Як працюють віртуальні мережі VLAN на хостах VMware ESX / ESXi.
VLAN (Virtual Local Area Network) - це група пристроїв, що мають можливість взаємодіяти між собою безпосередньо на канальному рівні, хоча фізично при цьому вони можуть бути підключені до різних мережевих комутаторів. І навпаки, пристрої, що знаходяться в різних VLAN, невидимі один для одного на канальному рівні, навіть якщо вони підключені до одного комутатора, і зв'язок між цими пристроями можлива на мережевому і більш високих рівнях.
Віртуальні мережі VLAN забезпечують угруповання портів комутаторів, ізолюючи групи один від одного і дозволяючи включити підключення до них віртуальні машини в VLAN. Використовуючи віртуальні мережі VLAN можна розділити мережу з організаційного (логічного) або фізичним принципом. Використання організаційного принципу є кращим, оскільки при переміщенні комп'ютера в інше фізичне розташування, реконфігурація мережі не потрібно.
Для завдання віртуальної мережі VLAN необхідно при створенні групи портів (port group) на віртуальному комутаторі задати ідентифікатор VLAN ID. Допускається також використовувати теги фізичного комутатора або маркування кадрів на рівні гостьової системи. Ізолювання трафіку на рівні портів віртуального комутатора дозволяє економити ресурси процесора і смуги пропускання мережевих адаптерів гостьових систем.
Для реалізації віртуальних мереж VLAN у віртуальній мережі VMware кадру Ethernet додається тег за стандартом 802.1Q.
Нижче описані три варіанти реалізації кількість позначок до кадри для організації віртуальних мереж VLAN.
- Режим тегірованія на рівні віртуального комутатора (Virtual switch tagging, VST).
Це найбільш часто використовувана конфігурація. У цьому режимі відбувається створення групи портів на віртуальному комутаторі для кожного з VLAN, після цього віртуальний мережевий адаптер віртуальної машини прив'язується до цієї групи портів. У межах групи портів на віртуальному комутаторі відбувається тегування вихідних кадрів і видалення тегів для вхідних. При цьому віртуальний комутатор стежить за тим, щоб кожен пакет потрапляв тільки в свій VLAN. У цьому випадку на фізичному комутаторі не потрібно завдання віртуальної мережі VLAN для порту, з яким з'єднується сервер ESX. Використання такого режиму вимагає магістрального режиму (trunking mode) для порту фізичного комутатора, оскільки групи портів віртуального комутатора можуть перебувати в різних VLAN.
Для "/> Режим тегірованія на рівні гостьової системи (Virtual machine guest tagging, VGT).
В цьому режимі потрібно установка магістрального драйвера VLAN 802.1Q в гостьовій ОС віртуальної машини. Тегування кадрів відбувається на рівні операційної системи і ні віртуальний, ні фізичний комутатор позначає тегами такі кадри. У цьому випадку на фізичному комутаторі не потрібно завдання віртуальної мережі VLAN. Такий підхід дозволяє одній гостьовій системі мати членство відразу в декількох віртуальних мережах VLAN незалежно від кількості віртуальних мережевих інтерфейсів віртуальної машини. Однак такий підхід створює додаткове завантаження на гостьову систему, оскільки їй потрібні ресурси на додавання і витяг тегів з кадрів.
Використання такого режиму вимагає наявності магістрального режиму (trunking mode) для порту на фізичному комутаторі, оскільки різні віртуальні машини можуть позначати кадри різними тегами VLAN.
Для "/> тегірованія на рівні гостьової системи застосовувати не рекомендується, оскільки в гостьовій ОС тегування кадрів знижує продуктивність і є небезпечним.Така конфігурація використовується для тегірованія кадрів зовнішніми по відношенню до ESX комутаторами і не вимагає позначки кадрів на рівні будь-якого з компонентів сервера ESX. В цьому випадку фізичний комутатор сам позначає кадри, які приходять від сервера ESX тегами VLAN. Відповідно не потрібно наявності магістрального режиму (trunking mode) для порту фізичного комутатора. У такому режимі тегірованія віртуальними машинами можливе використання числа віртуальних мереж VLAN не більшої, ніж кількість фізичних мережевих адаптерів на хості ESX Server.