虚拟网络流量的分割

Question

我把这贴在IT安全上了，但认为在这里可能更合适。我仍然不确定交叉张贴的礼仪，所以任何有足够高代表的人，请随意迁移这个问题。

我对VLAN及其优缺点有一个基本到中等的理解，因为它们与网络分段有关，但我想知道如何开始进入虚拟化环境。

从安全的角度来看，传统的VLAN细分如何与虚拟环境(如VMWare的vCloud网络和安全产品)的产品/解决方案相适应？当您使用并置VM的时候，您依赖什么策略/技术来分割VM流量？

我知道这可能过于宽泛，但任何起点都会非常有帮助。不过，为了一个具体的问题，也许可以这样说--为了分割网络流量，您认为虚拟网络安全产品至少与传统的VLAN一样好吗？

Answer 1

当您提到vCloud网络和安全性时，您是指VXLAN还是VCDNI？

这两种技术都隔离了第二层网络，VLAN也是如此，但我们必须了解VCDNI和VXLAN如何实现第二层的隔离，还必须了解VCDNI和/或VXLAN的用途。在非常高的级别上，它们都希望扩展VLAN的可伸缩性，而VLAN的理论极限是4096 (最大的VLAN数量，但实际上小于4096)。

我还不能对VXLAN说很多话，因为我在实验室设置中只玩过一点，但是我建议您查看IETF @ http://blog.ioshints.info/2011/04/vcloud-director-networking.html的草稿。我自己也证实了这一发现，至少在全球广播“受保护”网络的广播方面是如此。一个人通常建立一个VCDNI“网络池”(使用vCloud的术语“传输VLAN”)。你可以很容易地设置一台笔记本电脑坐在所有管理程序/主机驻留的物理交换机上，配置所述的笔记本电脑坐在这个传输VLAN上，并且基本上能够为“受保护的”VM获得真正的MAC地址和/或IP地址。

尽管如此，人们可以提到，如果有人可以在数据中心的物理交换环境上安装笔记本电脑，那么您可能需要处理的问题比VCDNI或VXLAN的复杂问题要大得多:)