در این مقاله قصد دارم به بررسی تنظیمات سوییچ پرداخته و تنظیمات مربوط به Standard Switch را با هم بررسی کنیم. اولین نکته این بوده که شما میتوانید تنظیمات مربوط به Network را هم در سطح سوییچ و هم در سطح port group و همچنین VMKernel انجام دهید. برای تغییر دادن تنظیمات مربوط به Switch ها وارد بخش Virtual Switches میشویم بر روی سوییچ مورد نظر کلیک کرده و با زدن دکمه مداد شکل در بالای سوییچ وارد تنظیمات سوییچ مجازی خواهیم شد.
اولین بخش مربوط به تنظیم MTU (Maximum Transmission Unit) میباشد. MTU بزرگترین حجم بسته اطلاعاتی که بر روی Network Protocol قابل انتقال بوده میباشد. ما میتوانیم مقدار MTU را بالا ببریم به این شکل که مقدار MTU را بیشتر از 1500 قرار دهیم، که به این عمل Jumbo Frame گفته میشود. در یک سری از سناریو ها مانند VMotion و ISCSI که شامل Block های دیتا بزرگ هستند استفاده از MTU بسیار کارا بوده چونکه مقدار fragmentation بسته های اطلاعاتی را کمتر کرده و در نتیجه سرعت انتقال را زیاد و لود بر روی CPU را کمتر میکند. در سناریوی NSX بدلیل اضافه شدن header مربوط به VXLAN باید Jumbo Frame بر روی 1600 قرار بگیرد.
نکته مهم : در مورد Jumbo Frame این بوده که اگر نیاز به استفاده از Jumbo Frame دارید باید تمام دستگاه های میانی مانند سوییچ و روتر و هر دستگاه دیگر Jumbo frame را ساپورت کرده و بر روی دستگاه ها Jumbo Frame تنظیم شود.
بخش بعدی در مورد Security سوییچ ها بوده که شامل سه تنظیم بوده که در ادامه با هم بررسی خواهیم کرد.
promiscuous mode
اولین گزینه در مورد امنیت سوییچ ها promiscuous mode میباشد، اگر شما این تنظیم را بر روی Accept قرار دهید تمام بسته های ارسالی و دریافتی در این Switch برای تمام پورت های این Switch ارسال میشود و تمام VM های متصل شده به این Switch قادر به دریافت پکت های ارسالی و دریافتی ماشین های دیگر خواهند بود. یکی از سناریوهای اصلی استفاده برای IDS/IPS بوده که شما میتوانید یک VM را به عنوان یک IDS در بین ماشین های مجازی خود قرار دهید تا ترافیک های ماشین های دیگر را بررسی کند. پیشنهاد میشود که این تنظیم را بر روی کل سوییچ انجام ندهید بلکه اون ماشین هایی را که نیاز است امنیتشان را چک کنید با IDS Server خودتان در یک port group قرار داده و این تنظیم را در سطح port group انجام دهید تا فقط ماشین های متصل به آن port group تحت تاثیر قرار بگیرند.
نکته مهم این بوده که اگر شما promiscuous mode را در سطح سوییچ انجام دهید ماشین مجازی های موجود در Port group با vlan یکسان قادر به دریافت packet های ماشین های دیگر میباشند.
MAC Address Changes و Forged Transmits
این دو تنطیم نحوه کارشون به یک شکل بوده با یک تفاوت که در ادامه بررسی خواهیم کرد. هر ماشین مجازی شامل یک MAC آدرس بوده که در فایل VMX ماشین مجازی قرار دارد. اگر تنظیمات این دو گزینه را بر روی Reject قرار دهیم اتفاقی که میوفتد این بوده که Header لایه دو مربوط به packet های ارسالی و دریافتی این ماشین را بررسی کرده و اگر MAC درون بسته با MAC درون VMX متفاوت باشد بسته Drop میشود.
MAC Address Changes به ارسال اطلاعات ماشین مجازی مربوط میشود یعنی اینکه اگر Source MAC بسته با MAC در VMX متفاوت باشه بسته Drop میشود و Forged Transmits برای بسته های دریافتی ماشین بوده به این شکل که اگر Destination MAC با MAC موجود در VMX متفاوت باشد بسته Drop میشود.
در تمام سناریو ها انتخاب Reject مناسب نبوده مثلا در سناریوهای NLB (Network Load Balancing) و همچنین Clustring بدلیل استفاده از VIP MAC آدرس در بسته های اطلاعاتی با MAC در VMX ماشین ها متفاوت است.
Traffic Shaping
بخش بعدی مربوط به Traffic Shaping بود که از نظر من خیلی کاربردی نبوده بدلیل اینکه تنظیمات این بخش بر اساس port های switch بوده نه کل سوییچ که ممکن است کمی گیج کننده باشد اما در ادامه بیشتر بررسی خواهیم کرد.
نکته مهم این بوده که تنظیمات Traffic shaping در Standard switch ها بر روی ترافیک های egress بوده، منظور ترافیک های خروجی از سمت سوییچ است.
Average Bandwidth (Kbps)
مقدار میانگین پهنای باندی که سوییچ اجازه میدهد به هر پورت تا ارسال اطلاعات کند. البته بعضی وقت ها امکان دارد که بیشتر از این مقدار ترافیک ارسال شود اما در اکثر موارد کمتر از مقدار Average بوده.
Peak Bandwidth (Kbps)
اگر در زمان هایی نیاز به ارسال اطلاعات بیشتر از Avarage بوده شما میتوانید peak bandwidth را تنظیم کنید تا در زمان نیاز به پهنای باند بیشتر سوییچ اجازه ارسال را داشته باشد. یکجورایی این نشان دهنده ماکزیمم پهنای باندی که سوییچ میتواند به یک پورت اجازه ارسال اطلاعات را بدهد.
Burst Size (KB)
شاید برای شما سوال پیش بیاد که تا چقدر میتواند یک سوییچ از ماکزیمم پهنای باند برای ارسال اطلاعات استفاده کند؟ جواب شما Burst size میباشد. با تنظیم این گزینه سوییچ به مقدار محدودی اجازه ارسال اطلاعات در حالت Peak Bandwidth را خواهد داشت. به طور مثال اگر من تنظیمات را مطابق تصویر زیر قرار دهم فقط ماشین میتواند 4 ثانیه از ماکزیمم پهنای باند برای ارسال اطلاعات استفاده کند.
در مقاله بعد بصورت کامل در مورد NIC Teaming and Failover صحبت خواهیم کرد.
امیدوارم مفید واقع شده باشد.
اولین بخش مربوط به تنظیم MTU (Maximum Transmission Unit) میباشد. MTU بزرگترین حجم بسته اطلاعاتی که بر روی Network Protocol قابل انتقال بوده میباشد. ما میتوانیم مقدار MTU را بالا ببریم به این شکل که مقدار MTU را بیشتر از 1500 قرار دهیم، که به این عمل Jumbo Frame گفته میشود. در یک سری از سناریو ها مانند VMotion و ISCSI که شامل Block های دیتا بزرگ هستند استفاده از MTU بسیار کارا بوده چونکه مقدار fragmentation بسته های اطلاعاتی را کمتر کرده و در نتیجه سرعت انتقال را زیاد و لود بر روی CPU را کمتر میکند. در سناریوی NSX بدلیل اضافه شدن header مربوط به VXLAN باید Jumbo Frame بر روی 1600 قرار بگیرد.
نکته مهم : در مورد Jumbo Frame این بوده که اگر نیاز به استفاده از Jumbo Frame دارید باید تمام دستگاه های میانی مانند سوییچ و روتر و هر دستگاه دیگر Jumbo frame را ساپورت کرده و بر روی دستگاه ها Jumbo Frame تنظیم شود.
بخش بعدی در مورد Security سوییچ ها بوده که شامل سه تنظیم بوده که در ادامه با هم بررسی خواهیم کرد.
promiscuous mode
اولین گزینه در مورد امنیت سوییچ ها promiscuous mode میباشد، اگر شما این تنظیم را بر روی Accept قرار دهید تمام بسته های ارسالی و دریافتی در این Switch برای تمام پورت های این Switch ارسال میشود و تمام VM های متصل شده به این Switch قادر به دریافت پکت های ارسالی و دریافتی ماشین های دیگر خواهند بود. یکی از سناریوهای اصلی استفاده برای IDS/IPS بوده که شما میتوانید یک VM را به عنوان یک IDS در بین ماشین های مجازی خود قرار دهید تا ترافیک های ماشین های دیگر را بررسی کند. پیشنهاد میشود که این تنظیم را بر روی کل سوییچ انجام ندهید بلکه اون ماشین هایی را که نیاز است امنیتشان را چک کنید با IDS Server خودتان در یک port group قرار داده و این تنظیم را در سطح port group انجام دهید تا فقط ماشین های متصل به آن port group تحت تاثیر قرار بگیرند.
نکته مهم این بوده که اگر شما promiscuous mode را در سطح سوییچ انجام دهید ماشین مجازی های موجود در Port group با vlan یکسان قادر به دریافت packet های ماشین های دیگر میباشند.
MAC Address Changes و Forged Transmits
این دو تنطیم نحوه کارشون به یک شکل بوده با یک تفاوت که در ادامه بررسی خواهیم کرد. هر ماشین مجازی شامل یک MAC آدرس بوده که در فایل VMX ماشین مجازی قرار دارد. اگر تنظیمات این دو گزینه را بر روی Reject قرار دهیم اتفاقی که میوفتد این بوده که Header لایه دو مربوط به packet های ارسالی و دریافتی این ماشین را بررسی کرده و اگر MAC درون بسته با MAC درون VMX متفاوت باشد بسته Drop میشود.
MAC Address Changes به ارسال اطلاعات ماشین مجازی مربوط میشود یعنی اینکه اگر Source MAC بسته با MAC در VMX متفاوت باشه بسته Drop میشود و Forged Transmits برای بسته های دریافتی ماشین بوده به این شکل که اگر Destination MAC با MAC موجود در VMX متفاوت باشد بسته Drop میشود.
در تمام سناریو ها انتخاب Reject مناسب نبوده مثلا در سناریوهای NLB (Network Load Balancing) و همچنین Clustring بدلیل استفاده از VIP MAC آدرس در بسته های اطلاعاتی با MAC در VMX ماشین ها متفاوت است.
Traffic Shaping
بخش بعدی مربوط به Traffic Shaping بود که از نظر من خیلی کاربردی نبوده بدلیل اینکه تنظیمات این بخش بر اساس port های switch بوده نه کل سوییچ که ممکن است کمی گیج کننده باشد اما در ادامه بیشتر بررسی خواهیم کرد.
نکته مهم این بوده که تنظیمات Traffic shaping در Standard switch ها بر روی ترافیک های egress بوده، منظور ترافیک های خروجی از سمت سوییچ است.
Average Bandwidth (Kbps)
مقدار میانگین پهنای باندی که سوییچ اجازه میدهد به هر پورت تا ارسال اطلاعات کند. البته بعضی وقت ها امکان دارد که بیشتر از این مقدار ترافیک ارسال شود اما در اکثر موارد کمتر از مقدار Average بوده.
Peak Bandwidth (Kbps)
اگر در زمان هایی نیاز به ارسال اطلاعات بیشتر از Avarage بوده شما میتوانید peak bandwidth را تنظیم کنید تا در زمان نیاز به پهنای باند بیشتر سوییچ اجازه ارسال را داشته باشد. یکجورایی این نشان دهنده ماکزیمم پهنای باندی که سوییچ میتواند به یک پورت اجازه ارسال اطلاعات را بدهد.
Burst Size (KB)
شاید برای شما سوال پیش بیاد که تا چقدر میتواند یک سوییچ از ماکزیمم پهنای باند برای ارسال اطلاعات استفاده کند؟ جواب شما Burst size میباشد. با تنظیم این گزینه سوییچ به مقدار محدودی اجازه ارسال اطلاعات در حالت Peak Bandwidth را خواهد داشت. به طور مثال اگر من تنظیمات را مطابق تصویر زیر قرار دهم فقط ماشین میتواند 4 ثانیه از ماکزیمم پهنای باند برای ارسال اطلاعات استفاده کند.
در مقاله بعد بصورت کامل در مورد NIC Teaming and Failover صحبت خواهیم کرد.
امیدوارم مفید واقع شده باشد.