强制跨多个虚拟交换机进行 VLAN 隔离的最佳方法是什么?
我可能需要进行相当复杂的设置才能获得 4 个独立的虚拟交换机。
传入线路是中继模式下的 10Gbe 组合连接,然后我将其添加到外部虚拟交换机,并为管理操作系统创建 4 个虚拟网卡,每个虚拟网卡都设置为我想要的 VLAN 中的访问模式。然后我创建了四个内部虚拟交换机。四个是我想要隔离的 VLAN 数量。
现在,我可以将每个 NIC 设置为所需 VLAN 中的访问模式,然后在大桥上创建。瞧,所有虚拟服务器都可以看到互联网并可以访问它们所需的 VLAN。但是,存在一些问题。首先,如果我将任何服务器设置为 DHCP,那么它只会从默认 VLAN 获取 DHCP,而不是从交换机应分配到的任何 VLAN 获取。其次,我实际上可以从任何 VLAN 分配 IP,并且无论交换机应该做什么,服务器仍将进行通信。
我理解正在发生的事情的概念。由于所有内容都设置为访问模式,因此所有内容都会发送未标记的帧,因此一旦最终到达网桥,它会将所有内容转换为本机(未标记)VLAN。我唯一的问题是,我找不到指定标记帧的方法。或者更好的是,创建 4 个网络桥接器,每个 VLAN 一个。
有什么建议么?
答案1
每个 VLAN 1 个交换机是不必要的复杂化。在 TOR/接入交换机上配置中继端口。然后在主机上创建 1 个 vSwitch。将 vSwitch NIC 连接到中继端口。创建虚拟机时,编辑 vNIC 设置并设置 VLAN 标签/ID/编号。
这既是最简单的方法,也是最佳实践。只要您使用 MSFT 组合(或按照不受支持的第三方组合的说明操作),vSwitch 就不会出现 VLAN 跳跃。
唯一真正需要多个团队的情况是当你在互联网上遇到问题时。在这种情况下,你会使用第二个 NIC/团队,不是为了安全,而是为了 DDOS。
答案2
虽然我强烈建议大家尽可能使用 Aidan 的答案。我找到的最终解决方案让我能够保留服务器的原始设计,同时仍能使其正常工作。根据此处提供的文章https://community.mellanox.com/docs/DOC-1845显然我能够为我的团队添加接口。
我为每个 VLAN 添加了一个组接口,并为每个组接口创建了一个外部交换机。我可以在新创建的交换机之间切换并完美获得 DHCP。