6 Replies Latest reply on May 31, 2011 12:39 AM by EGarbuzov

    Private Vlan. Аппаратная поддержка.

    Merlin22AK Novice

      Друзья, использует ли кто-нибудь Private Vlan для изоляции ВМ друг от друга?

      В книге читал, что если у меня несколько хостов (ESXi), то нужно чтобы коммутатор также поддерживал это.

      1. Так ли это?

      2. Как ещё может называться технология Private Vlan в характеристиках коммутатора?

      3. Что будет если коммутатор-таки не поддерживает PV, а я включу это на хостах?

       

      Поделитесь опытом использования PV, пожалуйста.

        • 1. Re: Private Vlan. Аппаратная поддержка.
          EGarbuzov Virtuoso

          1. Это так. ESXi Configuration Guide ESXi 4.1, стр 34:

          To use private VLANs between an ESXi host and the rest of the physical network, the physical switch connected to the ESXi host needs to be private VLAN-capable and configured with the VLAN IDs being used by ESXi for the private VLAN functionality. For physical switches using dynamic MAC+VLAN ID based learning, all corresponding private VLAN IDs must be first entered into the switch's VLAN database.

          2. У Сандро Галдавы есть хорошая заметка про PVLAN. Заодно, в конце есть ссыдка на пример конфигурации для Cisco 3750. Возможно это будет вам полезно как пример для поиска инфы по своей модели свича.

           

          3. Подозреваю, будет флуд "непонятного" трафика от машин в secondary VLAN, который будет отбрасываться свичом.

          • 2. Re: Private Vlan. Аппаратная поддержка.
            Merlin22AK Novice

            Я во первых хочу понять это, что, "экзотическая" опция vSpher-ы, которую никто не использует?

            Как же тогда обеспечивается безопасность одного клиента от другого? Неужели на каждой ВМ ставить файервол? Или все обходятся vShield-ом?

             

            И во вторых если несколько хостов ESXi в одном кластере и на дв-свиче настроены PV, а коммутатор не поддерживает их, то те вм которые должны друг друга видеть увидят ли и соответственн оте которые не должны - не увидят ли ?

            Может это требование для поддержки PV на аппаратных свичах нужно для того чтобы ВМ с какими то внешними (по отношению к виртуализации) устройствами виделись?

            • 3. Re: Private Vlan. Аппаратная поддержка.
              VTsukanov Virtuoso

              1. Так, я по крайней мере видел это на кошках 3560 (если память не подводит)
              2. PVLAN так и называется
              3. Зависит от железки


              нужна бывает эта функциональность в случае когда в рамках одного адресного пространства (и VLAN) нужно изолировать виртуальные хосты друг от друга

              ЗЫ И это ... это не экзотика

              • 4. Re: Private Vlan. Аппаратная поддержка.
                EGarbuzov Virtuoso

                Я во первых хочу понять это, что, "экзотическая" опция vSpher-ы, которую никто не использует?

                Я вам не скажу за всю Одессу... но вообще да, PVLAN не так часто используют как минимум потому что:

                1) PVLAN присутствуют только в распределённом свиче, а такой свич -- только в лицензии Enterprise +, которая есть не у каждого.

                2) PVLAN насколько я понимаю может помочь или в каких-то очень спецефичных инсталляциях, либо когда обычных VLAN уже перестаёт хватать, напримр провайдерам различных XaaS.

                 

                Как же тогда обеспечивается безопасность одного клиента от другого? Неужели на каждой ВМ ставить файервол?

                Если безопасность в данном случае = отделение трафика, то используются обычные VLAN

                 

                И во вторых если несколько хостов ESXi в одном кластере и на дв-свиче настроены PV, а коммутатор не поддерживает их, то те вм которые должны друг друга видеть увидят ли и соответственн оте которые не должны - не увидят ли ?

                Может это требование для поддержки PV на аппаратных свичах нужно для того чтобы ВМ с какими то внешними (по отношению к виртуализации) устройствами виделись?

                Те, которым разрешено видеть друг друга (Community) скорее всего будут видеть, если будут находиться в пределах одного хоста. Трафик будет неправильно обработан, если выйдет за пределы хоста, т.е. к вм, на другом ESXi.

                1 person found this helpful
                • 5. Re: Private Vlan. Аппаратная поддержка.
                  michigun Master

                  насколько я помню теорию, идея там в том, что двойной инкапсуляции vlan id не происходит.

                  поэтому при, например, пинге между двумя secondary vlan в одну сторону пакет побежит с одним vlan id, а вернется с другим.

                  физический коммутатор не понимающий pvlan не пропустит ответ - т.е. как правильно сказали без настройки физических коммутаторов у вас сеть юудет работать как надо лишь в пределах вКоммутатора каждого одного хоста.

                   

                  к слову, afaik, любой коммутатор может пропустить что-то не туда если на нему будут простые vlan  с тем же id что и secondary pvlan - как раз потому что нет двойного тегирования.

                  1 person found this helpful
                  • 6. Re: Private Vlan. Аппаратная поддержка.
                    EGarbuzov Virtuoso

                    michigun wrote:

                     

                    к слову, afaik, любой коммутатор может пропустить что-то не туда если на нему будут простые vlan  с тем же id что и secondary pvlan - как раз потому что нет двойного тегирования.

                    Похоже, что ты прав. Жаль, но у меня сейчас не особенно есть где проверить на практке.

                     

                    2Merlin22AK:

                    Попытался вчера частично систематизировать знания по PVLAN: http://vgeek.noteit.ru/3348.html Много ссылок на источники информации, в особенности отличное видео с подробными примерами настройки всех вариантов VLAN. Возможно вам будет полезно