける必要があります。

bind vlan 100 –IPAddress 192.168.1.254 255.255.255.0
bind vlan 101 –IPAddress 192.168.2.254 255.255.255.0
<!--NeedCopy-->

IPv4 スタティックルーティング

管理ネットワーク 」セクションで説明した例では、2 つのスタティックルーティングルールしか求めません。

  • 入力ルータを経由してクライアントへの 10.0.0.0/8 スタティックルート
  • 出力ルータを経由したインターネットへのデフォルトルート

例:

add route 0.0.0.0 0.0.0.0 192.168.2.1
add route 10.0.0.0 255.0.0.0 192.168.1.1
<!--NeedCopy-->

IPv4 ポリシーベース (VLAN-VLAN) ルーティング

Citrix ADCアプライアンスでは、静的ルーティングの代わりにポリシーベースのルーティングが可能で、ルーティングの決定は通常、宛先IPではなく着信インターフェイスやVLANに対してキーイングされます。ポリシーベースのルーティングは、クライアントの送信元 IP アドレス範囲が定期的に変更される場合や、パケットの宛先 IP アドレスだけではルーティングの決定に到達できない場合の (つまり、クライアント IP アドレスが重複している場合)、必須の考慮事項です。複数の VLAN にまたがる)

例:

add ns pbr fromWirelessToInternet ALLOW –nextHop 192.168.2.1 –vlan 100 –priority 10

Done

 add ns pbr fromInternetToWireless ALLOW –nextHop 192.168.1.1 –vlan 200 –priority 20

Done

apply ns pbrs
<!--NeedCopy-->

IPv6 設定

次のコマンドは、VLAN ごとに IPv6 SNIP を割り当てます。次の例では、図:このページの Gi-LAN の簡単な描写に概説されているネットワークに /64 サブネットマスクがあることを前提としています。

コマンド:

add ns ip6 fd00:192:168:1::254/64 -vServer DISABLED –mgmtAccess DISABLED
add ns ip6 fd00:192:168:2::254/64 -vServer DISABLED –mgmtAccess DISABLED
bind vlan 100 -IPAddress fd00:192:168:1::254/64
bind vlan 200 -IPAddress fd00:192:168:2::254/64
<!--NeedCopy-->

IPv6 ルーティング

IPv6 アドレッシングが完了すると、IPv6 スタティックルーティングが構成されることがあります。

  • fd 00:10:: /64 入力ルーター経由のクライアントへのスタティックルート
  • 出力ルータを経由したインターネットへのデフォルトルート

例:

add route6 fd00:10::/64 fd00:192:168:1::1
add route6 ::/0 fd00:192:168:2::1
<!--NeedCopy-->

または、ポリシーベースルーティングを使用します。

例:

add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd00:192:168:2::1

add ns pbr6 fromInternetToWirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd00:192:168:1::1

apply ns pbr6
<!--NeedCopy-->

LACP の冗長性とフェールオーバー

HA 構成の場合は、スループットオプションを利用して LACP チャネルの下限しきい値を設定することをお勧めします。たとえば、HA ペアの各 Citrix ADC アプライアンスとアップストリームスイッチの間に 25 Gbps Gi-LAN と 4x10GbE チャネルを設定して、N+1 リンクの冗長性を提供するとします。

例:

set interface LA/1 –haMonitor ON –throughput 29000
<!--NeedCopy-->

プライマリアプライアンスとアップストリームスイッチの間に二重リンク障害が発生した場合、サポートできる最大 Gi-LAN スループットは 20 Gbps に低下します。上記の例で 29 Gbps の下限しきい値を設定すると、セカンダリアプライアンス(同様のリンク障害が発生していない)に冗長スイッチオーバーイベントが発生し、Gi-LAN トラフィックは影響を受けません。

ルートモニター

LACP の冗長性に加えて、ルートモニタチェックを設定し、HA ペアの設定に関連付けることもできます。ルートモニターチェックは、Citrix ADCアプライアンスとネクストホップルーターの間の障害を検出するのに役立ちます。特に、ルーターが直接接続されておらず、アップストリームスイッチを介して接続されている場合に役立ちます。

セクション 2.5.1 のサンプル GiLAN ごとの一般的な HA ルートモニタの設定を次に示します。

add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp
add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp
bind HA node -routeMonitor 192.168.1.0 255.255.255.0
bind HA node -routeMonitor 192.168.2.0 255.255.255.0
<!--NeedCopy-->