Robert Larson
Quản Trị Mạng - Windows Server 2008 Hyper-V cung cấp sự hỗ trợ cho việc sử dụng Virtual LAN (VLAN) trên các phân vùng cha và con (host và các máy ảo). Bài này sẽ giới thiệu cho các bạn về cách làm việc của VLAN ở mức cao, các yêu cầu của hệ thống cho cơ sở hạ tầng để hỗ trợ VLAN gắn thẻ, cách cấu hình hỗ trợ VLAN cho các phân vùng cha và con, ví dụ về cách sử dụng việc gắn thẻ VLAN giữa các host trong các bài test các mạng con biệt lập.
Giới thiệu về VLAN
Chuẩn IEEE 802.1Q đối với việc gắn thẻ VLAN đã được tạo để cho phép bạn sử dụng kết nối mạng vật lý và truyền tải đa luồng đối với lưu lượng mạng. Các luồng được cách ly một cách ảo hóa với nhau để máy tính trên VLAN1 và máy tính trên VLAN2 không thể thấy các gói của nhau trừ khi có một router kết nối cả hai VLAN và đang thực hiện việc định tuyến giữa các VLAN. Sơ đồ phía bên trái trong hình dưới thể hiện rằng một cáp mạng vật lý có thể có nhiều VLAN lưu thông bên trong nó cũng như lưu lượng non-VLAN, điều này được nhắc đến như “trunking”. Trong khi sơ đồ phía trái là một sơ đồ mang tính khái niệm của sự cách ly lưu lượng thì sơ đồ phía bên phải lại thể hiện rằng các gói là một phần của một luồng và rằng chỉ có máy tính với tư cách là một phần của cùng VLAN mới có thể thấy các gói trên VLAN đó và rằng máy tính không có VLAN ID sẽ không thể thấy bất kỳ gói nào dù là một phần của VLAN đó.
Hình 1
Vậy cách làm việc của VLAN như thế nào? Có hai phương thức cơ bản về cách làm việc của VLAN. Phương thức đầu tiên liên quan đến việc cấu hình tĩh VLAN trên mạng vật lý ở mức cổng của một switch mạng. Trong cấu hình này, bạn gán VLAN với một cổng switch và bất cứ lưu lượng nào luân chuyển trong công đó đều được gắn thẻ bằng một số nhận dạng của VLAN (gọi là VLAN ID). Phương pháp này nhằm tránh tình trạng thiết bị kết nối với cổng có thay đổi giá trị VLAN ID, điều đó có nghĩa nếu thiết bị chuyển từ một cổng này sang một cổng khác thì một cổng mới sẽ phải được cấu hình lại đúng cho VLAN. Phương pháp này nhằm ngăn chặn việc nhiều thiết bị kết nối với cổng là các thành viên của các VLAN khác nhau.
Phương pháp thứ hai liên quan đến thiết bị được gán động với một VLAN ID trước khi nó truyền tải các gói dữ liệu. Trong phương pháp này, thiết bị cuối có thể dễ dàng trong việc chuyển từ một VLAN này sang một VLAN khác mà không cần yêu cầu bất cứ sự thay đổi nào về cổng switch vật lý. Phương pháp này yêu cầu thiết bị phải biết đến việc gắn thẻ VLAN IEEE 802.1Q. Nó cần biết về cách gắn thể, cách truyền tải các gói được gắn thẻ và cách mở một gói đã được gắn thẻ.
Cấu hình VLAN tĩnh an toàn hơn so với việc gắn thẻ VLAN động vì thiết bị mạng không thể dễ dàng chuyển đổi từ một VLAN này sang một VLAN khác mà không chuyển các cổng switch phía sau một cửa bị khóa chặn.
Yêu cầu về hệ thống
Để hỗ trợ cho việc gắn thẻ VLAN (động hoặc tĩnh) bạn cần những yêu cầu sau:
Các máy chủ Hyper-V cần các adapter mạng có sự hỗ trợ IEEE 802.1Q. Với việc gắn thể động, các adapter cần hỗ trợ việc xử lý các gói được gắn thẻ VLAN cho dù là drvier không được cấu hình cho việc hỗ trợ VLAN.
Các chuyển đổi (switch) mạng cần hỗ trợ IEEE 802.1Q
- Các router cần sự hỗ trợ IEEE 802.1Q cho việc định tuyến các gói gắn thẻ.
Cấu hình Partition cha để sử dụng VLAN
Partition Hyper-V cha có thể là một thành viên của một VLAN. Thông thường thì điều này được thực hiện để phân biệt lưu lượng quản lý của Hyper-V đối với phần lưu lượng con. Mỗi adapter mạng vật lý đều có thể được cấu hình cho VLAN hỗ trợ gắn thẻ. Với các adapter mạng không được cấu hình với các mạng ảo Hyper-V thì cấu hình của VLAN ID sẽ được thực hiện ở mức driver trong các thiết lập tiên tiến. Hình dưới đây thể hiện một adapter mạng Broadcom với VLAN hỗ trợ gắn thẻ. Mặc định, VLAN ID được thiết lập bằng 0. Việc thay đổi giá trị này thành một giá trị VLAN ID được cấu hình trong mạng của bạn sẽ gắn tất cả các gói từ partition cha đang sử dụng adapter này với VLAN ID đó.
Hình 2
Với các adapter mạng được cấu hình với các mạng ảo, việc cấu hình của VLAN ID cho partition cha sẽ được thực hiện bên trong giao diện điều khiển Hyper-V Manager. Để cấu hình VLAN ID bằng 200 cho partition cha trên một adapter mạng có mạng ảo ngoài đã được cấu hình, bạn phải thực hiện những trình tự dưới đây:
Mở giao diện điều khiển Hyper-V Manager
Bên phía phải của panel có nhiều mục, kích vào mục có tên gọi Virtual Network Manager.
- Đánh dấu mạng ảo mà bạn muốn thay đổi, cho ví dụ External. Bạn sẽ thấy tùy chọn Enable virtual LAN identification for parent partition, tích vào hộp kiểm và nhập vào giá trị 200 cho VLAN ID.
Hình 3
- Nhấn Ok để lưu các thay đổi
Lúc này tất cả lưu lượng cho partition cha hoạt động trong adapter mạng này đều sẽ được gắn thẻ VLAN ID bằng 200.
Bạn cũng có thể thay đổi thiết lập của các mạng ảo bên trong để cho phép VLAN gắn thẻ của lưu lượng partition cha. Quá trình cũng hoàn toàn tương tự như trên, chỉ khác ở bước chọn Internal thay cho External. Các mạng riêng ảo không hỗ trợ việc gắn thẻ VLAN cho lưu lượng.
Cấu hình các Partition con để sử dụng VLAN
Các partition cha cũng hỗ trợ cấu hình VLAN gắn thẻ. Cấu hình được thực hiện trên adapter mạng trong các thiết lập cấu hình máy ảo. Điều này cho phép một máy ảo có thể được cấu hình với nhiều VLAN mặc dù sử dụng một adapter mạng. Do máy ảo có thể sử có một số lượng tối đa lên đến 12 adapter mạng (trong đó có 4 kế thừa), nên sẽ có tối đa 12 VLAN trên một máy ảo.
Nếu bạn muốn cấu hình một máy ảo để kết nối với VLAN 200 trên mạng ảo có tên External, hãy thực hiện theo các bước dưới đây:
Mở giao diện điều khiển Hyper-V Manager
Đánh dấu máy ảo mà bạn muốn cấu hình cho VLAN có gắn thẻ lưu lượng.
Ở bên phái tay phải của panel có các mục cho máy ảo, kích vào mục có tên gọi Settings.
- Tìm adapter mạng được kết nối với mạng External và đánh dấu entry adapter mạng ảo trong phần hardware. Phía bên phải, bạn sẽ thấy tùy chọn Enable virtual LAN identification, tích vào hộp kiểm đó và nhập vào giá trị 200 cho VLAN ID.
Hình 4
- Nhấn Ok để lưu các thay đổi
Lúc này các lưu lượng hoạt động bên trong adapter mạng được kết nối với mạng ảo External sẽ được gắn thẻ VLAN ID bằng 200.
Nếu bạn cần một máy ảo để truyền thông hai hay nhiều VLAN, chỉ cần thêm các adapter mạng, kết nối chúng với đúng mạng ảo, gán VLAN ID, cấu hình các địa chỉ IP đúng và sau đó đảm bảo cho lưu lượng bạn muốn luân chuyển mà VLAN đang sử dụng có đúng địa chỉ IP hoặc tên của đích, khi đó có các luồng lưu lượng luân chuyển trong đúng adapter mạng.
Sử dụng VLAN cho việc kiểm tra sự biệt lập
Mọi thứ mà chúng ta vừa được giới thiệu cho đến đây đều trên giả định rằng bạn muốn truyền tải các gói trên một cơ sở hạ tầng mạng với VLAN ID bằng 200 và rằng các cổng switch được cấu hình để quản lý VLAN ID đó. Tuy nhiên bên cạnh đó VLAN còn có thể cung cấp các ưu điểm khác cho việc kiểm tra sự biệt lập.
Chúng ta hãy giả sử rằng có hai Hyper-V host được kết nối với cùng một switch và cần cấu hình một bài test yêu cầu một dịch vụ giống như DHCP để khắc phục sự cố vấn đề nào đó. Test của bạn yêu cầu các máy ảo trên mỗi host cần phải truyền thông với nhau. Bạn có các vấn đề dưới đây:
Không muốn cung cấp các dịch vụ DHCP trên mạng công cộng vì nó có thể gây ra sự tàn phá.
Không muốn copy tất cả các máy ảo vào một host nào đó vì có thể bạn không có đủ không gian và thời gian.
- Có thể add một adapter mạng vào mỗi host, kết nối chúng với một switch mạng biệt lập, cấu hình một mạng ảo mới cho adapter đó, cấu hình các máy ảo để sử dụng mạng ảo mới và kiểm tra bài test của mình, tuy nhiên chỉ cần từng đó cũng đã là rất nhiều công việc.
Những gì bạn muốn ở đây sẽ là một cách nhanh và dễ dàng nhằm tách biệt lưu lượng máy ảo để từ đó bạn có thể thực hiện test của mình. Việc gắn thẻ VLAN là một giải pháp hoàn hảo cho yêu cầu của việc test này. Tất cả những gì bạn cần thực hiện ở đây là dùng tất cả các máy ảo được yêu cầu cho test, kết nối chúng vào cùng một mạng vật lý đang sử dụg mạng ảo ngoài, cấu hình chúng có cùng một VLAN ID và một mạng con (subnet) chung. Lúc này bạn có một subnet biệt lập giữa hai host, khi này chỉ có các máy được cấu hình với cùng VLAN ID mới thấy lưu lượng và có thể truyền thông với nhau.
Kết luận
Việc gắn thẻ IEEE 802.1Q VLAN cho phép bạn tách biệt lưu lượng một cách dễ dàng giữa các nhóm máy trong cơ sở hạ tầng mạng. Để hỗ trợ việc gắn thẻ VLAN, các thiết bị của bạn cần phải hỗ trợ chuẩn IEEE 802.1Q. Khi các thiết bị hỗ trợ việc gắn thẻ VLAN thì việc cấu hình chúng để gắn thẻ các gói là một thiết lập đơn giản trên mạng riêng ảo hoặc adapter mạng trong giao diện điều khiển Hyper-V Manager. Việc gắn thẻ VLAN có thể được sử dụng trong các mạng ảo Internal và External để tạo việc kiểm tra các mạng con ảo biệt lập.