درباره Private VLAN در Virtual Distributed Switches

در این مقاله به معرفی ویژگی مهم PVLan که در (VDS ( Virtual Distributed Switch یا سوئیچ های مجازی توزیع شده (ترجمه اش خیلی مسخره است ! ) می باشد، پرداخته می شود .قطعا تا بحال نام VLan را شنیده اید . به صورت خلاصه تقسیم بندی Broadcast Domain شبکه را به چندین Broadcast Domain منطقی را Vlan می گویند .



خوب حال اگر بخواهیم این تقسیم بندی را توسعه بدیم و همچنین لایه های امنیتی رو توی یه سری قسمتها نیز افزایش دهیم ، میتوانیم از قابلیت Private VLan استفاده کنیم . در واقع PVLan همان توسعه VLan ها می باشد که امروز در بسیاری از سوئیچ های فیزیکی مورد استفاده قرار گرفته است . جهت ایجاد Private VLan ، Vlan های موجود را مجددا تقسیم بندی می کنیم . به شکل زیر دقت کنید:



یک Private VLan نیزخود به دو زیر مجموعه دیگر تقسیم می شود :

  1. Primary PLVAN : در واقع همان VLan اصلی می باشد که PVLan را در دل خود جای داده است .
  2. Secondary PVLANs :دل Primary PVLan ها جای گرفته اند . هر Secondary PVLan بر اساس VLAN یا Primary VLAN ی که در آن قرار گرفته است ،یک VLAN ID مختص به خود را دارد که هر Packet در طب مسیر خود ، این ID را به صورت tag شده با خود دارد و در نهایت زمانی که از سوئیچ مجازی رد شده و به سوییچ فیزیکی رسید ، سوئیچ فیزیکی بر اساس VLAN ID آن Packet با آن برخورد می کند .

 

خوب انواع حالات جهت انتقال Packet ها در PVLAN عبارتند از :

  1. Promiscuous : هر Node ی که به پورتی در حالت Promiscuous PVLAN باشد ، متصل شود ، کلیه Packetهایی که از دیگر PVLAN های موجود آمده باشد را قبول می کند . در واقع به بیان ساده تر ، در این حالت هیچ محدودیتی برای دریافت و ارسال Packet ها وجود ندارد و Nodeی که در این حالت قرار گرفته باشد ، کلیه Packetها را از دیگر PVLAN ها می تواند دریافت و یا ارسال کند . معمولا روترها به پورتهای Promiscuous متصل می شوند تا بتوانند کلیه Packet ها را به همه پورت های دیگر بدون محدودیتی ارسال کنند .
  2. Isolated : هر Nodeی که به پورتی در حالت Isolated متصل شده باشد ، به جز پروتهای Promiscuous ، امکان دریافت و یا ارسال Packet به هیچ پورت دیگر را ندارد. به عبارتی پورتهای Isolated ، با هیچ پورتی بجر Promiscous حق تبادل اطلاعات را ندارد . تصور کنید که دو Node در PVLANی که پورت آن Isolated باشد ، قرار گرفته باشند ، در این صورت حتی آن دو Node هم نمی توانند با یکدیگر تبادل Pachet داشته باشند . در شکل فوق PVLAN وسط در حالت Isolated می باشند ، در این حالت Backup Server نمی تواند با Mail Server ارتباطی داشته باشد و تنها می توانند از Promiscuous اطلاعات مورد نظر خود را دریافت کنند.
  3. Community : هر Nodeی اگر به پورتی با قابلیت Community متصل شده باشد ، تنها می تواند با Nodeها و یا پورتهایی تبادل اطلاعات داشته باشند که آنها هم نیز در همین حالت تعریف شده باشند. در واقع هر Node در حالت Community تنها می تواند با جامعه ( یا Community ) که در آن قرار دارد، مرتبط باشد. البته ناگفته نماند که می تواند از Promiscuous PVLAN ها هم نیز Packet دریافت و یا ارسال کند . در شکل فوق Node های VLAN 300 می توانند با Nodeهای VLAN 400 تبادل ارتباط داشته باشند.

 

 

  1. نکته: ترافیک ها درون PVLAN ها encapsulate نمی شوند .
  2. نکته: Promiscuous PVLAN در Primary VLAN و Secondary VLAN دارایا VLAN ID یکسانی می باشند .
  3. نکته: ترافیک های بین ماشین های مجازی که در یک PVLAN قرار گرفته اند ولی ESXi های آن ماشینها یکی نمی باشند، به سوئیچ فیزیکی ارسال می شوند.از اینرو در سوئیچ فیزیکی نیز باید تنظیمات PVLAN ها به صورت صحیح انجام شوند تا ترافیک ماشین های مجازی بتواند به مقصد برسد .
  4. نکته: سوئیچ ها به ازای هر VLAN ، Mac Address ها را پیدا می کنند. این مساله برای PVALN ها یک مشکل است، زیرا سوئیچ فیزیکی هر ماشین مجازی را در بیش از یک VLAN میبیند.از اینرو باید حتما از سوئیچ فیزیکی در ساختار مجازی سازی استفاده شود که دارای قابلیت PVLAN باشد ، در غیر اینصورت ، سوئیچ های فیزیکی نمی توانند ترافیک ماشین های مجازی را به درستی منتقل کنند .


جهت ایجاد Private VLAN ها در VDS ، می توانید بر روی DVS خود راست کلیک کرده ، Edit Setting را انتخاب کرده و سپس در تب Private VLAN اقدام به ساخت Private VLAN نمایید .در این مقاله قصد به بیان مفهوم Private VLAN در سوئیچ های مجازی توزیع شده یا VDS داشتم . البته دوستانی که با مفاهیم سیسکو به خوبی آشنا می باشند ، قطعا مشکلی در درک این مفاهیم در مجازی سازی نخواهند داشت چرا که مفهوم PVLAN در سوئیچ های مجازی عینا مشابه PVLAN در سوئیچ های فیزیکی می باشد. موفق و سربلند باشید.