我们的互联网曾经进入一个小型交换机,通过物理防火墙,然后到主交换机,我们的 3 个 esx 也连接到那里。
现在防火墙已经虚拟化了,小交换机和大交换机连接起来,虚拟防火墙作为同一台交换机的两条腿。
它似乎没有出现任何问题,因为内部和外部位于不同的子网上,并通过防火墙进行路由。
但是,我仍然想将内部和外部分开......
esx 上没有足够的物理网卡,无法将外部放在单独的网卡上。
我可以在 vSwitch 上创建一个具有 vlan 99 的“虚拟机端口组”,在那里我可以连接防火墙的“外部支路”。
但是我应该在哪里“标记”互联网连接?共有 3 个位置,从外到内列出:
- 答:小型交换机上媒体转换器(光纤)的端口
- B:从小交换机到“主”交换机的端口
- C:主交换机上来自小交换机的端口
交换机是戴尔的,有选件
在 Vlan 成员资格页面上:
- 不是会员
- 取消标记出口数据包
- 标记出口数据包
在“Vlan 端口设置”页面上
- pvid [1-4095](我认为是 99)
框架类型:
- 全部承认
- 仅允许标签
入口过滤:
- 使能够
- 禁用
我应该在哪里设置什么?
答案1
我假设您通过单独的 pNIC 管理 ESX。否则(尽管这不是最佳实践),您只需以与下面的 VM 网络相同的方式处理管理网络。
首先从 ESX 连接的物理交换机开始。配置 VLAN“外部”和“内部”。将 ISP 连接到外部 VLAN,将其他所有 VLAN 连接到内部 VLAN。虚拟机使用的 pNIC 很特殊:将物理端口配置为中继,所有 VLAN 都在上面,并带有 802.1q 标记。我不熟悉您的交换机,但我相信如果对于虚拟机流量端口使用“标记出口”、“仅允许标记”,pvid 无关紧要,入口过滤启用,并且所有非虚拟机流量端口都具有取消标记、正确的 pvid(根据连接到它的内容对应于外部或内部 VLAN 的 pvid),全部允许,入口过滤无关紧要,上述内容将得以实现。
然后进入 ESX 并为所有 VM 创建一个 vSwitch。
在该 vSwitch 上,您可以创建两个端口组,“外部”和“内部”(第一个端口组是在创建 vSwitch 时创建的,然后通过相同的“添加网络”向导添加另一个端口组,但重复使用现有的 vSwitch)。它们都应该分配有 VLAN ID,即外部 VLAN 和内部 VLAN。然后将防火墙虚拟机连接到两个端口组(每个端口组一个 vNIC),并将内部虚拟机仅连接到内部端口组。
VMware的参考文档是这样的:http://www.vmware.com/pdf/esx3_vlan_wp.pdf并且您正在寻找描述“VST”的部分。