【虚拟化实战】网络设计之三PVLAN 推荐
2013-06-16 18:14
495 查看
作者:范军 (Frank Fan) 新浪微博:@frankfan7 微信:frankfan
架构师有创意的设计方案,有时可以节省大量的硬件成本和后期的维护成本。有些情况下用好PVLAN,可以简化网络管理,而又满足安全隔离的需要。
概念
PVLAN的概念早就在物理网络中就有,vSphere Distributed Switch在hyperviosor层实现了这个概念。
Private Primary PVLAN5 就是我们传统的VLAN,它自己是primary,在它的下面又分出了很多个Secondary PVLAN。每个seconary PVLAN 都有一个ID。
三种Secondary PVLAN的类型是:
Promiscuous:
属于Promiscuous的虚拟机E和F 可以和同属于一个PrimaryVLAN的任何设备通讯。 Promiscuous的PVLAN ID 和Primary VLAN ID 是一样的。在上图中都是5
Community:
同属于Community PVLAN的虚拟机A和B之间可以通讯,可是他们不能和除了Promiscuous PVLAN之外的设备通讯
Isolated:
同属于Isolated PVLAN的虚拟机C和D之间不可以通讯,可是他们不能和除了Promiscuous PVLAN之外的设备通讯
情景一:
某公司的DMZ内有很多虚拟机和物理设备,担心某个设备被入侵后会危及其他设备。
PVLAN是一个很合适的解决方案。
下图摘自PVLAN– A Widely Underutilized Feature fromvXpertise.net
VM2和VM3是同一个应用的两个虚拟机。把它们放入Community PVLAN可以保证它们之间的通讯。在物理交换机上也设置好PVLAN,并把相关路由器或者防火墙也接入属于同一个Primary VLAN的PromiscuousPVLAN. 这样VM2和VM3可以和路由器、防火墙通讯,从而可以和DMZ之外的设备通讯。但是它们不可以和同属于DMZ内的VM1通讯。
好处在于一旦VM2或VM3被入侵,不会以此为跳板轻易访问到VM1。另一个好处是每次在该PrimaryVLAN内增加虚拟机,只需在vSphere中设置SecondaryPVLAN ID,无需每次都更改物理交换机的设置。
情景二:
通过PVLAN方案,在Primary VLAN 70下面分出三个Private VLAN 10,20 和30. 也可以实现隔离的目的。模拟了生产环境中的SecureZone、productionZone 和WorkstationZone.
你还能想出其他PVLAN可以发挥长处的的情景么?
架构师有创意的设计方案,有时可以节省大量的硬件成本和后期的维护成本。有些情况下用好PVLAN,可以简化网络管理,而又满足安全隔离的需要。
概念
PVLAN的概念早就在物理网络中就有,vSphere Distributed Switch在hyperviosor层实现了这个概念。
Private Primary PVLAN5 就是我们传统的VLAN,它自己是primary,在它的下面又分出了很多个Secondary PVLAN。每个seconary PVLAN 都有一个ID。
三种Secondary PVLAN的类型是:
Promiscuous:
属于Promiscuous的虚拟机E和F 可以和同属于一个PrimaryVLAN的任何设备通讯。 Promiscuous的PVLAN ID 和Primary VLAN ID 是一样的。在上图中都是5
Community:
同属于Community PVLAN的虚拟机A和B之间可以通讯,可是他们不能和除了Promiscuous PVLAN之外的设备通讯
Isolated:
同属于Isolated PVLAN的虚拟机C和D之间不可以通讯,可是他们不能和除了Promiscuous PVLAN之外的设备通讯
情景一:
某公司的DMZ内有很多虚拟机和物理设备,担心某个设备被入侵后会危及其他设备。
PVLAN是一个很合适的解决方案。
下图摘自PVLAN– A Widely Underutilized Feature fromvXpertise.net
VM2和VM3是同一个应用的两个虚拟机。把它们放入Community PVLAN可以保证它们之间的通讯。在物理交换机上也设置好PVLAN,并把相关路由器或者防火墙也接入属于同一个Primary VLAN的PromiscuousPVLAN. 这样VM2和VM3可以和路由器、防火墙通讯,从而可以和DMZ之外的设备通讯。但是它们不可以和同属于DMZ内的VM1通讯。
好处在于一旦VM2或VM3被入侵,不会以此为跳板轻易访问到VM1。另一个好处是每次在该PrimaryVLAN内增加虚拟机,只需在vSphere中设置SecondaryPVLAN ID,无需每次都更改物理交换机的设置。
情景二:
此情景摘自vSpherePrivate VLANs – Dev Environment Use Case fromhttp://virtuallybright.com
某公司需要搭建一个测试环境,希望与实际生产环境的设置一致。这难免需要相对复杂的VLAN隔离。通过PVLAN方案,在Primary VLAN 70下面分出三个Private VLAN 10,20 和30. 也可以实现隔离的目的。模拟了生产环境中的SecureZone、productionZone 和WorkstationZone.
注意如果在ESXi2 上也有同样的PVLAN设置,那么ESXi1上Community V LAN 10 内的虚拟机和 ESXi 2 上Community V LAN 10 内的虚拟机可以通讯么?可以。前提是物理交换机支持PVLAN并且已经作好相应设置。可参考
ConfiguringPrivate VLANsUnderstandingPrivate VLANs
UnderstandingvSphere Private VLANs For Fun and Profit你还能想出其他PVLAN可以发挥长处的的情景么?
相关文章推荐
- 【虚拟化实战】网络设计之三PVLAN
- 【虚拟化实战】网络设计之五IP Storage 推荐
- 【虚拟化实战】网络设计之一vSwitch 推荐
- 【虚拟化实战】存储设计之一存储类型 推荐
- 【虚拟化实战】容灾设计之三Stretched Cluster 推荐
- 【虚拟化实战】网络设计之一vSwitch
- 产品设计体会(2011)网络推广实战 推荐
- 【虚拟化实战】Cluster设计之三HA 推荐
- 【虚拟化实战】网络设计之二vLAN
- 【虚拟化实战】Cluster设计之一资源池 推荐
- 【虚拟化实战】主机设计之一Sizing 推荐
- 【虚拟化实战】存储设计之四本地存储 推荐
- 【虚拟化实战】网络设计之二vLAN
- 【虚拟化实战】存储设计之六latency 推荐
- 【虚拟化实战】容灾设计之一设计方法 推荐
- 【虚拟化实战】VM设计之一vCPU 推荐
- 【虚拟化实战】VM设计之二内存机制 推荐
- 【实战虚拟化】安全设计之一基本架构 推荐
- 实战虚拟化之设计模板 推荐