Differenze tra PVLAN e virtualizzazione di rete

luca.carinzi · 15-05-2014, 01:21

Salve ragazzi, sto preparando un esame all’università e due domande preparatorie sul libro di testo mi hanno generato un pò di confusione in materia di networking. Vi riporto le domande:

1) Si considerino due server in ambiente Windows Server 2012 R2 entrambi con il ruolo Hyper-V installato. Si fa uso di Virtual Machine Manager 2012 R2 per amministrare i server Hyper-V. L’Amministratore di Rete deve creare un ambiente di laboratorio soddisfacendo i seguenti requisiti:

- Tutti i server di laboratorio devono essere virtualizzati.
- Tutti i server di laboratorio devono essere su una rete isolata.
- Tutti i server di laboratorio devono essere in grado di comunicare tra loro.

Dati questi requisiti, cosa dovrà implementare l’Amministratore di Rete?
a. Creare uno switch logico
b. Creare un Media Access Control (MAC) pool
c. Aggiungere un load balancer
d. Creare una rete logica PVLAN

2) Una società ha due équipes di sviluppatori, una che sviluppa applicazioni web e l’altra che sviluppa applicazioni multimediali.
I quattro servers della società sono in ambiente Windows Server 2012 R2 ed appartengono tutti ad un cluster Hyper-V. Vengono create 6 virtual machines per ogni équipe.
L’Amministratore di Rete intende creare un ambiente virtuale per le équipes. I seguenti requisiti devono essere soddisfatti:

- Entrambe le équipes devono usare la subnet 10.10.10.0/24
- Ognuna delle virtual machines appartenenti all’équipe applicazioni web deve avere connettività di rete con tutte le altri virtual machines dell’équipe applicazioni web.
- Ognuna delle virtual machines appartenenti all’équipe applicazioni multimediali deve avere connettività di rete con tutte le altri virtual machines dell’équipe applicazioni multimediali.
- Le virtual machines dell’équipe applicazioni web NON devono connettersi alle virtual machines dell’équipe applicazioni multimediali.

E’ necessario creare la rete per le virtual machines. Cosa dovrà implementare l’Amministratore di Rete?

a. Configurare l’opzione “Una rete connessa. Consenti alle nuove vm networks create su questa rete logica di usare la virtualizzazione di rete.”
b. Impostare il virtual Lan ID per la management network.
c. Abilitare reti PVLAN.
d. Configurare l’opzione “Una rete connessa. Non consentire alle nuove vm networks create su questa rete logica di usare la virtualizzazione di rete.”

Ora, alla prima domanda io d’istinto risponderei Creare una rete logica PVLAN (dal momento che i server devono essere su una rete isolata). Però c’è qualcosa che non mi convince: innanzitutto, che io sappia le PVLAN fanno sì che i server non siano in grado di comunicare tra loro, mentre nella domanda c’è come requisito da soddisfare esattamente l’opposto. Inoltre, tra i requisiti da soddisfare è ripetuta di continuo la parola “Tutti”, cosa che mi fa pensare alla creazione di uno switch logico (che permette di configurare in Virtual Machine Manager la stessa configurazione per più server diversi contemporaneamente in maniera automated) e quindi la risposta a. Che ne pensate?

Quanto alla seconda domanda, potrebbero a mio avviso andare bene sia la risposta Abilitare reti PVLAN sia la risposta Una rete connessa. Consenti di usare la virtualizzazione di rete. Dove sta la differenza secondo voi? Entrambe possono usare la stessa subnet, e inoltre anche le PVLAN possono permettere alle porte community di comunicare con altre porte community per cui a mio avviso le due risposte si equivalgono. Voi che ne pensate?

Braveheart84rm · 15-05-2014, 01:31

curiosità: cosa studi? quale uni?

luca.carinzi · 15-05-2014, 01:41

Quote:

Originariamente inviato da Braveheart84rm

curiosità: cosa studi? quale uni?

ciao, grazie per aver risposto. Studio a Messina ingegneria elettronica.

Wolfhwk · 15-05-2014, 09:39

La prima direi, switch logico (es. VmWare con i Nexus 1000V).

La seconda usa reti PVLAN (community e separazione L2 per i gruppi con stessa subnet).

Guarda

Il che ha senso se

Community—A community port is a host port that belongs to a community secondary VLAN. Community ports communicate with other ports in the same community VLAN and with associated promiscuous ports. These interfaces are isolated from all other interfaces in other communities and from all isolated ports within the private VLAN domain.

luca.carinzi · 15-05-2014, 13:47

Grazie per la tua risposta Wolfhwk

Quanto alla prima, la mia perplessità è che lo switch logico è una sorta di sintesi di uplink port profiles e di port classifications applicati a tutte le schede di rete di tutti gli hosts congiuntamente. Insomma, se andiamo a spezzettare il puzzle, il pezzo più importante di uno switch logico è l’uplink port profile che in Hyper-V specifica quale rete logica può connettersi ad una particolare scheda di rete fisica dell’host. Non so se questo possa bastare ad isolare i server così come rischiesto dalla domanda...ho qualche dubbio...inoltre i server menzionati nella domanda sono solo 2, mentre lo switch logico si usa per configurazioni multi-server tipo datacenters per automatizzare il deployment di rete.
Infine, dallo schema PVLAN che mi hai allegato mi viene ora in mente che la risposta a questa domanda potrebbe essere Creare una rete logica PVLAN, dal momento che verrebbe soddisfatto il requisito della rete isolata ma anche quello di far comunicare i server tra loro (con porte community nella PVLAN). Cosa ne pensi?

Quanto alla seconda domanda, anche io risponderei PVLAN d’istinto. Tuttavia, in Virtual Machine Manager (VMM) c’è un’opzione quando si va a creare una nuova rete logica che dice “Una rete connessa. Consenti alle nuove vm networks create su questa rete logica di usare la virtualizzazione di rete.” Il risultato sembrerebbe analogo a quello della PVLAN. In base a quello che riporta la technet online, entrambe le soluzioni possono usare la stessa subnet (uno dei requisiti di questa domanda) e inoltre la soluzione community port è attuabile anche con questa opzione di VMM. Dove sta il discriminante a questo punto?

Wolfhwk · 15-05-2014, 14:14

Intanto rivediamo il concetto di PVLAN.

Prendiamo una vlan primaria e la dividiamo in vlan secondarie.
Un server nella community vlan 10 non può comunicare con un altro server nella comm vlan 20, per esempio. Dunque un server comunica solo con la promiscua e i membri della sua community vlan. Così come una isolata comunica solo con la promiscua (vlan primaria).

Perciò la gestione degli accessi è gestita a livello di switch, effettuando una separazione logica degli host tramite vlan (siamo a livello 2, il che permette di implementare il layer 3 a piacere). Lo switch separa gli host (occhio, non le reti, gli host).

Nel caso di virtualizzazione, spostiamo la gestione a livello di management station o se supportato, su un particolare switch (che non penso preveda le pvlan, avendo la stessa separazione a livello di reti virtuali).
La management station, il software e/o lo switch virtuale separano gli host.

Dunque per le pvlan ci vuole un hardware/software particolare, mentre per la virtualizzazione basta il Hyper-V o il VMware V-Sphere, per eseguire tale separazione.

15-05-2014, 01:21	#1
luca.carinzi Junior Member Iscritto dal: May 2014 Messaggi: 4	Differenze tra PVLAN e virtualizzazione di rete Salve ragazzi, sto preparando un esame all’università e due domande preparatorie sul libro di testo mi hanno generato un pò di confusione in materia di networking. Vi riporto le domande: 1) Si considerino due server in ambiente Windows Server 2012 R2 entrambi con il ruolo Hyper-V installato. Si fa uso di Virtual Machine Manager 2012 R2 per amministrare i server Hyper-V. L’Amministratore di Rete deve creare un ambiente di laboratorio soddisfacendo i seguenti requisiti: - Tutti i server di laboratorio devono essere virtualizzati. - Tutti i server di laboratorio devono essere su una rete isolata. - Tutti i server di laboratorio devono essere in grado di comunicare tra loro. Dati questi requisiti, cosa dovrà implementare l’Amministratore di Rete? a. Creare uno switch logico b. Creare un Media Access Control (MAC) pool c. Aggiungere un load balancer d. Creare una rete logica PVLAN 2) Una società ha due équipes di sviluppatori, una che sviluppa applicazioni web e l’altra che sviluppa applicazioni multimediali. I quattro servers della società sono in ambiente Windows Server 2012 R2 ed appartengono tutti ad un cluster Hyper-V. Vengono create 6 virtual machines per ogni équipe. L’Amministratore di Rete intende creare un ambiente virtuale per le équipes. I seguenti requisiti devono essere soddisfatti: - Entrambe le équipes devono usare la subnet 10.10.10.0/24 - Ognuna delle virtual machines appartenenti all’équipe applicazioni web deve avere connettività di rete con tutte le altri virtual machines dell’équipe applicazioni web. - Ognuna delle virtual machines appartenenti all’équipe applicazioni multimediali deve avere connettività di rete con tutte le altri virtual machines dell’équipe applicazioni multimediali. - Le virtual machines dell’équipe applicazioni web NON devono connettersi alle virtual machines dell’équipe applicazioni multimediali. E’ necessario creare la rete per le virtual machines. Cosa dovrà implementare l’Amministratore di Rete? a. Configurare l’opzione “Una rete connessa. Consenti alle nuove vm networks create su questa rete logica di usare la virtualizzazione di rete.” b. Impostare il virtual Lan ID per la management network. c. Abilitare reti PVLAN. d. Configurare l’opzione “Una rete connessa. Non consentire alle nuove vm networks create su questa rete logica di usare la virtualizzazione di rete.” Ora, alla prima domanda io d’istinto risponderei Creare una rete logica PVLAN (dal momento che i server devono essere su una rete isolata). Però c’è qualcosa che non mi convince: innanzitutto, che io sappia le PVLAN fanno sì che i server non siano in grado di comunicare tra loro, mentre nella domanda c’è come requisito da soddisfare esattamente l’opposto. Inoltre, tra i requisiti da soddisfare è ripetuta di continuo la parola “Tutti”, cosa che mi fa pensare alla creazione di uno switch logico (che permette di configurare in Virtual Machine Manager la stessa configurazione per più server diversi contemporaneamente in maniera automated) e quindi la risposta a. Che ne pensate? Quanto alla seconda domanda, potrebbero a mio avviso andare bene sia la risposta Abilitare reti PVLAN sia la risposta Una rete connessa. Consenti di usare la virtualizzazione di rete. Dove sta la differenza secondo voi? Entrambe possono usare la stessa subnet, e inoltre anche le PVLAN possono permettere alle porte community di comunicare con altre porte community per cui a mio avviso le due risposte si equivalgono. Voi che ne pensate?

15-05-2014, 01:31	#2
Braveheart84rm Senior Member Iscritto dal: Mar 2012 Messaggi: 709	curiosità: cosa studi? quale uni?

15-05-2014, 09:39	#4
Wolfhwk Senior Member Iscritto dal: Jul 2008 Messaggi: 3301	La prima direi, switch logico (es. VmWare con i Nexus 1000V). La seconda usa reti PVLAN (community e separazione L2 per i gruppi con stessa subnet). Guarda Il che ha senso se Community—A community port is a host port that belongs to a community secondary VLAN. Community ports communicate with other ports in the same community VLAN and with associated promiscuous ports. These interfaces are isolated from all other interfaces in other communities and from all isolated ports within the private VLAN domain.

15-05-2014, 13:47	#5
luca.carinzi Junior Member Iscritto dal: May 2014 Messaggi: 4	Grazie per la tua risposta Wolfhwk Quanto alla prima, la mia perplessità è che lo switch logico è una sorta di sintesi di uplink port profiles e di port classifications applicati a tutte le schede di rete di tutti gli hosts congiuntamente. Insomma, se andiamo a spezzettare il puzzle, il pezzo più importante di uno switch logico è l’uplink port profile che in Hyper-V specifica quale rete logica può connettersi ad una particolare scheda di rete fisica dell’host. Non so se questo possa bastare ad isolare i server così come rischiesto dalla domanda...ho qualche dubbio...inoltre i server menzionati nella domanda sono solo 2, mentre lo switch logico si usa per configurazioni multi-server tipo datacenters per automatizzare il deployment di rete. Infine, dallo schema PVLAN che mi hai allegato mi viene ora in mente che la risposta a questa domanda potrebbe essere Creare una rete logica PVLAN, dal momento che verrebbe soddisfatto il requisito della rete isolata ma anche quello di far comunicare i server tra loro (con porte community nella PVLAN). Cosa ne pensi? Quanto alla seconda domanda, anche io risponderei PVLAN d’istinto. Tuttavia, in Virtual Machine Manager (VMM) c’è un’opzione quando si va a creare una nuova rete logica che dice “Una rete connessa. Consenti alle nuove vm networks create su questa rete logica di usare la virtualizzazione di rete.” Il risultato sembrerebbe analogo a quello della PVLAN. In base a quello che riporta la technet online, entrambe le soluzioni possono usare la stessa subnet (uno dei requisiti di questa domanda) e inoltre la soluzione community port è attuabile anche con questa opzione di VMM. Dove sta il discriminante a questo punto?

15-05-2014, 14:14	#6
Wolfhwk Senior Member Iscritto dal: Jul 2008 Messaggi: 3301	Intanto rivediamo il concetto di PVLAN. Prendiamo una vlan primaria e la dividiamo in vlan secondarie. Un server nella community vlan 10 non può comunicare con un altro server nella comm vlan 20, per esempio. Dunque un server comunica solo con la promiscua e i membri della sua community vlan. Così come una isolata comunica solo con la promiscua (vlan primaria). Perciò la gestione degli accessi è gestita a livello di switch, effettuando una separazione logica degli host tramite vlan (siamo a livello 2, il che permette di implementare il layer 3 a piacere). Lo switch separa gli host (occhio, non le reti, gli host). Nel caso di virtualizzazione, spostiamo la gestione a livello di management station o se supportato, su un particolare switch (che non penso preveda le pvlan, avendo la stessa separazione a livello di reti virtuali). La management station, il software e/o lo switch virtuale separano gli host. Dunque per le pvlan ci vuole un hardware/software particolare, mentre per la virtualizzazione basta il Hyper-V o il VMware V-Sphere, per eseguire tale separazione.

Strumenti
Mostra una versione stampabile Invia questa pagina per email