一段时间以来,我一直在尝试在 vmware 主机中将路由器/防火墙作为虚拟机运行,但遇到了以下障碍:我想将调制解调器插入交换机,以便使路由器能够通过主机进行 vmotion 并继续工作。想法如下:
身体的: 互联网 -> 调制解调器 -> 托管交换机 (Dell 6248) -> 其余网络 (计算机和服务器)
逻辑: 互联网 -> 调制解调器 -> VLAN 2 (WAN) -> UTM VM -> VLAN 3 (LAN) -> 网络其余部分(计算机和服务器)
但无论我做什么或尝试什么,我都无法将任何设备插入我的戴尔交换机以与互联网通信。我尝试了各种组合:
- 笔记本电脑插入调制解调器(工作)
- 笔记本电脑插入哑开关,调制解调器插入同一开关(工作)
- 笔记本电脑插入简单的 DLink 路由器,调制解调器插入同一路由器(工作)
- 笔记本电脑插入戴尔交换机,调制解调器插入同一 VLAN(不起作用)
我在我的连接上运行了 Wireshark,发现以下情况:我的笔记本电脑正确执行了 DHCP 请求并从我的 ISP 获取了 IP。但是当它尝试对 ISP 网关的 MAC 执行 ARP 请求时,它从未得到答复。
前任: Who has 27.161.25.1, tell 27.161.25.106(不是我的实际 IP)
它一遍又一遍地重复,却得不到答案。我的主要罪魁祸首可能是戴尔交换机,但我不知道该怎么办。我尝试了几种设置,但都无济于事。谢谢。
编辑:这是我的交换机配置的一些屏幕截图
VLAN 2 的 VLAN 成员资格: Vlan 成员资格
端口 1 和 2 的 VLAN 端口配置(在编写这些行时它们是相同的): 端口 1 和 2 配置
端口 47 和 48 是 LAG,充当 VLAN 2 和 3 之间的中继并通向虚拟机管理程序。
答案1
啊该死,我现在将其作为答案发布出来:
我搞不懂你的问题。我现在明白了,你想在路由/防火墙完成之前阻止其他设备与 WAN 通信。
请记住,不支持 VLAN 的网络设备无法理解 VLAN 标签。您可以根据交换机定义标记/取消标记端口的规则(大多数可以通过 Web 界面或 COM/USB 端口配置),并且连接到调制解调器的端口应始终删除 VLAN 标签(取消标记)。
假设您已将调制解调器插入戴尔交换机的端口 1,则必须对其进行配置,使端口 1 位于 VLAN-2 中,但为其定义 UNTAG。因此,交换机会在数据包进入端口 1 时动态地为其添加 VLAN 标签,但在数据包离开端口时将其删除,以便您的调制解调器能够理解这一点。
假设您的计算机及其上运行的路由器虚拟机插入端口 2;您必须将此端口配置为 VLAN 2 和 3,但不要取消标记,并为 VLAN 2 和 3 配置路由器(包括路由、DHCP、NAT 等)。请记住,您的路由器必须理解 VLAN 标记才能执行此操作,您必须为每个 VLAN 配置 VLAN 接口。
如果您希望所有其他端口都成为 VLAN 3,那么您基本上必须执行与调制解调器端口相同的操作,将所有物理端口设置为 VLAN 3 的成员,但对它们应用 UNTAG。
基本上,使用 VLAN 的设备之间的所有物理连接都必须保留 VLAN 标记,所有其他连接都必须标记为取消标记,但分配给它们应该所在的 VLAN。