Налаштування Security, VLAN, Traffic Shaping і NIC Teaming

Тут буде розказано про настройках, які можна застосувати й до стандартних (за рідкісним винятком), і до розподілених віртуальним коммутаторам VMware Нагадаю, що частина налаштувань розподілених віртуальних комутаторів унікальна і доступна тільки для них Такі настройки описані в розділах 234 і 235

Трошки загальної теорії про віртуальних локальних мережах VLAN поддержива ються як стандартними, так і розподіленими віртуальними комутаторами Суть їх у тому, щоб покласти на комутатор роботу з аналізу і контролю трафіку на другому рівні моделі OSI з метою створювати не повязані між собою мережі без фізичної їх ізоляції один від одного

Рис 222 Сервери (ВМ) підключені до одного комутатора, але до різних VLAN

Що ми тут бачимо

Всі сервери (в нашому випадку це ВМ, але для VLAN це не принципово) підключені до одного комутатора (ліворуч), але на цьому комутаторі налаштовані кілька VLAN, і всі ВМ підключені до різних (справа) Це означає, що на комутаторі (у разі віртуальних машин – на вКоммутаторе) ми зробили налаштування – порт для ВМ1 належить віртуальної мережі 1 (з ідентифікатором VLAN ID = 1), порт для ВМ2 належить VLAN 2 і т д Це означає, що ці ВМ один з одним взаємодіяти не можуть, їм не дасть такої можливості сам комутатор Ізоляція між серверами (ВМ) виходить практично такий же, як якщо б вони були підключені до різних комутаторів

Невелика примітка: на комутаторі фізичному, до якого підключені комутатори віртуальні, також в обовязковому порядку повинні бути налаштовані VLAN

У загальному випадку VLAN – це поділ всієї нашої мережі на кілька нібито не повязаних сегментів Саме всієї мережі, а не окремо взятого комутатора

Навіщо це треба:

Q для того щоб зменшити домени широкомовного розсилання, отже, знизити навантаження на мережу

Q для того щоб підвищити безпеку – хоча пристрої підключені

в одну мережу фізично, перебуваючи в різних vlan, вони не зможуть взаємодіяти по мережі

Якщо використовуються VLAN, то комутатори (зазвичай цим займаються саме комутатори) додають у кожен кадр поле, в яке записують так званий «vlan id» (тег VLAN, ідентифікатор VLAN) – число в діапазоні від 1 до

4094 Виходить, для кожного порту вказано, кадри з яким vlan id можуть пройти в порт, а в кадрах прописано, до якого vlan належить кожен кадр Цю операцію називають «тегірованія», додаванням в кадр тега vlan

Зазвичай VLAN налаштовуються на комутаторах, і тільки комутатори про них знають – з точки зору кінцевого пристрою (такого, як фізичний сервер або віртуальна машина) в мережі не змінюється нічого Що означає налаштувати vlan на комутаторі Це означає для всіх або частини портів вказати vlan id, тобто vlan з яким номером належить порт Тепер якщо сервер підключений до порту з vlan id = 10, то комутатор гарантовано не перешле його трафік в порти з іншим vlan id, навіть якщо сервер посилає широкомовний трафік

Один VLAN може поширюватися (і, як правило, поширюється) на кілька комутаторів Тобто пристрої, що знаходяться в одному VLAN, можуть фізично бути підключені до різних комутаторів

Якщо за налаштування мережі відповідаєте не ви, то формально, з точки зору адміністрування ESX (i), нам досить знати: ESX (i) підтримує VLAN Ми можемо налаштувати vlan id для груп портів на вКоммутаторе, і вони будуть тегованих і обмежувати проходить через них трафік

Якщо тема настройки VLAN вас стосується, то кілька слів докладніше

У вас є три принципово різних варіанти настройки vlan:

Q external switch tagging, EST – установка тегів VLAN тільки на зовнішніх, фізичних, комутаторах За VLAN відповідають тільки фізичні комутатори, на вКоммутатори трафік приходить без тегів VLAN

Q virtual switch tagging, VST – установка тегів VLAN на віртуальних ком-

мутаторів Комутатори фізичні налаштовуються таким чином, щоб теги VLAN не вирізане з кадрів, переданих на фізичні інтерфейси серверів ESX (i), тобто віртуальним комутаторів

Q virtual guest tagging, VGT – установка тегів VLAN на гостьовий ОС в вир-

льну машині У цьому випадку комутатори (і віртуальні, і физиче ські) не вирізують тег VLAN при пересиланні кадру на клієнтський пристрій (у нашому випадку на ВМ), а теги VLAN вставляються в кадри самим клієнтським пристроєм (у нашому випадку віртуальною машиною)

EST – Схема на рис 223

Рис 223 External switch tagging

Цей підхід хороший тим, що всі налаштування VLAN задаються тільки на фізичних комутаторах Вашим мережевим адміністраторам не доведеться задіяти в цьому вКоммутатори ESX (i) – порти фізичних комутаторів, куди підключені фізичні мережеві контролери ESX, повинні бути налаштовані звичайним чином, щоб комутатори вирізали тег VLAN при покиданні кадром порту Мінус підходу EST в тому, що на кожен VLAN нам потрібен виділений физиче ський мережевий контролер в ESX (i)

Таким чином, при реалізації схеми EST вже фізичні комутатори пропускають в порти до ESX (i) пакети тільки з потрібних VLAN (5 і 15 в моєму прикладі) Віртуальні машини і віртуальні комутатори про VLAN нічого не знають

VST – Схема на рис 224

Рис 224 Схема Virtual switch tagging

Цей підхід передбачає настройку VLAN і на вКоммутаторах Зручний тим, що на один вКоммутатор (і на одні й ті ж vmnic) може приходити трафік безлічі VLAN З мінусів – вимагає настройки на стороні і фізичних, і віртуальних комутаторів Ті порти фізичних комутаторів, до яких підключені контролери серверів ESX (i), слід налаштувати «транкові», тобто пропускають пакети з усіх (або декількох потрібних) VLAN, і не що вирізують теги VLAN при проході кадру крізь порт А на вКоммутаторах треба зіставити VLAN ID відповідних груп портів Втім, це нескладно –

Configuration Networking ⇒ властивості vSwitch ⇒ властивості групи портів ⇒

в поле VLAN ID ставимо потрібну цифру

VGT – Схема на рис 225

Цей підхід гарний у тих рідкісних випадках, коли одна ВМ повинна взаємодіяти з машинами з багатьох VLAN одночасно Для цього вКоммутатор ми налаштовані не вирізати теги VLAN з кадрів до цієї ВМ (Фактично зробимо транковий порт на вКоммутаторе) Щоб налаштувати транковий порт на стандартному віртуальному комутаторі VMware, необхідно для групи портів, до якої підключена ВМ, як VLAN ID прописати значення «4095» Пройдіть

Configuration Networking ⇒ властивості vSwitch ⇒ властивості групи портів ⇒

в поле VLAN ID

Рис 225 Схема Virtual guest tagging

Мінус конфігурації в тому, що всередині ВМ повинно бути ПО, обробляючи ющее VLAN, – так як вКоммутатор теги VLAN вирізати не буде і вони будуть доходити прямо до ВМ На фізичних серверах дуже часто цим ПЗ є драйвер мережевих контролерів Це актуально і для ВМ

Для реалізації схеми VGT віртуальні машини повинні використовувати віртуальні мережеві карти типу e1000 або vmxnet3

Драйвери vmxnet3 для Windows зі складу VMware Tools дозволяють налаштовувати VLAN, але якийсь один – див рис 226

Рис 226 Налаштування VLAN в драйвері vmxnet3

Віртуальний контролер E1000 емулює контролер Intel Pro1000, і якщо встановити відповідний драйвер Intel (http://wwwintelcom/design/network/ drivers /), то отримаємо всі його можливості, в Зокрема можливість налаштовувати VLAN – див рис 227

Рис 227 Налаштування VLAN в драйвері e1000/Intel Pro 1000

На жаль, Intel не надає спеціального драйвера для 64-бітових операційних систем

Крім стандартних віртуальних комутаторів VMware, деякі ліцензії дозволяють використовувати розподілені віртуальні комутатори VMware У них трохи більше можливостей роботи з VLAN (вони дозволяють вико вать Private VLAN) і трохи по-іншому виглядають вікна налаштування Детально сти див у наступному розділі

Джерело: Міхєєв М О Адміністрування VMware vSphere 41 – М: ДМК Пресс, 2011 – 448 с: Ил

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*