ADC

了解 VLAN

NetScaler 设备支持第 2 层端口和带有 IEEE 802.1q 标签的 VLAN。如果您需要将流量限制到特定的工作站组,则 VLAN 配置非常有用。您可以使用 IEEE 802.1q 标记将网络接口配置为多个 VLAN 的一部分。

您可以配置 VLAN 并将其绑定到 IP 子网。然后,NetScaler 在这些 VLAN 之间执行 IP 转发(如果将其配置为这些子网中主机的默认路由器)。

NetScaler 支持以下类型的 VLAN:

  • 基于端口的 VLAN。基于端口的 VLAN 的成员资格由一组网络接口定义,这些接口共享一个通用的第 2 层广播域。您可以配置多个基于端口的 VLAN。默认情况下,NetScaler 上的所有网络接口都是 VLAN 1 的成员。

    如果您对端口应用 802.1q 标记,则网络接口属于基于端口的 VLAN。第 2 层流量在基于端口的 VLAN 内桥接,如果启用第 2 层模式,则将第 2 层广播发送到 VLAN 的所有成员。当您将未标记的网络接口添加为新 VLAN 的成员时,该接口将从其当前 VLAN 中删除。

  • 默认 VLAN。默认情况下,NetScaler 上的网络接口作为未标记的网络接口包含在基于端口的单个 VLAN 中。此 VLAN 是默认 VLAN。它的 VLAN ID (VID) 为 1。此 VLAN 永久存在。不能将其删除,也不能更改其 VID。

    当您将网络接口作为未标记成员添加到其他 VLAN 时,该网络接口将自动从默认 VLAN 中删除。如果您解除网络接口与其当前基于端口的 VLAN 的绑定,则该接口会再次添加到默认 VLAN 中。

  • 已标记为 VLAN。 802.1q 标记(在 IEEE 802.1q 标准中定义)允许网络设备(例如 NetScaler)向第 2 层的帧添加信息,以识别该帧的 VLAN 成员资格。标记允许网络环境拥有跨越多个设备的 VLAN。接收数据包的设备读取标签并识别出帧所属的 VLAN。某些网络设备不支持在同一个网络接口上同时接收带标签和未标记的数据包,特别是 Force10 交换机。在这种情况下,您需要联系客户支持以寻求帮助。

    网络接口可以是 VLAN 的已标记成员或未标记成员。每个网络接口仅是一个 VLAN(其本地 VLAN)的未标记成员。此网络接口将本地 VLAN 的帧作为无标记帧传输。如果对另一个 VLAN 进行了标记,则一个网络接口可以是多个 VLAN 的一部分。

    配置标记时,请确保与链路两端的 VLAN 配置相匹配。NetScaler 连接的端口必须与 NetScaler 网络接口位于同一 VLAN 上。

    注意: 此 VLAN 配置既未同步也未传播,因此您必须在 HA 对中的每个单元上独立执行配置。

应用规则对帧进行分类

VLAN 有两种类型的帧分类规则:

  • 入口规则。入口规则将每个帧归类为仅属于单个 VLAN。在网络接口上接收到帧时,将应用以下规则对该帧进行分类:

    • 如果帧未加标签或其标签值等于 0,则该帧的 VID 将设置为接收接口的端口 VID (PVID),该端口 VID 被归类为属于本地 VLAN。(PVID 在 IEEE 802.1q 标准中定义。)
    • 如果帧的标签值等于 FFF,则该帧将被丢弃。
    • 如果帧的 VID 指定了接收网络接口不是其成员的 VLAN,则该帧将被丢弃。例如,如果数据包从与 VLAN ID 12 关联的子网发送到与 VLAN ID 10 关联的子网,则该数据包将被丢弃。如果带有 VID 9 的未标记数据包从与 VLAN ID 10 关联的子网发送到网络接口 PVID 9,则该数据包将被丢弃。
  • 出口规则。以下出口规则适用:

    • 如果帧的 VID 指定了传输网络接口不是其成员的 VLAN,则该帧将被丢弃。
    • 在学习过程中(由 IEEE 802.1q 标准定义),Src MAC 和 VID 用于更新 NetScaler 的网桥查询表。
    • 如果帧的 VID 指定的 VLAN 没有任何成员,则该帧将被丢弃。(您可以通过将网络接口绑定到 VLAN 来定义成员。)

NetScaler 上的 VLAN 和数据包转发

NetScaler 设备上的转发过程与任何标准交换机上的转发过程类似。但是,只有在开启第 2 层模式时,NetScaler 才会执行转发。转发过程的主要特点是:

  • 拓扑限制已强制执行。强制执行包括选择 VLAN 中的每个网络接口作为传输端口(取决于网络接口的状态)、桥接限制(不要在接收网络接口上进行转发)和 MTU 限制。
  • 根据 NetScaler 转发数据库 (FDB) 表中的桥接表查询中的信息对帧进行过滤。网桥表查询基于目标 MAC 和 VID。发往 NetScaler 的 MAC 地址的数据包在上层处理。
  • 所有广播和多播帧都被转发到作为 VLAN 成员的每个网络接口,但只有在启用 L2 模式时才会进行转发。如果禁用 L2 模式,则广播和多播数据包将被丢弃。对于目前不在桥接表中的 MAC 地址,情况也是如此。
  • VLAN 条目包含成员网络接口列表,这些成员网络接口属于其未标记成员集的一部分。将帧转发到这些网络接口时,不会在帧中插入标签。
  • 如果网络接口是此 VLAN 的已标记成员,则在转发帧时会将标签插入帧中。

当用户在未识别 VLAN 的情况下发送任何广播或多播数据包时,也就是说,在 NSIP 的重复地址检测 (DAD) 或路由下一跳的 ND6 期间,数据包将在所有网络接口上发出,并根据入口和出口规则进行适当的标记。ND6 通常可以识别一个 VLAN,并且数据包仅在此 VLAN 上发送。基于端口的 VLAN 在 IPv4 和 IPv6 中很常见。对于 IPv6,NetScaler 支持基于前缀的 VLAN。

了解 VLAN