Настройки Security, VLAN, Traffic Shaping и NIC Teaming

Здесь будет рассказано о настройках, которые применимы и к стандартным (за редким исключением), и к распределенным виртуальным коммутаторам VMware. Напомню,  что часть  настроек  распределенных  виртуальных коммутаторов уникальна и доступна только для них. Такие настройки описаны в разделах 2.3.4 и 2.3.5.

2.4.1. VLAN, виртуальные локальные сети. Настройка VLAN для стандартных виртуальных коммутаторов

Немножко общей теории о виртуальных локальных сетях. VLAN поддержива ются как стандартными, так и распределенными виртуальными коммутаторами. Суть  их в том, чтобы возложить на коммутатор  работу  по анализу  и контролю  трафика  на втором уровне модели OSI с целью создавать не связанные между собой сети без физической их изоляции друг от друга.

Рис. 2.22. Серверы (ВМ) подключены к одному коммутатору, но к разным VLAN

Что мы здесь видим?

Все серверы  (в нашем случае это ВМ, но для VLAN это не принципиально) подключены  к одному коммутатору  (слева),  но на этом коммутаторе  настроены несколько  VLAN, и все ВМ подключены  к разным (справа). Это означает, что на коммутаторе  (в случае виртуальных машин – на вКоммутаторе) мы сделали  настройку  – порт для ВМ1 принадлежит виртуальной сети 1 (с идентификатором VLAN ID = 1), порт для ВМ2 принадлежит VLAN 2 и т. д. Это означает, что эти ВМ друг с другом взаимодействовать не могут, им не даст такой возможности сам коммутатор. Изоляция между серверами (ВМ) получается  практически такой же, как если бы они были подключены  к разным коммутаторам.

Небольшое  примечание:  на коммутаторе  физическом, к которому подключены коммутаторы  виртуальные, также в обязательном порядке должны  быть настроены VLAN.

В общем случае  VLAN – это разделение  всей нашей  сети на несколько как будто бы не связанных сегментов. Именно  всей сети, а не отдельно взятого коммутатора.

Зачем это надо:

Q  для того чтобы уменьшить  домены широковещательной рассылки, следовательно, снизить нагрузку на сеть;

Q  для  того  чтобы  повысить  безопасность   – хотя  устройства  подключены

в одну сеть физически, находясь  в разных vlan, они не смогут взаимодействовать по сети.

Если используются VLAN, то коммутаторы (обычно этим занимаются именно коммутаторы) добавляют  в каждый  кадр поле, в которое  записывают так называемый «vlan id» (тег VLAN, идентификатор VLAN) – число в диапазоне  от 1 до

4094. Получается, для каждого порта указано, кадры с каким vlan id могут пройти в порт, а в кадрах прописано, к какому vlan относится каждый кадр. Эту операцию называют «тегированием», добавлением  в кадр тега vlan.

Обычно VLAN настраиваются на коммутаторах, и только коммутаторы о них знают – с точки зрения конечного устройства  (такого, как физический сервер или виртуальная машина)  в сети не меняется  ничего. Что означает настроить  vlan на коммутаторе? Это означает для всех или части портов указать vlan id, то есть vlan с каким номером принадлежит порт. Теперь если сервер подключен к порту с vlan id = «10», то коммутатор гарантированно не перешлет его трафик в порты с другим vlan id, даже если сервер посылает широковещательный трафик.

Один  VLAN может распространяться (и, как правило, распространяется) на несколько  коммутаторов. То есть устройства, находящиеся в одном VLAN, могут физически быть подключены  к разным коммутаторам.

Если за настройки сети отвечаете не вы, то формально, с точки зрения администрирования ESX(i), нам достаточно знать: ESX(i) поддерживает VLAN. Мы можем настроить vlan id для групп портов на вКоммутаторе, и они будут тегировать и ограничивать проходящий через них трафик.

Если тема настройки VLAN вас касается, то несколько слов подробнее.

У вас есть три принципиально разных варианта настройки vlan:

Q  external  switch  tagging,  EST – установка  тегов VLAN только на внешних, физических, коммутаторах. За VLAN отвечают только физические коммутаторы, на вКоммутаторы трафик приходит без тегов VLAN;

Q  virtual  switch  tagging,  VST – установка  тегов VLAN на виртуальных ком-

мутаторах. Коммутаторы физические настраиваются таким образом, чтобы теги VLAN не вырезались  из кадров, передаваемых на физические интерфейсы серверов ESX(i), то есть виртуальным коммутаторам;

Q  virtual  guest tagging, VGT – установка  тегов VLAN на гостевой ОС в вир-

туальной  машине. В этом случае коммутаторы  (и виртуальные, и физиче ские)  не вырезают  тег VLAN при пересылке  кадра на клиентское  устройство (в нашем  случае  на ВМ),  а теги VLAN вставляются в кадры  самим клиентским устройством  (в нашем случае виртуальной машиной).

EST – схема на рис. 2.23.

Рис. 2.23. External switch tagging

Этот подход хорош тем, что все настройки VLAN задаются только на физических коммутаторах. Вашим сетевым администраторам не придется задействовать в этом вКоммутаторы ESX(i) – порты физических коммутаторов, куда подключены физические сетевые контроллеры  ESX, должны быть настроены  обычным образом, чтобы коммутаторы  вырезали  тег VLAN при покидании кадром порта. Минус подхода EST в том, что на каждый VLAN нам нужен выделенный физиче ский сетевой контроллер в ESX(i).

Таким образом, при реализации схемы EST уже физические коммутаторы пропускают в порты к ESX(i) пакеты только из нужных VLAN (5 и 15 в моем примере).  Виртуальные машины и виртуальные коммутаторы  про VLAN ничего не знают.

VST – схема на рис. 2.24.

Рис. 2.24. Схема Virtual switch tagging

Этот  подход  предполагает   настройку   VLAN  и  на  вКоммутаторах.  Удобен тем, что на один вКоммутатор  (и на одни и те же vmnic)  может приходить  трафик множества VLAN. Из минусов – требует настройки на стороне и физических, и виртуальных коммутаторов. Те порты  физических  коммутаторов, к которым подключены  контроллеры серверов  ESX(i), следует  настроить  «транковые»,  то есть пропускающие пакеты из всех (или нескольких нужных) VLAN, и не вырезающие теги VLAN при проходе кадра сквозь порт. А на вКоммутаторах надо сопоставить  VLAN ID соответствующим группам портов. Впрочем, это несложно  –

Configuration ? Networking ? свойства  vSwitch  ? свойства  группы портов  ?

в поле VLAN ID ставим нужную цифру.

VGT – схема на рис. 2.25.

Этот подход хорош в тех редких случаях, когда одна ВМ должна взаимодействовать  с машинами  из многих  VLAN одновременно.  Для  этого  вКоммутатор  мы настроим  не вырезать  теги VLAN из кадров к этой ВМ (фактически сделаем транковый порт на вКоммутаторе). Чтобы настроить транковый порт на стандартном виртуальном коммутаторе  VMware, необходимо  для группы портов, к которой подключена  ВМ, в качестве VLAN ID прописать  значение  «4095». Пройдите

Configuration ? Networking ? свойства  vSwitch  ? свойства  группы портов  ?

в поле VLAN ID.

Рис. 2.25. Схема Virtual guest tagging

Минус  конфигурации в том, что внутри  ВМ должно  быть ПО, обрабатыва ющее VLAN, – так как вКоммутатор  теги VLAN вырезать  не будет и они будут доходить прямо до ВМ. На физических серверах очень часто этим ПО является драйвер сетевых контроллеров. Это актуально и для ВМ.

Для реализации схемы VGT виртуальные машины должны использовать виртуальные сетевые карты типа e1000 или vmxnet3.

Драйверы vmxnet3 для Windows из состава VMware Tools позволяют настраивать VLAN, но какой-то один – см. рис. 2.26.

Рис. 2.26. Настройка VLAN в драйвере vmxnet3

Виртуальный контроллер E1000  эмулирует  контроллер Intel  Pro1000,  и  если установить соответствующий драйвер Intel (http://www.intel.com/design/network/ drivers/), то получим все его возможности,  в частности возможность настраивать VLAN – см. рис. 2.27.

Рис. 2.27. Настройка VLAN в драйвере e1000/Intel Pro 1000

К сожалению,  Intel  не предоставляет специального  драйвера  для 64-битных операционных систем.

Кроме стандартных  виртуальных коммутаторов VMware,  некоторые лицензии позволяют использовать распределенные виртуальные коммутаторы VMware. У них немного больше возможностей работы с VLAN (они позволяют использо вать Private VLAN) и чуть-чуть по-другому выглядят окна настройки. Подробно сти см. в следующем разделе.

Источник: Михеев М. О.  Администрирование VMware vSphere 4.1. – М.: ДМК Пресс, 2011. – 448 с.: ил.

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий