我有一台 Win2008 R2 HyperV 主机,其中有一个物理适配器,运行着一堆虚拟机。我有一个外部 IP 地址子网:xxx208 / 255.255.255.240
我曾经有过以下设置:
主机操作系统将具有 AD DC、HyperV、RRAS、DHCP 和 DNS 角色。物理适配器将具有明确分配给它的所有可用 IP 地址:
xxx210 / 255.255.255.240
...
xxx221 / 255.255.255.240
HyperV 网络将创建一个外部网络 - 但启用“允许管理操作系统共享适配器”选项 - 这样我也可以将公共 IP 分配给主机操作系统:
HyperV 创建了另一个网络适配器,我将其用于内部 LAN(192.168.2.0 / 255)。RRAS 设置为 NAT 和 LAN 路由,并为来宾执行 NATting,如下所示:
xxx210 -> 192.168.2.10,允许传入会话 = 是
...
xxx221 -> 192.168.2.21,允许传入会话 = 是
因此基本上所有来宾虚拟机都没有外部 IP 地址 - 但对它们来说这并不重要 - 它们仍然可以访问互联网,并且可以从外部访问。
然后我们开始遇到 RRAS、VPN 等问题 - 所以我读了一些资料,发现 NAT 模式不好(could someone comment on this btw?),我应该虚拟化物理适配器,让客户虚拟机直接访问外部网络。好吧,我这样做了。
当前设置如下:
我从外部适配器中删除了“允许管理操作系统共享适配器”,并向 HyperV 添加了第二个内部网络。
然后我必须为每个客户虚拟机添加第二个网络适配器 - 然后为每个虚拟机明确设置公共 IP 地址。这已经完成了,并且运行良好。RRAS 角色已从主机中删除。
问题:
我做对了吗?我内心的感觉是,是的——因为在这里我们的“零件”较少(或至少看起来是这样),但我只是想得到一些权威的意见。
当前设置与旧设置相比,我应该注意哪些问题?按照上述方法设置网络后,我应该采取哪些最佳实践?
这可能是对我来说最重要的问题。在这两种情况下,防火墙都在客户虚拟机上运行,切换后没有任何变化。我的理解是 NAT 不会对流量进行任何过滤 - 所有内容都直接发送给客户。然而,切换后,我开始在日志中收到以下错误(在我们的 Exchange VM 服务器上):
接收连接器 Default EXCHANGE 的入站身份验证失败,错误为 LogonDenied。身份验证机制为 Ntlm。尝试向 Microsoft Exchange 进行身份验证的客户端的源 IP 地址为 [200.195.42.7]。
这对我来说意味着在新的设置中,虚拟机“更加”容易受到外部威胁 - 但我只是不明白为什么在 NATed 场景中情况并非如此?我验证了 - 在切换之前没有出现过这样的错误。为什么我现在会收到这样的错误?从网络的角度来看发生了什么变化?