VLAN (Virtual Local Area Network) — виртуальная локальная компьютерная сеть — группа устройств, которые имеют возможность взаимодействовать между собой напрямую на канальном уровне. Устройства физически могут быть подключены к разным сетевым коммутаторам. Устройства, которые находятся в разных VLAN являются невидимыми друг для друга на канальном уровне, даже если они подключены к одному коммутатору.
VLAN — механизм для создания логической топологии сети независимо от физической топологии. VLAN используются для сокращения широковещательного трафика в сети. Имеют большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing.
Существуют следующие реализации VLAN:
- по порту;
- по MAC-адресу;
- по протоколу;
- методом аутентификации.
Принципы функционирования VLAN
DCImanager поддерживает реализацию VLAN на базе портов коммутатора. Физические порты коммутатора логически объединяются в VLAN. VLAN на базе портов — самый высокий уровень управляемости, безопасности и простоты настройки по сравнению с другими реализациями.
DCImanager поддерживает транковые порты. Транковые порты (trunk порты или тегированные порты) используются для передачи трафика нескольких VLAN между коммутаторами. Транковый порт позволяет коммутатору передать трафик нескольких VLAN через один порт. При этом сохраняется информация, в пределах какого VLAN передается фрейм. Для этого выполняется тегирование фрейма. Данная возможность актуальна при наличии нескольких коммутаторов. Два коммутатора связываются только двумя транковыми портами, через которые может проходить трафик любого числа VLAN.
В DCImanager реализованы функции для работы с Primary и Isolated PVLAN.
Private VLAN (PVLAN) — технология, используемая для изоляции портов коммутатора. Private VLAN делит VLAN (primary) на несколько под-VLAN (secondary). При этом сохраняется существующая подсеть IP-адресов и конфигурация layer 3.
Primary VLAN — первичная VLAN. К первичной VLAN относится Promiscuous порт — порт коммутатора, который подключён к вышестоящему оборудованию (коммутатору, маршрутизатору и т.д.).
Secondary VLAN — вторичная VLAN. Порты вторичной VLAN относятся к одному из следующих типов:
- Isolated — любые порты коммутатора, добавленные в Isolated VLAN, могут связываться с Primary VLAN, но не с другими Secondary VLAN и не с другими хостами в той же Isolated VLAN;
- Community — любые порты коммутатора, добавленные в Community VLAN, могут связываться с Primary VLAN и друг с другом, но не с другими Secondary VLAN.
Возможность работы с PVLAN поддерживает обработчик Brocade ICX(Mult). Для других коммутаторов поддержка PVLAN указывается в списке поддерживаемых устройств, см. в статье Поддерживаемые устройства.
В DCImanager реализованы функции для работы с режимом "Vlan per user" (VPU). VPU позволяет помещать каждый сервер (группу серверов) в отдельный широковещательный домен. Каждому серверу (группе серверов) назначается отдельный VLAN и на маршрутизаторе создаётся IRB-интерфейс с этим VLAN. Интерфейс IRB — это логический Layer 3 интерфейс, использующийся как маршрут по умолчанию для VLAN.
Минимально возможная схема реализации выглядит следующим образом:
- Под сервер резервируется VLAN и сеть с 31-ым префиксом (два IP-адреса). Один IP-адрес для маршрутизатора, другой для сервера. Сети для дополнительных адресов сервера могут быть различными.
- На маршрутизаторе настраивается IRB-интерфейс с IP-адресом из сети сервера и его VLAN.
- Настраивается DHCP-relay на IP-адрес DCImanager. Команды для настройки можно увидеть в списке сетей для VLAN.
- Дополнительные адреса /32, маршрутизируются на основные адреса, по принципу route x.x.x.16/32 next-hop x.x.x.97.
- Дополнительные адреса устанавливаются при помощи протокола динамической маршрутизации. DCImanager использует Bird. Подробнее о Bird см. на официальном сайте.
Для работы с функциями VPU установите соответствующий модуль (начиная с версия 5.155) либо включите опцию Включить VPU в Настройки → Глобальные настройки и заполните необходимые данных (до версии 5.155).
Модули VLAN
Для расширения возможностей работы с VLAN в DCImanager используются модули:
1. Модуль "VPU (Vlan Per User)" (доступен с версии 5.155). Позволяет помещать каждый сервер (группу серверов) в отдельный широковещательный домен.
2. Модуль "Пользовательские VLAN". Позволяет пользователям помещать свои сервера в разрешённые администратором VLAN.
Перейдите в Интеграция → Модули для установки и настройки модулей.
Управление VLAN
Перейдите в Главное меню → Виртуальные сети (VLAN) для управления.
Просмотр списка виртуальных сетей
В списке находятся VLAN:
- созданные вручную;
- найденные при опросе оборудования.
Добавление виртуальной сети в DCImanager
Ручное добавление
Нажмите Создать для добавления виртуальной сети.
Укажите:
- VLAN Id — уникальный идентификатор виртуальной сети;
- Имя — наименование виртуальной сети, которое используется при настройке сетевого оборудования;
- Владелец — пользователь, которому доступно использование VLAN на серверах;
- Примечания — дополнительная информация. Отображается в списке VLAN в столбце Примечания;
- PVLAN — опция включения функции PVLAN;
- Тип PVLAN — тип виртуальной сети. Поле доступно только при включении опции "PVLAN":
- Isolated — вторичная VLAN с типом isolated;
- Primary — первичная VLAN.
- Служебный — при включении данной опции настройки VLAN не будут записываться на коммутатор.
Автоматическое добавление
Администратор в процессе настройки назначает портам коммутаторов необходимые VLAN. DCImanager синхронизируется с настроенными на оборудовании VLAN: автоматически выставляет найденные на портах VLAN, отмечает порты в режиме trunk, а также членов trunk.
Добавление порта коммутатора в VLAN
Нажмите Оборудование → Коммутаторы → Порты → Изменить, чтобы указать VLAN для порта коммутатора.
Настройки порта, которые относятся к конфигурации VLAN:
- Работает в режиме Trunk — опция установки порта в режим Trunk. Для транкового порта укажите:
- Native VLAN — VLAN, в которой трафик передается нетегированным;
- Члены Trunk — VLAN, которые могут передавать трафик через порт.
- UpLink — опция скрытия порта из списка доступных при создании подключений. Также на данном порту не будет производиться поиск серверов и будут запрещены любые действия: изменение VLAN, скорости и режима. Включите эту опцию, если порт подключен не к серверу, а к коммутатору или маршрутизатору уровнем выше.
Большое количество портов удобнее добавить в VLAN непосредственно на коммутаторе. DCImanager считает изменения при опросе оборудования и отобразит их в интерфейсе автоматически.
Настройка типов IP-адресов в VLAN
Создайте в IPmanager группу IP-адресов для VLAN. Эту группу укажите в правах пользователя для соответствующей подсети в IPmanager. Также укажите её для каждого сервера, который будет работать в настраиваемом VLAN в поле Блок IP-адресов.
В Глобальные настройки во вкладке Политики можно указать стандартный тип IP-адресов. Все вновь создаваемые сервера будут настроены на этот тип, если в поле Блок IP-адресов не указано иное.