我发布了这个IT安全,但认为这可能是更合适的。 我还是不太确定是否要交叉发表礼节,所以有足够高的代表,请随时迁移这个问题
我对VLAN的基本理解和适度的理解,以及它们与networking分割有关的利弊,但是我想知道从虚拟化环境入手的时候,从哪里开始。
从安全的angular度来看,传统的VLAN划分是如何面向虚拟环境的产品/解决scheme,如VMWare的vCloud Networking and Security产品? 当您使用并置虚拟机时,您依靠什么策略/技术来分割虚拟机stream量?
我知道这可能过于宽泛,但任何出发点都会非常有帮助。 但是为了一个具体的问题,也许一个好的方法就是 – 你认为虚拟networking安全产品至less和传统的VLAN一样好,以便分割networkingstream量。
当提到vCloudnetworking和安全时,您是指VXLAN还是VCDNI?
从技术angular度来看,二层networking和VLAN一样都是分离的,但是必须了解VCDNI和VXLAN如何实现二层隔离。还必须了解VCDNI和/或VXLAN的用途。 在很高的层面上,他们都希望扩展VLAN的可扩展性,理论上限制在4096(尽pipe最大VLAN数量,尽pipe实际上小于4096)。
我还不能对VXLAN说太多的话,因为我只是在实验室环境中玩了一下,但是我build议你看一下IETF的草稿@ http://blog.ioshints。 info / 2011/04 / vcloud-director-networking.html 。 我已经能够确认自己的发现,至less在全球范围内从“受保护的”networking广播多播。 一个人通常会build立一个VCDNI的“networking池”(使用vCloud Director的术语,带有一个传输VLAN),一个人可以轻松地将一台笔记本电脑安装在所有pipe理程序/主机所在的物理交换机上,configuration笔记本电脑坐在这个传输VLAN ,并且实质上能够获得“受保护的”VM的真实MAC地址和/或IP地址。
也就是说,如果有人可以在数据中心的物理交换机环境中安装笔记本电脑,那么与VCDNI或VXLAN的错综复杂相比,您可能会面临更大的问题: