我们在 VMware ESXi 4 上有一个 Windows Server 2008 主机,想将它与网络的其余部分隔离。也就是说,我不希望 Windows Server 2008 的流量在正常网络上流通。我认为如果设置正确,VLAN 可以做到这一点。
其中涉及授予从 Endian(Linux)防火墙通过 VPN 对该主机的访问权限。
此外,防火墙和 VMware 主机之间还有两个 Cisco (LinkSys 更名!) SG 200-26 交换机。VMware 主机在故障转移配置中使用双网卡。
据我所知,出现了几个问题:
- VMware 如何识别 VLAN?如何设置 VMware?
- Windows Server主机如何识别VLAN?
- 需要什么交换机配置?
- VLAN 如何正确隔离?(我认为适当的防火墙规则可以做到这一点。)
- 如何设置防火墙而不影响其他流量?
- 如何设置 Windows Server 而不影响其他来宾流量?
我的初步调查显示 Endian 支持 VLAN 和 VLAN 接口,尽管我还没有尝试过。Cisco 交换机支持 VLAN,但我不知道它如何与同一端口上的多个 VLAN 配合使用。VMware ESXi 似乎支持 VLAN,但仅限于主机级别;我看不出单个客户机可以放在单独的 VLAN 上。
更新:从我的阅读来看,听起来我需要将标记的 VLAN 帧从 Endian 防火墙传输到连接的交换机,然后再传输到另一台交换机,以及 VMware 使用的两个 NIC。我不确定所有这些都是否支持标记的 VLAN 帧。如果我标记了 VLAN 帧,那么它们应该能够在 VMware ESXi 主机和 Endian 防火墙之间的相同线路上传输。那么诀窍就是让 Windows Server 2008 客户机只进入一个 VLAN。
我找到了另一个问题与回答很好地解释了 VLAN,以及另一个答案解释了何时使用 VLAN。
我还发现了一些讨论这表明 Endian 不可能在同一端口上同时支持带标签和不带标签的 VLAN 帧。这种配置听起来像是自找麻烦。
我怀疑我的所有流量目前都未标记,但我不确定。
答案1
有很多方法可以做到这一点,这取决于你对此有多么的偏执。
如果您已将 VLAN 中继到 VM vSwitch 上的一个或多个端口组,并且乐于接受 VLAN 分离的安全性,那么您可以使用最简单的方法。这只是创建一个新的端口组,为其分配适当的 VLAN ID,并将 W2K8 VM 的 vNIC 添加到该端口组 - 就是这样,告诉您这很容易。
如果您已经有一个“VLAN-gnostic”vSwitch/端口组,其他所有端口组都使用它,那么只需在该端口组的 VLAN 设置中输入适当的“默认”VLAN ID,这不会影响现有的虚拟机。然后只需为 W2K8 VM 创建一个新端口组,为其分配正确的 VLAN ID,并将 W2K8 VM 的 vNIC 指向该新端口组。
如果您想要物理电缆分离,只需将备用 ESXi 主机 NIC 链接到交换机,将交换机设置为中继 W2K8 VM 的新 VLAN,然后创建链接到该 NIC 的新 vSwitch,然后创建一个新的端口组,将新的 VLAN ID 设置为该端口组的 VLAN,并将 W2K8 VM 的 vNIC 指向该新端口组及其底层的新 vSwitch。
如果您想要其他东西,则需要告诉我们更多信息。
哦,W2K8 VM 是“客户机”而不是“主机”,ESXi 是主机。