Con le LAN virtuali, chiamate anche VLAN in breve, diverse reti logiche con diverse sottoreti possono essere create nella rete su un'infrastruttura fisica uniforme. Questo rende facile separare gruppi di server l'uno dall'altro o dividere la rete in diversi spazi di lavoro come workstation e server.
Se le schede di rete fisiche supportano l'uso delle VLAN, questa funzione può essere regolata nelle impostazioni della scheda di rete sui server Windows (vedi Figura 1). Le impostazioni possono essere viste nella configurazione avanzata, nelle proprietà dell'adattatore nel Centro di rete e condivisione.
Con il successore di Windows Server 2010 R2, Microsoft introduce anche un nuovo servizio server, il Network Controller, che può gestire, controllare e monitorare in modo ottimale le VLAN. Nell'area della gestione della rete fabric, il Network Controller permette anche la configurazione e la gestione di subnet IP, VLAN, switch Layer 2 e Layer 3, nonché la gestione delle schede di rete negli host. Con switch specializzati, le VLAN possono essere create anche su base hardware. Per fare questo, le singole porte sono collegate insieme, che poi funzionano come una LAN indipendente (parziale) e lavorano separatamente dal resto delle porte.
Quando si usano le VLAN, è importante controllare se tutti i dispositivi di rete utilizzati, tutti i sistemi operativi e anche il resto dell'hardware supportano le VLAN. Dopo aver configurato gli switch hardware, bisogna controllare se i dispositivi come i sistemi NAS e altri servizi di rete possono anche comunicare con i client necessari.
VLAN nella virtualizzazione
Hyper-V supporta anche l'uso di VLAN negli switch di rete. A questo scopo, gli amministratori possono creare LAN virtuali nell'interfaccia di gestione degli switch e inserirle in Hyper-V.
Le VLAN possono anche essere utilizzate per separare i flussi di dati nelle reti virtuali per aumentare la sicurezza e le prestazioni. Per esempio, il traffico di rete per l'amministrazione della virtualizzazione del server può essere separato dal traffico di rete dei server virtuali tra di loro. Nelle proprietà delle schede di rete degli host Hyper-V, gli amministratori devono specificare (dopo l'attivazione della VLAN; vedi Figura 1) nelle impostazioni avanzate con quale VLAN ID della rete la scheda deve comunicare. In seguito, la connessione di rete deve essere selezionata in Hyper-V Manager e anche l'ID VLAN deve essere inserito (vedi Figura 2). Anche qui, viene specificato l'ID VLAN corrispondente. Tuttavia, questa tecnica funziona in modo resiliente solo da Windows Server 2012 R2.
Per l'utilizzo nelle VLAN, gli switch hardware e le schede di rete devono supportare questa funzione. Dopo che l'host Hyper-V è stato configurato, gli amministratori possono anche collegare i server virtuali e gli switch virtuali alle VLAN. Per fare questo, il gestore degli switch virtuali viene avviato nel gestore di Hyper-V. Qui si può selezionare la connessione fisica di rete da collegare alla VLAN. Anche la VLAN e il suo ID possono essere specificati qui. In questo modo, tutti i server virtuali che utilizzano uno specifico switch possono essere collegati a una specifica VLAN in un colpo solo.
Le reti interne in Hyper-V supportano anche la configurazione VLAN. Con queste reti, tuttavia, i server possono comunicare solo con le macchine virtuali sull'host o cluster Hyper-V. In questo modo, gli amministratori possono collegare facilmente i server virtuali alle VLAN. Per fare questo, gli ID VLAN devono essere specificati anche nelle impostazioni del server virtuale attraverso le proprietà delle schede di rete virtuali (vedi Figura 3).
Se i server virtuali devono comunicare con più VLAN, si possono aggiungere più schede di rete virtuali sui rispettivi server. Ogni scheda può quindi essere collegata a una VLAN specifica. Da Linux Integration Services 3.5, le VLAN possono essere utilizzate anche per i server Linux virtuali in Windows Server 2012 R2. Le impostazioni per questo sono identiche alle configurazioni per i server virtuali di Windows, poiché le impostazioni non avvengono sul sistema operativo della VM, ma a livello delle impostazioni di Hyper-V.
Questo supporto end-to-end delle VLAN permette agli amministratori di impostare ambienti di prova o di separare logicamente gli host Hyper-V l'uno dall'altro, per esempio, anche se sono collegati nella stessa rete fisica, con switch opportunamente compatibili.
Anche i gruppi di schede di rete in Windows Server 2012 R2 supportano la connessione alle VLAN (vedi Figura 4). Se le aziende utilizzano team NIC nei server virtuali, Microsoft raccomanda di eseguire il binding VLAN direttamente tramite lo switch virtuale e non per il team NIC virtuale. Configurazioni errate fanno correre il rischio di collisioni di dati.
802.1x e Network Access Protection (NAP)
Utilizzando l'applicazione di 802.1x, un Network Policy Server (NPS) in Windows Server 2012/2012 R2 imposta un punto di accesso basato su 802.1x per i client 802.1x per utilizzare un profilo di accesso limitato. L'applicazione di 802.1x fornisce un accesso alla rete sicuro e limitato per tutti i computer che accedono alla rete tramite una connessione 802.1x.
Se gli switch in una rete supportano 802.1x, c'è la possibilità che i client NAP non conformi vengano spostati in VLAN speciali prima che venga loro concesso l'accesso alla rete. Affinché gli amministratori possano testare NAP in un ambiente conforme a 802.1x, devono assicurarsi che gli switch e gli altri componenti supportino questo ambiente e permettano la creazione di LAN virtuali. A seconda delle politiche NAP sotto Windows Server 2012 R2, uno switch conforme a 802.1x assegna i client alle VLAN appropriate. Per poter testare l'ambiente in modo ottimale, si dovrebbero impostare almeno tre VLAN:
- Una VLAN per i client nella rete per i quali non deve essere usato il NAP
- Una VLAN per i client conformi al NAP
- Una VLAN per i client non conformi al NAP
Nessun routing dovrebbe essere impostato tra le VLAN per i client conformi e non conformi al NAP in modo che i client non conformi al NAP siano separati dalla rete.
Se le organizzazioni vogliono implementare la protezione dell'accesso alla rete in un ambiente 802.1x, gli amministratori devono assicurarsi che il livello funzionale del dominio sia impostato almeno su Windows Server 2003, e meglio su Windows Server 2008 o Windows Server 2012 R2.
Standard Switches vs Distributed Switches - VLANs in VMware
Gli switch standard in VMware possono essere implementati solo su singoli host VMware vSphere. Questo tipo di switch è quindi abbastanza facile da configurare e gestire, ma non è flessibile e scalabile. Lo svantaggio è che gli amministratori devono anche creare e configurare un nuovo switch standard per ogni nuovo host. Questo vale anche per i gruppi di porte, le VLAN e tutti gli altri tipi di impostazione.
Le aziende dovrebbero quindi affidarsi agli switch distribuiti quando usano le VLAN. Gli switch distribuiti, chiamati anche vDS, possono essere distribuiti su più host e cluster VMware. La funzione di base dei due switch è identica, entrambi collegano le VM alla rete fisica tramite un'interfaccia.
Tuttavia, gli switch distribuiti sono un oggetto del data center e non solo un oggetto di un singolo host, come nel caso degli switch standard. Pertanto, solo un singolo vDS deve essere in uso nella rete, che viene replicato ai server ESX collegati. Naturalmente, diversi vDS possono anche essere utilizzati in parallelo.
Per esempio, se nell'azienda sono in uso 4 server ESX e 20 VLAN, gli amministratori devono impostare 80 gruppi di porte quando usano gli switch standard. Questa configurazione non è necessaria con vDS (vedi Figura 5).
Le funzioni avanzate, come i gruppi di porte e le VLAN, possono essere utilizzate ragionevolmente solo con vDS. Gli switch distribuiti supportano anche le VLAN private (PVLAN). Tali PVLAN consistono in una PVLAN primaria e una secondaria. La PVLAN primaria rappresenta un raggruppamento della VLAN convenzionale. Le singole VLAN originali si fondono nella VLAN primaria come singole PVLAN secondarie. Ogni PVLAN secondaria ha il proprio ID VLAN. VMware mostra i dettagli di queste possibilità in un video.