我在 VMWare ESXi 服务器上有两台虚拟机 - 一台 Sophos 防火墙和一台 Windows Server。在我的网络的 LAN 端,我有一堆设备和一个连接到真实交换机的 Cisco ATA。此交换机连接到服务器上的 nic0。我试图将 VOIP 流量完全隔离到 VLAN=4 上。这是唯一正在使用的 VLAN。
vSwitch0 拓扑:以下端口组连接到物理适配器 vmnic0...
- Sophos 端口组。VLAN = 4095(中继)。VM = Sophos XG 防火墙。IP = 192.168.2.1/24。
- 管理端口组。VLAN = 0。VMKernel 端口 vmk0。IP = 192.168.2.2/24。
- Windows Server 端口组。VLAN = 0。VM = Windows Server 2016 IP = 192.168.2.3/24 正如我所提到的,nic0 连接到一个真正的交换机。此端口中继 VLAN = 1(未标记)和 4(标记)。
从连接到另一个真实交换机端口(PVID=1,IP=192.168.2.40/24)的计算机,我可以访问 Sophos 防火墙和 VMWare 管理服务器,但不能访问 Windows 服务器。
这看起来很奇怪,因为 VMWare 和 Windows Server 端口组在虚拟交换机上具有相同的设置(VLAN=0 关闭)。
当我将 Windows Server VM 添加到 Sophos 端口组(VLAN=4095 中继)时,一切正常,所有设备都可以通信。但是,我不太喜欢这样,因为我的所有 VLAN=4 流量都可以在服务器上的 Wireshark 上看到,我想正确隔离 VLAN=4 流量,以便 Windows 计算机看不到任何 VOIP 数据。这应该只有防火墙才能看到,防火墙会将其转发到 WAN 虚拟交换机和物理适配器,然后转发到互联网。
问题...
- 为什么我能从连接到真实 LAN 交换机的计算机 (192.168.2.40) 访问 VMWare Management (192.168.2.2),但不能访问 Windows Server (192.168.2.3)?它们在 vSwitch 和端口组上的设置相同。
答案1
我最终通过删除 VLAN 和大多数虚拟机来简化设置。Windows Server 端口组仍然无法与物理 NIC 通信。当我创建新的 Linux VM 时,情况也是如此。
我重新创建了所有 vSwitch 和端口组,其他设置完全相同,然后它开始工作了。似乎有一个错误 - 我将防火墙 VM 从一个端口组移到另一个端口组,然后它说原始端口组从一开始就不存在。
基本上,我的问题似乎是 VMWare ESXi 错误。我的版本是 HPE 6.0U2,因为我在较旧的 HP ProLiant DL380 Gen5 上运行它。