Citrix ADC

Gi-LAN 集成

通常,Citrix ADC 设备作为单独的 L3 内联节点插入到 Gi-LAN 中,类似于 L3 路由器。

图:Gi-LAN 的简单描述

本地化后的图像

连接

建议使用物理 Citrix ADC 连接到上游交换机,以提供足够的冗余。例如,假设 Citrix ADC 设备插入处理总共 24Gbps(上行链路 + 下行链路)的 Gi-LAN 中,建议使用 4x10GbE 或更多接口进行连接。在链路故障的情况下,这有效地提供了 N+1 冗余。

应该为 LACP 端口聚合配置上游交换机上的相关端口。Citrix ADC 上的相关配置概述如下:

连接配置:

set interface 10/1 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/2 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/3 –tagall ON –lacpMode ACTIVE –lacpKey 1

set interface 10/4 –tagall ON –lacpMode ACTIVE –lacpKey 1
<!--NeedCopy-->

您可以使用 “show interface” 命令验证 LACP 的适当功能:

显示界面:

sh interface LA/1

    1)      Interface LA/1 (802.3ad Link Aggregate) #39

             flags=0x4100c020 <ENABLED, UP, AGGREGATE, UP, HAMON, 802.1q>

             MTU=1500, native vlan=1, MAC=02:e0:ed:33:88:b0, uptime 340h11m56s

             Requested: media NONE, speed AUTO, duplex NONE, fctl NONE,

             throughput 0

             Actual: throughput 4000

             LLDP Mode: NONE,

             RX: Pkts(918446) Bytes(110087414) Errs(0) Drops(795989) Stalls(0)

             TX: Pkts(124113) Bytes(15255532) Errs(0) Drops(0) Stalls(0)

             NIC: InDisc(0) OutDisc(0) Fctls(0) Stalls(0) Hangs(0) Muted(0)

             Bandwidth thresholds are not set.

Disable the remaining unused interfaces and turn off the monitor.

set interface 10/5 –haMonitor OFF
<!--NeedCopy-->

命令:

set interface 10/24 –haMonitor OFF

disable interface 10/5

disable interface 10/24
<!--NeedCopy-->

物理接口的配置不会在两个 Citrix ADC 单元之间共享。因此,如果是 HA 对部署,上述命令必须在两个 Citrix ADC 节点上运行。

HA 配置

所有其他配置参数在 HA 对的 Citrix ADC 节点之间共享。因此,应在运行任何其他配置命令之前启用 HA 同步。基本 HA 配置包括以下步骤:

1. 使用完全相同的 Citrix ADC 硬件、软件和许可证:不同型号(即 T1100 和 MPX21550)或具有不同固件级别的相同型号之间不支持 HA 对。请参阅有关升级现有 HA 对的相应说明- 升级到版本 11.1

2. 建立 HA 对。

示例:

netscaler-1> add HA node 1 <netscaler-2-NSIP>

netscaler-2> add HA node 1 <netscaler-1-NSIP>
<!--NeedCopy-->

3. 验证在任一节点中运行以下命令的 HA 对建立;两个节点都应可见,其中一个为主节点(活动),另一个为辅助节点(备用)。

示例:

show HA node
<!--NeedCopy-->

4. 启用故障安全模式和 maxFlips。这样可以确保在两个节点上发生路由监视器故障的情况下,至少有一个节点保持活动/备用状态,而不会不断切换活动

示例:

set HA node –failsafe ON

set HA node -maxFlips 3 -maxFlipTime 1200
<!--NeedCopy-->

5. 最后,启用 HA 同步通过专用 Citrix ADC 端口而不是 OAM 网络进行。

示例:

add vlan 4080 -aliasName syncVlan

set HA node -syncvlan 4080
<!--NeedCopy-->

注意

上面示例中的命令中的 VLAN 4080 不应按字面意思来理解。任何未使用的 VLAN ID 都可能会被保留。

VLAN 配置

正确配置物理接口后,您可以配置适当的 Gi-LAN VLAN。例如,考虑一个相当简单的 Gi-LAN 环境,其入口/出口 VLAN 对分别带有 100/101 VLAN 标识符。

以下命令在上一步中创建的 LACP 通道之上配置相关 VLAN。

add vlan 100
add vlan 101
bind vlan 100 –ifnum LA/1 –tagged
bind vlan 101 –ifnum LA/1 –tagged
<!--NeedCopy-->

IPv4 配置

通常,Citrix ADC 设备需要每个 VLAN 一个 SNIP。以下示例假设本页开头给出的 Gi-LAN 集成图中概述的网络具有 /24 子网掩码:

add ns ip 192.168.1.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
add ns ip 192.168.2.254 255.255.255.0 –vserver DISABLED –mgmtAccess DISABLED
<!--NeedCopy-->

在配置剪切之后,它们应该与相应的 VLAN 关联:

bind vlan 100 –IPAddress 192.168.1.254 255.255.255.0
bind vlan 101 –IPAddress 192.168.2.254 255.255.255.0
<!--NeedCopy-->

IPv4 静态路由

管理网络 部分中概述的示例只需要几个静态路由规则:

  • 通过入口路由器到客户端的 10.0.0.0/8 静态路由
  • 通过出口路由器到互联网的默认路由

示例:

add route 0.0.0.0 0.0.0.0 192.168.2.1
add route 10.0.0.0 255.0.0.0 192.168.1.1
<!--NeedCopy-->

基于 IPv4 策略的(VLAN-VLAN)路由

Citrix ADC 设备允许基于策略的路由而不是静态路由,路由决策通常以传入接口和/或 VLAN 为基础,而不是目标 IP。如果客户端源 IP 地址范围需要定期更改,则基于策略的路由是一种方便的选择,或者在数据包的目的 IP 地址本身不足以达成路由决策的情况下(例如,在客户端 IP 地址重叠的情况下),则必须考虑基于策略的路由跨多个 VLAN)。

示例:

add ns pbr fromWirelessToInternet ALLOW –nextHop 192.168.2.1 –vlan 100 –priority 10

Done

 add ns pbr fromInternetToWireless ALLOW –nextHop 192.168.1.1 –vlan 200 –priority 20

Done

apply ns pbrs
<!--NeedCopy-->

IPv6 配置

以下命令为每个 VLAN 分配 IPv6 SNIP。下面的示例假设图:本页中 Gi-LAN 的简单描述中概述的网络具有 /64 子网掩码:

命令:

add ns ip6 fd00:192:168:1::254/64 -vServer DISABLED –mgmtAccess DISABLED
add ns ip6 fd00:192:168:2::254/64 -vServer DISABLED –mgmtAccess DISABLED
bind vlan 100 -IPAddress fd00:192:168:1::254/64
bind vlan 200 -IPAddress fd00:192:168:2::254/64
<!--NeedCopy-->

IPv6 路由

IPv6 寻址完成后,可以配置 IPv6 静态路由:

  • 通过入口路由器到达客户端的 fd 00:10:: /64 静态路由
  • 通过出口路由器到互联网的默认路由

示例:

add route6 fd00:10::/64 fd00:192:168:1::1
add route6 ::/0 fd00:192:168:2::1
<!--NeedCopy-->

或者使用基于策略的路由:

示例:

add ns pbr6 fromWirelessToInternetv6 ALLOW -vlan 100 -priority 10 -nextHop fd00:192:168:2::1

add ns pbr6 fromInternetToWirelessv6 ALLOW -vlan 200 -priority 20 -nextHop fd00:192:168:1::1

apply ns pbr6
<!--NeedCopy-->

LACP 冗余和故障转移

如果是 HA 配置,建议利用吞吐量选项为 LACP 通道配置低阈值。例如,考虑 HA 对中的每个 Citrix ADC 设备与上游交换机之间的 25Gbps Gi-LAN 和 4x10GbE 通道,以提供 N+1 链路冗余:

示例:

set interface LA/1 –haMonitor ON –throughput 29000
<!--NeedCopy-->

如果主设备和上游交换机之间出现双链路故障,可支持的最大 Gi-LAN 吞吐量将降至 20Gbps。根据上述示例,29Gbps 的低阈值将导致辅助设备的冗余切换事件(未遭受类似的链路故障),因此 Gi-LAN 流量不受影响。

路由监视器

除了 LACP 冗余之外,还可以配置路由监视器检查并将其与 HA 对配置关联。路由监视器检查对于检测 Citrix ADC 设备和下一跳路由器之间的故障非常有用,尤其是在所述路由器不是直接连接而是通过上游交换机连接的情况下。

下面概述了 2.5.1 节中每个样本 Gi-LAN 的典型 HA 路由监视器配置:

add route 192.168.1.0 255.255.255.0 192.168.1.1 -msr ENABLED -monitor arp
add route 192.168.2.0 255.255.255.0 192.168.2.1 -msr ENABLED -monitor arp
bind HA node -routeMonitor 192.168.1.0 255.255.255.0
bind HA node -routeMonitor 192.168.2.0 255.255.255.0
<!--NeedCopy-->
Gi-LAN 集成