Трошки загальної теорії про віртуальних локальних мережах. VLAN підтримуються як стандартними, так і розподіленими віртуальними комутаторами. Суть їх у тому, щоб покласти на комутатор роботу з аналізу та контролю трафіку на другому рівні моделі OSI з метою створювати не пов'язані між собою мережі без фізичної їх ізоляції один від одного.
Мал. 2.22. Сервери (ВМ) підключені до одного комутатора, але до різних VLAN
Що ми тут бачимо?
Всі сервери (в нашому випадку це ВМ, але для VLAN це не принципово) підключені до одного комутатора (зліва), але на цьому комутаторі налаштовані кілька VLAN, і все ВМ підключені до різних (праворуч). Це означає, що на комутаторі (в разі віртуальних машин - на вКоммутаторе) ми зробили настройку - порт для ВМ1 належить віртуальної мережі 1 (з ідентифікатором VLAN ID = 1), порт для ВМ2 належить VLAN 2 і т. Д. Це означає, що ці ВМ один з одним взаємодіяти не можуть, їм не дасть такої можливості сам комутатор. Ізоляція між серверами (ВМ) виходить практично такий же, як якщо б вони були підключені до різних комутаторів.
Невелика примітка: на комутаторі фізичному, до якого підключені комутатори віртуальні, також в обов'язковому порядку повинні бути налаштовані VLAN.
У загальному випадку VLAN - це поділ всієї нашої мережі на кілька нібито не пов'язаних сегментів. Саме всієї мережі, а не окремо взятого комутатора.
Навіщо це треба:
- для того щоб зменшити домени широкомовної розсилки, отже, знизити навантаження на мережу;
- для того щоб підвищити безпеку - хоча пристрої підключені в одну мережу фізично, перебуваючи в різних vlan, вони не зможуть взаємодіяти через мережу.
Якщо використовуються VLAN, то комутатори (зазвичай цим займаються саме комутатори) додають в кожен кадр поле, в яке записують так званий «vlan id» (тег VLAN, ідентифікатор VLAN) - число в діапазоні від 1 до 4094. Виходить, для кожного порту вказано , кадри з яким vlan id можуть пройти в порт, а в кадрах прописано, до якого vlan відноситься кожен кадр. Цю операцію називають «тегірованія», додаванням в кадр тега vlan.
Зазвичай VLAN налаштовуються на комутаторах, і тільки комутатори про них знають - з точки зору кінцевого пристрою (такого, як фізичний сервер або віртуальна машина) в мережі не змінюється нічого. Що означає налаштувати vlan на комутаторі? Це означає для всіх або частини портів вказати vlan id, тобто vlan з яким номером належить порт. Тепер якщо сервер підключений до порту з vlan id = "10", то комутатор гарантовано не перешле його трафік в порти з іншим vlan id, навіть якщо сервер посилає широкомовний трафік.
Один VLAN може поширюватися (і, як правило, поширюється) на кілька комутаторів. Тобто пристрої, що знаходяться в одному VLAN, можуть фізично бути підключені до різних комутаторів.
Якщо за налаштування мережі відповідаєте не ви, то формально, з точки зору адміністрування ESX (i), нам достатньо знати: ESX (i) підтримує VLAN. Ми можемо налаштувати vlan id для груп портів на вКоммутаторе, і вони будуть тегованих і обмежувати проходить через них трафік.
Якщо тема настройки VLAN вас стосується, то кілька слів докладніше.
У вас є три принципово різних варіанти настройки vlan:
- external switch tagging, EST - установка тегів VLAN тільки на зовнішніх, фізичних, комутаторах. За VLAN відповідають тільки фізичні комутатори, на вКоммутатори трафік приходить без тегів VLAN;
- virtual switch tagging, VST - установка тегів VLAN на віртуальних комутаторах. Комутатори фізичні налаштовуються таким чином, щоб теги VLAN не вирізане з кадрів, переданих на фізичні інтерфейси серверів ESX (i), тобто віртуальним комутаторів;
- virtual guest tagging, VGT - установка тегів VLAN на гостьовий ОС у віртуальній машині. В цьому випадку комутатори (і віртуальні, і фізичні) не вирізане тег VLAN при пересиланні кадру на клієнтський пристрій (в нашому випадку на ВМ), а теги VLAN вставляються в кадри самим клієнтським пристроєм (в нашому випадку віртуальною машиною).
EST - схема на рис. 2.23.
Мал. 2.23. External switch tagging
Цей підхід хороший тим, що всі налаштування VLAN задаються тільки на фізичних комутаторах. Вашим мережевим адміністраторам не доведеться задіяти в цьому вКоммутатори ESX (i) - порти фізичних комутаторів, куди підключені фізичні мережеві контролери ESX, повинні бути налаштовані звичайним чином, щоб комутатори вирізали тег VLAN при покиданні кадром порту. Мінус підходу EST в тому, що на кожен VLAN нам потрібен виділений фізичний мережевий контролер в ESX (i).
Таким чином, при реалізації схеми EST вже фізичні комутатори пропускають в порти до ESX (i) пакети тільки з потрібних VLAN (5 і 15 в моєму прикладі). Віртуальні машини і віртуальні комутатори про VLAN нічого не знають.
VST - схема на рис. 2.24.
Мал. 2.24. Схема Virtual switch tagging
Цей підхід передбачає настройку VLAN і на вКоммутаторах. Зручний тим, що на один вКоммутатор (і на одні й ті ж vmnic) може приходити трафік безлічі VLAN. З мінусів - вимагає настройки на стороні і фізичних, і віртуальних комутаторів. Ті порти фізичних комутаторів, до яких підключені контролери серверів ESX (i), слід налаштувати «транкові», тобто пропускають пакети з усіх (або декількох потрібних) VLAN, і не вирізують теги VLAN при проході кадру крізь порт. А на вКоммутаторах треба зіставити VLAN ID відповідних груп портів. Втім, це нескладно -Configuration ^ Networking ^ властивості vSwitch ^ властивості групи портів ^ в поле VLAN ID ставимо потрібну цифру.
VGT - схема на рис. 2.25.
Цей підхід хороший в тих рідкісних випадках, коли одна ВМ повинна взаємодіяти з машинами з багатьох VLAN одночасно. Для цього вКоммутатор ми налаштуємо не видаляти теги VLAN з кадрів до цієї ВМ (фактично зробимо транковий порт на вКоммутаторе). Щоб налаштувати транковий порт на стандартному віртуальному комутаторі VMware, необхідно для групи портів, до якої підключена ВМ, як VLAN ID прописати значення «4095». Пройдіть Configuration ^ Networking ^ властивості vSwitch ^ властивості групи портів ^ в поле VLAN ID.
Мал. 2.25. Схема Virtual guest tagging
Мінус конфігурації в тому, що всередині ВМ повинно бути ПО, обробляє VLAN, - так як вКоммутатор теги VLAN вирізати не буде і вони будуть доходити аж до ВМ. На фізичних серверах дуже часто цим ПО є драйвер мережевих контролерів. Це актуально і для ВМ.
Для реалізації схеми VGT віртуальні машини повинні використовувати віртуальні мережеві карти типу e1000 або vmxnet3.
Драйвери vmxnet3 для Windows зі складу VMware Tools дозволяють налаштовувати VLAN, але якийсь один - см. Рис. 2.26.
Мал. 2.26. Налаштування VLAN в драйвері vmxnet3
Віртуальний контролер E1000 емулює контролер Intel Pro 1000, і якщо встановити відповідний драйвер Intel ( http://www.intel.com/design/network/ drivers /), то отримаємо всі його можливості, зокрема можливість налаштовувати VLAN - см. рис. 2.27.
Мал. 2.27. Налаштування VLAN в драйвері e1000 / Intel Pro 1000
На жаль, Intel не надає спеціального драйвера для 64-бітових операційних систем.
Крім стандартних віртуальних комутаторів VMware, деякі ліцензії дозволяють використовувати розподілені віртуальні комутатори VMware. У них трохи більше можливостей роботи з VLAN (вони дозволяють використовувати Private VLAN) і трохи по-іншому виглядають вікна настройки. Подробиці див. В наступному розділі.
⇐ 2.4. настройки security, vlan, traffic shaping і nic teaming | Адміністрування VMware vSphere | 2.4.2. настройка vlan для dvswitch. private vlan ⇒
Що означає налаштувати vlan на комутаторі?