Практический пример использование VLAN на примере HP Procurve 2510G-24 и Virtual Machine Manager 2008 R2

Пост от Алексей Леготин | в категории Virtual Machine Manager, Разное | добавлен 31-03-2012

11

В данном статье я попытаюсь рассказать о том, как настроить VLAN на примере управляемого свитча HP Procurve 2510G-24 и Virtual Machine Manager 2008 R2 (в “продакшен” среде пока не используем версию VMM 2012, релиз которой еще не состоялся, хотя уже вот-вот, надеюсь).

Вкратце о том, что такое VLAN и зачем все это нужно. VLAN (Virtual Local Area Network) – это виртуальная локальная сеть, представляющая собой группу устройств, связанных между собой на канальном уровне, хотя физически эти устройства могут быть подключены к разным коммутаторам. Или наоборот, устройства, физически подключенные к одному коммутатору, могут не видеть друг друга, если они находятся в разных виртуальных логических сетях.

VLAN применяется для изоляции сетевых устройств друг от друга, для удобного разделения устройств на группы, независимо от физического расположения-подключения. Также при применении VLAN сокращается широковещательный трафик в сети, обеспечивается лучшая безопасность .

Рассмотрим задачу, стоявшую передо мной. Связано это с внедрением виртуализации, а именно виртуализацией ISA Server (и заодно переходом на более новую версию, TMG 2010). Интернет-трафик у нас проходит от провайдера сначала через Cisco (2811), затем через ISA Server. На "железном" ISA-сервере таким образом было два сетевых интерфейса, внутренний и внешний, подсоединенный к внутреннему порту Cisco. На хост-системе используется два сетевых интерфейса, один для управления собственно хост-системой, второй сетевой интерфейс – для виртуальных машин. После виртуализации ISA-сервера пришлось бы выделять третий сетевой интерфейс на хост-системе для внешнего интерфейса ISA-сервера, а также подключать туда патч-корд, ведущий к Cisco. Не очень гибкое решение, к тому же приводящее к лишним телодвижениям при возможном переносе ISA-сервера на другую хост-систему.

Использование VLAN позволяет решить данную задачу достаточно красиво, не используя дополнительный физический сетевой интерфейс хост-системы и обеспечивая легкую миграцию ISA-сервера на другой хост. Примерная схема решения выглядит так:

shema

Рисунок 1. Схема организации сети с использованием VLAN.

На схеме DELAULT VLAN – это виртуальная сеть, существующая изначально, т.е. все порты коммутатора до введения дополнительных виртуальных сетей объединены в эту виртуальную сеть по умолчанию, т.е. виртуальная топология совпадает с физической. Выделив два порта коммутатора под отдельную виртуальную сеть и соответственно настроив коммутатор, мы объединим эти два порта с портами, куда у нас подключены виртуальные машины первого и второго хоста, в одну VLAN. Сразу оговорюсь, два порта для подключения к Cisco выделять не нужно, достаточно одного. Второй так, для расширения был добавлен в ту же VLAN.

Рассмотрим настройку на примере HP ProCurve 2510G-24. Заходим в веб-интерфейс управления. Вкладка Configuration – VLAN Configuration. Вот так выглядят настройки по умолчанию, т.е. есть только VLAN по умолчанию (DEFAULT VLAN), объединяющая все порты:

procurve1

Рисунок 2. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration.

Нажимаем кнопку ADD/REMOVE VLANs, вводим имя и номер VLAN. Номер VLAN – любое число, меньшее 4096. Я ввел номер сети 44. Имя значения не имеет, только для вашего понимания, для чего нужна данная VLAN.

Далее в списке сетей нужно нажать кнопку Modify на только что созданной нами VLAN. Выбираем порт, в который у нас будет подключена Cisco. В данном случае это порт 19. Устанавливаем для него режим Untagged.

procurve3

Рисунок 3. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration. Модификация портов.

Теперь выберем порты, в которые у нас подключены сетевые интерфейсы хост-систем, предназначенные для общения виртуальных машин с "внешним миром". Нужный интерфейс первой хост-системы подключен у нас к порту 4, второй хост-системы – к порту 10. Установим для порта 4 режим Tagged.

procurve4

Рисунок 4. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration.

Такую же операцию проделываем с портом 10. В итоге получим вот такую картину:

procurve4_1

Рисунок 5. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration.

В итоге из Default VLAN исключились порты, куда подключена Cisco (19-20, колонка Untagged Ports), они теперь в VLAN 44. Порты, в которые включены интерфейсы хост-системы для виртуальных машин (в данном случае 4 и 10) в режиме Tagged принадлежит VLAN 44. Однако, 4 и 10 порты в режиме Untagged по-прежнему принадлежит сети DEFAULT VLAN.

procurve6

Рисунок 6. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration. Список виртуальных сетей.

Таким образом, получается, что порты 4 и 10 будут работать в обычном режиме, как и раньше, в сети DEFAULT VLAN, а если на эти порты придут так называемые тэгированные пакеты с тэгом 44, то они попадут в сеть Cisco-ISA. Соответственно, пакеты, предназначенные для Cisco, попадут в порт 19. И обратный процесс, если пакеты идут от Cisco к виртуальному ISA-серверу, то они попадут с порта 19 в порт 4, причем приходящие с Cisco пакеты будут нетэгированными, а порт 19 ведь находится в виртуальной сети Cisco-ISA в режиме Untagged.

Теперь нужно произвести необходимую настройку на обоих хостах. Открываем консоль Virtual Machine Manager 2008 R2  Заходим в свойства хоста, закладка Networking.

host1

Рисунок 7. Virtual Machine Manager 2008 R2. Свойства хоста – Networking.

Далее редактируем свойства сетевого соединения, отмечаем там галочку "Enable VLANs on this connection", выбираем там режим Trunk Mode и добавляем сети 0 и 44. Это нужно для того, чтобы виртуальные машины видели как дефолтную VLAN, так и VLAN 44.

host2

Рисунок 8. Virtual Machine Manager 2008 R2. Свойства хоста – свойства сетевого соединения.

Данную процедуру нужно проделать на обоих хостах, чтобы, при возможном переносе виртуальной машины ISA-сервера ничего лишний раз не настраивать.

Ну и в свойствах виртуальной машины, в свойствах сетевого интерфейса, отвечающего за "внешний мир", не забываем пометить VLAN ID 44.

vm

Рисунок 9. Virtual Machine Manager 2008 R2. Свойства виртуальной машины с TMG 2010.

После этого все должно работать. 😉 Собственно, у меня работает.

Вообще говоря, это было мое первое столкновение с виртуальными локальными сетями (VLANs), в теории в принципе было все понятно, но в процессе реализации пришлось немного помучаться, так как на практике запутался в этих тэгированных-нетэгированных пакетах и как должно быть настроено, чтобы все работало. Поэтому решил написать эту заметку, надеясь, что он поможет кому-то разобраться в данных тонкостях.

Полезные ссылки

1) http://technet.microsoft.com/en-us/library/cc917964.aspx – документация по System Center Virtual Machine Manager 2008 R2

2) http://h10010.www1.hp.com/wwpc/il/en/sm/WF06b/12883-12883-3445275-427605-427605-3356807-3757516.html?dnr=1 – спецификации и технические руководства на HP ProCurve Switch 2510G-24 (J9279A).

3)  http://xgu.ru/wiki/VLAN – вики по VLAN на XGU.RU.

4) http://zyxel.ru/kb/1439 – принцип работы и пример настройки VLAN в коммутаторах Zyxel.

5) http://www.hub.ru/archives/4633 – Виртуальные локальные сети: VLAN – статья на Хаб.ру.



Комментарии (11)

У меня немного другая схема не как не могу совместить и понять истину.

У меня 4 подсети- хочу с hp 2510 загнать их в один vlan далее на линуксе я уже создал 4 vlan, там они после маршрутизации пойдут дальше.

У меня немного другая схема не как не могу совместить и понять истину.

У меня 4 подсети- хочу с hp 2510 загнать их в один vlan далее на линуксе я уже создал 4 vlan, там они после маршрутизации пойдут дальше.
В общем мне нужно загнать 4 подсетки в 4 vlan и передать по одному vlan

Не совсем понял желаемой Вами схемы, поясните подробней, пожалуйста.

Добрый день, Алексей.
Статья Ваша, на мой взгляд, имеет ярко выраженные теоретический аспект.
А вот что касается практического применения в локальной сети, то полезным является материал по настройке ProCurve.

И тем не менее, я бы хотел получить консультацию (совет ;)) по конкретной задаче:

Условие:

Локальная сеть предприятия: Контроллеры, свитчи, хабы и АРМ (компы).
Контроллеры управляют оборудованием и выдают данные на сервера (HMI: картинка управления, алармы, тренды).
Сервера это АРМ со SCADA системой.
Клиенты это АРМ Web-client SCADA системы.
Все это в реальном времени передает друг-другу данные. (большое их колличество).

Для улучшения качества локальной сети было решено так:
закупить
-управляемые свитчи ProCurve 2510-24 (3шт)
-управляемые свитчи D-Link DES 3010FL (4шт)

разбить сеть на VLAN-ы:
-vlan1 — контроллеры;
-vlan2 — ARM сервера;
-vlan3 — ARM клиенты.

Вопрос как сделать это разбитие правильно?
ведь ARM сервера должны иметь доступ ко всем vlan-ам?

Заранее СПС.

Добрый день, Андрей!

Спасибо за комментарий. Насчет теоретичности, возможно, Вы правы, я писал статью именно для того, чтобы можно было разобраться в настройке VLAn на относительно простом примере, но все дело в том, что этот простой пример был взят из практической задачи, поставленной на предприятии. Поэтому такой заголовок. 😉
Что же касается Вашей задачи, то, как я понял, контроллеры должны видеть ARM-сервера, но не ARM-клиентов, ARM-клиенты должны видеть только ARM-сервера, а ARM-сервера, в свою очередь, должны видеть в сети друг друга, контроллеры и клиентов. И ARM-сервера, это железки (не виртуальные машины). Целью является изолировать сетевой траффик разного назначения друг от друга. Я все верно понял?

Если да, то на серверах должны быть задействованы три сетевые карты, каждая имеющая свой диапазон адресов и смотрящая в свою VLAN. Т.е. на каждом из управляемый свитчей настраиваем блоки портов под Vlan1, vlan2, и vlan3. В порты на свитчах, принадлежащие к Vlan1, втыкаем провода от контроллеров, а также провода из 1й сетевухи ARM-серверов. В порты, относящиеся к vlan2, втыкаем все провода из второй сетевой карты ARM-серверов. Ну и в порты, относящиеся к vlan3, втыкаем провода всех ARM-клиентов, а также провода из 3х сетевых карт на ARM-серверах. Разумеется, надо заранее продумать структуру сети, адресные пространства и маршрутизацию.

Я вижу решение таким.

Добрый день, Алексей.

Сразу говорю: БОЛЬШОЕ СПАСИБО.

Суть задачи Вы поняли правильно.
И как результат: все четко и лаконично объяснили.
Теперь все встало на свои места, а то я не совсем понимал как 1 комп может быть в 3-х VLAN-ах.

Добрый вечер, Алексей.
Очень полезная статья по настройке! Спасибо!

Но не могу найти настройку trunk mode (магистральнго режима) в SCVMM 2012 SP1. Как его настроить?

И еще вопрос в SCVMM 2008 VLAN представлены как список (т.е. используются все значения VLAN), а в 2012 SP1 нужно выбирать из списка только одно значение. Как использовать разные VLAN на одном виртуальном коммутаторе?

Здравствуйте! Может подскажете имеется следующая задача:
50 рабочих станций+3Сервера(MS AD+PROXY+1C Терминал)
Хочу разделить на отделы чтобы например бухгалтера не видели манагеров, а манагеры видели разработчиков но не видели бухгалтеров. Но чтобы все были в домене, DCHP раздавал IP, сервер 1С могли юзать бухгалтера. Пал выбор на управляемый коммутатор 3уровня http://catalog.onliner.by/dlink/dldes381028/ Помогите как мне лучше всего это организовать?

Здравствуйте! Давайте уточним, в чем все же состоит задача. Что подразумевается под фразой «не видели»? Ведь тут может несколько вариаций быть, как изоляция траффика, так и банальная защита на уровне разрешений AD. Ведь если траффик изолировать друг от друга, то вашу задачу никак не выполнить, так как сервер AD должен присутствовать во всех сетях, и коммутатор тут не поможет, по-моему. Навскидку — в сервер AD воткнуть три сетевых карты (для каждого отдела и организовать между ними нужную маршрутизацию.
Все-таки хотелось бы подробнее о постановке задачи.

Чтобы не добавлять по несколько сетевых карт на сервера для каждой vlan сети (не разумно если 5 и не возможно если 25) можно воспользоваться сетевым программным обеспечением производителя сертевой карты или сервера (например у hp это «HP network configuration utility») позволяет переводить порт карты в режим trunk и пропускать через 1 порт кадры разных Vlan.

Добрый день! Спасибо вам большое )), статья помогла разобратся!

Написать комментарий