Virtuelle Welten im RZ Netzdesign im Datacenter

Autor / Redakteur: Olaf Hagemann / Dipl.-Ing. (FH) Andreas Donner

Virtualisierung setzt sich auf allen Ebenen im Rechenzentrum durch. Die meisten Verantwortlichen beschäftigen sich heute mindestens mit der Server- und Desktop-Virtualisierung. Wie sehen die typischen Herausforderungen und -Lösungen aus: Rekonfigurationen, Synchronisation, automatische Provisionierung und das Vermeiden von Sicherheitsverletzungen?

Firma zum Thema

Welches Netzwerkdesign wird einem Datacenter im ständigen Wandel gerecht?
Welches Netzwerkdesign wird einem Datacenter im ständigen Wandel gerecht?
(Bild: Denis Magilov/ Fotolia.com)

Anhand virtueller Server lässt sich die Vielseitigkeit von NAC-Integrationen (NAC = Network Access Control) belegen. Immer mehr Netzwerke beherbergen Cluster und virtuelle Server, weil die dynamische Umverteilung der Software auf die Hardware optimale Auslastung und Flexibilität garantiert. Doch sind die Netzwerke meist nicht flexibel genug und Konfigurationen, wie die Priorisierung von Daten, müssen manuell angepasst werden.

Server Virtualisierung

Falls virtuelle Systeme automatisch „umziehen“ – etwa bei einem Hardware-Ausfall – kompliziert das die Situation. Damit auch das Netzwerk bei Drag-and-Drop-Migrationen mithalten kann, lokalisiert NAC die Server und vereinfacht es so, Rekonfigurationen im Netzwerk zu automatisieren.

Weitere technische und organisatorische Probleme gibt es in Umgebungen mit virtuellen Switches. So lassen sich die Zuständigkeitsbereiche von System- und Netzwerkadministratoren schwer voneinander abgrenzen.

Aktuelle Virtualisierungssoftware kann mittlerweile einen kompletten Switch auf einem Host abbilden – oder gar auf mehreren Hosts als Distributed Virtual Switch. Dazu gehören wichtige Einstellungen für die Datacenter-Plattform und das Unternehmensnetzwerk. So muss der Administrator VLANs erstellen, routen, protokollieren und analysieren, um so für eine sichere Kommunikation zwischen virtuellen Maschinen zu sorgen.

Management-Software von Extreme Networks

Management-Software wie „Netsight Data Center Manager“ von Extreme Networks beheben diese Probleme. Dieses offene Framework synchronisiert Informationen zwischen NAC und Virtualisierungssoftware.

Damit auch das Netzwerk bei Drag-and-Drop-Migrationen mithalten kann, lokalisiert NAC die Server und vereinfacht es so, Rekonfigurationen im Netzwerk zu automatisieren.
Damit auch das Netzwerk bei Drag-and-Drop-Migrationen mithalten kann, lokalisiert NAC die Server und vereinfacht es so, Rekonfigurationen im Netzwerk zu automatisieren.
(Bild: Extreme Networks)

Die aktuelle Version des Produkts unterstützt „VMware vSphere“, „Citrix XenCenter“ und „Microsoft Hyper-V“. Im einfachsten Fall werden dadurch Detailinformationen zu einer virtuellen Maschine in der Endsystemübersicht des NAC Managers (Name der VM, UUID und mehr) oder NAC/Location-Daten innerhalb der Virtualisierungssoftware angezeigt. Dies erleichtert die Identifikation virtueller Maschinen im Netz und hilft dabei, Fehler schnell zu lokalisieren.

Darüber hinaus lassen sich beide Seiten – Switchports und virtuelle Maschinen - automatisch konfigurieren. So erlaubt der Datacenter Manager den Aufbau von NAC-Endsystemgruppen als (Distributed) Virtual-Switch-Portgroups. Dabei können auch erweiterte Parameter wie VLAN-IDs oder Port Modes (isolated, community, promiscious) eingestellt werden.

Aktuelle Virtualisierungssoftware kann mittlerweile einen kompletten Switch auf einem Host abbilden – oder gar auf mehreren Hosts als Distributed Virtual Switch.
Aktuelle Virtualisierungssoftware kann mittlerweile einen kompletten Switch auf einem Host abbilden – oder gar auf mehreren Hosts als Distributed Virtual Switch.
(Bild: Extreme Networks)

Die Zuordnung von NAC und VMs

Die Information darüber, welche VM an eine bestimmte Portgroup angeschlossen ist, dient zur Zuordnung der VMs zu einer NAC-Endsystemgruppe. Dabei kann das System so eingestellt werden, dass der Administrator solche Zuordnungen bestätigen muss, bevor sie wirksam werden, um unabsichtliche Fehlkonfigurationen zu vermeiden.

So lassen sich die genannten Probleme elegant lösen. Der Netzwerkadministrator erstellt innerhalb des NAC Managers die Regeln und Gruppen für VMs, wählt die VLANs aus und bestimmt, ob der Datenverkehr zwischen den Hosts zunächst über einen physikalischen Switch fließt – beispielsweise um Flow-Daten zu analysieren. Der Systemadministrator schließt seine VM lediglich an eine bereits vorkonfigurierte Portgroup an und muss sich nicht mehr um die Konfiguration des Unternehmensnetzwerks kümmern.

Beide Seiten sehen innerhalb ihrer Tools ständig, welche virtuelle Maschine an welchem physikalischen Switch angeschlossen ist und welche Zugangs-Policy ihr zugewiesen wurde. Auch die bewährten NAC-Mechanismen für die Prüfung und Reparatur virtueller Maschinen stehen weiter zur Verfügung. Obwohl NAC eigentlich Endsysteme kontrolliert und nicht Server, kann diese Funktionalität hier dennoch sinnvoll sein, um eine adaptive Netzwerkumgebung in virtualisierten RZ-Bereichen bereitzustellen.

Die Information darüber, welche VM an eine bestimmte Portgroup angeschlossen ist, dient zur Zuordnung der VMs zu einer NAC-Endsystemgruppe.
Die Information darüber, welche VM an eine bestimmte Portgroup angeschlossen ist, dient zur Zuordnung der VMs zu einer NAC-Endsystemgruppe.
(Bild: Extreme Networks)

Desktop Virtualisierung

Auf den ersten Blick unterscheiden sich virtuelle Server und Desktops kaum. Groß sind ihre Differenzen allerdings hinsichtlich der Sicherheit beim Netzwerkzugang. Mittlerweile haben wir uns daran gewöhnt, dass Desktop-Systeme sich im Netzwerk authentisieren und sogar unterschiedliche Zugriffsprofile erhalten. Im Access-Bereich ist das relativ einfach, da Clients in der Regel an genau einen physikalischen Port angeschlossen werden und somit eindeutig klar ist, wie die Client-Daten durchs Netzwerk fließen.

Bei der Desktop-Virtualisierung greifen jedoch Thin Clients aufs Netz zu. Dazu gehören auch Tablet PCs oder gar Telefone. Die meisten Client-Datenpfade werden auf einige wenige Serverports konsolidiert. Doch es ist extrem schwierig, dort zu unterscheiden, welche Pakete von welchem Benutzer stammen. Traditionelle Verfahren wie NAC sind hier unmodifiziert nicht ohne weiteres einsetzbar – umso weniger, je dynamischer sich die Virtual-Desktop-Umgebung verhält.

Das Ziel von Virtual-Desktop-Implementierungen ist meist die spontane, automatische Provisionierung von Client-Desktops. Dabei wird der virtuelle Desktop bei Verbindungsaufbau aus einer Vorlage erzeugt. Differenzierte Zugangsprofile sind im Rechenzentrum noch wichtiger als im Access-Bereich, da Clients hier direkt im „Herzen“ des Netzwerks agieren. Sicherheitsverletzungen sind hier sehr riskant.

Eine Datacenter-Management-Software sollte die Zuordnung zwischen Virtual Desktop und entfernten Benutzern erkennen und diese an das NAC kommunizieren.
Eine Datacenter-Management-Software sollte die Zuordnung zwischen Virtual Desktop und entfernten Benutzern erkennen und diese an das NAC kommunizieren.
(Bild: Extreme Networks)

Hilfe per Datacenter-Management

Hier sollte daher eine Datacenter Management-Lösung genutzt werden, die sich für den Einsatz mit den die wichtigsten Desktop-Virtualisierungsprodukten am Markt eignet. Diese Lösung sollte dann die Zuordnung zwischen Virtual Desktop und entfernten Benutzern erkennen und diese an das NAC kommunizieren.

Mithilfe einer Multiuser Authentication kann das NAC die einzelnen Flows im Rechenzentrum erkennen und ordnet ihnen entsprechend passende Zugangsprofile zu.

Hier die Vorteile einer Virtual Desktop Integration am Beispiel des Data Center Manager (DCM) und weiteren Komponenten von Extreme Networks:

  • Clients verbinden sich durch sichere, verschlüsselte Tunnel mit dem Virtual Desktop im Data Center. Alle Benutzer haben in der Regel vom Virtual Desktop aus vollen Zugriff auf das Rechenzentrumsnetz.
  • Die Netzwerkinfrastruktur kann den Zugriff automatisch nutzer- und Desktop-spezifisch einschränken. Dazu gehört auch, das Verhalten von Benutzern und Virtual Desktops in der Data Center Infrastruktur für Reports und Troubleshooting zu beobachten.
  • Die Zuordnung von Benutzern zu VDs (Virtual Desktops) ist am „Citrix XDDC“ (Desktp Delivery Controller) verfügbar.
  • „VMware View 4.5“ unterstützt mit PCoIP (PC over IP) User Authentisierung. Im Rechenzentrum wird dazu 802.1x verwendet.
  • Extreme Networks DCM ermittelt VM-Daten und-Informationen über Remote User und stellt sie dem Extreme Networks-NAC zur Verfügung.
  • Extreme Networks NAC und die Multiuser Authentication identifizieren Tausende Benutzer und weisen einzelnen physikalischen Ports individuelle Sicherheitsprofile zu.

Über den Autor

Olaf Hagemann ist SE Director DACH bei Extreme Networks.

(ID:43603713)