Настройка VLAN для dvSwitch. Private VLAN

Настройка VLAN для  dvSwitch выглядит  немного  по-другому,  нежели  для обычного vSwitch (рис. 2.28).

Увидеть  эту настройку  можно, зайдя  в свойство  группы портов на dvSwitch. Как вы видите  на рисунке,  для  настройки VGT,  или  транкового порта  (группы  портов),  вы не указываете  значение  VLAN ID = 4095 (как  для стандартных  виртуальных  коммутаторов), а выбираете  из выпадающего  меню «VLAN Trunking».

Рис. 2.28. Варианты настройки VLAN для групп портов на распределенном виртуальном коммутаторе VMware

Кроме того, вы можете явно указать, пакеты с какими  VLAN ID могут попадать в эту группу портов, – в то время как для обычных коммутаторов такой выбор не возможен.

Для групп портов на dvSwitch появилась возможность настроить использование Private VLAN. Тайный  смысл здесь в следующем: у нас есть какой-то  VLAN (например, в моем примере это VLAN 5), какие-то наши ВМ в нем. Но мы хотим, чтобы часть из этих ВМ не могла взаимодействовать друг с другом. Можно  этот один десятый VLAN разбить на несколько  – но это усложнит  конфигурирование VLAN в нашей сети, да и при большом количестве  виртуальных машин такой вариант  решения  проблемы  невозможен  технически.  Механизм  Private VLAN позволяет  сделать несколько  «вторичных» (Secondary) VLAN «внутри»  нашего основного, Primary  VLAN 5. Обратите  внимание на рис. 2.29.

Устройства внешней сети считают, что все (здесь – виртуальные) серверы принадлежат одному VLAN с номером 5. И лишь коммутаторы, непосредственно с которыми  эти ВМ работают, знают о разделении основного  VLAN 5 на несколько  внутренних,  вторичных  (Secondary) VLAN, с определенными правилами взаимодействия  между ними.

Рис. 2.29. Пример использования Private VLAN

Источник: VMware

Вторичные  VLAN могут быть трех типов:

Q  Community – ВМ в этом Secondary  VLAN могут взаимодействовать друг с другом и с виртуальными машинами  в VLAN Promiscuous (ВМ Е и F), но не могут с ВМ C и D.

Q  Isolated – ВМ  в этом Secondary  VLAN могут взаимодействовать  только с машинами  из Promiscuous VLAN (ну и, разумеется,  с внешним миром).  То есть виртуальные машины C и D могут работать с ВМ E и F, но не могут с ВМ A и В и друг с другом;

Q  Promiscuous – когда ВМ  находятся  в этом Secondary  VLAN, они  могут взаимодействовать со всеми ВМ на этом dvSwitch и всеми физическими и виртуальными компьютерами в данном Primary  VLAN. То есть для виртуальных машин E и F доступны все ВМ. На распределенном вКоммутаторе вторичный  VLAN этого типа создается автоматически. Его VLAN ID  совпадает с VLAN ID Primary  VLAN.

Настраиваются Private VLAN в свойствах  распределенного коммутатора, на закладке Private VLAN.

В левой части окна добавляем номер Primary VLAN (их может быть несколько

на одном dvSwitch). Затем,  выделив  этот Primary  VLAN, в правой части вводим номер Secondary  VLAN с указанием их типа – Isolated  или Community (рис. 2.30).

А потом, зайдя в свойства группы портов на dvSwitch,  мы можем указать для нее Secondary  VLAN – см. рис. 2.31.

Рис. 2.30. Окно настроек Private VLAN для распределенного вКоммутатора

Если ВМ в одном Private VLAN работают на разных серверах ESX(i), то в обмене трафиком  между ними участвуют физические коммутаторы. На них также должны быть настроены Private VLAN, если мы хотим, чтобы эта схема работала.

2.4.2. Security

Зайдя  в свойства  вКоммутатора или какой-то  группы портов, мы увидим закладку Security и там три настройки:

Q  Promiscuous Mode – режим  прослушивания. Если  значение  настройки

Accept, то сетевой контроллер ВМ можно переводить в режим promiscuous,  и он будет принимать все проходящие через  вКоммутатор  кадры  (с  поправкой на VLAN – кадры из других VLAN доступны не будут). Если значение настройки Reject, то переводить  сетевой  контроллер ВМ в режим прослушивания  бесполезно  – вКоммутатор  будет  пересылать  в ее порт только ей предназначенные кадры. Эта настройка может пригодиться, если вы в какой-то ВМ хотите запустить анализатор трафика  (sniffer), для перехвата и анализа сетевого трафика.  Или наоборот, гарантировать, что такой анализатор не заработает для вашей сети. Значение по умолчанию Reject;

Рис. 2.31. Настройки Private VLAN для группы портов

Q  MAC Address Changes – изменение  MAC-адреса.  Reject – при этом значении настройки гипервизор  проверяет совпадение MAC-адреса виртуаль ных сетевых контроллеров ВМ в конфигурационном файле vmx этой ВМ и в пакетах, приходящих по сети. Если пакет предназначен для MAC-адреса,  не существующего  в конфигурационном файле ни одной ВМ, он будет отклонен. Такое происходит  в тех случаях, когда MAC-адрес  переопределен средствами гостевой ОС. Accept – при таком значении  настройки проверка не производится. Если  ваша ВМ отключилась от сети – то проверьте, возможно,  для вКоммутатора или группы портов  этой ВМ MAC Address Changes = Reject, а кто-то зашел в диспетчер устройств гостевой ОС и поменял MAC-адрес  сетевого контроллера;

Q  Forged Transmits – если в исходящих  кадрах MAC-адрес  источника отличается  от MAC-адреса ВМ (прописанного в файле  vmx), то такие кадры будут отброшены. Само собой, это в случае значения настройки = Reject. В случае Accept проверки не производится. Настройка Accept необходима для некоторых режимов работы NLB кластера Microsoft – это из известных  мне примеров.

По сути, и MAC Address Changes, и Forged Transmits делают одно и то же – отсекают  ВМ от сети, если ее MAC-адрес  отличается  от указанного  в ее файле

настроек  (*.vmx). Но первая  настройка  блокирует  входящий  трафик,  а вторая  – исходящий.

Источник: Михеев М. О.  Администрирование VMware vSphere 4.1. – М.: ДМК Пресс, 2011. – 448 с.: ил.

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий