Bonjour Baptiste,
Tout d'abord bonne Année 2011 à tous . Notre solution VMReady sur nos switchs BLADE Network technologies (now IBM) est concurrentielle au Nexus 100V. Elle devrait répondre à vos attentes. Nous pouvons en discuter en off et vous proposer de tester ce qui vous permettrait en toute clarté de valider ou non la solution en fonction de vos besoins. Cdt, Igor Igor Marty, SE Team Leader, EMEA igor.ma...@fr.ibm.com <mailto:igor.ma...@fr.ibm.com> | +33 620 739 269 | www.bladenetwork.net <http://www.bladenetwork.net> From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Baptiste Malguy Sent: lundi 3 janvier 2011 11:58 To: frnog@frnog.org Subject: [FRnOG] VMWare, vSwitch, Nexus V1000, VLANs et mode promiscuous Bonjour, Bon aller, j'amorce (je crois) la première discussion technique de l'année. La version courte pour les pressés : j'aime bien la virtualisation avec VMWare mais je rencontre quelques limitations côté réseau. le Nexus V1000 semble être une partie de la solution et je suis à la recherche de retours d'expérience. La version un peu plus longue à présent. J'ai deux problèmes à ce jour. 1. J'ai des vSwitch avec le numéro de vlan 4095 (tous les VLANs, taggués, arrivent jusqu'aux guests connecté à ces vSwitchs). En revanche, je ne peux pas restreinte les vlans vus par les guests connectés à ces vSwitch, il n'y a pas d'équivalent à un "switchport trunk allowed vlan ....". Avoir une interface par vlan sur mes guests n'est pas une option envisageable (besoin de rebooter pour ajouter une interface, nombre limité, c'est chiant, etc). Du côté du switch physique auquel est connecté l'ESX, j'ai bien évidemment déjà mis un "switchport trunk allowed vlan ...", mais j'ai besoin d'être granulaire par guest. 2. J'ai deux serveurs ESX esx1 et esx2. Sur un esx1 j'ai un guest vm1, sur esx2 un guest vm2. Ils partagent des VIPs, que ça soit par HSRP, VRRP, CARP, ... Ce qui implique une adresse MAC virtuelle (ok, ok, sous Linux, les implémentations VRRP font autrement, plus sale d'ailleurs, selon moi). Ceci m'oblige à autoriser le mode promiscuous pour les interfaces concernés sur ces guests. Ceci a un effet de bord pas du tout désiré : les interfaces de ces guests reçoivent tout le traffic des vSwitchs concernés. Deux fonctionnalités en une, moi ça m'arrange vraiment pas. Par conséquent, j'ai : - un double problème de sécurité ne pouvant pas restreinte les vlans par guest et les serveurs en promiscuous recevant plein de trafic qu'ils ne devraient pas ; - un problème de charge des guests qui reçoivent du trafic qui leur ait inutile qui remonte jusqu'au noyau de l'OS qui doit dropper les paquets dont il n'a que faire. Nexus V1000 semble apporter une réponse à mon premier problème. Je ne sais pas s'il en apporte aussi une à mon second problème. Je suis donc très intéressé par un retour sur le Nexus V1000, et si certains ont trouvé comment résoudre ces problèmes (j'imagine ne pas être le premier à les avoir). PS : je ne suis pas certain d'avoir été très clair, reformulation possible sur demande ;-) -- Baptiste MALGUY - www.malguy.net PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF 9267 0F65 6C1C C473 6EC2 Confidentiality Notice: This message and any attachments may contain privileged and confidential information. If you have reason to believe that you are not the intended recipient or a person responsible for delivering this information to an intended recipient, you are hereby notified that any review, dissemination, distribution, or copying of this message is strictly prohibited. Please contact the sender immediately by reply mail and destroy all copies of the original message.
<<image001.gif>>
