Private VLANs - podpora u různých výrobců síťových prvků a ve VMWare Martin Lonský, LON0009 Abstrakt: Tato práce popisuje architekturu virtuálních sítí VLAN a privátních virtuálních sítí Private VLAN (PVLAN) a jejich podporu u různých výrobců síťových prvků a ve virtualizačních nástrojích VMWare. Klíčová slova: lan, vlan, pvlan, vmware, private vlan
1 VLAN .................................................................................................................................... 2 2 Private VLAN ........................................................................................................................ 2 3 VMWare ................................................................................................................................ 3 3.1 Podpora Private VLAN u VMWare ............................................................................... 3 4 Podpora Private VLAN u výrobců síťových prvků ............................................................... 3 4.1 Cisco .............................................................................................................................. 3 4.2 D-Link ............................................................................................................................ 4 4.3 Netgear ........................................................................................................................... 4 4.4 Ostatní výrobci ............................................................................................................... 4 5 Použitá literatura .................................................................................................................... 5
únor 2008
1/6
1 VLAN VLAN (Virtual Local Area Network) je logická nezávislá síť v rámci jednoho či více zařízení. VLAN tak umožňují rozdělení stávající sítě na na několik virtuálních sítí nezávislých na fyzickém uspořádání síťových prvků. Pomocí VLAN lze segmentovat větší sítě na menší celky uvnitř fyzické struktury původní sítě a vytvořit tak novou logickou organizaci sítě zcela nezávislou na fyzické vrstvě. Takto lze poměrně snadno zjednodušit správu sítě a zvýšit její výkon i bezpečnost. Virtuální síť lze realizovat prostřednictvím běžného síťového prvku zvaného přepínač (switch), jehož porty rozdělíme na několik logicky nezávislých částí. Jedná se tak o rozdělení sítě na druhé (spojové) vrstvě referenčního modelu ISO/OSI na rozdíl od běžně využívaných podsítí vytvářených na třetí vrstvě [1][2]. Dá se říci, že VLAN pomáhá jednodušeji dosáhnout stejného efektu, jako když několik zařízení připojíme do jednoho přepínače a jiné zařízení do jiného přepínače. Získáme tak dvě nezávislé sítě, které jsou od sebe zcela fyzicky odděleny a nemohou spolu komunikovat. Zpravidla však v praxi právě takovou komunikaci potřebujeme a tady přicházejí na řadu virtuální privátní sítě. Pro vytváření VLAN sítí se používá tzv. trunk, což je port zařazený do více VLAN. Můžeme tak vytvořit například dvě nezávislé sítě na různých patrech budovy tak, že na každé patro umístíme přepínač a pomocí trunku je propojíme s páteřní sítí. Při komunikaci se pak data posílají pouze na porty zařazené do stejné VLAN a prakticky tak můžeme jednotlivé VLAN považovat za fyzicky oddělené [2][3]. Virtuální sítě VLAN začaly vznikat v polovině 90. let ve středních a velkých firmách pro logické seskupování uživatelů podle služeb nebo organizační struktury, pro zmenšení kolizních domén a snížení broadcastů. Dnešní VLAN se používají zejména pro zvýšení výkonu sítě snížením provozu, zjednodušení správy a snadnějšími přesunu zařízení, zvýšení zabezpečení, oddělení speciálního provozu, například IP telefonie, a snížení počtu síťových zařízení. Samotné přiřazování zařízení do VLAN se v praxi provádí podle portu, MAC adresy, podle protokolu a informace z třetí vrstvy nebo podle autentizace [1][2][3].
2 Private VLAN V případě Private VLAN se jedná, jak již název napovídá, o soukromou virtuální síť. Private VLAN (PVLAN) je ideální v situacích, kdy máme vytvořené sítě VLAN a z nějakého důvodu potřebujeme omezit komunikaci mezi některými klienty v rámci jedné sítě, například, aby jednotliví klienti nemohli komunikovat mezi mezi sebou, ale aby mohli komunikovat ven do sítě. Private VLAN je tak jakýmsi ochranným prvkem pro přepínače, který umožňuje izolovat porty na stejné VLAN síti. Private VLAN není omezena pouze na jeden switch, ale prostřednictvím trunk portu může být přenášena i na jiné switche s podporou PVLAN [2][4][5].
únor 2008
2/6
Jak Private VLAN vlastně funguje? PVLAN tvoří vždy alespoň dvě VLAN sítě, klienti v různých sítích VLAN však budou ze svého pohledu náležet vždy jen do své VLAN sítě. Pro vytvoření různé úrovně komunikace využívá PVLAN tři typy portů: ● Promiscuous (P porty) - mohou komunikovat se všemi porty. Využívají se při komunikaci mimo subnet. Jako Promiscuous se tedy nastavuje port, ke kterému je připojen router. ● Isolated (I port) - typický PVLAN port zcela izolovaný od ostatních portů ve stejné Private VLAN. Isolated port může komunikovat pouze s Promiscuous porty. ● Community (C port) - tento port dokáže komunikovat s ostatními C porty a s Promiscuous porty [4][5]. Při tvorbě Private VLAN se využívají tři různé typy VLAN sítí podle použitých portů: ● Primary VLAN - jedná se o primární VLAN síť, která zapouzdřuje celou strukturu PVLAN, komunikuje s Promiscuous porty a v rámci jedné PVLAN je vždy jen jedna. ● Isolated VLAN - používá Isolated porty, které spolu nekomunikují a používá se tak pro izolované vnitřní sítě. V rámci jedné PVLAN je vždy jen jedna. ● Community VLAN - používá Community porty, které mezi sebou mohou komunikovat v rámci jedné komunity. V rámci jedné PVLAN síti může existovat více takovýchto nezávislých komunit [4][5].
1 VMWare VMWare je obchodní značkou americké společnosti VMWare, Inc., která se zabývá vývojem systémů pro virtualizaci jednoho či více počítačů a operačních systémů na jednom hostitelském stroji. Kromě řešení pro desktopy se zabývá zejména vývojem serverových řešení jako je odlehčený VMWare Server nabízený zdarma pro vyzkoušení a plnohodnotný VMWare Infrastructure, resp. dnes VMWare vSphere, pro ostré nasazení [6][7].
2 3.1 Podpora Private VLAN u VMWare VMWare serverové řešení vSphere, aktuálně ve verzi 5.1, je virtualizační platforma pro budování cloudových infrastruktur s podporou více jader, Private VLAN, Network VMotion, Traffic Shaper a dalších. Podpora Private VLAN zde obsahuje zjednodušené nastavení a monitorování privátních VLAN a snadnou segmentaci síťového provozu ve sdílených prostředcích. VMWare používá tzv. primární a sekundární PVLAN sítě, kdy primární představují PVLAN sítě typu Promiscuous a sekundární PVLAN sítě typu Community a Isolated. Primární PVLAN pak používají stejný identifikátor VLAN ID jako primární a sekundární VLAN sítě. Provoz uvnitř PVLAN sítí není zapouzdřený, obecně zde platí, že sekundární PVLAN nemůže být zapouzdřena uvnitř paketů primární PVLAN sítě. Dále provoz mezi virtuálními stroji na stejné PVLAN síti ale na různých hostech typu ESX nebo ESXi prochází přes fyzické switche. Ty proto musí únor 2008
3/6
podporovat privátní virtuální sítě PVLAN a musí být vhodně nakonfigurovány tak, aby umožňovaly provoz sekundárních PVLAN sítí [6][8][9].
1 Podpora Private VLAN u výrobců síťových prvků Při zkoumání podpory technologie Private VLAN u výrobců síťových prvků jsem stál nejprve před dilematem, které výrobce zvolit. Prostudoval jsem nabídky největších dodavatelů spotřební elektroniky včetně síťových zařízení, konkrétně jsem se zaměřil především na renomované internetové obchody Alza.cz a CZC.cz (CzechComputer), a vybral několik klíčových výrobců síťových zařízení, respektive hlavně serverových switchů, které jsou rozhodující při podpoře Private VLAN. Nakonec jsem tedy zvolil tyto výrobce: ● Cisco, ● D-Link, ● Netgear, ● HP, ● Tenda, ● Huawei, ● TP-Link, ● Edimax a ● Zyxel. Podporu Private VLAN u jednotlivých výrobců switchů jsem zjišťoval přímo na jejich webových stránkách v technické podpoře, v popisu nabízených technologií i konkrétních produktů, v manuálech jednotlivých zařízení a dodatečně v popisu serverových přepínačů nabízených v internetových obchodech.
2 4.1 Cisco Značka Cisco podporuje Private VLAN na switchích Catalyst 6000 s operačním systémem CatOS 5.4 a pozdějších a Catalyst 4000, 2980G, 2980G-A, 2948G a 4912G s operačním systémem CatOS 6.2 a pozdějších. Cisco zde chápe privátní virtuální sítě jako nástroj pro rozdělení provozu na druhé vrstvě (L2 referenčního modelu ISO/OSI) do několika segmentů [5][10].
3 4.2 D-Link Společnost D-Link podporuje technologii Private VLAN v některých svých přepínačích vyšší kategorie jako je D-Link DGS-3100-48 nebo D-Link DES-3010PA, kde ji někdy označuje jako Asymmetric VLAN a její zprovoznění může vyžadovat aktualizaci firmwaru na nejnovější verzi [11].
4 4.3 Netgear Společnost Netgear podporuje technologii privátních virtuálních sítí Private VLAN na některých switchích řady M5300, M4100, M7100 a XSM 7224S, konkrétně: ● XSM7224S s firmwarem 9.0.1.x ● M7100 s firmwarem 10.0.1.x ○ M7100-24X (XSM7224) ● M4100 s firmwarem 10.0.1.x ○ M4100-26G (GSM7224v2h2) ○ M4100-50G (GSM7248v2h2) ○ M4100-26G-POE (GSM7226Pv1h1) ○ M4100-50G-POE+ (GSM7248Pv1h1) ○ M4100-26G-POE (FSM7226Pv1h1) únor 2008
4/6
○
●
M4100-50-POE (FSM7250Pv1h1) ○ M4100-D12G (GSM5212v1h1) ○ M4100-D10-POE (FSM5210Pv1h1) M5300 s firmwarem 10.0.0.x ○ M5300-28G (GSM7228S) ○ M5300-5G (GSM7252S) ○ M5300-28G3 (GSM7328Sv2h2) ○ M5300-52G3 (GSM7352Sv2h2) ○ M5300-28G_POE+ (GSM7228PSv1h2) ○ M5300-52G-POE+ (GSM7252PSv1h2) ○ M5300-28GF3 (GSM7328FSv2) [12].
Společnost Netgear zde pracuje především s pojmem Private VLAN Group, kterou chápe jako skupinu počítačů, které mohou komunikovat mezi sebou, respektive s páteřní sítí, ale nemohou komunikovat s jinými počítači mimo svou skupinu. Rozlišuje zde dvě podmnožiny privátních skupin: izolované a komunitní. U izolovaných skupin nemohou její členové komunikovat s ostatními uživateli ve skupině, zatímco u komunitních skupin je tento způsob komunikace možný [12].
5 4.4 Ostatní výrobci U ostatních výrobců síťových zařízení jsem již nebyl s technologií privátních virtuálních sítí Private VLAN tolik úspěšný. V případě společnosti Hewlett-Packard jsem neobjevil žádné běžně nabízené serverové switche s podporou PVLAN, značka Tenda zřejmě PVLAN vůbec nepodporuje stejně jako společnost TPLink a Edimax. Čínský výrobce Huawei nabízí podporu Private VLAN například u switche Huawei S2300 Series 24 ports Ethernet POE Switches S2326TP-PWR-EI a společnost Zyxel u zařízení Zyxel ES3500-24, Zyxel XGS1910-24 a Zyxel XGS1910-48.
1 Použitá literatura [1] [2] [3] [4] [5]
[6] [7] [8] [9]
[10]
VLAN. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-21]. Dostupné z: http://cs.wikipedia.org/wiki/VLAN VLAN - Virtual Local Area Network. SAMURAJ-cz [online]. 2007 [cit. 2013-11-21]. Dostupné z: http://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/ Private VLAN. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-21]. Dostupné z: http://en.wikipedia.org/wiki/Private_VLAN Understanding Private VLANs. Juniper Networks [online]. 2013 [cit. 2013-11-21]. Dostupné z: http://www.juniper.net/techpubs/en_US/junos/topics/concept/private-vlans-qfx-series.html Configuring Private VLANs. Cisco [online]. 2012 [cit. 2013-11-21]. Dostupné z: http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/PrivateV LANs.html VMWare [online]. 2013 [cit. 2013-11-21]. Dostupné z: http://www.vmware.com VMWare. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-21]. Dostupné z: http://cs.wikipedia.org/wiki/VMware VMWare vSphere. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-21]. Dostupné z: http://en.wikipedia.org/wiki/VMware_vSphere Private VLAN (PVLAN) on vNetwork Distributed Switch - Concept Overview. VMWare - Knowledge Base [online]. 2012 [cit. 2013-11-22]. Dostupné z: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalI d=1010691 Securing Networks with Private VLANs and VLAN Access Control Lists. Cisco [online]. 2008 [cit. 2013-11-22]. Dostupné z: http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.sht ml#private_vlans
únor 2008
5/6
[11]
[12]
D-Link DES-3010PA. D-Link [online]. 2013 [cit. 2013-11-22]. Dostupné z: http://www.dlink.com/us/en/home-solutions/support/product//media/Consumer_Products/DES/DES%203010PA/Datasheet/DES%203010PA_Datasheet_EN_US.as hx What are private VLAN groups and how do they work with my managed switch?. Netgear [online]. 2012 [cit. 2013-11-22]. Dostupné z: http://kb.netgear.com/app/answers/detail/a_id/21943/session/L2F2LzEvdGltZS8xMzg1MTEzOTE1L3 NpZC9heVFmR1pGbA%3D%3D
únor 2008
6/6
