Uso de VLAN privadas
El mecanismo de VLAN privadas (PVLAN) le permite dividir una VLAN normal en VLAN secundarias a fin de aislar el tráfico de red. El mecanismo de PVLAN se define en RFC 5517. Por lo general, una VLAN normal es un dominio de difusión único, pero cuando se configura con propiedades PVLAN, el dominio de difusión único se particiona en subdominios de difusión más pequeños, a la vez que se mantiene la configuración existente de capa 3. Cuando configura una PVLAN, la VLAN normal se denomina VLAN principal y las demás VLAN se denominan VLAN secundarias.
Cuando dos redes virtuales usan el mismo ID de VLAN en un enlace físico, todo el tráfico de difusión se transmite entre las dos redes virtuales. Sin embargo, cuando crea redes virtuales que usan propiedades PVLAN, el comportamiento de reenvío de paquete puede no aplicarse a todas las situaciones.
La siguiente tabla muestra las reglas de reenvío de paquete de difusión para PVLAN aisladas y en comunidad.
|
Por ejemplo, cuando las redes virtuales vnet0 y vnet1 están aisladas en la red net0, net0 no transfiere el tráfico de difusión entre las dos redes virtuales. Sin embargo, cuando la red net0 recibe tráfico de una VLAN aislada, el tráfico no se transfiere a los puertos aislados que están relacionados con la VLAN. Esta situación se produce porque la red virtual aislada solo acepta tráfico de la base de la VLAN primaria.
La característica inter-vnet-links admite las restricciones de comunicación de las PVLAN aisladas y en comunidad. Los Inter-vnet-links están desactivados para PVLAN aisladas y solo se activan para las redes virtuales que están en la misma comunidad para las PVLAN en comunidad. No se permite el tráfico directo desde otras redes virtuales fuera de la comunidad.
Notas - Si un dominio de servicio de destino no admite la función PVLAN, la migración de un dominio invitado que se configura para PVLAN puede fallar.
Requisitos de PVLAN
Puede configurar PVLAN mediante los comandos ldm add-vnet y ldm set-vnet. Use estos comandos para establecer la propiedad pvlan. Tenga en cuenta que también debe especificar la propiedad pvid para configurar correctamente la PVLAN.
Esta función requiere al menos el sistema operativo Oracle Solaris 11.2 SRU 4.
ID de VLAN principal. El ID de VLAN principal es el ID de VLAN de puerto (PVID) que se utiliza para configurar una PVLAN para un dispositivo de red virtual único. Esta configuración garantiza que el dominio invitado no reciba paquetes VLAN. Tenga en cuenta que no puede configurar VID con una PVLAN. Este valor se representa mediante la propiedad pvid.
ID de VLAN secundaria. Una VLAN determinada usa un ID de VLAN secundario para brindar la funcionalidad PVLAN. Esta información se especifica como la parte secondary-vid del valor pvlan. secondary-vid es un valor entero en el rango de 1 a 4094. Una VLAN principal puede tener varias VLAN secundarias, con las siguientes restricciones:
Ni el ID de la VLAN principal ni el ID de la VLAN secundaria pueden tener el mismo ID de VLAN por defecto.
EL ID de VLAN principal y el ID de VLAN secundaria no pueden tener los mismos valores para tipos de PVLAN aisladas y en comunidad.
Cada VLAN principal puede configurar solo un PVLAN aislado. Por lo tanto, no puede crear dos PVLAN que usen el mismo ID de VLAN principal.
Una VLAN principal puede tener varias VLAN en comunidad con las siguientes restricciones:
Un ID de VLAN principal no puede usarse como ID de VLAN secundaria para crear otra PVLAN en comunidad.
Por ejemplo, si cuenta con una PVLAN con un ID de VLAN principal de 3 y un ID de VLAN de 100, no puede crear otra PVLAN en comunidad que use 3 como ID de VLAN secundaria.
Un ID de VLAN secundaria no puede usarse como ID de VLAN principal para crear una PVLAN en comunidad.
Por ejemplo, si cuenta con una PVLAN con un ID de VLAN principal de 3 y un ID de VLAN de 100, no puede crear otra PVLAN en comunidad que use 100 como ID de VLAN principal.
El ID de VLAN secundaria no puede usarse como ID de VLAN para redes virtuales normales o VNIC.
Precaución - El Logical Domains Manager puede validar solamente la configuración de las redes virtuales en un conmutador virtual particular. Si una configuración de PVLAN se define para VNIC de Oracle Solaris en el mismo dispositivo de backend, asegúrese de que se cumplan los mismos requisitos en todas las VNIC y redes virtuales.
Tipo de PVLAN. Esta información se especifica como la parte pvlan-type del valor pvlan. pvlan-type es uno de los siguientes valores:
aislada. Los puertos asociados con una PVLAN aislada están aislados de todas las redes virtuales de pares y las NIC virtuales de Oracle Solaris en el dispositivo de red de backend. Los paquetes solo alcanzan la red externa en función de los valores especificados para la PVLAN.
en comunidad. Los puertos que están asociados con una PVLAN en comunidad pueden comunicarse con otros puertos en la misma PVLAN en comunidad, pero están aislados de otros puertos. Los paquetes alcanzan la red externa en función de los valores especificados para la PVLAN.
Para configurar una PVLAN, debe especificar la siguiente información:
Configuración de PVLAN
En esta sección, se incluyen tareas que describen cómo crear PVLAN y mostrar información sobre PVLAN.
Creación de una PVLAN
Puede configurar una PVLAN estableciendo la propiedad pvlan mediante el comando ldm add-vnet o ldm set-vnet. Consulte la página del comando man ldm(1M).
Use ldm add-vnet para crear una PVLAN:
ldm add-vnet pvid=port-VLAN-ID pvlan=secondary-vid,pvlan-type \ if-name vswitch-name domain-name
El siguiente comando muestra cómo crear una red virtual con una PVLAN que tenga un vlan-id principal de 4, un vlan-id secundario de 200 y con un pvlan-type isolated.
primary# ldm add-vnet pvid=4 pvlan=200,isolated vnet1 primary-vsw0 ldg1
Use ldm set-vnet para crear una PVLAN:
ldm set-vnet pvid=port-VLAN-ID pvlan=secondary-vid,pvlan-type if-name domain-name
El siguiente comando muestra cómo crear una red virtual con una PVLAN que tenga un vlan-id principal de 3, un vlan-id secundario de 300 y un pvlan-type community.
primary# ldm add-vnet pvid=3 pvlan=300,community vnet1 primary-vsw0 ldg1
Use ldm set-vnet para eliminar una PVLAN:
ldm set-vnet pvlan= if-name vswitch-name domain-name
El siguiente comando elimina la configuración de PVLAN parea la red virtual vnet0. El resultado de este comando es que la red virtual especificada es una VLAN normal que usa el vlan-id que especificó cuando configuró la PVLAN.
primary# ldm set-vnet pvlan= vnet0 primary-vsw0 ldg1
Puede usar los siguientes comandos para crear o eliminar una PVLAN:
Vista de información de PVLAN
Puede ver información sobre una PVLAN mediante el uso de varios de los subcomandos de lista de Logical Domains Manager. Consulte la página del comando man ldm(1M).
Use ldm list-domain -o network para mostrar la información de PVLAN:
ldm list-domain [-e] [-l] -o network [-p] [domain-name...]
El siguiente comando ldm list-domain muestra información sobre las configuraciones de PVLAN en el dominio ldg1.
primary# ldm list-domain -o network ldg1 NAME ldg1 MAC 00:14:4f:fa:bf:0f NETWORK NAME SERVICE ID DEVICE MAC vnet0 primary-vsw0@primary 0 network@0 00:14:4f:f8:03:ed MODE PVID VID MTU MAXBW LINKPROP 1 3 1500 1700 PVLAN : 200,communityEl siguiente comando ldm list-domain muestra información de configuración de PVLAN en forma analizable para el dominio ldg1.
primary# ldm list-domain -o network -p ldg1 VERSION 1.13 DOMAIN|name=ldg1| MAC|mac-addr=00:14:4f:fa:bf:0f VNET|name=vnet0|dev=network@0|service=primary-vsw0@primary |mac-addr=00:14:4f:f8:03:ed|mode=|pvid=1|vid=3|mtu=1500|linkprop=|id=0 |alt-mac-addrs=|maxbw=1700|protect=|priority=|cos=|pvlan=200,community
Los siguientes ejemplos muestran información sobre la configuración de PVLAN en el dominio ldg1 mediante el uso del comando ldm list-domain -o network.
Use ldm list-bindings para mostrar información de PVLAN:
ldm list-bindings [-e] [-p] [domain-name...]
El siguiente comando ldm list-bindings muestra información sobre las configuraciones de PVLAN en el dominio ldg1.
primary# ldm list-bindings ... NETWORK NAME SERVICE ID DEVICE MAC vnet0 primary-vsw0@primary 0 network@0 00:14:4f:f8:03:ed MODE PVID VID MTU MAXBW LINKPROP 1 3 1500 1700 PVLAN :200,community PEER MAC MODE PVID VID MTU MAXBW LINKPROP primary-vsw0@primary 00:14:4f:f8:fe:5e 1El siguiente comando ldm list-bindings muestra información de configuración de PVLAN en forma analizable para el dominio ldg1.
primary# ldm list-bindings -p ... VNET|name=vnet0|dev=network@0|service=primary-vsw0@primary |mac-addr=00:14:4f:f8:03:ed|mode=|pvid=1|vid=3|mtu=1500|linkprop= |id=0|alt-mac-addrs=|maxbw=1700|protect=|priority=|cos=|pvlan=200,community |peer=primary-vsw0@primary|mac-addr=00:14:4f:f8:fe:5e|mode=|pvid=1|vid= |mtu=1500|maxbw=
Los siguientes ejemplos muestran información sobre la configuración de PVLAN en el dominio ldg1 mediante el uso del comando ldm list-bindingsnetwork.
Use ldm list-constraints para mostrar información de PVLAN:
ldm list-constraints [-x] [domain-name...]
A continuación, se muestra la salida generada al ejecutar el comando ldm list-constraints:
primary# ldm list-constraints -x ldg1 ... <Section xsi:type="ovf:VirtualHardwareSection_Type"> <Item> <rasd:OtherResourceType>network</rasd:OtherResourceType> <rasd:Address>auto-allocated</rasd:Address> <gprop:GenericProperty key="vnet_name">vnet0</gprop:GenericProperty> <gprop:GenericProperty key="service_name">primary-vsw0</gprop:GenericProperty> <gprop:GenericProperty key="pvid">1</gprop:GenericProperty> <gprop:GenericProperty key="vid">3</gprop:GenericProperty> <gprop:GenericProperty key="pvlan">200,community</gprop:GenericProperty> <gprop:GenericProperty key="maxbw">1700000000</gprop:GenericProperty> <gprop:GenericProperty key="device">network@0</gprop:GenericProperty> <gprop:GenericProperty key="id">0</gprop:GenericProperty> </Item>
Puede utilizar los siguientes comandos para ver la información de PVLAN.