VMware vDS Private Vlan Konfigürasyonu

Private Vlan (PVLAN), Vlan’lar ile oluşturduğumuz layer 2 broadcast domainleri alt alanlara bölümler ve aynı vlanlara atanmış portlardaki VM’leri izole etmemize imkan sağlar.

Fiziksel ağ ortamında olduğu gibi sanal ortamda da ağı bölümlemek ve çift yönlü trafiğin güvenliğini sağlamak gereklidir. Bilindiği gibi Vlan’lar broadcast domainler oluşturarak mantıksal gruplar oluşturmamızı ve ağ üzerinde segmentasyon yapmamızı sağlar. Bu sayede daha kolay yönetim, güvenlik ve olası sorunların saptanıp çözümlenme sürecini indirgeyebiliriz.

DMZ ortamında olduğu gibi aynı Vlan’daki hostların birbirleri ile haberleşmemesini sadece uplink ile konuşarak dışarı çıkmasını istediğimiz durumlarda PVLAN kullanmamız gerekir. 

PVLAN iki temel gruptan oluşur:

• Primary PVLAN: İkincil gruplara bölünmek için seçilmiş orjinal Vlan’dır.  
• Secondary PVLAN: Primary Vlan içerisinde bulunan özel tanımlanmış VLAN ID’lere sahip Vlan’dır. 

Bir çeşit Primary PVLAN vardır:

• Promiscuous : Bu moddaki porta bağlı node’lar secondary PVLAN ile çift yönlü trafik erişimine sahiptir. Genelde router bu moddaki porta bağlıdır.

İki çeşit Secondary PVLAN vardır.

• Isolated: Bu moddaki porta bağlı node’lar sadece promiscuous ile haberleşebilirler.
• Community: Bu modda aynı community’de olan node’lar birbirleriyle ve promiscuous ile haberleşebilir.    

NOT: Switchler her Vlan için mac adreslerini tablosuna yazar. Her sanal makine fiziksel switch’de birden fazla vlanda görünür. Bu durum paketlerin farklı Vlan’dan dönmesine sebep olur. Bu sebeple PVLAN kullanılan ESXi hostların bulunduğu fiziksel switchde PVLAN konfigürasyonu yapılması gerekmektedir.

PVLAN Konfigurasyonu

vCenter’da Home>Inventory>Networking bölümünden oluşturmuş olduğunuz dvSwitch’e Edit Settings diyerek Private Vlan tabını seçiyorsunuz.

Açılan pencereden + diyerek Primary VLAN ID giriyoruz bu verdiğimiz ID aynı zamanda Promiscuous VLAN ID olarak tanımlanacaktır. Ardından Isolated ve Community VLAN ID’ler oluşturabiliriz.

NOT: Sadece 1 tane Promiscuous PVLAN olabilir ve bu tanım otomatik olarak yapılır. Daha önceden oluşturduğunuz secondary PVLAN’ları silmeden önce kullanılmadığından emin olun.

Bu işlemi tamamladıktan sonra oluşturduğumuz PVLAN’ları dvPortGroup’lara atamamız gerekmektedir.

Aşağıdaki ekran alıntısındaki gibi yeni bir distributed port group oluşturuyor ve ilgili PVLAN’ı seçiyoruz. Bu işlemi community içinde aynı şekilde yapabiliriz.

Bu işlemin ardından oluşturduğumuz PortGroup’lara VM atayıp test gerçekleştirebilirsiniz. Private VLAN’ları hostlar arasında ve fiziksel ağ ile kullanabilmek için hostlara bağlı fiziksel switchler PVLAN destekli olmalı ve ESXi tarafında kullanılmış VLAN ID’ler ile konfigüre edilmelidir. Bu ayarlar switch marka ve modellerinde değişiklik göstermektedir. İlgili cihazın dokümantasyonunu inceleyerek bu yapılandırmayı yapmanız gerekmektedir.

Cisco Nexus 5K Serisi Örnek Private VLAN Konfigurasyonu:

Switch’de PVLAN özelliğini global olarak aktif etmek için;

switch# configure terminal
switch(config)# feature private-vlan

Vlan 100’ün private vlan tanımlanması

switch(config)# vlan 100
switch(config-vlan)# private-vlan primary

Isolated Vlan 101

switch(config)# vlan 101
switch(config-vlan)# private-vlan isolated

Community Vlan 102

switch(config)# vlan 102
switch(config-vlan)# private-vlan community

Bu tanımlamaların ardından 101 ve 102 secondary Private Vlanları primary vlan ile ilişkilendiriyoruz.

switch# configure terminal
switch(config)# vlan 100
switch(config-vlan)# private-vlan association 101,102

Switch’de interface’lerin PVLAN konfigürasyonu

switch# configure terminal
switch(config)# interface ethernet 1/1
switch(config-if)# switchport mode private-vlan host
switch(config-if)# switchport private-vlan host-association 100 101

switch(config)# interface ethernet 1/2
switch(config-if)# switchport mode private-vlan host
switch(config-if)# switchport private-vlan host-association 100 102

Son olarak aşağıdaki komut ile yaptığımız konfigürasyonu kontrol edebiliriz.

switch# show vlan private-vlan