segmentar o tráfego de rede virtual

Question

segmentar o tráfego de rede virtual

#1 resposta do (2 votos)

2

Postei isso em Segurança de TI , mas achei que poderia ser mais apropriado aqui. Eu ainda não tenho certeza sobre a etiqueta de postagens cruzadas, então, qualquer pessoa com reputação suficiente, sinta-se à vontade para migrar esta questão

Tenho uma compreensão básica a moderada das VLANs e de seus prós e contras, já que elas se relacionam à segmentação de rede, mas estou querendo saber por onde começar quando nos movemos para ambientes virtualizados.

Do ponto de vista da segurança, como a segmentação VLAN tradicional se aplica aos produtos / soluções focados em ambientes virtuais, como o produto vCloud Networking and Security da VMWare? Quando você está trabalhando com VMs colocadas em quais estratégias / tecnologias você confia para segmentar o tráfego de VMs?

Eu sei que isso pode ser muito amplo, mas qualquer ponto de partida seria extremamente útil. No entanto, para uma pergunta específica, talvez uma boa maneira de colocar isso seja: você considera que os produtos de segurança de rede virtual são pelo menos tão bons quanto os tradicionais VLANs para segmentar tráfego de rede?

virtualization vlan virtual-network

por Univ426 07.03.2013 / 16:09

1 resposta

Tags virtualization vlan virtual-network

LDAP Não é possível executar uma ligação autenticada - Windows Server 2008 R2 Usando PHP / Apache O sshd faz verificações de sistema de arquivos ao considerar a aceitação de chaves?

score 2 · Accepted Answer

Você está se referindo a VXLAN ou VCDNI quando menciona o vCloud Networking and Security?

Ambos tecnicamente segregam as redes da Camada 2, assim como as VLANs, mas é preciso entender como o VCDNI e o VXLAN entregam a segregação da Camada 2. Também é preciso entender o propósito do VCDNI e / ou VXLAN. Em um nível muito alto, ambos procuram expandir a escalabilidade de VLANs, que tem o limite teórico de 4096 (até o número máximo de VLANs, embora realisticamente seja menor que 4096).

Eu ainda não posso falar muito sobre o VXLAN, já que eu só toquei um pouco com ele dentro de uma configuração de laboratório, mas eu aconselho que você olhe o rascunho do IETF para ele @ link . Eu mesmo fui capaz de confirmar as descobertas, pelo menos no que diz respeito à transmissão global de multicasts de redes "protegidas". Geralmente, é configurado um "pool de rede" VCDNI (para usar a terminologia do vCloud Director "com uma VLAN de transporte. É possível configurar facilmente um laptop para ficar no comutador físico onde todos os hipervisores / hosts residem, configure o laptop para ficar nessa VLAN de transporte e, essencialmente, ser capaz de obter o endereço MAC real e / ou endereços IP para VMs "protegidas".

Dito isso, pode-se mencionar que, se alguém pode configurar um laptop no ambiente de comutação físico em um datacenter, você provavelmente terá problemas muito maiores para lidar do que as complexidades do VCDNI ou VXLAN :)