Виртуализация POWER5: работа с сетями VLAN с использованием IBM Virtual I/O Server

Узнайте, как улучшить безопасность логических сетей. В этой статье Найджел Гриффитс описывает преимущества использования IBM Virtual I/O Server (VIO Server) для работы с виртуальными ЛВС (Virtual LAN, VLAN).

Найджел Гриффитс, технический специалист EMEA Linux on POWER, IBM

Найджел Гриффитс (Nigel Griffiths) – технический специалист-практик EMEA Linux on POWER и руководитель группы EMEA p5 Virtualization Technical Focus Group. Он специализируется на виртуализации, производительности, измерении и инструментальных средствах работы. Найджел является сертифицированным консультантом в области ИТ. С ним можно связаться по адресу электронной почты nag@uk.ibm.com.



16.06.2009

Введение

Эта статья ориентирована на специалистов следующих категорий:

  • Системные администраторы, обладающие опытом настройки сетей Ethernet, но не знакомые с виртуальными локальными вычислительными сетями (VLAN)
  • Специалисты, имеющие опыт работы с оборудованием pSeries® и, в частности, с системами на базе POWER5™
  • Специалисты, имеющие опыт работы с консолью управления оборудованием (Hardware Management Console, HMC) и умеющие создавать логические разделы (Logical Partition, LPAR)
  • Специалисты, имеющие опыт работы с простыми конфигурациями сервера IBM Virtual I/O Server (VIO Server)

Примечание. В этой статье под термином VIO-сервер (VIO Server) понимается логический раздел (LPAR) виртуального сервера IBM Virtual I/O Server, работающий на системе семейства pSeries на базе процессоров POWER5. Под термином VIO-клиент (VIO client) понимается любой LPAR, использующий службы виртуального SCSI (Small Computer System Interface) и/или виртуального Ethernet VIO-сервера.


Стандартные сети и стандартные VLAN

На одном кабельном сегменте сети Ethernet можно иметь два различных диапазона IP-адресов. Например, в случае, когда все сетевые кабели подключены к одному и тому же концентратору ЛВС. В этом случае в одной физической сети у вас может существовать две логические сети. Хотя такой подход хорошо работает, существует большая проблема – один компьютер с соответствующими сетевыми и системными настройками может получать все пакеты из обоих диапазонов IP-адресов. Таким образом, защита между двумя логическими сетями не обеспечивается. Эта ситуация изображена на рисунке 1.

Рисунок 1. Две логические сети в одном физическом сегменте
Две логические сети в одном физическом сегменте

Чтобы закрыть эту дыру в безопасности, компания Cisco разработала протокол ISL (Inter Switch Link), ставший впоследствии стандартом IEEE-802.1Q для VLAN-сетей. В простейшем виде этот стандарт требует наличия Ethernet-коммутатора с поддержкой IEEE-802.1Q VLAN, порты которого могут использовать дополнительный атрибут (VLAN-тег); таким образом, подключенные к коммутатору устройства (или их сетевые адаптеры) могут использовать VLAN-тегирование. Итак, на рисунке 1 вы можете заменить Ethernet-концентратор на Ethernet-коммутатор – устройство с интеллектуальной адресацией пакетов. Каждый порт коммутатора может принадлежать одной или нескольким VLAN-сетям и имеет один VLAN-идентификатор по умолчанию (Port VLAN ID, PVID). Передача приходящих на порт коммутатора пакетов, содержащих VLAN-теги, разрешается или запрещается в зависимости от того, совпадает ли VLAN-тег с одной из VLAN-сетей, которой принадлежит порт. Если на порт коммутатора приходят пакеты без VLAN-тега, им назначается идентификатор порта по умолчанию (PVID). С этого момента маршрутизация пакетов в сети зависит не только от адреса подсети, но и от VLAN-тегов. С помощью VLAN-тегов можно разделять физические сети на основе используемых устройствами портов, например, использовать две VLAN-сети с различными идентификаторами (31 и 45). Если вы назначите одинаковый идентификатор VLAN ID (31) портам, к которым подключены компьютеры A, B, и C, а идентификатор VLAN ID 45 – портам, к которым подключены компьютеры 1, 2, и 3, коммутатор не будет передавать пакеты между двумя логическими сетями, поскольку это две разные группы компьютеров. Большинство устройств абсолютно не осведомлены о VLAN-тегах на коммутаторе и не принимают тегированные пакеты, однако многие устройства можно настроить на работу с VLAN-тегами. С учетом этого большинство коммутаторов при получении пакета с VLAN-тегом, совпадающим с идентификатором PVID, удаляют тег из пакета, прежде чем послать его назад подключенному к порту устройству. Если же VLAN-тег совпадает с одной из VLAN-сетей, которым принадлежит порт (например, отличается от PVID), тег из пакета не удаляется. Такой подход позволяет совместно использовать как поддерживающие, так и не поддерживающие работу с VLAN устройства. Все вышеизложенное проиллюстрировано на рисунке 2.

Рисунок 2. Две логические сети, разделенные на две VLAN-сети
Две логические сети, разделенные на две VLAN-сети

Упрощенный вид сети представлен на рисунке 3. Используя идентификаторы VLAN и тегирование портов, Ethernet-коммутатор логически разделяет две VLAN-сети таким образом, что две группы компьютеров не взаимодействуют между собой.

Рисунок 3. Две логические сети, разделенные на две VLAN-сети с помощью Ethernet-коммутатора
Две логические сети, разделенные на две VLAN-сети с помощью Ethernet-коммутатора

Важно также заметить, что использование коммутатора и идентификаторов VLAN означает, что сетевой администратор имеет полный контроль над тем, кто может видеть его присутствие в сети и куда могут направляться сетевые пакеты. Большинство сетевых администраторов предпочитают работать именно так – становясь невидимыми для компьютеров и системных администраторов. Возможно, ваши сетевые администраторы также используют VLAN-сети, о которых вы не знаете, поскольку при управлении большой сетью это дает многочисленные преимущества. Я не знал об этом до тех пор, пока не спросил, и оказалось, что каждый этаж здания IBM, где я работаю, использует отдельную VLAN-сеть. Ниже перечислены некоторые причины, по которым использование VLAN-сетей может оказаться полезным:

  • Ограничение области передачи пакетов отдельными сегментами сетевой магистрали компании
  • Ограничение бесполезного сетевого трафика между компьютерами, не являющимися серверами
  • Увеличение производительности
  • Обеспечение безопасности – ограничение нежелательных подключений (например, прямого доступа в Интернет)
  • Возможность отслеживания сетевого трафика в целях проектирования и планирования

Если позволяет ваша операционная система, вы также можете присвоить VLAN-теги непосредственно самим машинам. Кроме того, можно запретить Ethernet-коммутатору автоматически назначать портам VLAN-теги. Такой подход децентрализует управление, которое переносится с коммутатора на множество компьютеров, тем самым, усложняя задачи централизованного контроля; помните, что даже незначительная ошибка администратора может предоставить злоумышленнику возможность перехватывать все Ethernet-пакеты в сети. Вообще, во избежание лишних трудностей лучше всего управлять тегированием непосредственно на коммутаторах.

Примечание. Я только поверхностно коснулся возможностей VLAN-сетей. Например, порты коммутатора могут принадлежать нескольким VLAN-сетям, передавать каждый пакет данных на определенный порт независимо от принадлежности к VLAN (это часто используется для мониторинга и обеспечения безопасности), а также иметь множество других сложных конфигураций. А сейчас давайте перейдем к рассмотрению VLAN-сетей в гипервизоре.


Виртуальный Ethernet в гипервизоре

В серверах IBM линейки eServer™ p5 pSeries имеется гипервизор, который используется для управления логическими разделами (LPAR) сервера. Этот гипервизор представляет собой встроенное программное обеспечение, которое все операционные системы (AIX® и Linux®) используют для взаимодействия с аппаратной частью сервера. Кроме того, гипервизор предоставляет службу виртуального Ethernet, позволяющую логическим разделам взаимодействовать между собой (используя память гипервизора) по протоколу TCP/IP (Transmission Control Protocol/Internet Protocol) без использования Ethernet-адаптера.

Служба виртуального Ethernet реализована в виде эмуляции Ethernet-коммутатора с поддержкой VLAN; таким образом, используя эту службу, вы используете технологии VLAN – даже если вы не осознаете этого. Посмотрите на рисунок 4.

Рисунок 4. Две логические сети, разделенные на две VLAN-сети с помощью виртуального Ethernet-гипервизора
Две логические сети, разделенные на две VLAN-сети с помощью виртуального Ethernet-гипервизора

Для работы двух разделов LPAR, взаимодействующих посредством виртуального Ethernet, вам необходимо добавить для каждого из них виртуальный Ethernet-адаптер и присвоить одинаковый идентификатор PVID, после чего два LPAR смогут взаимодействовать с помощью стандартных инструментов на основе TCP/IP, таких как Telnet, FTP, SSH и так далее. В результате получится точно такая же модель, что и в разделе Стандартные сети и стандартные VLAN, когда компьютеры A и B могут взаимодействовать, но компьютер A и компьютер 2 – не могут.

К исходящим пакетам раздела LPAR добавляется идентификатор PVID. Это называется тегированием, или VLAN-тегированием. Теги используются для маршрутизации пакетов и для принятия решения о том, какая часть информации будет удалена при доставке пакета другим разделам LPAR с тем же идентификатором PVID. Разделы LPAR ничего не знают о тегировании. Тегирование VLAN используется для того, чтобы разделить логические разделы с различными идентификаторами PVID. Также может существовать несколько внутренних сетей, в которых осуществляется маршрутизация пакетов между несколькими LPAR внутри шасси pSeries, что позволяет избежать доставки пакетов не тому LPAR.

Примечание. Модель безопасности VLAN используется таким образом, чтобы исключить возможность доступа потенциальных злоумышленников из одной внутренней сети в другую. Раздел LPAR может видеть только пакеты своей VLAN-сети и никакие другие.

Существует еще одна особенность VLAN, о которой вам необходимо знать. Например, если пакет приходит на целевой виртуальный Ethernet-адаптер (аналог порта на Ethernet-коммутаторе) с соответствующим ему VLAN-тегом (то есть идентификатор пакета VLAN ID совпадает с идентификатором PVID), тег удаляется из пакета; это поведение является частью стандарта IEEE 802.1Q, и так происходит независимо от способа назначения VLAN-тега, который может быть назначен при появлении пакета на тегированном порту (виртуальном Ethernet-адаптере) или же может назначаться инициирующим соединение адаптером компьютера или LPAR. Также обратите внимание на то, что если идентификатор VLAN ID не совпадает с идентификатором PVID, но совпадает с одним из дополнительных идентификаторов VLAN ID, которым разрешено приходить на этот порт, пакету разрешено передаваться, и при этом VLAN-тег из него не удаляется.


Рабочий пример

В предыдущих разделах рассматривались Ethernet-пакеты внутри компьютера и разделов LPAR, взаимодействующих между собой посредством внутренней сети гипервизора, однако очевидно, что существует потребность обмена данными с внешними локальными сетями. В среде VIO Server связь между внутренними и внешними сетями осуществляет сам VIO-сервер. Если вам необходимо соединить несколько внутренних VLAN-сетей, расположенных внутри машины, и несколько внешних VLAN-сетей, обеспечив безопасность соединения, конфигурация может усложниться. В соответствии с этими требованиями VIO-сервер должен быть подключен ко всем VLAN-сетям, но передача пакетов между этими сетями должна быть запрещена, поскольку в противном случае может быть нарушена безопасность.

На рисунке 5 показано, как настроить такую конфигурацию.

Рисунок 5. Рабочий пример
Рабочий пример

Для того чтобы это работало, необходимо выполнение следующих условий:

  1. Разделы LPAR внутри одной VLAN-сети должны иметь возможность взаимодействовать между собой. Условие – простота настройки взаимодействий во внутренних VLAN-сетях.
  2. Для взаимодействия нескольких разделов LPAR с одним виртуальным Ethernet-адаптером VIO-сервера вы должны использовать стандарт IEEE 802.1Q, чтобы позволить этому адаптеру принимать пакеты с несколькими идентификаторами, а не только с идентификатором PVID. Условие – один виртуальный Ethernet-адаптер/порт для нескольких VLAN-сетей на VIO-сервере.
  3. VLAN-теги не должны удаляться из входящих пакетов, поскольку в этом случае сервер VIO не сможет перенаправлять их в подходящую внешнюю VLAN-сеть. Условие – VLAN-теги не должны удаляться на сервере VIO.
  4. Необходимо включить общий Ethernet-адаптер (Shared Ethernet Adapter, SEA), чтобы через него могли проходить пакеты из нескольких VLAN-сетей. Условие – разрешить адаптеру SEA передачу пакетов из нескольких VLAN-сетей.

В нашем примере мы будем использовать идентификаторы VLAN ID с номерами 23, 150 и 160. Вы можете заменить эти номера любыми другими. Примечание: также будут использоваться идентификаторы 8 и 89, поэтому будьте внимательны при работе с этими номерами. В следующих разделах мы рассмотрим нашу схему шаг за шагом.


Условие 1. Простота настройки взаимодействий во внутренних VLAN-сетях

Взаимодействия во внутренних VLAN-сетях легко настраиваются в консоли управления оборудованием (Hardware Management Console, HMC). Виртуальному Ethernet-адаптеру назначается профиль LPAR (предполагается, что вы знакомы с HMC). Если вы создали раздел и профиль LPAR, вы должны увидеть панели виртуальных ресурсов. Ниже каждому разделу LPAR был назначен виртуальный Ethernet-адаптер с идентификатором PVID. Значения Trunk и IEEE802.1Q не выбраны. Как обсуждалось выше, к пакетам из раздела LPAR будет добавлен идентификатор PVID, который используется для маршрутизации пакетов между разделами и будет удален перед доставкой пакета. На рисунке 6 изображен пример четырех разделов LPAR. Разделы LPAR3 и LPAR4 имеют одинаковый идентификатор PVID (например, 160) и, таким образом, могут непосредственно взаимодействовать друг с другом. Разделы LPAR1 и LPAR2 имеют другие идентификаторы PVID и не могут взаимодействовать ни с разделом LPAR3 или LPAR4, ни друг с другом. Тем не менее разделы LPAR1 и LPAR2 могут взаимодействовать с другими компьютерами, подключенными к VLAN-сетям, внешним по отношению к данному серверу.

Рисунок 6. Простота настройки взаимодействий во внутренних VLAN-сетях
Простота настройки взаимодействий во внутренних VLAN-сетях

На рисунке 7 показано создание виртуального Ethernet-адаптера для раздела LPAR1. Параметры виртуального Ethernet-адаптера следующие: PVID = 23, значения Trunk и IEEE 802.1Q – не выбраны. Обратите внимание на то, что параметр Slot number должен быть уникальным для каждого виртуального устройства в пределах раздела LPAR. Значение этого параметра для виртуальных Ethernet-устройств может быть любым.

Рисунок 7. Виртуальный Ethernet-адаптер для раздела LPAR1
Виртуальный Ethernet-адаптер для раздела LPAR1

Для разделов LPAR 2, 3 и 4 используются те же значения, за исключением номеров PVID.


Условие 2. Один виртуальный Ethernet-адаптер/порт для нескольких VLAN-сетей на VIO-сервере

VIO-сервер является единственным связующим звеном между несколькими внутренними VLAN-сетями и одним внешним физическим Ethernet-адаптером (и локальной сетью). Для соединения виртуальных и физических сетей вам понадобится использовать общий Ethernet-адаптер (Shared Ethernet Adapter, SEA), чтобы связать один или несколько виртуальных адаптеров с физическим. Такой единственный виртуальный Ethernet-адаптер, подключенный к нескольким внутренним VLAN, является простейшим вариантом настройки, подходящим для большинства случаев. Помните, что виртуальная среда Ethernet работает во внутренней памяти системы, и вы не можете повысить ее производительность, добавив дополнительные виртуальные адаптеры. В более сложных ситуациях возможны другие конфигурации, состоящие из физических, виртуальных и общих Ethernet-адаптеров. В нашем же случае после создания виртуального Ethernet-адаптера на VIO-сервере необходимо убедиться, что указаны все подключенные внутренние VLAN-сети, как показано на рисунке 8.

Рисунок 8. Один виртуальный Ethernet-адаптер/порт для нескольких VLAN-сетей на VIO-сервере
Один виртуальный Ethernet-адаптер/порт для нескольких VLAN-сетей на VIO-сервере

На рисунке 9 проиллюстрирован смысл наличия нескольких полей (в диалоговом окне создания виртуального Ethernet-адаптера) для параметра Additional VLAN IDs VIO-сервера.

Рисунок 9. Свойства виртуального Ethernet-адаптера
Свойства виртуального Ethernet-адаптера

Здесь установлен флажок Trunk adapter, поскольку VIO-сервер будет использовать функцию SEA для передачи и получения пакетов из внешней сети. Флажок IEEE 802.1Q также установлен, что позволяет вам добавлять дополнительные идентификаторы VLAN ID. Дополнительные идентификаторы VLAN ID были указаны в поле Add и добавлены в список нажатием кнопки Add. Это позволяет всем идентификаторам VLAN ID внутренней сети VIO-сервера попадать на указанный виртуальный Ethernet-адаптер/порт. Примечание. Эти идентификаторы совпадают с идентификаторами PVID клиентских разделов LPAR. Благодаря этому, пакеты, приходящие с VLAN-тегом, который добавляет гипервизор, могут проходить через общий адаптер SEA.


Условие 3. VLAN-теги не должны удаляться на VIO-сервере

Идентификатор VLAN ID, добавляемый к пакетам в тот момент, когда они покидают разделы LPAR VIO-клиента (задаваемые с помощью номеров PVID), не должен удаляться при достижении ими раздела LPAR VIO-сервера. Обратите внимание на то, что на рисунке 10 идентификатором PVID является странное число, например, 88. Этот идентификатор VLAN ID не должен нигде использоваться (очевидно, это число не должно также являться идентификатором PVID, поскольку это одно и то же). Если приходит входящий пакет с этим идентификатором VLAN ID (например, 88), тег VLAN ID будет удален из него, и пакет не сможет быть перенаправлен в нужную внешнюю VLAN-сеть. Например, если придет пакет с идентификатором VLAN ID 88, тег 88 будет удален. Если этот пакет был отправлен через общий адаптер SEA во внешнюю физическую сеть, он появится на Ethernet-коммутаторе без тега. То, что произойдет дальше, целиком зависит от настроек Ethernet-коммутатора. Например, пакет может быть отброшен или направлен в VLAN-сеть по умолчанию, а вероятность того, что этот пакет попадет в VLAN-сеть 88, будет не очень высока до тех пор, пока ваш сетевой администратор явным образом не задаст нужные настройки (например, пока порт Ethernet-коммутатора не будет иметь PVID, равный 88). Как правило, использование пакетов без тегов в среде VLAN рассматривается как ошибка, либо считается, что соответствующая сеть является устаревшей или не очень важной; однако этого лучше избегать.

Рисунок 10. VLAN-теги не должны удаляться на VIO-сервере
VLAN-теги не должны удаляться на VIO-сервере

Условие 4. Разрешить адаптеру SEA передачу пакетов из нескольких VLAN-сетей

Если вы знакомы с созданием SEA в не-VLAN средах, значит, вам будет знакома команда VIO-сервера mkvdev –sea. Эта команда создает низкоуровневый "мост" между внутренней виртуальной и внешней физической сетями Ethernet. Хотя это не очевидно, но это выполняется на нижнем уровне стека TCP/IP и достаточно эффективно, поскольку до перенаправления пакетов стек TCP/IP не используется – таким образом экономятся такты центрального процессора POWER5. Команда получает на вход имена виртуального и физического Ethernet-адаптеров и несколько других параметров, после чего создает адаптер более высокого уровня. В следующем примере виртуальный адаптер ent2 и физический адаптер ent0 образуют новый суперадаптер ent3 – тот адаптер, которому вы можете назначить IP-адрес, о чем будет более подробно рассказано позже. В нашем примере команда выглядит следующим образом:

mkvdev –sea ent0 –vadapter ent2 –default ent2 –defaultid 89

Эта команда выводит имя нового суперадаптера en3, которое можно также узнать с помощью следующей команды VIO-сервера:

 lsdev -virtual

Просмотр записи SEA в списке.

Примечание 1. Параметр "–default ent2" – это внутренняя виртуальная VLAN-сеть, используемая по умолчанию для отправки не содержащих тегов пакетов. В этом примере имеется только один виртуальный Ethernet-адаптер, однако данный параметр может использоваться в более сложных конфигурациях с несколькими виртуальными адаптерами.

Примечание 2. Параметр "–defaultid 89" – это идентификатор VLAN ID, используемый для не содержащих тегов пакетов. Фактически это идентификатор PVID адаптера SEA. Диаграмма на рисунке 11 не предусматривает использования пакетов, не содержащих тегов. Если используется такой номер, эти пакеты отбрасываются, поскольку ни один клиент не принимает пакеты VLAN-сети 89.

Рисунок 11. Идентификатор VLAN ID для не содержащих тегов пакетов
Идентификатор VLAN ID для не содержащих тегов пакетов

Кликните, чтобы увидеть увеличенное изображение

Рисунок 11. Идентификатор VLAN ID для не содержащих тегов пакетов

Идентификатор VLAN ID для не содержащих тегов пакетов

Этот только что созданный адаптер SEA будет перенаправлять не содержащие тегов пакеты, используя PVID 89; однако используемый им виртуальный Ethernet-адаптер не будет принимать идентификатор VLAN ID, поэтому все не содержащие тегов пакеты будут отброшены. Вы должны разрешить адаптеру SEA VIO-сервера работать с другими идентификаторами VLAN ID. Это делается с помощью следующей команды VIO-сервера:

mkvdev –vlan

В этом примере мы хотим, чтобы три VLAN-сети имели доступ к внешнему Ethernet. Для этого нужно выполнить на VIO-сервере следующие команды:

mkvdev –vlan ent3 –tagid 23

mkvdev –vlan ent3 –tagid 150

mkvdev –vlan ent3 –tagid 160

В результате создаются дополнительные имена Ethernet-адаптеров – по одному в каждой из вышеприведенных команд.

Если у вас имеется внутренняя виртуальная Ethernet-среда, которая не должна быть видна по соображениям безопасности, не используйте вышеприведенные команды для этой VLAN-сети. Например, нет необходимости делать видимой для внешнего физического Ethernet сеть между разделами LPAR сервера приложений и системы управления реляционной базой данных (RDBMS).


Нужно ли назначать VIO-серверу IP-адрес?

Ниже приведены некоторые рекомендации, которым можно следовать при размещении VIO-сервера в сети:

  1. Не обязательно предоставлять сетевой доступ к VIO-серверу.

    Вы можете получить доступ к VIO-серверу через безопасную приватную консоль HMC. Благодаря этому вы можете не использовать сетевой адрес и не предоставлять сетевой доступ к VIO-серверу. Если VIO-сервер вообще не появляется в сети, он оказывается наиболее защищенным – нет сети, значит, нет потенциальной угрозы его безопасности.

  2. Работа в агрессивной сетевой среде.

    В агрессивной сетевой среде предоставление сетевого доступа к VIO-серверу может быть опасным; если VIO-сервер будет взломан, все сети окажутся уязвимыми для злоумышленника, поскольку VIO-сервер имеет доступ ко всем этим сетям. Злоумышленник может назначить IP-адрес всем VLAN-адаптерам и получить доступ к ним. Если какая-либо из VLAN-сетей напрямую соединена с Интернетом, у вас могут возникнуть проблемы. Чтобы избежать этого, лучше всего использовать для уязвимых внешних сетей физический адаптер, который напрямую подключен к разделу LPAR. В этом случае вы сможете физически отключить сетевой кабель, чтобы остановить атаку злоумышленника.

  3. Динамические изменения логического раздела.

    Если вы хотите выполнить динамические изменения логического раздела LPAR операционной системы VIOS (например, изменить количество ЦП или наименование), необходимо находиться в сети, которая может предоставить взаимодействие между консолью HMC и VIOS.

  4. Обновление VIO-сервера.

    Существует два способа обновления кода VIO-сервера: с использованием компакт-диска или FTP. Если вы собираетесь использовать FTP, убедитесь, что вы можете назначить VIO-серверу IP-адрес.

Если ваша сетевая среда неагрессивна, совершенно нормально разместить VIO-сервер в сети, чтобы немного облегчить себе задачи по управлению этим сервером. Для этого используйте второй виртуальный Ethernet-адаптер, назначьте ему IP-адрес и выполните для него (но не для общего адаптера SEA) команду VIO-сервера mktcpip. Если вы работаете с VLAN-сетями для разделов LPAR, вы можете захотеть разместить VIO–сервер в определенной VLAN-сети. На рисунке 12 VIO-сервер размещен в виртуальной сети VLAN 23.

Рисунок 12. Размещение VIO-сервера в сети
Размещение VIO-сервера в сети

На VIO-сервере выполните команду mktcpip, например:

mktcpip -hostname op34 -inetaddr 9.137.62.34 -interface en3 -netmask 

255.255.255.0 -gateway 9.137.62.1

Примечания:

  • Создание этого дополнительного виртуального Ethernet-адаптера изменит имя адаптера SEA на en4, т. е. увеличит его на единицу.
  • Для команды VIO-сервера иногда требуется использовать интерфейсы "ent" и "en". Это может привести к путанице. Например, если вы используете имя "ent", когда должно было бы использоваться имя "en", вы получите сообщении об ошибке "entt" (обратите внимание на дополнительную букву "t"), поскольку буква "t" добавляется командой для преобразования имени "en" в "ent".

Почему не следует назначать IP-адрес VIO-сервера адаптеру SEA?

В качестве альтернативного способа вы можете использовать второй физический Ethernet-адаптер на VIO-сервере для передачи сетевого трафика напрямую. Например, предположим, что вы хотите выполнять резервное копирование VIO-сервера по сети. Для этого случая второй физический адаптер хорош тем, что позволяет отделить сетевой трафик клиентского LPAR от больших объемов данных резервного копирования, для которых рационально использовать большие IP-пакеты. В нашем примере в VIO-сервере установлен второй адаптер с именем en1, который можно использовать для этих целей.

Неиспользованный Ethernet-порт в нашем примере – это просто случайность. Он был включен в пример потому, что многие компьютеры имеют Ethernet-адаптеры с двойным портом или же два Ethernet-порта на материнской плате. Включение второго порта в примере может послужить вам предупреждением о том, что нужно быть внимательным в случаях, когда один сетевой адаптер имеет несколько физических Ethernet-портов.


Заключение

В этой статье вы познакомились с некоторыми основами работы VLAN и виртуального Ethernet гипервизора, который ведет себя так же, как и VLAN-коммутатор.

Вы настроили VIO-сервер на работу с различными клиентскими разделами LPAR, использующими разные идентификаторы VLAN ID, и узнали, как настроить общий адаптер SEA на прием и передачу пакетов во внешние VLAN-сети.

Также вы узнали о наилучшем способе размещения VIO-сервера в виртуальной или физической сети с целью удаленного управления системой или организации резервного копирования.

Благодарности

Выражаю особую благодарность Дэйву Уиллиамсу (Dave Williams) и Крису Майлстеду (Chris Milsted) за помощь в работе над данной статьей.

Ресурсы

Научиться

Получить продукты и технологии

  • Познакомьтесь с инструментами разработки приложений и промежуточным программным обеспечением от DB2®, Lotus®, Rational®, Tivoli® и WebSphere®. Вы можете бесплатно загрузить ознакомительные версии этих продуктов, а также выбрать Linux- или Windows-версию пакета Software Evaluation Kit от developerWorks.

Обсудить

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Linux
ArticleID=398002
ArticleTitle=Виртуализация POWER5: работа с сетями VLAN с использованием IBM Virtual I/O Server
publish-date=06162009