分割虛擬網路流量
我在 IT Security 上發布了這個,但認為這裡可能更合適。我仍然不確定交叉發布的禮儀,所以任何有足夠代表的人,請隨時遷移這個問題
我對 VLAN 及其與網路分段相關的優缺點有一個基本到中等的了解,但我想知道當一個人進入虛擬化環境時從哪裡開始。
從安全的角度來看,傳統的 VLAN 分段如何經受住專注於虛擬環境的產品/解決方案,例如 VMWare 的 vCloud Networking and Security 產品?當您使用並置的虛擬機時,您依靠哪些策略/技術來分割虛擬機流量?
我知道這可能過於寬泛,但任何起點都會非常有幫助。不過,為了一個特定的問題,也許一個很好的說法是——您是否認為虛擬網路安全產品至少與傳統 VLAN 一樣好,以便對網路流量進行分段?
當您提到 vCloud Networking and Security 時,您指的是 VXLAN 還是 VCDNI?
兩者在技術上隔離第 2 層網路,VLAN 也是如此,但必須了解 VCDNI 和 VXLAN 如何實現第 2 層的隔離。還必須了解 VCDNI 和/或 VXLAN 的用途。在非常高的水平上,他們都希望擴展 VLAN 的可擴展性,理論上限制為 4096(就 VLAN 的最大數量而言,儘管實際上它小於 4096)。
我還不能對 VXLAN 說太多,因為我只是在實驗室環境中玩過它,但我建議您查看 IETF 草案@http://blog.ioshints。資訊/2011/04/vcloud-director-networking.html。我自己已經能夠確認那裡的發現,至少關於來自“受保護”網路的多播的全球廣播。通常設置一個 VCDNI“網路池”(使用 vCloud Director 的術語“與傳輸 VLAN。人們可以輕鬆地將筆記型電腦設置為位於所有管理程序/主機所在的物理交換機上,將所述筆記型電腦配置為位於此傳輸 VLAN 上,並且基本上能夠獲得“受保護”虛擬機的真實 MAC 地址和/或 IP 地址。
也就是說,有人可能會提到,如果有人可以在數據中心的物理交換機環境中設置筆記型電腦,那麼您可能需要處理的問題比 VCDNI 或 VXLAN 的複雜性要大得多 :)