vSphere Standard Switch cho phép lưu lượng mạng lưu chuyển trong mọi tình huống (khi máy chủ ESXi hoàn toàn không được kết nối với máy chủ vCenter)
Mỗi vSwitch được cách ly với các vSwitch khác trên cùng một máy chủ. Trong sơ đồ bên dưới, VM trên vSwitch0 sẽ không thể kết nối với VM khác được kết nối trực tiếp với vSwitch1 trong máy chủ. Tuy nhiên, chúng có thể giao tiếp thông qua các switch vật lý nếu có sẵn cấu hình cần thiết.
Nếu một Port Group không có NIC vật lý được kết nối với nó thì các máy ảo trên cùng một port group chỉ có thể giao tiếp với nhau chứ không thể giao tiếp với mạng bên ngoài.
Đối với Standard Switch thì:
Control Plane
Data Plane
Standard Port Groups
- Port Group là tập hợp các cổng có cùng thuộc tính, chẳng hạn như cùng một switch ảo, VLAN ID, Teaming policy, taggingvà traffic shaping. Các port group được xác định bằng tên nhãn mạng.
- Nếu cần cách ly một hoặc nhiều máy ảo khỏi phần còn lại của mạng, bạn chỉ cần tạo một standard switch mà không cần uplink cụ thể. Bất kỳ máy ảo nào được đặt trên port group liên kết với switch vẫn có thể giao tiếp với máy ảo nào khác trên cùng một port group (cùng vlan) nhưng sẽ bị cắt hoàn toàn khỏi các mạng khác .
Maximum Transmission Unit (MTU)
- Là lượng dữ liệu tối đa có thể nhét vào một playload frame của một phân mảnh (segment)
- Mặc định là 1500 bytes cho mọi thiết bị mạng. Các gói tin chạy vào vSwitch sẽ hỗ trợ MTU 1500 hoặc lơn hơn để tránh sự phân mảnh không cần thiết
- Jumbo frame chỉ các khung có kích thước lớn hơn kích thước mặc định (1500). Esxi hỗ trợ khung tối đa 9000 byte
Promiscuous Mode
- Khi một frame gửi đến một cổng ảo trên vSwitch nó sẽ kiểm tra xem địa chỉ MAC của đích đến có hợp lệ hay không, và loại bỏ những frame có địa chỉ MAC không hợp lệ (flooded, broadcast). Khi Promiscuous Mode được bật nó sẽ chuyển tiếp tất cả các frame cho dù frame đó là không hợp lệ
MAC Address Changes
Mỗi VM có 3 loại địa chỉ MAC khác nhau:
- Khi MAC Address Changes được đặt thành “Reject”, vSwitch sẽ vô hiệu hóa cổng nếu thấy hệ điều hành đang cố thay đổi địa chỉ Effective MAC thành một địa chỉ khác ngoài địa chỉ Initial MAC. Cổng sẽ không còn nhận lưu lượng truy cập cho đến khi đổi chính sách bảo mật được thay đổi hoặc đảm bảo rằng địa chỉ Effective MAC có cùng giá trị với địa chỉ Initial MAC.
Forged Transmits
- Nếu Forged Transmits được đặt thành “Accept”, VM có thể nhập bất kỳ địa chỉ MAC nào nó muốn vào trường “source address” của Layer 2 frame. Cổng vSwitch sẽ cho phép các khung đó di chuyển đến đích của chúng
- Nếu chính sách được đặt thành “Reject”, thì cổng sẽ thẩm vấn tất cả lưu lượng truy cập do VM tạo ra. Chính sách sẽ kiểm tra xem trường địa chỉ MAC nguồn có bị giả mạo hay không. Miễn là trường MAC nguồn giống với địa chỉ Effective MAC, cổng sẽ cho phép khung đi qua. Tuy nhiên, nếu nó tìm thấy địa chỉ MAC không khớp, khung sẽ bị loại bỏ.
- Việc gặp sự cố với chính sách Forged Transmit khi thực hiện “nested virtualization” là rất bình thường. “Nesting” (lồng nhau) là thuật ngữ được sử dụng để mô tả việc chạy bộ ảo hóa ESXi bên trong một máy ảo, sau đó chạy các máy ảo lồng nhau khác với địa chỉ MAC duy nhất của riêng chúng. Nhiều địa chỉ MAC khác nhau sẽ được nhìn thấy bởi cổng được sử dụng bởi VM ảo hóa lồng nhau vì các VM lồng nhau đang gửi lưu luọng truy cập (trong trường hợp này cần cấu hình Accept cho chính sách Forged Transmit)
Mỗi vSwitch được cách ly với các vSwitch khác trên cùng một máy chủ. Trong sơ đồ bên dưới, VM trên vSwitch0 sẽ không thể kết nối với VM khác được kết nối trực tiếp với vSwitch1 trong máy chủ. Tuy nhiên, chúng có thể giao tiếp thông qua các switch vật lý nếu có sẵn cấu hình cần thiết.
Nếu một Port Group không có NIC vật lý được kết nối với nó thì các máy ảo trên cùng một port group chỉ có thể giao tiếp với nhau chứ không thể giao tiếp với mạng bên ngoài.
Đối với Standard Switch thì:
Control Plane
Control plane của vSphere Standard Switch nằm trên host ESXi, tức là bất kỳ thao tác nào đối với cấu hình vSwitch đều là thuộc trách nhiệm của máy chủ. Vmkernel đảm bảo vSwitch được cấu hình và hoạt động
Data Plane
Data plane của vSphere Standard Switch cũng năm trên chính máy chủ ESXi. Khi dữ liệu đi vào từ NIC máy chủ, tạo thành các liên kết cho vSphere Standard Swich, Vmkernel đảm bảo rằng các fame sẽ đến địch thích hợp
Standard Port Groups
- Port Group là tập hợp các cổng có cùng thuộc tính, chẳng hạn như cùng một switch ảo, VLAN ID, Teaming policy, taggingvà traffic shaping. Các port group được xác định bằng tên nhãn mạng.
- Nếu cần cách ly một hoặc nhiều máy ảo khỏi phần còn lại của mạng, bạn chỉ cần tạo một standard switch mà không cần uplink cụ thể. Bất kỳ máy ảo nào được đặt trên port group liên kết với switch vẫn có thể giao tiếp với máy ảo nào khác trên cùng một port group (cùng vlan) nhưng sẽ bị cắt hoàn toàn khỏi các mạng khác .
Maximum Transmission Unit (MTU)
- Là lượng dữ liệu tối đa có thể nhét vào một playload frame của một phân mảnh (segment)
- Mặc định là 1500 bytes cho mọi thiết bị mạng. Các gói tin chạy vào vSwitch sẽ hỗ trợ MTU 1500 hoặc lơn hơn để tránh sự phân mảnh không cần thiết
- Jumbo frame chỉ các khung có kích thước lớn hơn kích thước mặc định (1500). Esxi hỗ trợ khung tối đa 9000 byte
Promiscuous Mode
- Khi một frame gửi đến một cổng ảo trên vSwitch nó sẽ kiểm tra xem địa chỉ MAC của đích đến có hợp lệ hay không, và loại bỏ những frame có địa chỉ MAC không hợp lệ (flooded, broadcast). Khi Promiscuous Mode được bật nó sẽ chuyển tiếp tất cả các frame cho dù frame đó là không hợp lệ
MAC Address Changes
Mỗi VM có 3 loại địa chỉ MAC khác nhau:
- Initial MAC address: được cấu hình bởi vCenter Server hoặc máy chủ ESXi và ghi vào tệp VMX của máy ảo. Địa chỉ MAC này tương tự như địa chỉ MAC của card ethernet
- Effective MAC address: địa chỉ MAC mà hệ điều hành đọc trong quá trình khởi động từ cấu hình phần cứng trong tệp VMX và sử dụng nó để liên lạc. Thông thường hệ điều hành sẽ sử dụng Initial MAC address
- Runtime MAC address: là địa chỉ trực tiếp đang được cổng vSwitch nhìn thấy
- Khi MAC Address Changes được đặt thành “Reject”, vSwitch sẽ vô hiệu hóa cổng nếu thấy hệ điều hành đang cố thay đổi địa chỉ Effective MAC thành một địa chỉ khác ngoài địa chỉ Initial MAC. Cổng sẽ không còn nhận lưu lượng truy cập cho đến khi đổi chính sách bảo mật được thay đổi hoặc đảm bảo rằng địa chỉ Effective MAC có cùng giá trị với địa chỉ Initial MAC.
Forged Transmits
- Nếu Forged Transmits được đặt thành “Accept”, VM có thể nhập bất kỳ địa chỉ MAC nào nó muốn vào trường “source address” của Layer 2 frame. Cổng vSwitch sẽ cho phép các khung đó di chuyển đến đích của chúng
- Nếu chính sách được đặt thành “Reject”, thì cổng sẽ thẩm vấn tất cả lưu lượng truy cập do VM tạo ra. Chính sách sẽ kiểm tra xem trường địa chỉ MAC nguồn có bị giả mạo hay không. Miễn là trường MAC nguồn giống với địa chỉ Effective MAC, cổng sẽ cho phép khung đi qua. Tuy nhiên, nếu nó tìm thấy địa chỉ MAC không khớp, khung sẽ bị loại bỏ.
- Việc gặp sự cố với chính sách Forged Transmit khi thực hiện “nested virtualization” là rất bình thường. “Nesting” (lồng nhau) là thuật ngữ được sử dụng để mô tả việc chạy bộ ảo hóa ESXi bên trong một máy ảo, sau đó chạy các máy ảo lồng nhau khác với địa chỉ MAC duy nhất của riêng chúng. Nhiều địa chỉ MAC khác nhau sẽ được nhìn thấy bởi cổng được sử dụng bởi VM ảo hóa lồng nhau vì các VM lồng nhau đang gửi lưu luọng truy cập (trong trường hợp này cần cấu hình Accept cho chính sách Forged Transmit)
