Налаштування VLAN для dvSwitch. Private VLAN

Налаштування VLAN для dvSwitch виглядає трохи по-іншому, ніж для звичайного vSwitch (рис 228)

Побачити цю настройку можна, зайшовши в властивість групи портів на dvSwitch Як ви бачите на малюнку, для настройки VGT, або транкового порту (групи портів), ви не вказуєте значення VLAN ID = 4095 (як для стандартних віртуальних комутаторів), а вибираєте з меню, що випадає «VLAN Trunking»

Рис 228 Варіанти налаштування VLAN для груп портів на розподіленому віртуальному комутаторі VMware

Крім того, ви можете явно вказати, пакети з якими VLAN ID можуть потрапляти в цю групу портів, – у той час як для звичайних комутаторів такий вибір не можливий

Для груп портів на dvSwitch зявилася можливість налаштувати використання Private VLAN Таємний сенс тут у наступному: у нас є якийсь VLAN (наприклад, в моєму прикладі це VLAN 5), якісь наші ВМ в ньому Але ми хочемо, щоб частина з цих ВМ не могла взаємодіяти один з одним Можна цей один десятий VLAN розбити на декілька – але це ускладнить конфігурування VLAN в нашій мережі, та й при великій кількості віртуальних машин такий варіант вирішення проблеми неможливий технічно Механізм Private VLAN дозволяє зробити кілька «вторинних» (Secondary) VLAN «всередині» нашого основного, Primary VLAN 5 Зверніть увагу на рис 229

Пристрої зовнішньої мережі вважають, що всі (тут – віртуальні) сервери належать одному VLAN з номером 5 І лише комутатори, безпосередньо з якими ці ВМ працюють, знають про поділ основного VLAN 5 на декілька внутрішніх, вторинних (Secondary) VLAN, з певними правилами взаємодії між ними

Рис 229 Приклад використання Private VLAN

Джерело: VMware

Вторинні VLAN можуть бути трьох типів:

Q  Community – ВМ в цьому Secondary VLAN можуть взаємодіяти один з одним і з віртуальними машинами в VLAN Promiscuous (ВМ Е і F), ​​але не можуть з ВМ C і D

Q  Isolated – ВМ в цьому Secondary VLAN можуть взаємодіяти тільки з машинами з Promiscuous VLAN (ну і, зрозуміло, із зовнішнім світом) Тобто віртуальні машини C і D можуть працювати з ВМ E і F, але не можуть з ВМ A і В та один з одним

Q  Promiscuous – Коли ВМ знаходяться в цьому Secondary VLAN, вони можуть взаємодіяти з усіма ВМ на цьому dvSwitch і всіма фізичними та віртуальними компютерами в даному Primary VLAN Тобто для віртуальних машин E і F доступні всі ВМ На розподіленому вКоммутаторе вторинний VLAN цього типу створюється автоматично Його VLAN ID збігається з VLAN ID Primary VLAN

Налаштовуються Private VLAN у властивостях розподіленого комутатора, на закладці Private VLAN

У лівій частині вікна додаємо номер Primary VLAN (їх може бути декілька

на одному dvSwitch) Потім, виділивши цей Primary VLAN, в правій частині вводимо номер Secondary VLAN із зазначенням їх типу – Isolated або Community (рис 230)

А потім, зайшовши в властивості групи портів на dvSwitch, ми можемо вказати для неї Secondary VLAN – див рис 231

Рис 230 Вікно настройок Private VLAN для розподіленого вКоммутатора

Якщо ВМ в одному Private VLAN працюють на різних серверах ESX (i), то в обміні трафіком між ними беруть участь фізичні комутатори На них також повинні бути налаштовані Private VLAN, якщо ми хочемо, щоб ця схема працювала

Зайшовши в властивості вКоммутатора або якоїсь групи портів, ми побачимо ятати Security і там три налаштування:

Q  Promiscuous Mode – Режим прослуховування Якщо значення настройки

Accept, То мережевий контролер ВМ можна переводити в режим promiscuous, і він буде приймати всі проходять через вКоммутатор кадри (з поправкою на VLAN – кадри з інших VLAN доступні не будуть) Якщо значення настройки Reject, То переводити мережевий контролер ВМ в режим прослуховування марно – вКоммутатор буде пересилати в її порт тільки їй призначені кадри Ця установка може стати в нагоді, якщо ви в якийсь ВМ хочете запустити аналізатор трафіку (sniffer), для перехоплення і аналізу мережевого трафіку Або навпаки, гарантувати, що такий аналізатор не запрацює для вашої мережі Значення за замовчуванням Reject

Рис 231 Налаштування Private VLAN для групи портів

Q  MAC Address Changes – Зміна MAC-адресиReject – При цьому значенні налаштування гіпервізор перевіряє збіг MAC-адреси віртуаль них мережевих контролерів ВМ в конфігураційному файлі vmx цієї ВМ і в пакетах, що приходять по мережі Якщо пакет призначений для MAC-адреси, неіснуючого в конфігураційному файлі жодної ВМ, він буде відхилений Таке відбувається в тих випадках, коли MAC-адресу перевизначений засобами гостьовий ОС Accept – При такому значенні налаштування перевірка не проводиться Якщо ваша ВМ відключилася від мережі – то перевірте, можливо, для вКоммутатора або групи портів цієї ВМ MAC Address Changes = Reject, А хтось зайшов в диспетчер пристроїв гостьовий ОС і поміняв MAC-адресу мережного контролера

Q  Forged Transmits – Якщо у вихідних кадрах MAC-адресу джерела відрізняється від MAC-адреси ВМ (прописаного у файлі vmx), то такі кадри будуть відкинуті Само собою, це у випадку значення настройки = Reject У випадку Accept перевірки не проводиться Налаштування Accept необхідна для деяких режимів роботи NLB кластера Microsoft – це з відомих мені прикладів

По суті, і MAC Address Changes, І Forged Transmits роблять одне і те ж – відсікають ВМ від мережі, якщо її MAC-адреса відрізняється від вказаного в її файлі

налаштувань (* vmx) Але перша настройка блокує вхідний трафік, а друга – вихідний

Джерело: Міхєєв М О Адміністрування VMware vSphere 41 – М: ДМК Пресс, 2011 – 448 с: Ил

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*