bridge

vSwitch no bridge

vswitchGiorni fa configurando una nuova struttura in un Cloud dovevo configurare un accesso VPN, la scelta è ricaduta su un appliance Endian Firewall in ambiente VMWare.

Di default Endian propone una VPN bridged, così ho proseguito senza tanto curarmene fino a che è sorto un problema: i pacchetti criptati della VPN non superavano il vSwitch VMWare.

Il bridge mode non è supportato dai virtual switch vmware senza che sia abilitato il promiscuous mode (promiscuous mode allowed). Tecnicamente questo è dovuto al fatto che il virtual switch vmware non si comporta come un vero e proprio switch (che quindi registra anche mac address multipli dietro una singola porta) ma, al contrario, registra e mantiene il solo mac address della macchina direttamente collegata. Questo non permette quindi l’esistenza di host collegati in bridge alla macchina virtuale con ruolo di firewall e questo spiega il motivo per cui gli host in cascata non siano visibili dal client vpn.

In ambiente Cloud scegliete VPN Routed.

Cos’è una VLAN

Una LAN virtuale, meglio conosciuta come vLAN, è un gruppo di host con requisiti e funzionalità simili che sulla rete fanno parte di uno stesso dominio di broadcast, indipendentemente dalla loro dislocazione fisica.
Una vLAN ha gli stessi attributi di una LAN fisica, ma consente grazie alla virtualizzazione, di astrarre il concetto di gruppo o dominio anche nel caso in cui i device non siano collegati sotto lo stesso switch, oppure nel caso non siano neanche fisicamente nello stesso site.

Le vLAN vengono usate prevalentemente per segmentare i servizi con particolare riguardo a problematiche come scalabilità, sicurezza e network management. Normalmente la segmentazione può essere creata anche con dei router, ma all’interno di LAN virtuali questi sono soprattutto impiegati per broadcast filtering e traffic flow management, perchè per definizione gli switch non possono fare bridging del traffico IP tra vLAN distinte, in quanto questo violerebbe l’integrità del broadcast domain.

Continua a leggere