Citrix ADC

管理分区的 VLAN 配置

VLAN 可以作为“专用”VLAN 或“共享”VLAN 绑定到分区。根据您的部署,您可以将 VLAN 绑定到分区,以将其网络流量与其他分区隔离开来。

专用 VLAN — 仅绑定到一个分区且禁用了 “共享” 选项的 VLAN,且必须是标记 VLAN。例如,在客户端-服务器部署中,出于安全原因,系统管理员为服务器端的每个分区创建专用 VLAN。

共享 VLAN — 启用 “共享” 选项的 VLAN 绑定(在之间共享)到多个分区。例如,在客户端-服务器部署中,如果系统管理员无法控制客户端网络,则会创建 VLAN 并跨多个分区共享。

共享 VLAN 可以跨多个分区使用。它在默认分区中创建,您可以将共享 VLAN 绑定到多个分区。默认情况下,共享 VLAN 隐式绑定到默认分区,因此无法显式绑定它。

注意

  • 部署在任何虚拟机管理程序(ESX、KVM、Xen 和 Hyper-V)平台上的 Citrix ADC 设备必须符合分区设置和流量域中的以下条件:

    • Enable the promiscuous mode, MAC changes, MAC spoofing, or forged transmit for shared VLANs with partition.
    • Enable the VLAN with port group properties of the virtual switch, if the traffic is through a dedicated VLAN.
  • 在分区(多租户)Citrix ADC 设备中,系统管理员可以隔离流向特定分区或分区的流量。通过将一个或多个 VLAN 绑定到每个分区来完成。VLAN 可以专用于一个分区,也可以跨多个分区共享。

专用 VLAN

要隔离流入分区的流量,请创建 VLAN 并将其与分区关联。然后,VLAN 仅对关联的分区可见,并且流经 VLAN 的流量仅在关联的分区中进行分类和处理。

专用 VLAN 管理分区

要为特定分区实现专用 VLAN,请执行以下操作。

  1. 添加一个 VLAN (V1)。
  2. 将网络接口绑定到 VLAN 作为标记的网络接口。
  3. 创建分区 (P1)。
  4. 将分区 (P1) 绑定到专用的 VLAN (V1)。

使用 CLI 配置以下内容

  • 创建 VLAN

    add vlan <id>

示例

    add vlan 100
  • 绑定 VLAN

    bind vlan <id> -ifnum <interface> -tagged

示例

    bind vlan 100 –ifnum 1/8 -tagged
  • 创建分区

    Add ns partition <partition name> [-maxBandwidth <positive_integer>][-maxConn <positive_integer>] [-maxMemLimit <positive_integer>]

示例

    Add ns partition P1 –maxBandwidth 200 –maxconn 50 –maxmemlimit 90

    Done
  • 将分区绑定到 VLAN

    bind partition <partition-id> -vlan <id>

示例

    bind partition P1 –vlan 100

使用 Citrix ADC GUI 配置专用 VLAN

  1. 导航到“配置”>“系统”>“网络”>“VLAN”*,然后单击“添加”以创建 VLAN。
  2. 在“创建 VLAN”页面上,设置以下参数:

    • 虚拟网络编号
    • Alias Name(别名)
    • 最大传输单元
    • 动态路由
    • IPv6 动态路由
    • 分区共享
  3. 在“接口绑定”部分中,选择一个或多个接口并将其绑定到 VLAN。
  4. 在“IP 绑定”部分中,选择一个或多个 IP 地址并绑定到 VLAN。
  5. 点击 确定完成

共享无线局域网

在共享 VLAN 配置中,每个分区都有一个 MAC 地址,并且在共享 VLAN 上接收的流量按 MAC 地址进行分类。建议仅使用 Layer3 VLAN,因为它可以限制子网流量。分区 MAC 地址仅适用于共享 VLAN 部署,而且很重要。

注意

从 Citrix ADC 12.1 Build 51.16 开始,分区设备中的共享 VLAN 支持动态路由协议。

下图显示了如何在两个分区之间共享 VLAN (VLAN 10)。

共享 VLAN 管理分区

要部署共享 VLAN 配置,请执行以下操作:

  1. 创建具有“启用”共享选项的 VLAN,或在现有 VLAN 上启用共享选项。默认情况下,该选项为“禁用”。
  2. 将分区接口绑定到共享 VLAN。
  3. 创建分区,每个分区都有自己的分区 Mac 地址。
  4. 将分区绑定到共享 VLAN。

使用 CLI 配置共享 VLAN

在命令提示符下,键入以下命令之一以添加 VLAN 或设置现有 VLAN 的共享参数:

add vlan <id> [-sharing (ENABLED | DISABLED)]

set vlan <id> [-sharing (ENABLED | DISABLED)]

add vlan 100 –sharing ENABLED

set vlan 100 –sharing ENABLED

使用 CLI 将分区绑定到共享 VLAN

在命令提示符下,键入:

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

add ns partition P1 –maxBandwidth 200 –maxconn 50   –maxmemlimit 90 -partitionMAC<mac_addr

Done

使用 CLI 配置分区 MAC 地址

set ns partition <partition name> [-partitionMAC<mac_addr>]

set ns partition P1 –partitionMAC 22:33:44:55:66:77

使用 CLI 将分区绑定到共享 VLAN

bind partition <partition-id> -vlan <id>

bind partition <partition-id> -vlan <id>

bind partition P1 –vlan 100

bind partition P2 –vlan 100

bind partition P3 –vlan 100

bind partition P4 –vlan 100

使用 Citrix ADC GUI 配置共享 VLAN

  1. 导航到“配置”>“系统”>“网络”>“VLAN”,然后选择 VLAN 配置文件,然后单击“编辑”以设置分区共享参数。

  2. Create VLAN(创建虚拟 LAN)页面上,选中 Partitions Sharing(分区共享)复选框。

  3. 单击 确定 ,然后单击 完成

跨管理分区在共享 VLAN 上动态路由

Citrix ADC 设备中的管理员分区提供了托管多个租户的方法。

从 Citrix ADC 12.1 Build 51.16 开始,分区设备中的共享 VLAN 支持动态路由协议。路由可以在与管理分区关联的专用或共享 VLAN 中进行配置。

管理分区的专用 VLAN。在专用 VLAN 中,租户的数据路径是使用一个或多个 VLAN 来标识的。这会导致租户严格的配置和数据路径隔离。为了广告 VIP 地址的运行状况,在每个分区中启用动态路由,每个分区都建立路由邻接关系。

每个分区通过专用 VLAN 进行动态路由

跨管理分区的共享 VLAN。在共享 VLAN 中,在非默认分区中配置的 VIP 地址可以通过默认分区中形成的单个邻接关系或对等互连进行播发。非默认分区中的 SNIP 地址用作该非默认分区中所有 VIP 地址(配置了 广告seonDefaultPartition 选项)的下一跳。在路由通告中,配置的 SNIP 地址被标记为下一跳 IP 地址。

考虑 Citrix ADC 设备中的管理分区设置示例,VLAN 100 在默认分区之间共享,非默认分区:AP-3 和 AP-5。SNIP 地址 SNIP1 被添加到默认分区中,在 AP-3 中添加了 SNIP3,在 AP-5 中添加了 SNIP5。通过 vlan-100 可以访问 SNIP1、SNIP3 和 SNIP5。VIP 地址 VIP1 添加到默认分区中,在 AP-3 中添加 VIP3,并在 AP-5 中添加 VIP5。VIP3 和 VIP5 通过默认分区中形成的单个邻接关系或对等互连进行播发。

跨分区通过共享 VLAN 进行动态路由

开始之前的准备工作

在非默认管理分区中通过共享 VLAN 配置动态路由之前,请确保:

  • 动态路由是在默认分区的共享 VLAN 上配置的。在默认分区的共享 VLAN 上配置动态路由包括以下步骤:
    1. 在共享 VLAN 上启用动态路由。
    2. 添加启用动态路由的 SNIP IP 地址。此 SNIP 地址用于与上游的动态路由。
    3. 将 SNIP 子网绑定到共享 VLAN。
  • 默认分区上配置了一个或多个动态路由协议。有关详细信息,请参阅 配置动态路由协议

配置步骤

在非默认管理分区中通过共享 VLAN 配置动态路由包括以下步骤:

  1. 非默认分区中添加 SNIP 地址。此 SNIP 地址必须位于用于默认分区中动态路由的 SNIP 地址的同一子网中。

  2. 使用动态路由在非默认分区中设置或启用以下用于广告 VIP 地址的参数。

    • 主机路由网关 (HostrtGW)。将此参数设置为在上一步中添加的 SNIP 地址。
    • 在默认分区(广告 seonDefaultPartin)上进行广告。启用此参数。

示例配置

考虑 Citrix ADC 设备中的管理分区设置示例。此设备上配置了非默认管理分区 AP-3。共享 VLAN VLAN100 绑定到 AP-3。以下示例配置在 AP-3 中通过 VLAN100 配置动态路由。

步骤 示例配置
在默认管理分区 -
在共享 VLAN 100 上启用动态路由。 set vlan 100 -dynamicRouting enabled
在启用动态路由的情况下添加 SNIP 地址 192.0.2.10。此 SNIP 地址用于与上游的动态路由。 add ns ip 192.0.2.10 255.255.255.0 -type SNIP -dynamicRouting enabled
将 192.0.2.10 的子网绑定到共享 VLAN 100。 bind vlan 100 -IPAddress 192.0.2.10 255.255.255.0
在非默认管理分区 AP-3 -
添加 SNIP 地址 192.0.2.30。此 SNIP 地址与默认分区上的 SNIP 地址 192.0.2.10 位于同一子网中。 add ns ip 192.0.2.30 255.255.255.0 -type SNIP
对于使用动态路由的广告 VIP 地址 203.0.113.300,请启用 advertiseOnDefaultPartition 参数并将 hostRtGw参数设置为 192.0.2.30。 set ns ip 203.0.113.300 255.255.255.255 -hostRoute enabled -advertiseOnDefaultPartition enabled -hostRtGw 192.0.2.30

跨管理分区通过共享 VLAN 动态路由 IPv6

必须启用 enable ns feature IPv6PTset L3Param –ipv6DynamicRouting ENABLED 命令才能通过管理分区中的共享 VLAN 动态路由 IPv6 地址。以下示例配置可帮助您通过共享 VLAN 配置 IPv6 的动态路由。

示例配置

以下示例配置在 AP-3 中配置通过 VLAN 100 的动态路由。

步骤 示例配置
在默认管理分区 -
在共享 VLAN 100 上启用动态路由。 set vlan 100 -dynamicRouting enabled
在启用动态路由的情况下添加 SNIP 地址 2001:b: c: d። 1/64。SNIP IP 地址用于与上游的动态路由。 add ns ip6 2001:b:c:d::1/64 -type SNIP -dynamicRouting enabled
将 2001:b: c:d። 1/64 的子网绑定到共享 VLAN 100。 bind vlan 100 -IPAddress 2001:b:c:d::1/64
在非默认管理分区 AP-3 -
添加截断 IP 地址 2001:b: c: d። 2/64。此 SNIP 地址与默认分区上的 SNIP 地址 2001:b: c:d። 2/64 位于同一子网中。 add ns ip6 2001:b:c:d::2/64 -type SNIP
对于使用动态路由广告 VIP 地址 2002። 1/128,请启用 advertiseOnDefaultPartition 参数并将 ip6hostRtGw参数设置为 2001:b: c: d። 2。 set ns ip6 2002::1/128 -hostRoute enabled -advertiseOnDefaultPartition enabled -ip6hostRtGw 2001:b:c:d::2

管理分区中存在的 VIP 必须在默认分区的 VTYSH 上看作为内核路由。

> switch partition default
Done

>vtysh
ns#

ns# sh ipv6 route kernel

IPv6 routing table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
   IA - OSPF inter area, E1 - OSPF external type 1,
   E2 - OSPF external type 2, I - IS-IS, B - BGP
Timers: Uptime

K      2002::1/128 via 2001:b:c:d::2, vlan0, 01:24:15                             >> on Default Partition, VIP : 2002::1 present in AP known via SNIP6 : 2001:b:c:d::2 is present in AP as a Kernel Route

它可以通过在默认分区中使用 ospfv3/bgp+ 下的 “重新分发内核” 选项向上游播发。

ns# sh run router ipv6 ospf
!
router ipv6 ospf 1
redistribute kernel
!

与 Citrix ADC SDX 设备上的管理分区共享 VLAN

在 SDX 设备上,必须先使用管理服务用户界面生成和配置 PMAC 地址,然后才能将管理分区与共享 VLAN 结合使用。管理服务使您能够通过以下方式生成分区 MAC 地址:

  • 使用基础 MAC 地址
  • 指定自定义 MAC 地址
  • 随机生成 MAC 地址

注意