Bei Vmware einfacher als bei Citrix
Schritt für Schritt: Mehr Netzwerkperformance bei Virtualisierung
Fortsetzung des Artikels von Teil 6
Netzwerk-Konfiguration in den Real-World Labs Poing
Vom Cisco-Switch des Internet-Providers führt eine 100-MBit/s-Leitung zu einem Enermax-Medien-Konverter. Dieser spricht den baugleichen Konverter zwei Stockwerke tiefer über eine Glasfaserleitung an. Von dort geht es in den WAN-Port der Astaro-Firewall. Diese verwaltet drei interne Netzwerke:
Das Labornetzwerk »NWC«, an dem alle Test-Server und -Clients im Adressbereich 10.11.0.0/16 hängen,
einen Teil des Produktivnetzwerkes »CMP« mit einer B-Klasse-Adressierung 172.29.0.0/16 und
die demilitarisierte Zone »DMZ« mit C-Klasse-Adressierung 192.168.99.0/24, welche Mail- und Webserver beherbergt.
Das Setup der Firewall ist noch aus der Zeit, bevor das Laborteam VLANs einführte. Daher gehen alle drei internen Netzwerke über eigene 100-MBit/s-NICs untagged auf einen 100/1000-MBit/s-Powerconnect-Switch von Dell. Dieser weist folgende VLAN-IDs zu: NWC=11, CMP=29 und DMZ=99.
So getagged, gehen die Netzwerke über einen 1-GBit/s-Uplink zum Labor-Edge-Switch »HP Procurve 5604zl« mit 72 Ports. Eine Gruppe mit 24 Ports verwaltet das VLAN 11 (NWC) untagged. Daran hängen prinzipiell alle simplen Netzwerkserver, aktive Komponenten (Webcams, WLAN-APs) und die Clients.
Die zweite Gruppe mit 24 Ports verwaltet alle VLANs tagged. Hier hängen unter anderem die Trunk- und Uplinks zu anderen Labor-Switches. Zu den drei von der Firewall übermittelten VLANs stoßen hier das iSCSI-Netzwerk ID=111 mit dem Adressbereich 10.111.0.0/16 und zwei rein für Vmware reservierte VLANS 22 und 23 hinzu.
Die dritte Portgruppe mit 24 Ports verwaltet das VLAN 111 untagged für das iSCSI-SAN. Vier 1-GBit/s-Links verbinden den HP-Procurve mit dem aktuellen Core-Switch S4 von Enterasys mit 96 Ports. Hier arbeitet Network-Access-Control (NAC), um Maschinen in Abhängigkeit ihrer MAC-Adresse eine Policy zuzuweisen. Auch hier finden sich die drei Portgruppen: untagged 11 (NWC), untagged 111 (iSCSI-SAN) und »tagged all« wieder.
Der S4 verwaltet dabei eine ganze Serie von zusätzlichen VLANs mit Nummern größer 2000. Hier weist das Laborteam komplexe NAC-Regelwerke einzelnen VLANs zu, so dass diese Regelwerke auch über Switch-Grenzen hinaus im LAN bestehen.
An der NWC-Portgruppe hängen die jeweiligen Management-Ports der Virtualisierungs-Server, die iSCSI-Portgruppe stemmt das IPSAN mit zwei Speicherservern von Dell/Equallogic. An der Portgruppe mit VLAN-Tagging hängen schließlich die vielen NICs, über die zwei Xen- und vier Vmware-Server die virtuellen Maschinen an das LAN ankoppeln.
Zu Testzwecken verbinden zwei Trunk-Ports den S4 mit einem 3Com-8800. Diese Anbindung dient dazu, das Mapping von Enterasys-NAC-Policies zu VLANs zu prüfen. Jeweils einer der Xen- und Vmware-Server kann daher VMs auf den 3Com-Switch schalten.
- Schritt für Schritt: Mehr Netzwerkperformance bei Virtualisierung
- VLANs gegen statische Lastverteilung
- Nicht immer sind sechs Netzwerk-Interfaces möglich
- Behutsame Konfiguration für Xen
- Integration von NAC über S4-Switch von Enterasys
- Testverfahren bei Vsphere 4
- Netzwerk-Konfiguration in den Real-World Labs Poing
Lesen Sie mehr zum Thema
