HyperV 客户机外部 IP:主机上的 RRAS NAT VS 使用 Microsoft 虚拟交换机直接访问外部网络?

HyperV 客户机外部 IP:主机上的 RRAS NAT VS 使用 Microsoft 虚拟交换机直接访问外部网络?

我有一台 Win2008 R2 HyperV 主机,其中有一个物理适配器,运行着一堆虚拟机。我有一个外部 IP 地址子网:xxx208 / 255.255.255.240

我曾经有过以下设置:

主机操作系统将具有 AD DC、HyperV、RRAS、DHCP 和 DNS 角色。物理适配器将具有明确分配给它的所有可用 IP 地址:

xxx210 / 255.255.255.240

...

xxx221 / 255.255.255.240

HyperV 网络将创建一个外部网络 - 但启用“允许管理操作系统共享适配器”选项 - 这样我也可以将公共 IP 分配给主机操作系统:

在此处输入图片描述

HyperV 创建了另一个网络适配器,我将其用于内部 LAN(192.168.2.0 / 255)。RRAS 设置为 NAT 和 LAN 路由,并为来宾执行 NATting,如下所示:

xxx210 -> 192.168.2.10,允许传入会话 = 是

...

xxx221 -> 192.168.2.21,允许传入会话 = 是

因此基本上所有来宾虚拟机都没有外部 IP 地址 - 但对它们来说这并不重要 - 它们仍然可以访问互联网,并且可以从外部访问。

然后我们开始遇到 RRAS、VPN 等问题 - 所以我读了一些资料,发现 NAT 模式不好(could someone comment on this btw?),我应该虚拟化物理适配器,让客户虚拟机直接访问外部网络。好吧,我这样做了。

当前设置如下:

我从外部适配器中删除了“允许管理操作系统共享适配器”,并向 HyperV 添加了第二个内部网络。

在此处输入图片描述

然后我必须为每个客户虚拟机添加第二个网络适配器 - 然后为每个虚拟机明确设置公共 IP 地址。这已经完成了,并且运行良好。RRAS 角色已从主机中删除。

问题:

  1. 我做对了吗?我内心的感觉是,是的——因为在这里我们的“零件”较少(或至少看起来是这样),但我只是想得到一些权威的意见。

  2. 当前设置与旧设置相比,我应该注意哪些问题?按照上述方法设置网络后,我应该采取哪些最佳实践?

  3. 这可能是对我来说最重要的问题。在这两种情况下,防火墙都在客户虚拟机上运行,​​切换后没有任何变化。我的理解是 NAT 不会对流量进行任何过滤 - 所有内容都直接发送给客户。然而,切换后,我开始在日志中收到以下错误(在我们的 Exchange VM 服务器上):

接收连接器 Default EXCHANGE 的入站身份验证失败,错误为 LogonDenied。身份验证机制为 Ntlm。尝试向 Microsoft Exchange 进行身份验证的客户端的源 IP 地址为 [200.195.42.7]。

这对我来说意味着在新的设置中,虚拟机“更加”容易受到外部威胁 - 但我只是不明白为什么在 NATed 场景中情况并非如此?我验证了 - 在切换之前没有出现过这样的错误。为什么我现在会收到这样的错误?从网络的角度来看发生了什么变化?

相关内容