我正在尝试将我的家庭网络划分为不同的 VLAN(主要是为了安全和路由目的),并且我需要将不同的虚拟机连接到各自的 VLAN(VoIP、IP 摄像头、访客的 Wlan 等)。我更喜欢 KVM,但这不是必须的。
我有一台 VM 主机服务器,通过一条 UTP 电缆连接到交换机,并将所有必要的 VLAN 分配给端口。主机服务器已配置并运行 VLAN 接口(eth0 用于未标记的流量,eth0.1、eth0.2 ... 用于标记的 VLAN 流量)。
我想要实现的是主机可以连接到它们的 VLAN(guest0 到 eth0.0,guest1 到 eth0.1 等等),但主机服务器在这些 VLAN 中没有分配的 IP 地址。我的目标是隐藏主机服务器的存在,使其不被那些可能存在于这些 VLAN 上的受比特币挖掘病毒感染的 DDoS 设备发现。
我对这一切还很陌生,所以也许我错过了一些简单的基本的东西,但我似乎无法针对这个特定的问题正确使用谷歌搜索措辞。
答案1
我可以从 VMware 的角度回答这个问题。可能也可以在 KVM 上完成,我只是不确定。您要做的是在 vSwitch 上创建不同的端口组。每个端口组都有自己的 VLAN ID(与 802.11q VLAN 标记相同,对所有未标记的流量使用 VLAN ID 4095)。您将 Vmkernel 端口放在其自己的端口组上的自己的 VLAN 中,然后在网络层进行分离。
如果您想允许某些访问,请在这两个 VLAN 之间设置路由器,并设置防火墙规则以允许/阻止某些流量。但如果没有路由器,您实际上是将流量划分到不同的 VLAN。