У меня есть межсетевой экран Palo Alto VM Series, который я развернул в коробке ESXi 6.0. Как я могу сделать так, чтобы PAN действовал как прозрачный брандмауэр для всех виртуальных машин на коробке?
Я ожидал, что смогу использовать два vSwitches, один с физическим восходящим каналом к внутренней сети (и, в конечном итоге, с Интернетом), а другой - с виртуальными машинами (PAN-сеть). В этом vSwitch «PAN-Network» я бы хотел, чтобы у PAN был один из интерфейсов здесь вместе с виртуальными машинами, а затем был бы другой интерфейс в vSwitch «Internal Network» (что в конечном итоге приводит к Интернету).
PAN предлагает режим переключения уровня 2 или режим «Virtual Wire», чтобы работать прозрачно, но я не могу заставить это работать так, как я ожидал. Это вообще возможное решение, или мне придется делать что-то вроде сети с NAT (чего я действительно хочу избежать). Я предполагал, что наличие PAN в качестве уровня 2 или даже виртуального провода будет «соединять» два vSwitches и позволить виртуальной машине подключаться к физическому порту восходящего канала, но, насколько я тестировал, этого не происходит. .
Я не эксперт по ESXi или PAN, поэтому я борюсь с этой концепцией.
Спасибо.
Я смог найти решение, лучшее или наиболее правильное, я не уверен.
Я смог использовать два интерфейса vSwitch, как и ожидалось (один с физическим подключением, а другой без), а затем использовать тип интерфейса Virtual Wire в PAN (одна нога в vSwitch 1, а другая - в vSwitch2).
Ключевым моментом является то, что оба vSwitches должны иметь включенный режим Promiscuous, изменение MAC-адреса и поддельные передачи. Я мог бы поиграть, чтобы посмотреть, нужны ли они мне на обоих, но это сработало.