Private VLANs - podpora u různých výrobců síťových prvků a ve VMWare



Podobné dokumenty
Private VLANs - podpora u různých výrobců

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

Virtální lokální sítě (VLAN)

Cloud řešení na bázi hostitelských serverů VMWare, Cisco Nexus 1000V a technologie VXLAN

Aktivní prvky: přepínače

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Přepínaný Ethernet. Virtuální sítě.

Budování infrastruktury v době digitalizace společnosti

Úvod do síťových technologií

Virtuální sítě 2.část VLAN

doba datová začne již za: Copyright 2012 EMC Corporation. All rights reserved.

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

1 Výchozí nastavení zařízení

Implementace redundance pomocí virtuálních přepínačů a multichassis link aggregation na aktuálních platformách významných výrobců síťových prvků

PB169 Operační systémy a sítě

IVT 2. ročník INFORMAČNÍ SÍTĚ

Migrace virtuálního prostředí VI3 na vsphere. Lukáš Radil, konzultant

Využití moderních přístupů při budování Technologického centra kraje

Část l«rozbočovače, přepínače a přepínání

VIRTUALBOX PRÁCE SE SÍTÍ

VIRTUALIZACE POČÍTAČE

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Počítačové sítě. Další informace naleznete na :

Definice pojmů a přehled rozsahu služby

MPLS MPLS. Label. Switching) Michal Petřík -

Moderní infrastruktura základ egovernmentu

Kapitola třináctá. Datové sítě. Učební text. Mgr. Radek Hoszowski

3. Linková vrstva. Linková (spojová) vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl

12. VLAN, inter VLAN routing, VTP

Koncept centrálního monitoringu a IP správy sítě

Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky. Projekt do SPS

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

VIRTUALIZACE POČÍTAČE HISTORIE A VÝVOJ

VPN - Virtual private networks

Projekt VRF LITE. Jiří Otisk, Filip Frank

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

K čemu slouží počítačové sítě

Virtualizace. Miroslav Novotný

Technologické centrum Kraje Vysočina

Budování sítě v datových centrech

Virtuální datové centrum a jeho dopad na infrastrukturu sítě

KAPITOLA 1 Úvod do zkoušky VMware Certified Professional pro vsphere 25. KAPITOLA 2 Úvod do serverové virtualizace a řady produktů VMware 43

Networking v hypervisoru Hyper-V

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

Virtualizace desktopů

Zabezpečení v síti IP

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Platforma Juniper QFabric

Aktivní prvky: přepínače

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Technologie počítačových sítí

Průvodce rychlým nastavením

VirtualBox desktopová virtualizace. Zdeněk Merta

Implementace SDDC v Komerční bance

IEEE802.3 Ethernet. Ethernet

Počítačové sítě. Miloš Hrdý. 21. října 2007

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

Výukový materiál zpracovaný v rámci projektu. Základní škola Sokolov, Běžecká 2055 pracoviště Boženy Němcové 1784

Alkany a cykloalkany

Modernizace Laboratoře síťových technologií ÚI PEF MENDELU. Upgrade of the Laboratory of Network Technologies at DI FBE MENDELU

Extreme Forum Datová centra A10, VMWare, Citrix, Microsoft, Ixia

Obsah. Úvod 13. Věnování 11 Poděkování 11

Střední odborná škola a Střední odborné učiliště, Hořovice

VÝUKOVÝ MATERIÁL. Bratislavská 2166, Varnsdorf, IČO: tel Číslo projektu

Příloha č. 8 Technický popis řešení

Integrovaná střední škola, Sokolnice 496

Seminář pro správce univerzitních sí4

CA AppLogic platforma typu cloud pro podnikové aplikace

WAP LAN/WLAN AP/klient. Uživatelský manuál

Distribuované systémy a počítačové sítě

L2 multicast v doméně s přepínači CISCO

e1 e1 ROUTER2 Skupina1

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Bezpečnost sítí

SPŠ a VOŠ Písek, Písek, K. Čapka 402. Učební texty. Datové sítě I. Vypracovala: Mgr. Radka Pecková

Počítačové sítě I. 9. Internetworking Miroslav Spousta,

Průvodce rychlým nastavením

JAK ČÍST TUTO PREZENTACI

Vyšší odborná škola a Střední škola,varnsdorf, příspěvková organizace. Šablona 1 VY 32 INOVACE

Systémy pro sběr a přenos dat

Aktivní bezpečnost sítě

Témata profilové maturitní zkoušky

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Střední odborná škola a Střední odborné učiliště, Hořovice

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Úvod - Podniková informační bezpečnost PS1-2

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování:

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Konfigurace sítě s WLAN controllerem

Rozdělení (typy) sítí

Podpora QoS (L2, L3) na DSLAM Zyxel IP Express IES 1000

Název a označení sady: Člověk, společnost a IT technologie; VY_3.2_INOVACE_Ict

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Transkript:

Private VLANs - podpora u různých výrobců síťových prvků a ve VMWare Martin Lonský, LON0009 Abstrakt: Tato práce popisuje architekturu virtuálních sítí VLAN a privátních virtuálních sítí Private VLAN (PVLAN) a jejich podporu u různých výrobců síťových prvků a ve virtualizačních nástrojích VMWare. Klíčová slova: lan, vlan, pvlan, vmware, private vlan 1 VLAN... 2 2 Private VLAN... 2 3 VMWare... 3 3.1 Podpora Private VLAN u VMWare... 3 4 Podpora Private VLAN u výrobců síťových prvků... 3 4.1 Cisco... 3 4.2 D-Link... 4 4.3 Netgear... 4 4.4 Ostatní výrobci... 4 5 Použitá literatura... 5 únor 2008 1/6

1 VLAN VLAN (Virtual Local Area Network) je logická nezávislá síť v rámci jednoho či více zařízení. VLAN tak umožňují rozdělení stávající sítě na na několik virtuálních sítí nezávislých na fyzickém uspořádání síťových prvků. Pomocí VLAN lze segmentovat větší sítě na menší celky uvnitř fyzické struktury původní sítě a vytvořit tak novou logickou organizaci sítě zcela nezávislou na fyzické vrstvě. Takto lze poměrně snadno zjednodušit správu sítě a zvýšit její výkon i bezpečnost. Virtuální síť lze realizovat prostřednictvím běžného síťového prvku zvaného přepínač (switch), jehož porty rozdělíme na několik logicky nezávislých částí. Jedná se tak o rozdělení sítě na druhé (spojové) vrstvě referenčního modelu ISO/OSI na rozdíl od běžně využívaných podsítí vytvářených na třetí vrstvě [1][2]. Dá se říci, že VLAN pomáhá jednodušeji dosáhnout stejného efektu, jako když několik zařízení připojíme do jednoho přepínače a jiné zařízení do jiného přepínače. Získáme tak dvě nezávislé sítě, které jsou od sebe zcela fyzicky odděleny a nemohou spolu komunikovat. Zpravidla však v praxi právě takovou komunikaci potřebujeme a tady přicházejí na řadu virtuální privátní sítě. Pro vytváření VLAN sítí se používá tzv. trunk, což je port zařazený do více VLAN. Můžeme tak vytvořit například dvě nezávislé sítě na různých patrech budovy tak, že na každé patro umístíme přepínač a pomocí trunku je propojíme s páteřní sítí. Při komunikaci se pak data posílají pouze na porty zařazené do stejné VLAN a prakticky tak můžeme jednotlivé VLAN považovat za fyzicky oddělené [2][3]. Virtuální sítě VLAN začaly vznikat v polovině 90. let ve středních a velkých firmách pro logické seskupování uživatelů podle služeb nebo organizační struktury, pro zmenšení kolizních domén a snížení broadcastů. Dnešní VLAN se používají zejména pro zvýšení výkonu sítě snížením provozu, zjednodušení správy a snadnějšími přesunu zařízení, zvýšení zabezpečení, oddělení speciálního provozu, například IP telefonie, a snížení počtu síťových zařízení. Samotné přiřazování zařízení do VLAN se v praxi provádí podle portu, MAC adresy, podle protokolu a informace z třetí vrstvy nebo podle autentizace [1][2][3]. 2 Private VLAN V případě Private VLAN se jedná, jak již název napovídá, o soukromou virtuální síť. Private VLAN (PVLAN) je ideální v situacích, kdy máme vytvořené sítě VLAN a z nějakého důvodu potřebujeme omezit komunikaci mezi některými klienty v rámci jedné sítě, například, aby jednotliví klienti nemohli komunikovat mezi mezi sebou, ale aby mohli komunikovat ven do sítě. Private VLAN je tak jakýmsi ochranným prvkem pro přepínače, který umožňuje izolovat porty na stejné VLAN síti. Private VLAN není omezena pouze na jeden switch, ale prostřednictvím trunk portu může být přenášena i na jiné switche s podporou PVLAN [2][4][5]. únor 2008 2/6

Jak Private VLAN vlastně funguje? PVLAN tvoří vždy alespoň dvě VLAN sítě, klienti v různých sítích VLAN však budou ze svého pohledu náležet vždy jen do své VLAN sítě. Pro vytvoření různé úrovně komunikace využívá PVLAN tři typy portů: Promiscuous (P porty) - mohou komunikovat se všemi porty. Využívají se při komunikaci mimo subnet. Jako Promiscuous se tedy nastavuje port, ke kterému je připojen router. Isolated (I port) - typický PVLAN port zcela izolovaný od ostatních portů ve stejné Private VLAN. Isolated port může komunikovat pouze s Promiscuous porty. Community (C port) - tento port dokáže komunikovat s ostatními C porty a s Promiscuous porty [4][5]. Při tvorbě Private VLAN se využívají tři různé typy VLAN sítí podle použitých portů: Primary VLAN - jedná se o primární VLAN síť, která zapouzdřuje celou strukturu PVLAN, komunikuje s Promiscuous porty a v rámci jedné PVLAN je vždy jen jedna. Isolated VLAN - používá Isolated porty, které spolu nekomunikují a používá se tak pro izolované vnitřní sítě. V rámci jedné PVLAN je vždy jen jedna. Community VLAN - používá Community porty, které mezi sebou mohou komunikovat v rámci jedné komunity. V rámci jedné PVLAN síti může existovat více takovýchto nezávislých komunit [4][5]. 1 VMWare VMWare je obchodní značkou americké společnosti VMWare, Inc., která se zabývá vývojem systémů pro virtualizaci jednoho či více počítačů a operačních systémů na jednom hostitelském stroji. Kromě řešení pro desktopy se zabývá zejména vývojem serverových řešení jako je odlehčený VMWare Server nabízený zdarma pro vyzkoušení a plnohodnotný VMWare Infrastructure, resp. dnes VMWare vsphere, pro ostré nasazení [6][7]. 2 3.1 Podpora Private VLAN u VMWare VMWare serverové řešení vsphere, aktuálně ve verzi 5.1, je virtualizační platforma pro budování cloudových infrastruktur s podporou více jader, Private VLAN, Network VMotion, Traffic Shaper a dalších. Podpora Private VLAN zde obsahuje zjednodušené nastavení a monitorování privátních VLAN a snadnou segmentaci síťového provozu ve sdílených prostředcích. VMWare používá tzv. primární a sekundární PVLAN sítě, kdy primární představují PVLAN sítě typu Promiscuous a sekundární PVLAN sítě typu Community a Isolated. Primární PVLAN pak používají stejný identifikátor VLAN ID jako primární a sekundární VLAN sítě. Provoz uvnitř PVLAN sítí není zapouzdřený, obecně zde platí, že sekundární PVLAN nemůže být zapouzdřena uvnitř paketů primární PVLAN sítě. Dále provoz mezi virtuálními stroji na stejné PVLAN síti ale na různých hostech typu ESX nebo ESXi prochází přes fyzické switche. Ty proto musí únor 2008 3/6

podporovat privátní virtuální sítě PVLAN a musí být vhodně nakonfigurovány tak, aby umožňovaly provoz sekundárních PVLAN sítí [6][8][9]. 1 Podpora Private VLAN u výrobců síťových prvků Při zkoumání podpory technologie Private VLAN u výrobců síťových prvků jsem stál nejprve před dilematem, které výrobce zvolit. Prostudoval jsem nabídky největších dodavatelů spotřební elektroniky včetně síťových zařízení, konkrétně jsem se zaměřil především na renomované internetové obchody Alza.cz a CZC.cz (CzechComputer), a vybral několik klíčových výrobců síťových zařízení, respektive hlavně serverových switchů, které jsou rozhodující při podpoře Private VLAN. Nakonec jsem tedy zvolil tyto výrobce: Cisco, D-Link, Netgear, HP, Tenda, Huawei, TP-Link, Edimax a Zyxel. Podporu Private VLAN u jednotlivých výrobců switchů jsem zjišťoval přímo na jejich webových stránkách v technické podpoře, v popisu nabízených technologií i konkrétních produktů, v manuálech jednotlivých zařízení a dodatečně v popisu serverových přepínačů nabízených v internetových obchodech. 2 4.1 Cisco Značka Cisco podporuje Private VLAN na switchích Catalyst 6000 s operačním systémem CatOS 5.4 a pozdějších a Catalyst 4000, 2980G, 2980G-A, 2948G a 4912G s operačním systémem CatOS 6.2 a pozdějších. Cisco zde chápe privátní virtuální sítě jako nástroj pro rozdělení provozu na druhé vrstvě (L2 referenčního modelu ISO/OSI) do několika segmentů [5][10]. 3 4.2 D-Link Společnost D-Link podporuje technologii Private VLAN v některých svých přepínačích vyšší kategorie jako je D-Link DGS-3100-48 nebo D-Link DES-3010PA, kde ji někdy označuje jako Asymmetric VLAN a její zprovoznění může vyžadovat aktualizaci firmwaru na nejnovější verzi [11]. 4 4.3 Netgear Společnost Netgear podporuje technologii privátních virtuálních sítí Private VLAN na některých switchích řady M5300, M4100, M7100 a XSM 7224S, konkrétně: XSM7224S s firmwarem 9.0.1.x M7100 s firmwarem 10.0.1.x M7100-24X (XSM7224) M4100 s firmwarem 10.0.1.x M4100-26G (GSM7224v2h2) M4100-50G (GSM7248v2h2) M4100-26G-POE (GSM7226Pv1h1) M4100-50G-POE+ (GSM7248Pv1h1) M4100-26G-POE (FSM7226Pv1h1) únor 2008 4/6

M4100-50-POE (FSM7250Pv1h1) M4100-D12G (GSM5212v1h1) M4100-D10-POE (FSM5210Pv1h1) M5300 s firmwarem 10.0.0.x M5300-28G (GSM7228S) M5300-5G (GSM7252S) M5300-28G3 (GSM7328Sv2h2) M5300-52G3 (GSM7352Sv2h2) M5300-28G_POE+ (GSM7228PSv1h2) M5300-52G-POE+ (GSM7252PSv1h2) M5300-28GF3 (GSM7328FSv2) [12]. Společnost Netgear zde pracuje především s pojmem Private VLAN Group, kterou chápe jako skupinu počítačů, které mohou komunikovat mezi sebou, respektive s páteřní sítí, ale nemohou komunikovat s jinými počítači mimo svou skupinu. Rozlišuje zde dvě podmnožiny privátních skupin: izolované a komunitní. U izolovaných skupin nemohou její členové komunikovat s ostatními uživateli ve skupině, zatímco u komunitních skupin je tento způsob komunikace možný [12]. 5 4.4 Ostatní výrobci U ostatních výrobců síťových zařízení jsem již nebyl s technologií privátních virtuálních sítí Private VLAN tolik úspěšný. V případě společnosti Hewlett-Packard jsem neobjevil žádné běžně nabízené serverové switche s podporou PVLAN, značka Tenda zřejmě PVLAN vůbec nepodporuje stejně jako společnost TP- Link a Edimax. Čínský výrobce Huawei nabízí podporu Private VLAN například u switche Huawei S2300 Series 24 ports Ethernet POE Switches S2326TP-PWR-EI a společnost Zyxel u zařízení Zyxel ES3500-24, Zyxel XGS1910-24 a Zyxel XGS1910-48. 1 Použitá literatura [1] VLAN. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-21]. Dostupné z: http://cs.wikipedia.org/wiki/vlan [2] VLAN - Virtual Local Area Network. SAMURAJ-cz [online]. 2007 [cit. 2013-11-21]. Dostupné z: http://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/ [3] Private VLAN. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-21]. Dostupné z: http://en.wikipedia.org/wiki/private_vlan [4] Understanding Private VLANs. Juniper Networks [online]. 2013 [cit. 2013-11-21]. Dostupné z: http://www.juniper.net/techpubs/en_us/junos/topics/concept/private-vlans-qfx-series.html [5] Configuring Private VLANs. Cisco [online]. 2012 [cit. 2013-11-21]. Dostupné z: http://www.cisco.com/en/us/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/privatev LANs.html [6] VMWare [online]. 2013 [cit. 2013-11-21]. Dostupné z: http://www.vmware.com [7] VMWare. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-21]. Dostupné z: http://cs.wikipedia.org/wiki/vmware [8] VMWare vsphere. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-21]. Dostupné z: http://en.wikipedia.org/wiki/vmware_vsphere [9] Private VLAN (PVLAN) on vnetwork Distributed Switch - Concept Overview. VMWare - Knowledge Base [online]. 2012 [cit. 2013-11-22]. Dostupné z: http://kb.vmware.com/selfservice/microsites/search.do?language=en_us&cmd=displaykc&externali d=1010691 [10] Securing Networks with Private VLANs and VLAN Access Control Lists. Cisco [online]. 2008 [cit. 2013-11-22]. Dostupné z: http://www.cisco.com/en/us/products/hw/switches/ps700/products_tech_note09186a008013565f.sht ml#private_vlans únor 2008 5/6

[11] D-Link DES-3010PA. D-Link [online]. 2013 [cit. 2013-11-22]. Dostupné z: http://www.dlink.com/us/en/home-solutions/support/product/- /media/consumer_products/des/des%203010pa/datasheet/des%203010pa_datasheet_en_us.as hx [12] What are private VLAN groups and how do they work with my managed switch?. Netgear [online]. 2012 [cit. 2013-11-22]. Dostupné z: http://kb.netgear.com/app/answers/detail/a_id/21943/session/l2f2lzevdgltzs8xmzg1mtezote1l3 NpZC9heVFmR1pGbA%3D%3D únor 2008 6/6

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář