了解 VLAN

Citrix ADC 设备支持第 2 层端口和 IEEE 802.1q 标记的 VLAN。如果您需要将流量限制到特定的工作站组,则 VLAN 配置非常有用。您可以使用 IEEE 802.1q 标记将网络接口配置为多个 VLAN 的一部分。

您可以配置 VLAN 并将其绑定到 IP 子网。然后 Citrix ADC 在这些 VLAN 之间执行 IP 转发(如果将其配置为这些子网上主机的默认路由器)。

Citrix ADC 支持以下类型的 VLAN:

  • 基于端口的 VLAN。基于端口的 VLAN 的成员身份由一组网络接口定义,这些接口共享一个共用的第 2 层广播域。您可以配置多个基于端口的 VLAN。默认情况下,Citrix ADC 上的所有网络接口都是 VLAN 1 的成员。

    如果将 802.1q 标记应用于端口,则网络接口属于基于端口的 VLAN。在基于端口的 VLAN 中桥接第 2 层流量,如果启用了第 2 层模式,则将第 2 层广播发送到 VLAN 的所有成员。将未标记的网络接口添加为新 VLAN 的成员时,它将从其当前 VLAN 中移除。

  • 默认 VLAN。默认情况下,Citrix ADC 上的网络接口作为未标记的网络接口包含在单个基于端口的 VLAN 中。此 VLAN 是默认的 VLAN。它有一个 VLAN ID(VID)为 1。此 VLAN 永久存在。不能将其删除,也不能更改其 VID。

    将网络接口作为未标记成员添加到其他 VLAN 时,网络接口将自动从默认 VLAN 中删除。如果从当前基于端口的 VLAN 中取消绑定网络接口,则会再次将其添加到默认 VLAN 中。

  • 标记的 VLAN。802.1q 标记(在 IEEE 802.1q 标准中定义)允许网络设备(如 Citrix ADC)向第 2 层的帧添加信息,以识别该帧的 VLAN 成员身份。标记允许网络环境拥有跨多个设备的 VLAN。接收数据包的设备读取标签并识别帧所属的 VLAN。某些网络设备不支持在同一网络接口(尤其是 Force10 交换机)上接收标记和未标记的数据包。在这种情况下,您需要联系客户支持以获得帮助。

    网络接口可以是 VLAN 的标记或未标记成员。每个网络接口只是一个 VLAN(其原生 VLAN)的未标记成员。此网络接口将本机 VLAN 的帧作为未标记的帧传输。如果标记了其他 VLAN,则网络接口可以是多个 VLAN 的一部分。

    配置标记时,请确保与链接两端的 VLAN 配置匹配。Citrix ADC 连接的端口必须与 Citrix ADC 网络接口位于同一 VLAN 上。

    注意: 此 VLAN 配置既不同步也不传播,因此您必须在 HA 对中的每个单元上独立执行配置。

应用规则对帧进行分类

VLAN 有两种类型的帧分类规则:

  • 进入规则。入口规则将每个帧分类为仅属于单个 VLAN。当网络接口上接收帧时,将应用以下规则对帧进行分类:

    • 如果帧未标记,或者标记值等于 0,则帧的 VID 将设置为接收接口的端口 VID (PVID),该端口被分类为属于本机 VLAN。(PVID 在 IEEE 802.1q 标准中定义。)
    • 如果帧的标签值等于 FFF,则该帧将被删除。
    • 如果帧的 VID 指定了接收网络接口不是其成员的 VLAN,则该帧将被删除。例如,如果数据包从与 VLAN ID 12 关联的子网发送到与 VLAN ID 10 关联的子网,则数据包将被删除。如果将带有 VID 9 的未标记数据包从与 VLAN ID 10 关联的子网发送到网络接口 PDID 9,则该数据包将被删除。
  • 导出规则。应用以下导出规则:

    • 如果帧的 VLAN 指定了传输网络接口不是其成员的 VLAN,则丢弃该帧。
    • 在学习过程中(由 IEEE 802.1q 标准定义),Src MAC 和 VID 用于更新 Citrix ADC 的桥接查找表。
    • 如果帧的 VLAN 指定了一个没有任何成员的 VLAN,则该帧将被丢弃。(您可以通过将网络接口绑定到 VLAN 来定义成员。)

Citrix ADC 上的 VLAN 和数据包转发

Citrix ADC 设备上的转发过程与任何标准交换机上的转发过程相似。但是,Citrix ADC 仅在第 2 层模式打开时执行转发。转发过程的主要特点是:

  • 强制执行拓扑限制。强制执行涉及在 VLAN 中选择每个网络接口作为传输端口(取决于网络接口的状态)、桥接限制(不转发接收网络接口)和 MTU 限制。
  • 将根据 Citrix ADC 的转发数据库 (FDB) 表中的桥接表查找中的信息筛选帧。网桥表查找基于目标 MAC 和 VID。发往 Citrix ADC MAC 地址的数据包将在上层处理。
  • 所有广播和多播帧都被转发到作为 VLAN 成员的每个网络接口,但只有在启用 L2 模式时才会发生转发。如果禁用 L2 模式,则会丢弃广播和多播数据包。对于当前不在桥接表中的 MAC 地址也是如此。
  • VLAN 条目具有成员网络接口的列表,这些接口是其未标记成员集的一部分。将帧转发到这些网络接口时,不会在框架中插入标签。
  • 如果网络接口是此 VLAN 的标记成员,则该标记将在转发帧时插入到帧中。

当用户在没有识别 VLAN 的情况下发送任何广播或多播数据包时,即在路由的下一个跃点的 NSIP 地址检测 (DAD) 或 ND6 的重复地址检测 (DAD) 期间,数据包将在所有网络接口上发送,并根据“入口”和“导出”规则进行适当的标记。ND6 通常标识 VLAN,并且仅在此 VLAN 上发送数据包。基于端口的 VLAN 是 IPv4 和 IPv6 通用的。对于 IPv6,Citrix ADC 支持基于前缀的 VLAN。