我有一个 Palo Alto VM 系列防火墙,已在 ESXi 6.0 机箱中启动。如何让 PAN 充当机箱上所有 VM 的透明防火墙?
我原本希望使用两个 vSwitch,一个用于物理上行链路到内部网络(最终到互联网),另一个用于放置虚拟机(PAN 网络)。在这个“PAN 网络”vSwitch 上,我会让 PAN 的其中一个接口与虚拟机一起放在这里,然后在“内部网络”vSwitch 中放置另一个接口(最终到互联网)。
PAN 提供第 2 层交换机模式或“虚拟线路”模式来帮助透明地运行,但我似乎无法让它按预期工作。这是一个可行的解决方案吗?还是我必须做一些类似 NAT'd 网络的事情(我真的想避免这种情况)。我假设将 PAN 作为第 2 层或虚拟线路,它将“桥接”两个 vSwitches 并允许 VM 连接到物理上行链路端口,但据我测试,这并没有发生。
我不是 ESXi 或 PAN 专家,所以我对这个概念感到困惑。
谢谢。
答案1
我能够找到一个解决方案,但我不确定它是否是最佳或最正确的。
我可以按预期使用两个 vSwitch 接口(一个带有物理连接,一个没有),然后在 PAN 上使用虚拟线接口类型(一条腿在 vSwitch 1 中,另一条腿在 vSwitch2 中)。
关键是两个 vSwitch 都必须启用混杂模式、MAC 地址更改和伪造传输。我可能会尝试一下,看看是否需要在两个 vSwitch 上都启用这些功能,但这就是可行的方法。
答案2
我正在尝试使用 vswitch0 和 vSwitch1 做同样的事情。vSwitch0 连接到物理网卡,并且 vwire/网络适配器的一端连接到 v0 上的端口组。vwire 中的另一个网络适配器连接到服务器和客户端所在的端口组中的 v1。我在两个 vswitch 上都启用了混杂模式。不幸的是,来自我的客户端的流量不会通过端口组中的 vwire 端。您有什么提示或更详细的配置概述吗?
非常感谢