VMWare [CHAP 07] Tìm hiểu về Layer 2 vSphere Networking

vominhat

vominhat

Internship/Fresher
Mar 16, 2024
32
1
8
20
Phú Nhuận, Tp.HCM
Mục lục
I. Giới thiệu về Layer 2
II. Cấu trúc và chức năng
III. Cách hoạt động
IV. Kết luận

Layer 2 vSphere Networking

I. Giới thiệu về Layer 2
1.1 Khái niệm
Trong mô hình OSI, Layer 2 (Data Link Layer) chịu trách nhiệm quản lý việc chuyển đổi dữ liệu giữa các thiết bị mạng dựa trên địa chỉ MAC. Nó xử lý các khung dữ liệu (data frames) và đảm bảo rằng chúng được truyền đến đúng thiết bị.

Trong môi trường vSphere, Layer 2 đóng vai trò quan trọng trong việc tạo và quản lý các kết nối mạng nội bộ giữa các máy ảo thông qua các vSwitch (virtual switches). Các vSwitches giúp tạo ra mạng ảo cho các máy ảo trên cùng một host hoặc giữa các host khác nhau, và Layer 2 đảm bảo việc truyền dữ liệu giữa các máy ảo này dựa trên địa chỉ MAC.

II. Cấu trúc và chức năng

2.1 vSphere Standard Switch (vSS)
1725437979945.png

Khái niệm vSphere Standard Switch (vSS) là một loại ảo switch được quản lý tại cấp độ máy chủ ESXi. Nó cung cấp khả năng kết nối các máy ảo (VM) với nhau và với mạng bên ngoài thông qua các NIC vật lý của máy chủ.

Các thành phần chính
  • Port Groups: Tạo các nhóm cổng để phân loại lưu lượng mạng cho các máy ảo. Mỗi port group có thể được cấu hình với VLAN ID để phân chia lưu lượng mạng.
  • VMkernel Ports: Cung cấp kết nối mạng cho các dịch vụ hệ thống của máy chủ ESXi như vMotion, NFS, và quản lý mạng.
  • Uplinks: Các kết nối giữa vSS và NIC vật lý của máy chủ.
Chức năng
  • Load Balancing: Phân phối lưu lượng mạng giữa các uplinks để tối ưu hóa hiệu suất.
  • Failover: Tự động chuyển hướng lưu lượng mạng đến uplinks thay thế nếu một uplink bị lỗi.
  • Network I/O Control (NIOC): Quản lý băng thông mạng và ưu tiên lưu lượng cho các loại dịch vụ khác nhau.

Ưu điểm
  • Dễ dàng cấu hình: vSwitch Standard có giao diện quản lý đơn giản trong vSphere Client, làm cho việc thiết lập và cấu hình trở nên dễ dàng hơn, đặc biệt là đối với những người mới bắt đầu hoặc trong các môi trường nhỏ.
  • Thích hợp cho môi trường nhỏ: Vì không yêu cầu cấu hình phức tạp và có thể hoạt động hiệu quả trong các hệ thống nhỏ hoặc vừa, vSwitch Standard là lựa chọn tốt cho các môi trường không yêu cầu khả năng mở rộng lớn.
Nhược điểm
  • Quản lý phân tán: Mỗi vSwitch Standard chỉ tồn tại trên một ESXi host, do đó bạn cần phải cấu hình và quản lý từng vSwitch riêng lẻ trên mỗi host. Điều này có thể gây khó khăn khi bạn có nhiều host hoặc khi bạn muốn mở rộng môi trường.
  • Giới hạn chức năng: vSwitch Standard không hỗ trợ các tính năng nâng cao như Network I/O Control (NIOC) hoặc Port Mirroring. NIOC giúp kiểm soát và phân phối lưu lượng mạng giữa các máy ảo và các uplink, trong khi Port Mirroring cho phép sao chép lưu lượng mạng để phân tích và kiểm tra.
2.2 Distributed Switch (vDS)
1725437897068.png

Cấu trúc
  • vDS (vSwitch Distributed) là một loại switch ảo tiên tiến hơn, cho phép quản lý cấu hình mạng tập trung từ vCenter Server. Điều này có nghĩa là các cấu hình mạng được áp dụng đồng nhất cho tất cả các ESXi hosts kết nối với vDS.
  • Distributed Port Groups đây là các nhóm cổng được cấu hình trên vDS, cung cấp kết nối mạng ảo đồng nhất cho tất cả các ESXi hosts kết nối với vDS. Các port group này giúp dễ dàng quản lý và triển khai các cài đặt mạng đồng nhất.
  • Uplinks tương tự như vSS, vDS cũng sử dụng uplinks để kết nối với mạng vật lý. Tuy nhiên, cấu hình uplink được thực hiện tập trung và áp dụng cho tất cả các host kết nối với vDS.
  • Network I/O Control (NIOC) cho phép quản lý và phân phối băng thông mạng, giúp ưu tiên lưu lượng cho các dịch vụ quan trọng, đảm bảo hiệu suất mạng tốt hơn.
  • Private VLAN (PVLAN) cung cấp khả năng chia nhỏ thêm VLAN chính để cô lập lưu lượng giữa các máy ảo trong cùng một VLAN, tăng cường bảo mật và kiểm soát lưu lượng.
Chức năng
  • Quản lý tập trung cấu hình mạng được quản lý từ vCenter, dễ triển khai và đảm bảo tính nhất quán trên nhiều ESXi hosts.
  • Load Balancing và Failover tiên tiến hỗ trợ các phương pháp load balancing và failover cải tiến, nâng cao hiệu suất mạng và độ tin cậy.
  • Giám sát và phân tích cho phép giám sát lưu lượng mạng, hỗ trợ phân tích và xử lý sự cố mạng hiệu quả.
Ưu điểm
  • vDS cho phép quản lý nhiều ESXi hosts từ một vị trí trung tâm, giảm thiểu công việc cấu hình khi mở rộng hệ thống và đảm bảo tính nhất quán.
  • Các tính năng như NIOC và PVLAN cung cấp khả năng kiểm soát băng thông và bảo mật cao hơn, đáp ứng nhu cầu mạng phức tạp.
Nhược điểm
  • vDS chỉ có sẵn trong các phiên bản vSphere cao cấp, điều này có thể làm tăng chi phí
  • Việc cấu hình và quản lý vDS đòi hỏi kiến thức và kinh nghiệm sâu hơn so với vSS, có thể gây khó khăn cho những người không quen thuộc với các tính năng nâng cao.
2.3 . VLANs (Virtual LANs)
1725437683264.png


Cấu trúc VLANs
  • VLAN ID: Mỗi VLAN trong vSphere được định danh bằng một số VLAN ID, thường từ 1 đến 4094. VLAN ID này được sử dụng để phân biệt các VLAN khác nhau và giúp xác định mạng logic mà gói tin thuộc về.
  • VLAN Tagging: Khi lưu lượng di chuyển giữa các thiết bị, nó được đánh dấu bằng VLAN ID thông qua một phương pháp gọi là VLAN tagging (thường là IEEE 802.1Q). Tagging giúp các thiết bị mạng biết rằng gói tin thuộc về VLAN nào và đảm bảo rằng nó chỉ được truyền trong phạm vi VLAN đó.
  • Port Group: Trong vSphere, VLAN được cấu hình trên một Port Group của vSwitch (vSS) hoặc vSphere Distributed Switch (vDS). Port Group xác định các máy ảo (VM) nào sẽ thuộc về VLAN cụ thể, và các cài đặt VLAN ID của Port Group đảm bảo rằng lưu lượng mạng từ các VM này sẽ được gán đúng VLAN ID.
Chức năng của VLANs
  • Phân đoạn mạng logic: VLANs cho phép phân chia một mạng vật lý thành nhiều phân đoạn mạng logic. Điều này giúp phân tách lưu lượng giữa các nhóm thiết bị khác nhau mà không cần phải thay đổi phần cứng mạng.
  • Tăng cường bảo mật: VLANs cô lập lưu lượng mạng giữa các VLAN khác nhau, giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công nội bộ và giảm nguy cơ hiện tượng broadcast storm (bão phát sóng), nơi lưu lượng broadcast lan truyền không kiểm soát trong toàn mạng.
  • Tối ưu hóa băng thông: Bằng cách giảm thiểu lưu lượng broadcast không cần thiết, VLANs giúp tối ưu hóa băng thông mạng và cải thiện hiệu suất mạng tổng thể.
Ưu điểm
  • Linh hoạt trong quản lý mạng: VLANs cung cấp khả năng thay đổi cấu hình mạng một cách linh hoạt, chẳng hạn như thêm hoặc xóa VLAN, mà không cần phải thay đổi phần cứng mạng vật lý.
  • Tăng tính bảo mật: Phân chia mạng thành các VLAN giúp ngăn chặn truy cập trái phép giữa các phân đoạn mạng, cải thiện bảo mật toàn hệ thống.
Nhược điểm
  • Phức tạp trong quản lý: Quản lý VLANs có thể trở nên phức tạp, đặc biệt trong các môi trường lớn với nhiều VLAN. Việc cấu hình cần phải được thực hiện cẩn thận để tránh xung đột VLAN ID và đảm bảo rằng lưu lượng mạng được định tuyến đúng cách.
  • Cần có kiến thức chuyên sâu: Cấu hình và quản lý VLANs yêu cầu kiến thức sâu về mạng và các kỹ thuật liên quan, đặc biệt khi triển khai trên vSphere Distributed Switch (vDS), nơi có nhiều tính năng và tùy chọn cấu hình nâng cao.

III. Cách hoạt động
2.1 vSphere Standard Switch (vSS)
Tạo bảng MAC:
  • Khi một VM được khởi động và kết nối với một Port Group trên vSS, địa chỉ MAC của VM sẽ được thêm vào bảng MAC của vSS.
  • Bảng MAC này giúp vSS biết frame cần gửi đến port nào.
Chuyển tiếp frame:
  • Khi một VM gửi một frame, vSS sẽ kiểm tra địa chỉ MAC đích trong frame đó.
  • Nếu tìm thấy: vSS sẽ tra cứu bảng MAC để xác định port đích và chuyển tiếp frame đến port đó.
  • Nếu không tìm thấy: vSS sẽ thực hiện tràn ngập (flooding), tức là gửi frame đến tất cả các port (trừ port nhận) để tìm kiếm thiết bị đích.
Uplink nếu địa chỉ MAC đích nằm ngoài vSS (ví dụ, trên một máy chủ khác), vSS sẽ chuyển tiếp frame qua uplink đến switch vật lý.

NIC Teaming:
  • Cho phép kết hợp nhiều card mạng vật lý thành một logical port.
  • Tăng băng thông và độ tin cậy, giúp phân tán tải và đảm bảo liên tục hoạt động.
2.2 Distributed Switch (vDS)
Quản lý tập trung: vDS được quản lý từ vCenter Server, cho phép bạn cấu hình và giám sát các thiết lập mạng cho tất cả các host từ một giao diện duy nhất.

Distributed Port Group: Tương tự như Port Group trên vSS, Distributed Port Group là nơi các VM được kết nối. Tuy nhiên, cấu hình của Distributed Port Group được áp dụng đồng bộ trên tất cả các host kết nối với vDS.

Distributed Uplink: Đây là các kết nối giữa vDS và các card mạng vật lý trên từng host. vDS sử dụng thuật toán để lựa chọn đường đi tốt nhất cho gói dữ liệu dựa trên các chính sách đã được cấu hình (như load balancing, failover).

Cấu hình đồng bộ: Các cấu hình như VLAN, NIC Teaming, và chính sách bảo mật được áp dụng đồng bộ trên tất cả các host, đảm bảo tính nhất quán của mạng ảo.

2.3 . VLANs (Virtual LANs)
Tạo VLAN:
  • Bạn có thể tạo các VLAN trên cả vSphere Standard Switch (vSS) và vSphere Distributed Switch (vDS).
  • Mỗi VLAN được gán một ID VLAN duy nhất (VLAN ID).
Gán Port Group vào VLAN:
  • Các Port Group trên vSS hoặc vDS được gán vào các VLAN khác nhau.
  • Các VM kết nối với một Port Group cụ thể sẽ thuộc VLAN tương ứng.
Chuyển tiếp frame:
  • Khi một frame được gửi đi, vSwitch sẽ kiểm tra VLAN ID của frame đó.
  • Frame chỉ được chuyển tiếp đến các port thuộc cùng một VLAN.
  • Điều này đảm bảo rằng các frame chỉ được truyền đi trong phạm vi VLAN của chúng, ngăn chặn giao tiếp giữa các VLAN khác nhau.
IV. Kết luận
Networking vSphere Layer 2, đặc biệt là khi sử dụng VLAN, là một công cụ mạnh mẽ để quản lý và bảo mật mạng ảo. Nó cung cấp cho bạn sự linh hoạt, hiệu suất và khả năng kiểm soát cao hơn đối với môi trường ảo hóa của mình.
 
Last edited:
You must log in or register to reply here.

Similar Threads

HooangF4t
VMWare [CHAP 14] Tìm hiểu về Virtual Machine Hardware Deep Dive
Replies
4
Views
125
HooangF4t
HooangF4t
Khắc Huy
VMWare [LT] Content Library
Replies
2
Views
423
Khắc Huy
Khắc Huy
Maindo
VMWare [CHAP 13] Tìm hiểu về LACP trên vSphere Distributed Switch
Replies
0
Views
235
Maindo
Maindo
Khắc Huy
VMWare [LT] Virtual Machine hardware deep dive(Phần 2)
Replies
7
Views
466
l3g0n
l3g0n
Khắc Huy
VMWare [LT] Virtual Machine hardware deep dive(Phần 1)
Replies
3
Views
431
l3g0n
l3g0n

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back