接上文
http://wangchunhai.blog.51cto.com/225186/1857192
在使用vSphere虚拟数据中心时,同一个网段有多个虚拟机。有的时候,安全策略不允许这些同网段的虚拟机互相通信,这时候就可以使用"专用VLAN"这一功能。
5.1 专用VLAN介绍
专用VLAN,思科称为PVLAN,华为称为MUX VLAN。叫法不同,但功能、原理都相同。其中思科Private VLAN的划分如图5-1所示。
图5-1 思科PVLAN
每个PVLAN包括两种VLAN:"主VLAN"和"辅助VLAN",辅助VLAN又分为两种:隔离VLAN、联盟VLAN。
辅助VLAN是属于主VLAN的,一个主VLAN可以包含多个辅助VLAN。在一个主VLAN中只能有一个隔离VLAN,可以有多个联盟VLAN
华为MUX VLAN的划分如图5-2所示。
图5-2 华为MUX VLAN
MUX VLAN 分为"主VLAN"和"从VLAN","从VLAN" 又分为"互通型从VLAN"和"隔离型从VLAN"。
"主VLAN"与"从VLAN"之间可以相互通信,不同"从VLAN" 之间不能互相通信。"互通型从VLAN" 端口之间可以互相通信,"隔离型从VLAN 端口"之间不能互相通信。
MUX VLAN 提供了一种在VLAN 的端口间进行二层流量隔离的机制。比如在企业网络中,客户端口可以和服务器端口通讯,但客户端口间不能互相通信。在华为交换机新的固件版本中,在配置了MUX VLAN的"主VLAN"是可以配置VLAN的IP地址的,这样隔离型VLAN与互通型VLAN则可以配置网关,并与其他VLAN、外网通信。
无论是思科的PVLAN,还是华为的MUX VLAN,只是叫法不同,其实现的功能都是相同的。
5.2 物理交换机配置
本节以华为S5700交换机为例,配置MUX VLAN,实现专用VLAN功能。
在本示例中,创建VLAN 1030、31、32、33,其中VLAN 1030是"主VLAN","31"是隔离型VLAN,32与33是互通型VLAN。
登录华为交换机,创建MUX VLAN,主要配置命令如下:
#
vlan batch 31 to 33 1016 to 1020 1022 1030 to 1031
#
vlan 1030
mux-vlan
subordinate separate 31
subordinate group 32 to 33
#
#
interface Vlanif1030
ip address 172.16.30.254 255.255.255.0
#
【说明】S5700交换机的v2、r3版本新增mux vlan支持vlanif,之前版本不支持。
5.3 虚拟交换机配置
登录vSphere Client或vSphere Web Client,修改虚拟交换机配置。在本示例中,名为dvSwitch的分布式交换机,上行链路连接到物理交换机的Trunk端口,管理员需要修改该分布式交换机,启用并添加专用VLAN。
(1)使用vSphere Client登录到vCenter Server,在"主页→清单→网络"中,左侧选中分布式交换机,在"摘要"选项卡中,单击"编辑设置",如图5-3-1所示。
图5-3-1 编辑设置
(2)在"专用VLAN"选项卡中,单击"在此输入专用VLAN ID"链接,然后输入主VLAN ID,在本示例中为1030,如图5-3-2所示。
图5-3-2 专用VLAN
(3)在右侧"输入或编辑次专用VLAN ID和类型",依次输入次专用VLAN ID,并选择正确的类型(与物理交换机配置相对应),在此VLAN ID为31的类型为"隔离",ID为32与33的为"团体",如图5-3-3所示。设置之后单击"确定"按钮。
图5-3-3 输入次专用VLAN ID和类型
返回到vSphere Client,在"摘要"选项卡中,单击"新建端口组",如图5-3-4所示。之后要将主VLAN、从VLAN添加为端口组。
图5-3-4 新建端口组
(1)在"创建分布式端口组"对话框中,在"名称"中输入新建端口组的名称,例如vlan1030-33,表示这是vlan 33,属于vlan1030的从VLAN;在"VLAN类型"下拉列表中选择"专用VLAN",在"专用VLAN条目"下拉列表中,选择与此名称对应的VLAN ID,在此为"团体(1030,33)",如图5-3-5所示。
图5-3-5 创建分布式端口组
(2)在"即将完成"对话框,验证新端口组的设置,检查无误之后,单击"完成"按钮,如图5-3-6所示。
图5-3-6 即将完成
之后参照上页步骤,分别创建名为vlan1030、专用VLAN条目为"混杂(1030,1030)"的端口组(如图5-3-7所示),名称为vlan1030-31,专用VLAN条目为"隔离(1030,31)"(如图5-3-8所示),以及名称为vlan1030-32,专用专用VLAN条目为"隔离(1030,32)"的端口组(如图5-3-9所示)。
图5-3-7 创建端口组
图5-3-8 创建端口组
图5-3-9 创建端口组
创建之后,返回到vSphere Client,可以看到新建的虚拟端口组,如图5-3-10所示。
图5-3-10 新建的4个端口组
5.4 创建虚拟机用于测试
在配置好物理交换机、虚拟交换机之后,创建一个Windows Server 2008 R2的测试虚拟机,为其分配VLAN 1030的端口组,创建4个Windows 7的虚拟机,为其分配VLAN31、VLAN32、VLAN33的端口组,测试其功能。在Windows Server 2008 R2的虚拟机中启用DHCP。这5个虚拟机,都允许ping通。
(1)在vSphere Client中,从模板部署一个名为WS08R2-lab01的Windows Server 2008 R2的虚拟机、4个Windows 7的虚拟机(分别名为win7x-lab11、win7x-lab12、win7x-lab13、win7x-lab14),如图5-4-1所示。
图5-4-1 准备5个虚拟机
(2)修改WS08R2-lab01虚拟机配置,为此虚拟机网卡分配"vlan1030"端口组,如图5-4-2所示。
图5-4-2 为虚拟机分配VLAN 1030
(2)打开WS08R2-lab01的虚拟机控制台,为此虚拟机设置172.16.30.200、子网掩码为255.255.255.0、网关为172.16.30.254的IP地址,如图5-4-3所示。
图5-4-3 为服务器设置静态IP地址
(3)为这台服务器安装DHCP Server,并添加作用域,设置作用域地址范围为172.16.30.1~172.16.30.99,子网掩码为255.255.255.0,如图5-4-4所示。
图5-4-4 添加作用域
之后启动win7x-lab11~win7x-lab14共4个虚拟机,为这4个虚拟机分配vlan1030、vlan1030-31、vlan1030-32、vlan1030-33的端口组,这些虚拟机将会从WS08R2-lab01的虚拟机获得IP地址,之后使用ping命令,测试连通性。验证主VLAN、隔离VLAN、互通型VLAN,这些不再介绍。
测试结果如下:
“31”是隔离型VLAN,32与33是互通型VLAN。
当虚拟机分配VLAN31时(即隔离型VLAN),虚拟机可以从DHCP获得IP地址(因为服务器是VLAN3001),这个虚拟机只能与VLAN3001的IP地址及网关(172.16.30.254)通讯。不能与VLAN32、VLAN33通讯。也不能与其他设置为VLAN31的虚拟机通讯。
当虚拟机分配VLAN32时(即互通型VLAN),虚拟机可以从DHCP获得IP地址,这个虚拟机可以与VLAN3001、VLAN33或其他VLAN32的虚拟机通讯,也能与网关通讯。
无论是分配VLAN31,还是VLAN32(互通型),这些虚拟机都可以访问其他VLAN,并能通过网关,访问Internet。
关于vSphere网络的视频操作,请观看
http://edu.51cto.com/course/course_id-4898.html