Chế độ Promiscuous dùng ở Mạng ảo VMware


Truy cập được bảo mật như thế nào?

Author:
Le Toan Thang

Date: April 2019

Theo lý thuyết thiết kế mạng truyền thống ở 7 tầng network (7 Layers) sẽ có phân bố cấu trúc gói tin như sơ đồ sau:


 

Bên cạnh đó, việc thiết kế cơ chế Security cho Network cũng được bố trí ở mức layer 2 trong VMware như hình sau:



hoặc trong vSwitch


Chính vì các cấu hình lựa chọn trên là mặc định và chúng đúng trong các trường hợp kiến trúc mạng logic, topology thông thường không có Nested, không có Stack switch, hâu như không có sự thay đổi cấu hình Security Network.

Vậy Promiscuous mode sẽ bị thay đổi từ Reject sang Accept khi nào?

Thực chất Promiscuous mode là trạng thái liên lạc giữa Portgroup khác nhau hoặc giữa 2 vSwitch khác nhau hoặc giữa 2 cấp độ vSwitch khác nhau

(Mô hình: 1 ESXi có vSwitch và lại cấp Port group cho 1 VM Nested ESXi có 1 vSwitch ở trong và cần kết nối thông ra vSwitch ngoài), xem 2 mô hình sau:


Hoặc mô hình Nested:


Tham khảo: https://en.wikipedia.org/wiki/Promiscuous_mode

 

Nhu cầu điều chỉnh cấu hình Promiscuous Mode sang Accept là có và cần thiết, đặc biệt trong môi trường Virtual Labs, Nested, Backup Restore Local DC…

Sau đây là các bước cài, cấu hình trên VMware:

Cấu hình Promiscuous cho VMware Port Group:


Bước 1     Chọn máy chủ ESXi thông qua Web vSphere client. Chọn cấu hình à Networking, và sau đó chọn Tab Virtual switches và bấm nút Add standard virtual switch.


Bước 2     The Add standard virtual swicth Wizard xuất hiện. Nhập tên vSwitch, MTU, Add uplink nếu muốn chạy Redundancy network.


Bước 3 ở mục Security, bấm mũi tên và chọn Accept 3 mục như: Promiscuous mode, MAC address changes và Forged transmits


    
 

Bước 4 Bấm nút Add để kết thúc việc tạo vSwitch.    


Bước 5     Tạo Port groups hoặc VMkernel NICs để sử dụng trên vSwitch vừa tạo có cấu hình Promiscuous mode accept.



Bước 6 Tạo Port group cho VM Nested có thể sử dụng     promiscuous traffic, chọn nút Add port group.


Bước 7

Nhập tên Port group, chọn đúng tên vSwitch đã tạo, mục Security để cấu hình thừa hướng theo cấu hình Security của vSwicth đã tạo và bấm nút Add để kết thúc.

   

Bước 8

Để sử dụng lại Port group cho VM Nested, chúng ta sẽ sửa cấu hình Network Port của vmNIC trong máy ảo


Chọn lại tên Network Adapter



 

Ghi chú: Phiên bản HTML5 của vSphere 6.x rất hay bị lỗi mỗi khi ra lệnh Edit Setting, nên thường chúng ta sẽ có màn hình lỗi báo Memory, bạn sẽ cần cancel màn hình edit setting, rồi chọn F5 làm refresh lại màn hình Web vSphere client rồi làm lại bước edit setting VM nói trên.

 

Cấu hình Promiscuous cho VMware VMkernel Port:

Do tính chất bảo mật khác nhau và đảm bảo network performance, nên khi triển khai vSwitch, chúng ta sẽ nên tách các dạng Port group, VMkernel port sẽ nằm trên các vSwitch khác.



Chỉ có 1 lý do duy nhất, vì thiếu card mạng vật lý thì chúng ta mới dùng chung vSwitch như hình dưới:

Bước 1

Chọn máy chủ ESXi thông qua Web vSphere client. Chọn cấu hình à Networking, và sau đó chọn Tab Virtual switches và bấm nút Add standard virtual switch.

The Add standard virtual swicth Wizard xuất hiện. Nhập tên vSwitch, MTU, Add uplink nếu muốn chạy Redundancy network.

ở mục Security, bấm mũi tên và chọn Accept 3 mục như: Promiscuous mode, MAC address changes và Forged transmits


Bước 2

Bấm nút Add để kết thúc việc tạo vSwitch.

Bước 3


 

Tạo VMkernel NICs để sử dụng trên vSwitch vừa tạo có cấu hình Promiscuous mode accept.

Bước 4 Tạo Port group cho VM Nested có thể sử dụng promiscuous traffic, chọn nút Add VMkernel NIC    

Nhập tên Port group, chọn đúng tên vSwitch đã tạo, mục Security để cấu hình thừa hướng theo cấu hình Security của vSwicth đã tạo và bấm nút Add để kết thúc

Bước 5 Nhập IPv4 tĩnh để thiết lập

Advertisements

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.