Truy cập được bảo mật như thế nào?
Author: Le Toan Thang
Date: April 2019
Theo lý thuyết thiết kế mạng truyền thống ở 7 tầng network (7 Layers) sẽ có phân bố cấu trúc gói tin như sơ đồ sau:
Bên cạnh đó, việc thiết kế cơ chế Security cho Network cũng được bố trí ở mức layer 2 trong VMware như hình sau:
hoặc trong vSwitch
Chính vì các cấu hình lựa chọn trên là mặc định và chúng đúng trong các trường hợp kiến trúc mạng logic, topology thông thường không có Nested, không có Stack switch, hâu như không có sự thay đổi cấu hình Security Network.
Vậy Promiscuous mode sẽ bị thay đổi từ Reject sang Accept khi nào?
Thực chất Promiscuous mode là trạng thái liên lạc giữa Portgroup khác nhau hoặc giữa 2 vSwitch khác nhau hoặc giữa 2 cấp độ vSwitch khác nhau
(Mô hình: 1 ESXi có vSwitch và lại cấp Port group cho 1 VM Nested ESXi có 1 vSwitch ở trong và cần kết nối thông ra vSwitch ngoài), xem 2 mô hình sau:
Hoặc mô hình Nested:
Tham khảo: https://en.wikipedia.org/wiki/Promiscuous_mode
Nhu cầu điều chỉnh cấu hình Promiscuous Mode sang Accept là có và cần thiết, đặc biệt trong môi trường Virtual Labs, Nested, Backup Restore Local DC…
Sau đây là các bước cài, cấu hình trên VMware:
Cấu hình Promiscuous cho VMware Port Group:
Bước 1 Chọn máy chủ ESXi thông qua Web vSphere client. Chọn cấu hình à Networking, và sau đó chọn Tab Virtual switches và bấm nút Add standard virtual switch.
Bước 2 The Add standard virtual swicth Wizard xuất hiện. Nhập tên vSwitch, MTU, Add uplink nếu muốn chạy Redundancy network.
Bước 3 ở mục Security, bấm mũi tên và chọn Accept 3 mục như: Promiscuous mode, MAC address changes và Forged transmits
Bước 4 Bấm nút Add để kết thúc việc tạo vSwitch.
Bước 5 Tạo Port groups hoặc VMkernel NICs để sử dụng trên vSwitch vừa tạo có cấu hình Promiscuous mode accept.
Bước 6 Tạo Port group cho VM Nested có thể sử dụng promiscuous traffic, chọn nút Add port group.
Bước 8
Để sử dụng lại Port group cho VM Nested, chúng ta sẽ sửa cấu hình Network Port của vmNIC trong máy ảo
Chọn lại tên Network Adapter
Ghi chú: Phiên bản HTML5 của vSphere 6.x rất hay bị lỗi mỗi khi ra lệnh Edit Setting, nên thường chúng ta sẽ có màn hình lỗi báo Memory, bạn sẽ cần cancel màn hình edit setting, rồi chọn F5 làm refresh lại màn hình Web vSphere client rồi làm lại bước edit setting VM nói trên.
Cấu hình Promiscuous cho VMware VMkernel Port:
Do tính chất bảo mật khác nhau và đảm bảo network performance, nên khi triển khai vSwitch, chúng ta sẽ nên tách các dạng Port group, VMkernel port sẽ nằm trên các vSwitch khác.
Chỉ có 1 lý do duy nhất, vì thiếu card mạng vật lý thì chúng ta mới dùng chung vSwitch như hình dưới:
Bước 1
Chọn máy chủ ESXi thông qua Web vSphere client. Chọn cấu hình à Networking, và sau đó chọn Tab Virtual switches và bấm nút Add standard virtual switch.
The Add standard virtual swicth Wizard xuất hiện. Nhập tên vSwitch, MTU, Add uplink nếu muốn chạy Redundancy network.
ở mục Security, bấm mũi tên và chọn Accept 3 mục như: Promiscuous mode, MAC address changes và Forged transmits
Bước 2
Bấm nút Add để kết thúc việc tạo vSwitch.
Bước 3
Tạo VMkernel NICs để sử dụng trên vSwitch vừa tạo có cấu hình Promiscuous mode accept.
Bước 4 Tạo Port group cho VM Nested có thể sử dụng promiscuous traffic, chọn nút Add VMkernel NIC
Nhập tên Port group, chọn đúng tên vSwitch đã tạo, mục Security để cấu hình thừa hướng theo cấu hình Security của vSwicth đã tạo và bấm nút Add để kết thúc
Bước 5 Nhập IPv4 tĩnh để thiết lập