Блог алексея леготіна - архів блогу - практичний приклад використання vlan на прикладі hp procurve
Коротко про те, що таке VLAN і навіщо все це потрібно. VLAN (Virtual Local Area Network) - це віртуальна локальна мережа, що представляє собою групу пристроїв, пов'язаних між собою на канальному рівні, хоча фізично ці пристрої можуть бути підключені до різних комутаторів. Або навпаки, пристрої, фізично підключені до одного комутатора, можуть не бачити один одного, якщо вони знаходяться в різних віртуальних логічних мережах.
VLAN застосовується для ізоляції мережевих пристроїв один від одного, для зручного поділу пристроїв на групи, незалежно від матеріального становища-підключення. Також при застосуванні VLAN скорочується широкомовний трафік в мережі, забезпечується краща безпеку.
Використання VLAN дозволяє вирішити це завдання досить красиво, не використовуючи додатковий фізичний мережевий інтерфейс хост-системи і забезпечуючи легку міграцію ISA-сервера на інший хост. Орієнтовна схема рішення виглядає так:
Малюнок 1. Схема організації мережі з використанням VLAN.
На схемі DELAULT VLAN - це віртуальна мережа, яка існує спочатку, тобто всі порти комутатора до введення додаткових віртуальних мереж об'єднані в цю віртуальну мережу за замовчуванням, тобто віртуальна топологія збігається з фізичної. Виділивши два порти комутатора під окрему віртуальну мережу і відповідно налаштувавши комутатор, ми об'єднаємо ці два порти з портами, куди у нас підключені віртуальні машини першого і другого хоста, в одну VLAN. Відразу обмовлюся, два порти для підключення до Cisco виділяти не потрібно, достатньо одного. Другий так, для розширення був доданий в ту ж VLAN.
Розглянемо налаштування на прикладі HP ProCurve 2510G-24. Заходимо в веб-інтерфейс управління. Вкладка Configuration - VLAN Configuration. Ось так виглядають настройки за замовчуванням, тобто є тільки VLAN за замовчуванням (DEFAULT VLAN), що об'єднує всі порти:
Малюнок 2. Панель управління HP Procurve 2510G-24. Розділ VLAN Configuration.
Натискаємо кнопку ADD / REMOVE VLANs. вводимо ім'я і номер VLAN. Номер VLAN - будь-яке число, менше 4096. Я ввів номер мережі 44. Ім'я значення не має, тільки для вашого розуміння, для чого потрібна ця VLAN.
Далі в списку мереж потрібно натиснути кнопку Modify на щойно створеної нами VLAN. Вибираємо порт, в який у нас буде підключена Cisco. В даному випадку це порт 19. Встановлюємо для нього режим Untagged.
Малюнок 3. Панель управління HP Procurve 2510G-24. Розділ VLAN Configuration. Модифікація портів.
Тепер виберемо порти, в які у нас підключені мережеві інтерфейси хост-систем, призначені для спілкування віртуальних машин з "зовнішнім світом". Потрібний інтерфейс першої хост-системи підключений у нас до порту 4, другий хост-системи - до порту 10. Встановимо для порту 4 режим Tagged.
Малюнок 4. Панель управління HP Procurve 2510G-24. Розділ VLAN Configuration.
Таку ж операцію проробляємо з портом 10. В результаті отримаємо ось таку картину:
Малюнок 5. Панель управління HP Procurve 2510G-24. Розділ VLAN Configuration.
У підсумку з Default VLAN виключити порти, куди підключена Cisco (19-20, колонка Untagged Ports), вони тепер в VLAN 44. Порти, в які включені інтерфейси хост-системи для віртуальних машин (в даному випадку 4 і 10) в режимі Tagged належить VLAN 44. Однак, 4 і 10 порти в режимі Untagged як і раніше належить мережі DEFAULT VLAN.
Малюнок 6. Панель управління HP Procurve 2510G-24. Розділ VLAN Configuration. Список віртуальних мереж.
Таким чином, виходить, що порти 4 і 10 будуть працювати в звичайному режимі, як і раніше, в мережі DEFAULT VLAN, а якщо на ці порти прийдуть так звані тегірованние пакети з тегом 44, то вони потраплять в мережу Cisco-ISA. Відповідно, пакети, призначені для Cisco, потраплять в порт 19. І зворотний процес, якщо пакети йдуть від Cisco до віртуального ISA-сервера, то вони потраплять з порту 19 в порт 4, причому приходять з Cisco пакети будуть нетегірованнимі. а порт 19 адже знаходиться у віртуальній мережі Cisco-ISA в режимі Untagged.
Далі редагуємо властивості мережевого з'єднання, відзначаємо там галочку "Enable VLANs on this connection", вибираємо там режим Trunk Mode і додаємо мережі 0 і 44. Це треба для того, щоб віртуальні машини бачили як дефолтну VLAN, так і VLAN 44.
Дану процедуру потрібно проробити на обох хостах, щоб, під час можливого перенесення віртуальної машини ISA-сервера нічого зайвий раз не налаштовувати.
Ну і у властивостях віртуальної машини, у властивостях мережевого інтерфейсу, що відповідає за "зовнішній світ", не забуваємо помітити VLAN ID 44.
Після цього все повинно працювати. 😉 Власне, у мене працює.
Взагалі кажучи, це було моє перше зіткнення з віртуальними локальними мережами (VLANs), в теорії в принципі було все зрозуміло, але в процесі реалізації довелося трохи помучитися, так як на практиці заплутався в цих тегірованних-нетегірованних пакетах і як має бути налагоджене, щоб все працювало. Тому вирішив написати цю замітку, сподіваючись, що він допоможе комусь розібратися в даних тонкощах.