Назад | Перейти на главную страницу

Настройка VLAN на гостевом компьютере Win Server 2008 VMware

У нас есть хост Windows Server 2008 на VMware ESXi 4, и мы хотим изолировать его от остальной сети. То есть я не хочу, чтобы трафик с Windows Server 2008 разрешался в обычной сети. Я думал, что VLAN сделает это, если будет правильно настроена.

При этом задействовано предоставление этому хосту доступа через VPN от брандмауэра Endian (Linux).

Кроме того, между межсетевым экраном и хостом VMware находятся два коммутатора Cisco (переименован в LinkSys!) SG 200-26. Хост VMware использует две сетевые карты в конфигурации аварийного переключения.

На мой взгляд, возникает несколько проблем:

Мое первоначальное расследование показало, что Endian поддерживает VLAN и интерфейсы VLAN, хотя я еще не пробовал это делать. Коммутатор Cisco поддерживает VLAN, но я не знаю, как он будет работать с несколькими VLAN на одном порте. VMware ESXi, похоже, поддерживает VLAN, но только на уровне хоста; Я не вижу, где одного гостя можно разместить в отдельной VLAN.

ОБНОВИТЬ: Насколько я знаю, мне кажется, что мне нужно пометить фреймы VLAN от брандмауэра Endian до подключенного коммутатора, затем на другой коммутатор и на обоих сетевых адаптерах, используемых VMware. Я не уверен, что все они будут поддерживать тегированные кадры VLAN. Если я пометил кадры VLAN, они должны иметь возможность перемещаться по одним и тем же проводам между хостом VMware ESXi и межсетевым экраном Endian. Таким образом, хитрость заключается в том, чтобы гостевая система Windows Server 2008 подключилась только к одной VLAN.

Я нашел другой вопрос с ответ это прекрасно объясняет VLAN, а также другой ответ это объясняет, когда использовать VLAN.

Я также нашел несколько обсуждение это предполагает, что функция Endian не может поддерживать тегированные и немаркированные кадры VLAN на одном и том же порте одновременно. Эта конфигурация просто звучит так, как будто она вызывает проблемы.

Я подозреваю, что весь мой трафик в настоящее время немаркирован, но я не знаю наверняка.

Есть много способов сделать это, это зависит от того, насколько параноиком вы хотите быть в этом отношении.

Если вы уже соединяете VLAN с одной или несколькими группами портов на vSwitch виртуальной машины и готовы жить с безопасностью разделения VLAN, вы можете использовать самый простой метод. Это просто для создания новой группы портов, назначения ей соответствующего идентификатора VLAN и добавления vNIC виртуальной машины W2K8 к этой группе портов - вот и все, сказал вам, что это было легко.

Если у вас уже есть vSwitch / группа портов «VLAN-gnostic», которую использует все остальное, просто введите соответствующий идентификатор VLAN «по умолчанию» в настройках VLAN этой группы портов, это не должно повлиять на существующие виртуальные машины. Затем просто создайте новую группу портов для виртуальной машины W2K8, назначьте ей правильный идентификатор VLAN и укажите vNIC виртуальной машины W2K8 на эту новую группу портов.

Если вам нужен отдельный физический кабель, просто подключите запасную сетевую карту хоста ESXi к коммутатору, установите коммутатор для транкинга новой VLAN виртуальной машины W2K8, затем создайте новый vSwitch, связанный с этим сетевым адаптером, затем создайте новую группу портов с новым набором идентификаторов VLAN. в качестве VLAN этой группы портов и направьте vNIC виртуальной машины W2K8 на эту новую группу портов и ее новый vSwitch.

Если вам нужно что-то еще, дайте нам знать больше.

Да, и виртуальная машина W2K8 - это «гость», а не «хост», ESXi - это хост.