Met virtual LANs, kortweg VLANs genoemd, kunnen in het netwerk op een uniforme fysieke infrastructuur meerdere logische netwerken met verschillende subnetten worden gecreëerd. Dit maakt het eenvoudig om servergroepen van elkaar te scheiden of om het netwerk op te delen in verschillende werkruimten, zoals werkstations en servers.
Als de fysieke netwerkkaarten het gebruik van VLAN’s ondersteunen, kan deze functie worden aangepast in de instellingen van de netwerkkaart op de Windows-servers (zie afbeelding 1). De instellingen zijn te zien in de geavanceerde configuratie, in de eigenschappen van de adapter in het Netwerk- en Delencentrum.
Met de opvolger van Windows Server 2010 R2 introduceert Microsoft ook een nieuwe serverdienst, de Netwerkcontroller, die VLAN’s optimaal kan afhandelen, besturen en bewaken. Op het gebied van fabric network management maakt de Network Controller ook de configuratie en het beheer van IP-subnetten, VLAN’s, Layer 2 en Layer 3 switches mogelijk, alsmede het beheer van netwerkadapters in hosts. Met gespecialiseerde switches kunnen VLAN’s ook op hardwarematige basis worden gecreëerd. Daartoe worden afzonderlijke poorten met elkaar verbonden, die dan als een onafhankelijk (deel-)LAN functioneren en los van de rest van de poorten werken.
Bij het gebruik van VLAN’s is het van belang na te gaan of alle gebruikte netwerkapparatuur, alle besturingssystemen en ook de rest van de hardware VLAN’s ondersteunen. Na het configureren van de hardwareschakelaars moet worden gecontroleerd of apparaten zoals NAS-systemen en andere netwerkdiensten ook met de benodigde clients kunnen communiceren.
VLAN’s in virtualisatie
Hyper-V ondersteunt ook het gebruik van VLAN’s in netwerkschakelaars. Voor dit doel kunnen beheerders virtuele LAN’s aanmaken in de beheerinterface van de switches en deze invoeren in Hyper-V.
VLAN’s kunnen ook worden gebruikt om datastromen in virtuele netwerken te scheiden om zo de beveiliging en prestaties te verbeteren. Zo kan bijvoorbeeld het netwerkverkeer voor het virtualisatiebeheer van de server worden gescheiden van het netwerkverkeer van de virtuele servers onder elkaar. In de eigenschappen van de netwerkkaarten van de Hyper-V hosts moeten beheerders (na VLAN-activering; zie afbeelding 1) in de geavanceerde instellingen aangeven met welke VLAN-ID in het netwerk de kaart moet communiceren. Daarna moet de netwerkverbinding worden geselecteerd in de Hyper-V Manager en moet ook de VLAN ID worden ingevoerd (zie figuur 2). Ook hier wordt de overeenkomstige VLAN ID gespecificeerd. Deze techniek werkt echter pas veerkrachtig sinds Windows Server 2012 R2.
Voor gebruik in VLAN’s moeten de hardwareswitches en netwerkkaarten deze functie ondersteunen. Nadat de Hyper-V host is geconfigureerd, kunnen beheerders ook de virtuele servers en de virtuele switches aan VLAN’s koppelen. Daartoe wordt de virtuele switch manager gestart in de Hyper-V manager. Hier kan de fysieke netwerkverbinding worden gekozen die met het VLAN moet worden verbonden. Het VLAN en zijn ID kunnen dan ook hier worden gespecificeerd. Op deze manier kunnen alle virtuele servers die gebruik maken van een specifieke switch in één klap worden aangesloten op een specifiek VLAN.
Interne netwerken in Hyper-V ondersteunen ook de VLAN-configuratie. Met deze netwerken kunnen de servers echter alleen communiceren met virtuele machines op de Hyper-V host of cluster. Op deze manier kunnen beheerders eenvoudig virtuele servers aan VLAN’s koppelen. Daartoe moeten de VLAN-ID’s ook worden gespecificeerd in de instellingen van de virtuele server via de eigenschappen van de virtuele netwerkkaarten (zie afbeelding 3).
Als virtuele servers met meerdere VLAN’s moeten communiceren, kunnen meerdere virtuele netwerkkaarten worden toegevoegd op de respectieve servers. Elke kaart kan dan worden verbonden met een specifiek VLAN. Sinds Linux Integration Services 3.5 kunnen VLAN’s ook worden gebruikt voor virtuele Linux-servers in Windows Server 2012 R2. De instellingen hiervoor zijn identiek aan de configuraties voor virtuele Windows-servers, aangezien de instellingen niet op het besturingssysteem van de VM plaatsvinden, maar op het niveau van de Hyper-V-instellingen.
Deze end-to-end-ondersteuning van VLAN’s stelt beheerders in staat om bijvoorbeeld testomgevingen op te zetten of Hyper-V-hosts logisch van elkaar te scheiden, zelfs als ze in hetzelfde fysieke netwerk zijn aangesloten, met geschikt compatibele switches.
Netwerkkaartteams in Windows Server 2012 R2 ondersteunen ook de verbinding met VLAN’s (zie afbeelding 4). Als bedrijven NIC-teams gebruiken in virtuele servers, raadt Microsoft aan VLAN-binding rechtstreeks uit te voeren via de virtuele schakelaar en niet voor het virtuele NIC-team. Bij onjuiste configuraties bestaat het risico dat gegevens botsen.
802.1x en Network Access Protection (NAP)
Met behulp van 802.1x-handhaving stelt een Network Policy Server (NPS) in Windows Server 2012/2012 R2 een 802.1x-gebaseerd toegangspunt in voor 802.1x-clients om een beperkt toegangsprofiel te gebruiken. 802.1x handhaving biedt veilige, beperkte netwerktoegang voor alle computers die via een 802.1x-verbinding toegang tot het netwerk krijgen.
Als de switches in een netwerk 802.1x ondersteunen, bestaat de mogelijkheid dat niet-conforme NAP-clients naar speciale VLAN’s worden verplaatst voordat ze toegang tot het netwerk krijgen. Om beheerders NAP te laten testen in een 802.1x compliant omgeving, moeten ze er zeker van zijn dat de schakelaars en andere componenten deze omgeving ondersteunen en de creatie van virtuele LANs toestaan. Afhankelijk van het NAP-beleid onder Windows Server 2012 R2, wijst een 802.1x-compatibele switch clients toe aan de juiste VLAN’s. Om de omgeving optimaal te kunnen testen, moeten er ten minste drie VLAN’s worden opgezet:
- Eén VLAN voor de clients in het netwerk waarvoor geen NAP wordt gebruikt
- Eén VLAN voor NAP-conforme clients
- Eén VLAN voor niet-NAP-conforme clients
Er moet geen routering worden opgezet tussen de VLAN’s voor NAP-conforme en niet-NAP-conforme clients, zodat niet-NAP-conforme clients van het netwerk worden gescheiden.
Als organisaties netwerktoegangsbeveiliging willen implementeren in een 802.1x-omgeving, moeten beheerders ervoor zorgen dat het functionele domeinniveau is ingesteld op ten minste Windows Server 2003, en beter op Windows Server 2008 of Windows Server 2012 R2.
Standaardschakelaars vs. gedistribueerde schakelaars – VLAN’s in VMware
De standaardschakelaars in VMware kunnen alleen worden geïmplementeerd op afzonderlijke VMware vSphere-hosts. Dit type schakelaar is dus vrij gemakkelijk te configureren en te beheren, maar het is niet flexibel en schaalbaar. Het nadeel is dat beheerders ook een nieuwe standaardschakelaar moeten maken en configureren voor elke nieuwe host. Dit geldt ook voor poortgroepen, VLAN’s en alle andere soorten instellingen.
Bedrijven moeten daarom vertrouwen op gedistribueerde schakelaars wanneer zij VLAN’s gebruiken. Gedistribueerde switches, ook wel vDS genoemd, kunnen worden ingezet op meerdere VMware hosts en clusters. De basisfunctie van de twee switches is identiek, beide verbinden VM’s met het fysieke netwerk via een interface.
Distributieswitches zijn echter een object van het datacenter en niet slechts een object van een enkele host, zoals het geval is met standaard switches. Daarom hoeft er maar één vDS in het netwerk in gebruik te zijn, die wordt gerepliceerd naar de aangesloten ESX-servers. Natuurlijk kunnen ook meerdere vDS parallel worden gebruikt.
Als er bijvoorbeeld 4 ESX-servers en 20 VLAN’s in gebruik zijn in het bedrijf, moeten beheerders 80 poortgroepen instellen als ze standaard switches gebruiken. Deze configuratie is niet nodig met vDS (zie Figuur 5).
Geavanceerde functies, zoals poortgroepen en VLAN’s, kunnen alleen redelijk worden bediend met vDS. Gedistribueerde schakelaars ondersteunen ook privé VLAN’s (PVLAN’s). Dergelijke PVLAN’s bestaan uit een primair PVLAN en een secundair PVLAN. Het Primaire PVLAN vertegenwoordigt een groepering van het conventionele VLAN. De afzonderlijke oorspronkelijke VLAN’s gaan als afzonderlijke secundaire PVLAN’s op in het primaire VLAN. Elk secundair PVLAN heeft zijn eigen VLAN ID. VMware toont details van deze mogelijkheden in een video.