Назад | Перейти на главную страницу

Сегментация виртуального сетевого трафика

Я разместил это в IT-безопасности но подумал, что это может быть более подходящим здесь. Я все еще не уверен в этикете кросс-постинга, поэтому всем, у кого достаточно высокая репутация, не стесняйтесь перенести этот вопрос.

У меня есть базовое или умеренное понимание VLAN и их плюсов и минусов, связанных с сегментацией сети, но мне интересно, с чего начать при переходе к виртуализированным средам.

С точки зрения безопасности, как традиционная сегментация VLAN соотносится с продуктами / решениями, ориентированными на виртуальные среды, такими как продукт VMWare vCloud Networking and Security? Когда вы работаете с совместно расположенными виртуальными машинами, какие стратегии / технологии вы используете для сегментации трафика виртуальных машин?

Я знаю, что это может быть слишком широко, но любые отправные точки были бы чрезвычайно полезны. Хотя ради конкретного вопроса, возможно, лучше его сформулировать: считаете ли вы, что продукты для обеспечения безопасности виртуальных сетей не хуже традиционных VLAN для сегментации сетевого трафика?

Вы имеете в виду VXLAN или VCDNI, когда упоминаете vCloud Networking and Security?

Обе технически разделяют сети уровня 2, как и VLAN, но необходимо понимать, как VCDNI и VXLAN обеспечивают разделение уровня 2. Также необходимо понимать назначение как VCDNI, так и / или VXLAN. На очень высоком уровне они оба стремятся расширить масштабируемость виртуальных локальных сетей, теоретический предел которых составляет 4096 (что касается максимального количества виртуальных локальных сетей, хотя на самом деле оно меньше 4096).

Я пока не могу много говорить о VXLAN, так как я только немного поиграл с ним в лабораторных условиях, но я бы посоветовал вам взглянуть на черновик IETF для этого @ http://blog.ioshints.info/2011/04/vcloud-director-networking.html . Я сам смог подтвердить результаты, по крайней мере, в отношении глобального вещания многоадресных рассылок из "защищенных" сетей. Обычно настраивается VCDNI «Сетевой пул» (для использования терминологии vCloud Director »с транспортной VLAN. Можно легко настроить ноутбук на физический коммутатор, на котором находятся все гипервизоры / хосты, настроить указанный ноутбук для работы в этой транспортной VLAN. , и, по сути, иметь возможность получить реальный MAC-адрес и / или IP-адреса для «защищенных» виртуальных машин.

Тем не менее, можно упомянуть, что если кто-то может настроить ноутбук в среде физического коммутатора в центре обработки данных, у вас, вероятно, возникнут гораздо более серьезные проблемы, чем сложности VCDNI или VXLAN :)