VLAN

Материал из ISPWiki
Перейти к: навигация, поиск
Иерархия: DCImanager -> Работа с VLAN
DCImanager Enterprise -> Работа с VLAN

VLAN (Virtual Local Area Network) — виртуальная локальная компьютерная сеть — группа устройств, которые имеют возможность взаимодействовать между собой напрямую на канальном уровне. Устройства физически могут быть подключены к разным сетевым коммутаторам. Устройства, которые находятся в разных VLAN являются невидимыми друг для друга на канальном уровне, даже если они подключены к одному коммутатору.

VLAN — механизм для создания логической топологии сети независимо от физической топологии. VLAN используются для сокращения широковещательного трафика в сети. Имеют большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing.

Принципы функционирования VLAN

Существуют следующие реализации VLAN:

  • по порту;
  • по MAC-адресу;
  • по протоколу;
  • методом аутентификации.

DCImanager поддерживает реализацию VLAN на базе портов коммутатора. Физические порты коммутатора логически объединяются в VLAN. VLAN на базе портов — самый высокий уровень управляемости, безопасности и простоты настройки по сравнению с другими реализациями.

В DCImanager осуществляется поддержка trunk-портов. Транковые порты (trunk порты или тегированные порты) используются для передачи трафика нескольких VLAN между коммутаторами. Транковый порт позволяет коммутатору передать трафик нескольких VLAN через один порт. При этом сохраняется информация, в пределах какого VLAN передается фрейм. Для этого выполняется тегирование фрейма. Данная возможность актуальна при наличии некольких коммутаторов. Два коммутатора связываются только двумя транковыми портами, через которые может проходить трафик любого числа VLAN.

В DCImanager реализованы функции для работы с Primary и Isolated PVLAN.

Private VLAN (PVLAN) — технология, используемая для изоляции портов коммутатора. Private VLAN делит VLAN (primary) на несколько под-VLAN (secondary). При этом сохраняется существующая подсеть IP-адресов и конфигурацию layer 3.

Primary VLAN — первичная VLAN. К первичной VLAN относится Promiscuous порт — порт коммутатора, который подключён к вышестоящему оборудованию (коммутатору, маршрутизатору и т.д.).

Secondary VLAN — вторичная VLAN. Порты вторичной VLAN относятся к одному из следующих типов:

  • Isolated — любые порты коммутатора, добавленные в Isolated VLAN, могут связываться с Primary VLAN, но не с другими Secondary VLAN и не с другими хостами в той же Isolated VLAN.
  • Community — любые порты коммутатора, добавленные в Community VLAN, могут связываться с Primary VLAN и друг с другом, но не с другими Secondary VLAN.

Возможность работы с PVLAN поддерживает обработчик Brocade ICX(Mult). Для других коммутаторов поддержка PVLAN указывается в списке поддерживаемых устройств.

В DCImanager реализованы функции для работы с режимом "Vlan per user" (VPU). VPU позволяет помещать каждый сервер (группу серверов) в отдельный широковещательный домен. Каждому серверу (группе серверов) назначается отдельный VLAN и на маршрутизаторе создаётся IRB-интерфейс с этим VLAN. Интерфейс IRB — это логический Layer 3 интерфейс, использующийся как маршрут по умолчанию для VLAN.

Минимально возможная схема реализации выглядит следующим образом:

  1. Под сервер резервируется VLAN и сеть с 31-ым префиксом (два IP-адреса). Один IP-адрес для маршрутизатора, другой для сервера. Сети для дополнительных адресов сервера могут быть различными.
  2. На маршрутизаторе настраивается IRB-интерфейс с IP-адресом из сети сервера и его VLAN.
  3. Настраивается DHCP-relay на IP-адрес DCImanager. Команды для настройки можно увидеть в списке сетей для VLAN.
  4. Дополнительные адреса /32, маршрутизируются на основные адреса, по принципу route x.x.x.16/32 next-hop x.x.x.97.
  5. Дополнительные адреса устанавливаются при помощи протокола динамической маршрутизации. DCImanager использует для этого Bird.

Для работы с функциями VPU требуется установка соответствующего модуля (начиная с версия 5.155), либо включение опции "Включить VPU" в разделе "Настройки" -> "Глобальные настройки" и заполнение необходимых данных (до версии 5.155).

Модули VLAN

Для расширения возможностей работы с VLAN в DCImanager используются следующие модули:

1. Модуль "VPU (Vlan Per User)" (доступен с версии 5.155)

Позволяет помещать каждый сервер (группу серверов) в отдельный широковещательный домен.

2. Модуль "Пользовательские VLAN"

Позволяет пользователям помещать свои сервера в разрешённые администратором VLAN.

Установка и настройка модулей осуществляется в разделе "Интеграция" -> "Модули".

Управление VLAN

Управление VLAN осуществляется в разделе "Главное меню" -> "Виртуальные сети (VLAN)".

Просмотр списка виртуальных сетей

В списке находятся VLAN:

  • Созданные вручную;
  • Найденные при опросе оборудования.
Список VLAN

Ручное добавление виртуальной сети в DCImanager

Ручное добавление виртуальной сети осуществляется в разделе "Главное меню" -> "Виртуальные сети (VLAN)" по нажатию кнопки "Создать".

Создание VLAN
  • VLAN Id — уникальный идентификатор виртуальной сети;
  • Имя — наименование виртуальной сети, которое используется при настройке сетевого оборудования;
  • Владелец — пользователь, которому доступно использование VLAN на серверах;
  • Примечания;
  • PVLAN — опция активации функций PVLAN;
  • Тип PVLAN — тип виртуальной сети. Поле доступно только при включении опции "PVLAN":
    • isolated — вторичная VLAN с типом isolated;
    • primary — первичная VLAN;
  • Служебный — при включении данной опции настройки VLAN не будут записываться на коммутатор.

Автоматическое добавление виртуальной сети в DCImanager

Администратор в процессе настройки назначает портам коммутаторов необходимые VLAN. DCImanager синхронизируется с настроенными на оборудовании VLAN: автоматически выставляет найденные на портах VLAN, отмечает порты в режиме trunk, а также их членов trunk.

Добавление порта коммутатора в VLAN

Указание VLAN для порта коммутатора осуществляется в разделе "Оборудование" -> "Коммутаторы". Необходимо выделить нужный коммутатор и нажать кнопку "Порты". Необходимо выделить нужный порт в списке и нажать кнопку "Изменить".

Настройки порта, которые относятся к конфигурации VLAN:

  • Работает в режиме Trunk — опция, устанавливающая порт в режим Trunk. Для транкового порта необходимо указать:
    • Native VLAN — VLAN, в которой трафик передается нетегированным;
    • Члены Trunk — VLAN, которые могут передавать трафик через порт;
  • UpLink — опция, при включении которой указывается, что порт подключён к вышестоящему оборудованию (коммутатору, маршрутизатору и т.д.). При включении опции порт скрывается из списка доступных при создании подключений, на порту не производится поиск серверов, а также запрещены любые действия: изменение VLAN, скорости и режима.

При необходимости добавить большое количество портов в VLAN, удобнее выполнить данное действие непосредственно на коммутаторе. DCImanager считает изменения при опросе оборудования и отобразит их в интерфейсе автоматически.

Настройка типов IP-адресов в VLAN

Необходимо создать в IPmanager группу IP-адресов для VLAN. Эта группа должна быть указана в правах пользователя для соответствующей подсети в IPmanager. Созданную группу адресов необходимо указать для каждого сервера, который будет работать в настраиваемом VLAN, в поле "Блок IP-адресов".

В разделе "Настройки" -> "Глобальные настройки" -> раздел "Политики" есть возможность указать "стандартный тип IP-адресов". Все создаваемые серверы будут настроены на данный тип, если в поле "Блок IP-адресов" не указать иное.