Skip to content

Erweiterte Netzwerkfunktionen des Citrix NetScalers

by Natanael Mignon on November 11th, 2011

Um die verfügbare Bandbreite zwischen dem NetScaler und anderen Komponenten über die Kapazität eines einzelnen Interfaces hinaus zu erhöhen, können Interfaces zu sogenannten Channels zusammengefasst werden. Diese Link Aggregation genannte Konfiguration kann manuell oder durch das Link Aggregation Control Protocol (LACP) gesteuert erfolgen. Neben der Bandbreite wird damit zugleich auch die Ausfallsicherheit verbessert, da die Verbindung auch bei Ausfall eines Interfaces noch verfügbar ist.

Interfaces, die Teil eines Link Aggregate Channels werden, übernehmen die Parameter des Channels, insbesondere dessen VLAN Konfiguration. VLANs können sowohl Port-basiert (ein Interface in einem VLAN) als auch mit Tagging nach 802.1q (ein Interface in mehreren VLANs) konfiguriert werden.

Routing oder Bridging von VLANs

Unterschiedliche VLANs sind üblicherweise nur durch Layer 3 Router verbunden, d.h. ein System agiert als IP-Router zwischen ihnen. Diese Funktion kann auch der Citrix NetScaler wahrnehmen, indem je ein VLAN mit einem IP-Subnetz assoziiert und der Layer 3 Mode aktiviert wird.

Bei aktiviertem Layer 3 Mode führt der NetScaler standardmäßig IP-Forwarding zwischen allen ihm bekannten Netzen aus. Um dieses Routing einzuschränken und nur zwischen definierten Netzen durchzuführen, werden IP-Subnetze an sogenannte Bridge Groups gebunden. Dann werden Pakete nur noch in VLANs (Subnetze) weitergeleitet, die zur selben Bridge Group gehören.

Mit Hilfe des NetScalers können mehrere VLANs jedoch auch auf Layer 2 zu einer gemeinsamen Broadcast Domain verbunden werden. Sollen zwei oder mehr VLANs zusammengelegt werden, müsste normalerweise auf allen beteiligten Geräten in allen Domains die VLAN Konfiguration geändert werden. Stattdessen können auf dem NetScaler eine Bridge Group angelegt und die zu verbindenden VLANs dieser Bridge Group zugeordnet werden. Wird dann der Layer 2 Mode aktiviert, leitet der NetScaler Broadcast Pakete aus einem VLAN an alle VLANs in der selben Bridge Group weiter und vermittelt auch Unicast Pakete durch das Nachschlagen aller von ihm in der entsprechenden Bridge Table verzeichneten MAC Adressen.

Erweitertes Routing

Neben dem statischen Routing zwischen Netzen, an die der NetScaler direkt angebunden ist (durch SNIPs) oder die er über statische Routingeinträge kennt, unterstützt er auch dynamische Routingprotokolle wie RIP (v2 und ng), OSPF (v2 und v3) und BGP. Die Teilnahme an diesen Prozessen dient hauptsächlich dazu, an umliegende Router Informationen über identische Virtual Server weiterzugeben (Route Advertising), die zum Beispiel auf mehrere alleinstehende NetScaler verteilt sind. Auf diese Art können Router dann dynamisch Traffic zwischen diesen Virtual Servern verteilen (Equal Cost Multipath, ECMP).

In einem HA Paar wird die Routingtabelle des primären Knotens auf den sekundären gespiegelt, so dass beim Failover keine Unterbrechung des Routings auftritt. Damit auch keine Verbindungsverluste auftreten, weil der vorgelagerte Router noch Traffic an den soeben ausgefallenen Knoten sendet, meldet der verbleibende NetScaler dem Router neue Routingeinträge mit leicht niedrigerer Metrik als die des ausgefallenen Systems (Route Health Injection).

Auch der NetScaler selbst erkennt ECMP, sobald er für ein Ziel mehrere gleichwertige Routen konfiguriert oder gelernt hat, und verteilt Verbindungen mittels eines Hashes über Quell- und Ziel-IP auf die verfügbaren Verbindungen.

Eine weitere Möglichkeit, das Routingverhalten zu bestimmen, sind Policy Based Routes (PBRs). Mit PBRs kann der NetScaler den Next Hop für ein Paket abhängig von verschiedenen Merkmalen wie Quell-/Ziel-IP, Quell-MAC, Ports, Protokoll oder auch VLAN bestimmen. Das Ziel einer PBR kann auch ein Link Load Balancing (LLB) Virtual Server sein, der wiederum auf mehrere Next Hops zurückgreifen kann, so dass beim Ausfall des bevorzugten Routers als Next Hop auf weitere umgeleitet werden kann.

MAC Based Forwarding

Vor der Konfiguration der Netzwerkparameter des NetScalers sollte geklärt werden, ob die Installation den MAC Based Forwarding Modus (MBF) nutzen kann oder muss. In dieser Betriebsart merkt sich der NetScaler für jedes eingehende Paket, von welcher Absender-MAC dieses angekommen ist. Dazugehörige Antwortpakete sendet er wiederum an diese MAC adressiert zurück – unabhängig von etwaigen Routingentscheidungen auf höheren Schichten.

Auf diese Art erspart sich der NetScaler nicht nur das Nachschlagen in seinen Routing- und ARP-Tabellen, sondern er verhindert auch das Entstehen von asymmetrischen Routen. Das ist besonders wichtig, wenn umliegende Systeme statusabhängig agieren, das heißt Pakete nur verarbeiten, die zu einer bekannten, etablierten Verbindung gehören. Typischerweise trifft das für Firewalls zu. Aber auch die Anbindung eines Admin-Netzes per VPN, in dem Adressen auf ein Zwischennetz umgesetzt werden, kann den MBF Modus erfordern, da dem NetScaler dieses Zwischennetz nicht bekannt ist und kein Gateway darin zur Verfügung steht, das Detault Gateway aber ins Internet führt und daher kein Rückweg in das Admin-Netz existiert.

No comments yet

Leave a Reply

You must be logged in to post a comment.