Un ingegnere che frequentano la mia profonda Networking VMware Dive webinar mi ha chiesto una domanda difficile che io ero in grado di rispondere:
Cosa succede se una VM in esecuzione all'interno di un host vSphere invia una BPDU? Sarà scartati dalla switch virtuale o sarà inviato allo switch fisico (potenzialmente innescare BPDU guardia)?
Ho avuto la risposta da visibilmente tormentato Kurt (@ networkjanitor) Bales in occasione della Giornata Tech campo Networking, uno dei suoi clienti è riuscito a fare proprio questo.
Ecco una panoramica sommaria di ciò che stava accadendo: erano in esecuzione una macchina virtuale di Windows nella sua infrastruttura di VMware, ha deciso di configurare il bridging tra una vNIC e un collegamento VPN e la VM ha iniziato a mandare BPDU attraverso la vNIC. switch virtuale li ha ignorati, ma l'interruttore fisico non ha - ha chiuso la porta, tagliare un certo numero di macchine virtuali dalla rete.
Migliore dei casi, BPDU guardia sui blocchi interruttore fisico ma non si chiude la porta - tutte le macchine virtuali appuntato che puntano ottenere blackholed, ma il danno si ferma lì. Più spesso BPDU guardia si chiude la porta fisica (la reazione di BPDU guardia è fornitore / switch-specifici), VM usando quella porta si appuntato a un'altra porta, e la VM mal configurati trigger BPDU guardia su un altro porto, fino a quando tutto l'esercito vSphere è tagliato fuori dal resto della rete. Caso assolutamente peggiore, si sta eseguendo VMware High Availability, l'host vSphere innesca la risposta isolamento e la VM offendere viene riavviato su un altro host (eventualmente far cadere l'intero cluster).
C'è solo una buona soluzione a questo problema: implementare BPDU guardia sullo switch virtuale . Purtroppo, nessun interruttore virtuale in esecuzione in ambiente VMware (compresi Nexus 1000V) implementa BPDU guardia (sì, lo so, nessun cliente è di utilizzare questa funzione ). È interessante notare che la stessa funzionalità potrebbe essere abbastanza facile da implementare in Xen / XenServer / KVM: o modificando il open-source Aprire switch virtuale o inoltrando i frame BPDU di OpenFlow controller, che sarebbe poi bloccare la porta incriminata.
Le alternative a BPDU guardia in una vasta switch virtuale di male in peggio
Disabilitare BPDU guardia sullo switch fisico . Hai appena spostato il problema da accesso a livello di distribuzione (se si utilizza BPDU guardia) ... o hai fatto l'intero layer-2 di dominio completamente instabile, come ogni VM potrebbe causare STP modifica della topologia.
Abilita BPDU filtro sullo switch fisico . Ancora peggio - se qualcuno riesce effettivamente a configurare il bridging tra due vNIC (o due schede di rete fisica in un host Hyper-V), siete brindisi; BPDU filtro fa sì che il passaggio fisico di far finta che il problema non esiste.
Abilita BPDU filtro sullo switch fisico e rifiutare trasmette forgiate in switch virtuale .Questo protegge da ponte all'interno di una VM (rifiutando trasmette forgiato fermerà tutti i fotogrammi a ponte e quindi prevenire loop di spedizione), ma non contro una configurazione errata del server fisico. Se siete assolutamente assolutamente positivo tutti i server fisici sono i padroni di vSphere, è possibile utilizzare questo approccio (switch virtuale è dotato di prevenzione ciclo ), se c'è una minima possibilità che qualcuno potrebbe collegare bare-metal di server o un host Hyper-V/XenServer alla rete, non hanno nemmeno pensare di usare BPDU filtro.
Tutto il resto? Descrivi la tua soluzione preferita nei commenti!
Alla ricerca di maggiori informazioni? Li troverete in immersione profonda VMware Networking webinar ( acquistare una registrazione ), se siete interessati a più di un webinar, si consideri il abbonamento annuale .
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.