VMware vPhere 4.1 802.1q解决方案介绍

     我在研究VMware vPhere 4.1的过程中发现网络上关于虚拟交换机及物理交换机VLAN配置的资料很少且分散，于是对VMware ESX 802.1q白皮书进行了翻译整理，希望能对VMware产品学习者提供帮助。

内容汇总

     在ESX Server 3虚拟交换机支持VLAN（IEEE802.1Q）中继，使用VLAN，你可以增强ESXServer的安全性及对现存网络的影响。这篇白皮书提供了VLAN概念和优点的概述，以及ESX Server和虚拟机VLAN三种可能配置的解释。之后比较了三种可能配置的优缺点以及一些最佳实践的建议。白皮书也包括ESX Server和外部物理交换机的配置实例和常见问题的列表总结。

VLAN概述

VLAN提供了站点或交换机端口的逻辑分组，允许所有站点或端口像在同一物理局域网网段中一样通信。这也包括了那些实际上位于不同802.1D桥接局域网的站点或端口。

技术上，每个VLAN简单的说就是一个广播域，VLAn广播域通过软件而不是硬件进行配置，即使一台机器被移动到另一位置，它也能够处于同一VLAN广播域中而没有硬件配置上的改变。传统的802.1D桥接VLAN有一个单独的广播域，所以，网络上的广播帧会被所有的站点接收（图一）。在802.1D桥接局域网环境下，VLAN网络可能有多个虚拟广播域（图二）。

图一

图二

使用VLAN的主要优点：

l 灵活的网络分段和配置

使用VLAN，网络能够基于逻辑组进行分段（图三）而不是基于物理拓扑结构。比如，你可以将一个用户从销售办公室转移到财务办公室让他在物理拓扑变化的情况下，逻辑组保持不变。

在图二中，因为VLAN-A中没有主机能看到VLAN-B中的流量，所以VLAN-A上的恶意用户无法入侵VLAN-B上的主机。没有VLAN，ARP欺骗和ARP中毒会更容易发生。

图三

l 改善性能

TCP/IP网络协议和很多其它的广播帧周期性的广播或发现网络资源。在传统扁平网络中，广播帧能到达网络中的所有主机。当你有大量终端用户时，会对网络性能产生严重影响。把广播流量限制在交换机部分端口或终端用户显著的节省了网络带宽和处理器时间。

l 节省开支

没有VLAN，网络管理员通过路由器来分段局域网中的多个广播域。但是路由器比较昂贵，并且会增大网络延时。

某些早期的专有VLAN的实施局限于单个交换机，基于物理端口标记的数据包。802.1Q能够把标记的数据包扩展到更多交换机甚至是广域网。

为了把局域网扩展到多个交换机，一条中继链路必须在交换机之间互联。中继链路上的帧被封装为IEEE 802.1Q格式并且不同于一般以太网帧，他们在源和目标mac地址之后，包含了额外的4个字节（图四）。4个字节的802.1Q标签中，前两个字节（0x8100）是用于标记后续字节为802.1Q的帧的标记，后两个字节是VLAN标记（3个比特的优先级位，一个比特的简洁格式标记，最后12个比特用于VLAN ID）。VLAN ID 0为用户优先级数据保留，它不被ESX Server支持；VLAN ID 4095为将来的定义预留。特殊的本地VLAN问题在后面单独讨论。

图四

当前有许多中VLAN标记的形式，可以通过标记的算法归类：

l 基于端口的VLAN

基于交换机端口标记。比如，你可以把交换机端口1和2放入VLAN 101作为HR部门的VLAN，把端口6到12放入VLAN 102作为IT部门的VLAN。这种配置是最容易部署和维护的。然而，当移动用户电脑时需要修改交换机的配置这点不够灵活。

l 基于MAC的VLAN

基于2层MAC地址标记。这有很大的交换机初始化配置的工作量，但是配置以后可以自动跟踪MAC来配置VLAN。

l 基于协议的VLAN

基于3层IP地址，4层协议信息甚至高层协议信息标记。

l 基于策略的VLAN

基于某种策略或者用户配置标记。这可能涉及到将网络流量分类到组和分配QoS优先级比特和VLAN ID到每个组。

ESX Server VLAN解决方案

为了使ESX Server用户能使用VLAN，基本原理之一是在虚拟或者物理网络上必须使用802.1Q标签标记以太网帧。对虚拟机的帧标记（或不标记）数据包有三种不同的配置模式。

虚拟机客户标记（VGT模式）

你可以在虚拟机上安装802.1Q trunking驱动程序，当帧从虚拟交换机通过或者到达虚拟交换机时，标记将在虚拟机网络堆栈和外部交换机之间保留（图五）。

图五

使用这种机制的优势：

l 每台虚拟机VLAN的数目不受虚拟适配器的限制，这意味着你的网络上的虚拟机上可以有任何数目的VLAN。

l 如果一个物理服务器已经运行了VLAN驱动，那么它将在保持现存VLAN标记的正常运行的情况下，很容易实现P2V转化。

使用这种机制的缺点是发现和配置客操作系统的802.1Q驱动对于用户的来说并不总是合适或容易。

没有硬件加速，它会花费额外的CPU周期去标记输出的帧和删除进入的帧。

如果在你网络上的单个虚拟机有5或者更多不同的VLAN，你可能不得不使用这种方案。这种方式也可能出现在现存运行802.1Qtrunking的物理服务器正在被虚拟化的过程中。这台服务器能使用P2V助理很容易的被虚拟化并且没有额外的网络配置需求。这台新的虚拟机将自动的从物理机继承所有VLAN配置。

某些操作系统，包括一些Linux分发版，能很好的支持802.1Q trunking。

外部交换标记（EST模式）

用户可以使用外部交换机标记VLAN。这类似于物理网络，VLAN的配置对于单独的物理服务器一般是透明的。当一个数据包到达交换机端口标记被加上，当数据包离开交换机端口去往服务器时标签被剥离。（图六）

图六

ESX Server用户能够建立VLAN配置就像他们处理物理服务器一样。这种方式的一个缺点是如果基于端口的VLAN标记被使用（一般在企业VLAN部署中），支持的VLAN总数将取决于给定ESX Server系统的网卡数目。正像我们在白皮书中看到的那样，这种限制不会出现在VGT或VST模式。

ESX 虚拟交换标记（VST模式）

在这种模式中，你在虚拟交换机上为每个VLAN提供一个端口组，然后将虚拟机的虚拟网卡放入端口组而不是直接连接到虚拟交换机。虚拟机端口组标记所有输出帧和删除所有进入帧。它也确保了一个VLAN上的帧不会泄漏到不同的VLAN。（图七）

图七

ESX Server虚拟机标记有如下优点：

l 不同VLAN帧能从单个网卡传输，所以你可以将流量合并到一块物理网卡而不用理会VLAN。没有必要使用多块网卡去服务多个VLAN。

l 它消除了运行一个客户操作系统需要在虚拟机里使用特定的VLAN驱动程序。

l 既然所有当前高速网卡都支持VLAN加速，在虚拟交换机上支持VLAN标记对性能的影响会很小。

一旦交换机trunk模式适合安装，新增VLAN不需要添加额外的交换机配置。外部交换机配置变的很容易。

VLAN配置 ESX Server配置 ESX Server VST的配置

当端口组的VLAN ID被设置为1到4094之间的任何数字，虚拟交换标记被使能，包括1和4094。

使用VST你必须建立合适的端口组。你能够给每一个端口组标识并分配一个VLAN ID。端口组的值在虚拟交换机上必须唯一。一旦你建立了一个端口组，你能够在虚拟机配置中使用端口组标识。

设置端口组属性：

1） 登录VMware VI Client，从清单面板选择服务器。这台服务器的硬件配置页面将会显示。

2） 点击配置标签，然后点击网络。

3） 在窗口的右边点击网络属性。交换机属性对话框会显示。

4） 点击端口标签。

5） 选择端口组点击编辑。

6） 在端口组的属性对话框中，点击一般标签去修改：

网络标签-为端口组建立一个名字以做区分。

VLAN ID-指定端口组网络流量使用的VLAN。

7）点击确定退出虚拟交换机属性对话框。

ESX Server VGT的配置

使用VGT，输入4095作为端口组的VLAN ID。之后你可以在虚拟机中运行802.1Q VLAN trunking驱动。

对于多数客户这没有建议的配置。请回顾白皮书前面章节关于这种模式的描述。它应当只被应用于那些章节所描述的特定环境下。

ESX Server EST的配置

你不需要在ESX Server上为使用外部交换机标记进行任何配置。它缺省就是使能的。

比如，基于端口的EST，你可以简单的分配和连接一个网卡端口到一个交换机VLAN端口。因为它是一对一的关系，你的ESX Server系统连接交换机的VLAN编号限制了分配给VMkernel的物理网卡端口编号。

EST在端口组的VLAN ID被设置为0或者留空时被使能。