Bei Vmware einfacher als bei Citrix
Schritt für Schritt: Mehr Netzwerkperformance bei Virtualisierung
Fortsetzung des Artikels von Teil 4
Integration von NAC über S4-Switch von Enterasys
Im Labor-Setup setzt Network Computing den S4-Switch von Enterasys ein. Das NAC-Management identifiziert Endgeräte anhand ihrer MAC-Adresse oder einer 802.1x-Authentisierung.
Eine Policy-Engine weist authentifizierte Endgeräte einem Regelwerk zu. Das wiederum legt fest, welche Protokolle und Ports das jeweilige Device nutzen darf oder nicht. Der S4 beschränkt NAC-Regeln dabei nicht auf einen physikalischen Switch-Port. Somit lassen sich virtuelle Maschinen ebenfalls regulieren und im Zaum halten.
Der Verwalter kann beispielsweise den virtuellen Desktops der Anwender sowie die unerwünschten Chat- und Peer-to-Peer-Ports sperren und den POP/IMAP-Zugriff auf private Mail-Accounts unterbinden. Das sorgt für interne Netzwerksicherheit und verringert zudem den LAN-Traffic auf die ohnehin hoch belasteten Vmware-Server.
Enterasys offeriert dabei eine besondere Unterstützung für NAC in virtualisierten Landschaften. Neue Softwaremodule für den Netsight-Manager vermitteln zwischen Switch- und VM-Management. Ein Tool fragt den Switch beispielsweise, an welchem Port welche VM hängt. Diese Informationen schreibt das Tool direkt in das Informationsfeld des VM-Managements.
Klickt der Verwalter bei Vmware oder Xen auf eine Maschine findet er in den Anmerkungen die Informationen, an welchem Switch und Port diese Maschine zu sehen ist und welchem NAC-Regelwerk sie angehört. Der Informationsaustausch findet in beide Richtungen statt. Enterasys gleicht die auf Vmware oder Xen deklarierten Netzwerkgruppen mit den Policy-Gruppen ab.
Der Verwalter weist diesen Gruppen später ein NAC-Regelset zu. Sollen sich die Rechte einer VM ändern, braucht der Verwalter nur an einer Stelle tätig zu werden. Verschiebt er in Vsphere beispielsweise eine VM von einer in eine andere Netzwerk-Gruppe, ändert sich automatisch die NAC-Policy auf dem Switch.
Das NAC-Regelwerk des S4 lässt sich problemlos über die Grenzen des Enterasys-Switches durchsetzen. Dazu muss der Verwalter lediglich den NAC-Policies eigene VLANs zuordnen.
Im Test-Setup verbindet Network Computing die Port-Gruppe eines Vmware-Servers mit einem 3Com-Switch im Labor. Das Enterasys-Management sperrt Test-VMs in eigene, isolierte VLANs aus, welche über den Uplink vom 3Com- zum Enterasys-Switch gelangen. Dort setzt der S4 die NAC-Policy durch und routet den erlaubten Verkehr weiter.
Fazit
Mit ein paar zusätzlichen LAN-Adaptern in den Virtualisierungs-Hosts sorgt der Verwalter für die nötige Bandbreite. VLANs helfen dabei, die gesamte Kapazität dabei möglichst dynamisch zu verteilen und auch die Inter-Switch-Links möglichst gut auszulasten. Die Integration in das NAC-Management hilft dem IT-Manager zudem, den LAN-Traffic zu verringern, indem das NAC unerwünschte LAN-Pakete blockiert.
- Schritt für Schritt: Mehr Netzwerkperformance bei Virtualisierung
- VLANs gegen statische Lastverteilung
- Nicht immer sind sechs Netzwerk-Interfaces möglich
- Behutsame Konfiguration für Xen
- Integration von NAC über S4-Switch von Enterasys
- Testverfahren bei Vsphere 4
- Netzwerk-Konfiguration in den Real-World Labs Poing
Lesen Sie mehr zum Thema
