VMWare 和 VLAN - 为什么我能访问一个 VM 但不能访问另一个?

VMWare 和 VLAN - 为什么我能访问一个 VM 但不能访问另一个?

我在 VMWare ESXi 服务器上有两台虚拟机 - 一台 Sophos 防火墙和一台 Windows Server。在我的网络的 LAN 端,我有一堆设备和一个连接到真实交换机的 Cisco ATA。此交换机连接到服务器上的 nic0。我试图将 VOIP 流量完全隔离到 VLAN=4 上。这是唯一正在使用的 VLAN。

vSwitch0 拓扑:以下端口组连接到物理适配器 vmnic0...

  1. Sophos 端口组。VLAN = 4095(中继)。VM = Sophos XG 防火墙。IP = 192.168.2.1/24。
  2. 管理端口组。VLAN = 0。VMKernel 端口 vmk0。IP = 192.168.2.2/24。
  3. Windows Server 端口组。VLAN = 0。VM = Windows Server 2016 IP = 192.168.2.3/24 正如我所提到的,nic0 连接到一个真正的交换机。此端口中继 VLAN = 1(未标记)和 4(标记)。

从连接到另一个真实交换机端口(PVID=1,IP=192.168.2.40/24)的计算机,我可以访问 Sophos 防火墙和 VMWare 管理服务器,但不能访问 Windows 服务器。

这看起来很奇怪,因为 VMWare 和 Windows Server 端口组在虚拟交换机上具有相同的设置(VLAN=0 关闭)。

当我将 Windows Server VM 添加到 Sophos 端口组(VLAN=4095 中继)时,一切正常,所有设备都可以通信。但是,我不太喜欢这样,因为我的所有 VLAN=4 流量都可以在服务器上的 Wireshark 上看到,我想正确隔离 VLAN=4 流量,以便 Windows 计算机看不到任何 VOIP 数据。这应该只有防火墙才能看到,防火墙会将其转发到 WAN 虚拟交换机和物理适配器,然后转发到互联网。

问题...

  1. 为什么我能从连接到真实 LAN 交换机的计算机 (192.168.2.40) 访问 VMWare Management (192.168.2.2),但不能访问 Windows Server (192.168.2.3)?它们在 vSwitch 和端口组上的设置相同。

答案1

我最终通过删除 VLAN 和大多数虚拟机来简化设置。Windows Server 端口组仍然无法与物理 NIC 通信。当我创建新的 Linux VM 时,情况也是如此。

我重新创建了所有 vSwitch 和端口组,其他设置完全相同,然后它开始工作了。似乎有一个错误 - 我将防火墙 VM 从一个端口组移到另一个端口组,然后它说原始端口组从一开始就不存在。

基本上,我的问题似乎是 VMWare ESXi 错误。我的版本是 HPE 6.0U2,因为我在较旧的 HP ProLiant DL380 Gen5 上运行它。

相关内容