ADC

网络配置的最佳实践

以下各节讨论在 NetScaler 设备上配置网络功能的一些最佳实践。

路由和默认路由

以下是在 NetScaler 设备上配置第 3 层功能的一些最佳实践。

第 3 层配置的最佳实践

  • 不得将 NetScaler 设备或 NetScaler SDX 设备 0/x 上的接口用于生产流量。在 MPX 或 SDX 上,名为的接口 0/x 被称为管理接口。这并不意味着您必须使用这些接口进行管理。这意味着这些接口不是为生产流量设计的。它们没有实现持续 1 Gbps 吞吐量所需的硬件缓冲区和优化。因此,如果您的默认路由与 NSIP 位于同一个子网中,则必须更改默认路由或使用管理网络 1/x 接口,因为 1/x 接口已针对生产 1 Gbps 流量进行了全面优化。

    注意

    这不适用于 NetScaler VPX 设备。

    • 备选案文1。不要连接到接口 0/x -断开电缆与接口的连接 0/1。NetScaler 在其他接口上监听 NSIP。(注意:这不是 SDX 的选项,因为 SVM 和 XenServer 只能与接口通话) 0/x

    • 选项 2。将默认路由更改为其他接口,详见下一节。

  • 默认网关(路由 0.0.0.0)应位于生产网络上,而不是在任何 0/x 接口上。首次设置 NetScaler 时,它会要求您提供 NSIP、子网掩码和网关地址。这给管理员带来的问题是,他们刚刚使用 Interface 0/1 将自己的默认路由配置为在管理网络上。

    • 要检查您的路由是什么,请在 CLI 中运行,您的默认网关是网络 show route 和网络掩码为 0.0.0.0 的行中的 IP。以下是网关位于第 1 行的示例:

       > sh route
               Network          Netmask          Gateway/OwnedIP  State   Traffic Domain  Type
               -------          -------          ---------------  -----   --------------  ----
       1)      0.0.0.0          0.0.0.0          10.25.213.65     UP      0              STATIC
       2)      127.0.0.0        255.0.0.0        127.0.0.1        UP      0              PERMANENT
       3)      10.25.213.64     255.255.255.192  10.25.213.68     UP      0              DIRECT
       4)      172.16.0.0       255.255.255.0    172.16.0.1       UP      0              DIRECT
      
       <!--NeedCopy-->
      
    • 要检查用于默认网关的接口和 VLAN,请在 CLI 中使用 sh arp 查看 ARP 表。您也可以使用搜索特定 IP show arp | grep 10.25.213.65。以下是您看到网关 10.25.213.65 正在使用接口 1/1 和 VLAN 1 的示例:

       > sh arp
               IP               MAC                Iface VLAN  Origin     TTL     Traffic Domain
               --               ---                ----- ----  ------     ---     --------------
       1)      127.0.0.1        02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
       2)      10.25.213.70     02:00:0f:46:00:28  1/1   1     DYNAMIC    967    0
       3)      10.25.213.68     02:00:18:a4:00:1e  LO/1  1     PERMANENT  N/A    0
       4)      10.25.213.67     02:00:0f:46:00:28  1/1   1     DYNAMIC    641    0
       5)      10.25.213.65     00:08:e3:ff:fd:90  1/1   1     DYNAMIC    483    0
       <!--NeedCopy-->
      
    • 更改默认路由,在您的生产子网和接口上使用网关。假设您的管理网络是 10.0.0.0/24,网关 10.0.0.1,生产网络是 10.1.1.0/24,网关 10.1.1.1。像这样设置您的配置:

      • SNIP:(已禁用管理访问权限)10.1.1.2
      • NSIP:(已启用管理访问权限)10.0.0.2
      • 默认路由:0.0.0.0 0.0.0.0 10.1.1.1(系统 > 网络 > 路由)。这使用 SNIP 网络上的路由器而不是 NSIP 网络。

        注意

        除非您配置静态路由、基于策略的路由或启用基于 MAC 的转发,否则更改默认网关可能会中断管理流量。

接口、信道和 VLAN

以下是在 NetScaler 设备上配置第 2 层功能的一些最佳实践。

第 2 层配置的最佳实践

  • 不要将多个接口/信道连接到同一 VLAN,包括 VLAN 1
    • 如果您未正确配置 VLAN,则只要有多个活动接口使用同一 VLAN(本地接口或已标记),就会导致网络中出现一些意外的数据包路由和第 2 层循环。

    • 默认情况下,所有接口和信道都位于本地 VLAN 1 上。这会产生两个可能的问题:

      • NetScaler 认为收到的所有流量都在同一个网络上,因此它使用任何接口发送流量。如果您在发送数据的接口上有不同的本地 VLAN,则流量将无法按预期路由。

      • 如果 NetScaler 在一个端口上接收广播数据包,它可能会在另一个端口上重新传输。如果两个交换机端口位于同一 VLAN 上,则您刚刚创建了第 2 层环路。

    • 要从 VLAN 1 中删除接口/信道,请执行以下操作:

      • 如果您没有在交换机接口/端口通道上使用本地 VLAN。将 NetScaler 接口/通道上的本地 VLAN 更改为未使用的 VLAN 编号,例如 999。不应为多个通道或接口使用相同的未使用的 VLAN 编号,因为它会创建第 2 层环路。

      • 如果您在交换机接口/端口通道上使用本地 VLAN。将 NetScaler 接口/通道上的本地 VLAN 更改为匹配。但是,请注意不要在同一 VLAN 上有多个活动接口或信道,因为这样做会产生第 2 层环路。

      • 您无法删除本地 VLAN。相反,您可以对其进行更改或为接口或频道设置 tagAll。如果交换机端口未配置未标记的本地 VLAN,则在接口上启用 tagall,以便对高可用性心跳数据包进行标记。

    • 要在接口上查看本地 VLAN,请 sh interface 在 CLI 中运行。这也将通知您该接口是否在使用 TAGALL 选项。

  • 将接口绑定到您的 VLAN -默认情况下,NetScaler 不会将新的 VLAN 连接到接口。这意味着在将 VLAN 绑定到接口之前,它不会被使用。当新 VLAN 未绑定到接口且该 VLAN 被标记时,NetScaler 会丢弃来自该 VLAN 的所有入站流量。此外,不要将同一 VLAN 绑定到多个接口。

    • 将子网绑定到您的 VLAN。NetScaler 不像普通的路由器那样工作。大多数路由器将 IP 连接到接口。在 NetScaler 上,除非另有配置,否则 IP 会在任何接口上浮动。因此,如果您想确保 NetScaler 通过特定的 VLAN 发送任何子网,尤其是当 NetScaler 启动该流量时,则必须将该子网中的 SNIP 绑定到该 VLAN。

    • 我们听到的反对这个观点的一个常见参数是,它以前可以正常工作,现在如果不将子网绑定到 VLAN,它就无法正常工作。这通常是因为 NetScaler 会得知要向哪个 VLAN 发送流量,但这可能需要一些时间来构建 ARP 表。重新启动或固件升级后,当它再次开始构建 ARP 表时,它最初可能会学习,因此使用的路径与您想要的路径不同,例如您的默认路由。最好通过将 SNIP 绑定到 VLAN 来指示它采用哪条路径。SNIP 绑定到 VLAN 后,该 SNIP 的整个子网都将绑定到该 VLAN。

    • 确保每个 SNIP 都绑定到 VLAN(除非在一个子网中有多个 SNIP,则只需要绑定一个),并且 VLAN 反过来仅绑定到一个接口或信道。通常,最好在每个子网中都有一个 SNIP,但这不是必需的,因为最具体的路由将用于任何没有 SNIP 的目标子网。

  • 要识别子网使用的 VLAN 和接口,请执行以下操作:

    1. 转到“系统”>“网络”>“VLAN”。

    2. 依次编辑配置的每个 VLAN,直到找到正确的 IP 地址,如下一步所述。

    3. 单击 IP 绑定选项卡,查看哪个 IP,以及哪个子网已绑定,因此正在使用此 VLAN。

    4. 确定了绑定了 IP 的 VLAN(该 IP 位于默认路由的子网内)后,单击“接口绑定”。将使用绑定到此 VLAN 的每个接口或信道。

示例

假设默认路由是 0.0.0.0 0.0.0.0 10.1.1.1

假设您有两个 10.0.0.5 和 10.1.1.69 的 SNIP。由于 10.1.1.69 位于默认路由的子网中,因此您要查找的是该子网。在下面的屏幕截图中,我们正在查看 VLAN 1,我们看到 IP 10.1.1.69 已绑定到此 VLAN,因此我们知道我们在寻找正确的 VLAN。

现在单击“接口绑定”。在 VLAN 接口绑定中,我们看到接口 1/1 用于此子网,因此用作默认路由。

VLAN 配置的最佳实践

注意

如果您没有将任何 IP 绑定到 VLAN,则默认情况下它将从 VLAN 1 发出,因此在这种情况下,请查看哪些接口绑定到 VLAN 1。这也意味着,除非您将 IP 绑定到新的 VLAN,否则 NetScaler 不会将您配置的 VLAN 用于它发起的流量。

无理由的 ARP

如果 GARP 不起作用,请使用 VMAC-默认情况下,NetScaler 使用 GARP 将其 IP 与 MAC 地址绑定通告给其他网络设备。这通常可以正常运行,但是,当您在 NetScaler 中创建更多服务时,在 HA 对上进行故障转移时可能会开始遇到问题。最常见的问题是,由于某些网络设备未使用新的 MAC 地址更新其 ARP 表,您故障切换到的 NetScaler 中的服务仍然处于关闭状态。您可以通过查看他们的 ARP 表来轻松验证这一点,看看 MAC 地址是否与 Now-Primary NetScaler 上的地址相匹配。发生这种情况时,很可能是您的某些网络设备限制了它们所支持的 GARP 广告的数量。在这种情况下,必须在所有活动接口和/或信道上配置 VMAC。如果您希望在 NetScaler 上进行大型配置,则最好在初始部署期间为所有接口和通道配置 VMAC。

注意

不要忘记为默认路由使用的接口或通道配置 VMAC。

NetScaler 拥有的 IP 地址

本节讨论了配置 NetScaler 自有 IP 地址的最佳实践:

最佳实践 NetScaler 拥有的 IP 地址

  • NetScaler IP (NSIP):通常此 IP 用于管理,因为它是高可用性或群集环境中单个 NetScaler 独有的 IP。同样需要注意的是,LDAP、RADIUS 和用户脚本监视流量(例如 LDAP 监视器和 StoreFront 监视器)将从 NSIP 发出,因此会通过 NSIP 绑定的 VLAN 和接口进行路由(默认本地 VLAN 1)。如果您需要从 SNIP 获取 LDAP 和 RADIUS 流量,请为后端服务器创建 LB 虚拟服务器。

  • 子网 IP (SNIP):此 IP 地址用于启动与后端服务器的通信,并始终用于启动流量。也就是说,在以下情况下,它可能是流量的目的地:

    • 在 NetScaler 上进行第 3 层路由时,它可以用作其他设备上的网关地址。

    • 启用后,它可以接受管理服务,例如访问 GUI、SSH 和 SNMP。

  • 虚拟 IP (VIP):VIP 的独特之处在于它永远不会被用来启动出站流量。它仅用于接收流量。一旦收到流量,它就会回复并将出站流量发送回客户端。换句话说,VIP 地址不会启动出站流量。

请注意,这也意味着它不用作与 LB 虚拟服务器中使用的后端服务器进行通信的源。

网络配置的最佳实践