在VMware网络测试“专用VLAN”功能

q3256

　　接上文
　　http://wangchunhai.blog.51cto.com/225186/1857192
　　

　　在使用vSphere虚拟数据中心时，同一个网段有多个虚拟机。有的时候，安全策略不允许这些同网段的虚拟机互相通信，这时候就可以使用"专用VLAN"这一功能。

5.1 专用VLAN介绍
　　专用VLAN，思科称为PVLAN，华为称为MUX VLAN。叫法不同，但功能、原理都相同。其中思科Private VLAN的划分如图5-1所示。

图5-1 思科PVLAN

　　每个PVLAN包括两种VLAN："主VLAN"和"辅助VLAN"，辅助VLAN又分为两种：隔离VLAN、联盟VLAN。
　　辅助VLAN是属于主VLAN的，一个主VLAN可以包含多个辅助VLAN。在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN
　　华为MUX VLAN的划分如图5-2所示。

图5-2 华为MUX VLAN

　　MUX VLAN 分为"主VLAN"和"从VLAN"，"从VLAN" 又分为"互通型从VLAN"和"隔离型从VLAN"。
　　"主VLAN"与"从VLAN"之间可以相互通信，不同"从VLAN" 之间不能互相通信。"互通型从VLAN" 端口之间可以互相通信，"隔离型从VLAN 端口"之间不能互相通信。
　　MUX VLAN 提供了一种在VLAN 的端口间进行二层流量隔离的机制。比如在企业网络中，客户端口可以和服务器端口通讯，但客户端口间不能互相通信。在华为交换机新的固件版本中，在配置了MUX VLAN的"主VLAN"是可以配置VLAN的IP地址的，这样隔离型VLAN与互通型VLAN则可以配置网关，并与其他VLAN、外网通信。
　　无论是思科的PVLAN，还是华为的MUX VLAN，只是叫法不同，其实现的功能都是相同的。

5.2 物理交换机配置
　　本节以华为S5700交换机为例，配置MUX VLAN，实现专用VLAN功能。
　　在本示例中，创建VLAN 1030、31、32、33，其中VLAN 1030是"主VLAN"，"31"是隔离型VLAN，32与33是互通型VLAN。
　　登录华为交换机，创建MUX VLAN，主要配置命令如下：
　　#
　　vlan batch 31 to 33 1016 to 1020 1022 1030 to 1031
　　#
　　vlan 1030
　　mux-vlan
　　subordinate separate 31
　　subordinate group 32 to 33
　　#
　　#
　　interface Vlanif1030
　　ip address 172.16.30.254 255.255.255.0
　　#
　　【说明】S5700交换机的v2、r3版本新增mux vlan支持vlanif，之前版本不支持。

5.3 虚拟交换机配置
　　登录vSphere Client或vSphere Web Client，修改虚拟交换机配置。在本示例中，名为dvSwitch的分布式交换机，上行链路连接到物理交换机的Trunk端口，管理员需要修改该分布式交换机，启用并添加专用VLAN。
　　（1）使用vSphere Client登录到vCenter Server，在"主页→清单→网络"中，左侧选中分布式交换机，在"摘要"选项卡中，单击"编辑设置"，如图5-3-1所示。

图5-3-1 编辑设置

　　（2）在"专用VLAN"选项卡中，单击"在此输入专用VLAN ID"链接，然后输入主VLAN ID，在本示例中为1030，如图5-3-2所示。

图5-3-2 专用VLAN

　　（3）在右侧"输入或编辑次专用VLAN ID和类型"，依次输入次专用VLAN ID，并选择正确的类型（与物理交换机配置相对应），在此VLAN ID为31的类型为"隔离"，ID为32与33的为"团体"，如图5-3-3所示。设置之后单击"确定"按钮。

图5-3-3 输入次专用VLAN ID和类型

　　返回到vSphere Client，在"摘要"选项卡中，单击"新建端口组"，如图5-3-4所示。之后要将主VLAN、从VLAN添加为端口组。

图5-3-4 新建端口组

　　（1）在"创建分布式端口组"对话框中，在"名称"中输入新建端口组的名称，例如vlan1030-33，表示这是vlan 33，属于vlan1030的从VLAN；在"VLAN类型"下拉列表中选择"专用VLAN"，在"专用VLAN条目"下拉列表中，选择与此名称对应的VLAN ID，在此为"团体（1030，33）"，如图5-3-5所示。

图5-3-5 创建分布式端口组

　　（2）在"即将完成"对话框，验证新端口组的设置，检查无误之后，单击"完成"按钮，如图5-3-6所示。

图5-3-6 即将完成

　　之后参照上页步骤，分别创建名为vlan1030、专用VLAN条目为"混杂（1030，1030）"的端口组（如图5-3-7所示），名称为vlan1030-31，专用VLAN条目为"隔离（1030，31）"（如图5-3-8所示），以及名称为vlan1030-32，专用专用VLAN条目为"隔离（1030，32）"的端口组（如图5-3-9所示）。

图5-3-7 创建端口组

图5-3-8 创建端口组

图5-3-9 创建端口组

　　创建之后，返回到vSphere Client，可以看到新建的虚拟端口组，如图5-3-10所示。

图5-3-10 新建的4个端口组

5.4 创建虚拟机用于测试
　　在配置好物理交换机、虚拟交换机之后，创建一个Windows Server 2008 R2的测试虚拟机，为其分配VLAN 1030的端口组，创建4个Windows 7的虚拟机，为其分配VLAN31、VLAN32、VLAN33的端口组，测试其功能。在Windows Server 2008 R2的虚拟机中启用DHCP。这5个虚拟机，都允许ping通。
　　（1）在vSphere Client中，从模板部署一个名为WS08R2-lab01的Windows Server 2008 R2的虚拟机、4个Windows 7的虚拟机（分别名为win7x-lab11、win7x-lab12、win7x-lab13、win7x-lab14），如图5-4-1所示。

图5-4-1 准备5个虚拟机

　　（2）修改WS08R2-lab01虚拟机配置，为此虚拟机网卡分配"vlan1030"端口组，如图5-4-2所示。

图5-4-2 为虚拟机分配VLAN 1030

　　（2）打开WS08R2-lab01的虚拟机控制台，为此虚拟机设置172.16.30.200、子网掩码为255.255.255.0、网关为172.16.30.254的IP地址，如图5-4-3所示。

图5-4-3 为服务器设置静态IP地址

　　（3）为这台服务器安装DHCP Server，并添加作用域，设置作用域地址范围为172.16.30.1～172.16.30.99，子网掩码为255.255.255.0，如图5-4-4所示。

图5-4-4 添加作用域

　　之后启动win7x-lab11～win7x-lab14共4个虚拟机，为这4个虚拟机分配vlan1030、vlan1030-31、vlan1030-32、vlan1030-33的端口组，这些虚拟机将会从WS08R2-lab01的虚拟机获得IP地址，之后使用ping命令，测试连通性。验证主VLAN、隔离VLAN、互通型VLAN，这些不再介绍。
　　测试结果如下：
“31”是隔离型VLAN，32与33是互通型VLAN。
当虚拟机分配VLAN31时（即隔离型VLAN），虚拟机可以从DHCP获得IP地址（因为服务器是VLAN3001），这个虚拟机只能与VLAN3001的IP地址及网关（172.16.30.254）通讯。不能与VLAN32、VLAN33通讯。也不能与其他设置为VLAN31的虚拟机通讯。
当虚拟机分配VLAN32时（即互通型VLAN），虚拟机可以从DHCP获得IP地址，这个虚拟机可以与VLAN3001、VLAN33或其他VLAN32的虚拟机通讯，也能与网关通讯。
无论是分配VLAN31，还是VLAN32（互通型），这些虚拟机都可以访问其他VLAN，并能通过网关，访问Internet。
关于vSphere网络的视频操作，请观看
http://edu.51cto.com/course/course_id-4898.html