如何让 VM 客户机连接到中继到主机服务器的 VLAN,但保持主机服务器不可访问?

如何让 VM 客户机连接到中继到主机服务器的 VLAN,但保持主机服务器不可访问?

我正在尝试将我的家庭网络划分为不同的 VLAN(主要是为了安全和路由目的),并且我需要将不同的虚拟机连接到各自的 VLAN(VoIP、IP 摄像头、访客的 Wlan 等)。我更喜欢 KVM,但这不是必须的。

我有一台 VM 主机服务器,通过一条 UTP 电缆连接到交换机,并将所有必要的 VLAN 分配给端口。主机服务器已配置并运行 VLAN 接口(eth0 用于未标记的流量,eth0.1、eth0.2 ... 用于标记的 VLAN 流量)。

我想要实现的是主机可以连接到它们的 VLAN(guest0 到 eth0.0,guest1 到 eth0.1 等等),但主机服务器在这些 VLAN 中没有分配的 IP 地址。我的目标是隐藏主机服务器的存在,使其不被那些可能存在于这些 VLAN 上的受比特币挖掘病毒感染的 DDoS 设备发现。

我对这一切还很陌生,所以也许我错过了一些简单的基本的东西,但我似乎无法针对这个特定的问题正确使用谷歌搜索措辞。

答案1

我可以从 VMware 的角度回答这个问题。可能也可以在 KVM 上完成,我只是不确定。您要做的是在 vSwitch 上创建不同的端口组。每个端口组都有自己的 VLAN ID(与 802.11q VLAN 标记相同,对所有未标记的流量使用 VLAN ID 4095)。您将 Vmkernel 端口放在其自己的端口组上的自己的 VLAN 中,然后在网络层进行分离。

如果您想允许某些访问,请在这两个 VLAN 之间设置路由器,并设置防火墙规则以允许/阻止某些流量。但如果没有路由器,您实际上是将流量划分到不同的 VLAN。

相关内容