我有一台安装了 XenServer 7 的服务器。
目前 XenServer 只有一个虚拟机 (FW01),这是我的防火墙解决方案和路由器,我想要做的是通过 ETH0 将 XenServer 连接到 WAN,并转发 ETH0 上收到的所有流量直接地到 FW01 VM,而 XenServer 本身不会查看收到的数据包,因此该 VM 可以处理所有安全威胁,而不会损害 XenServer 本身。
附注:FW01 VM 也是 XenServer 本身的防火墙,因此 XenServer 将在 ETH0 上收到的所有包直接转发到 FW01 VM 非常重要。
或者他们是否有像官方 XenServer 那样的存档方式?
答案1
与虚拟机管理程序网络一样,XenServer 会创建一个虚拟机连接的虚拟以太网交换机。这些虚拟交换机必不可少地充当物理 NIC 和虚拟机中的虚拟 NIC 之间的中间人。因此,XenServer 将尝试检查数据包并对其进行适当的路由。
由于您使用虚拟机作为主要防火墙,因此一个好的解决方案是选择双端口 NIC,并使用硬件直通直接连接到您的 FW01 虚拟机。这会将整个 NIC 的控制权交给虚拟机,并且 XenServer 不会触及任何传入数据包。
NIC 上的一个端口将用作传入 WAN 连接,另一个端口将用于环回(使用以太网电缆或交换机)XenServer 主机。通过此设置,您就好像拥有专用的防火墙设备,而不是作为 VM 运行。