我们的环境中有 4 台 Hyper-V 服务器,通过 Dell PowerConnect 2824 交换机连接到两个 Cisco PIX 冗余防火墙。
现在,一切无需 VLAN 即可工作,但我想隔离部分流量,因此我需要在虚拟机的特定接口上设置 VLAN 标记,然后让流量带着这个特定的 VLAN 标记离开交换机端口,并到达防火墙,但在进入端口时,它需要取消标记,以便防火墙可以像处理常规的未标记数据包一样处理它。
因此,我需要让这些数据包带着 VLAN 标记从任意端口出去,但只允许从两个特定端口进入(此时 VLAN 标记将被删除)
常规未标记的数据包应该不受影响。
我对 VLAN 不是很熟悉,所以我想知道这是否可行。有关交换机的一些文档可在此处找到:
http://support.dell.com/support/edocs/network/pc28xx/en/ug/html/switch.htm#wp1208025
谢谢!
答案1
不。您的建议违背了 VLANing 的目的。假设有办法实现这一点,那么一旦它到达物理交换机,您就会失去隔离。
您可以做几件事,但所有这些都需要不同程度地重新设计您的网络和/或丑陋。
访问端口
首先,也是最简单的方法,就是创建 VLAN,然后从交换机向 Hyper-V 盒添加第二个以太网接口作为正常访问端口(未标记),然后为该流量设置单独的虚拟网络。您还必须向防火墙添加另一个接口,以连接到交换机上的另一个正常访问端口,并从那里路由/防火墙。混合中继/接入端口
您需要设置一条到防火墙的中继,并使用防火墙上的子接口或虚拟接口来处理标有 VLAN 的数据包。然后,您将有两个接入 Hyper-V 盒的访问端口,每个 VLAN 一个。您可以交换这一点,以便 Trunk 转到 Hyper-V 机器,并将访问端口转到防火墙。
四周都有线槽
您可以设置到防火墙和 Hyper-V 盒的中继,并在防火墙上设置子接口,并根据这些 VLAN 在 Hyper-V 盒上分离网络。