Назад | Перейти на главную страницу

хост со шлюзом по умолчанию как сам

Я столкнулся со специфической проблемой. Раньше у нас было 4 сетевых сегмента в нашей производственной установке, скажем, сегменты A, B, C и D. A, B и C могут связываться друг с другом, с корпоративной локальной сетью и Интернетом. Сегмент D - это полностью изолированный сегмент, который используется исключительно для резервного копирования и управления. поэтому хост Z только в сегменте D не смог получить доступ ни к одному из других сегментов.

Недавно мы представили установку vmvare vsphere 5.1 в нашей производственной среде. Мы создали распределенный коммутатор в vcenter. Распределенный коммутатор имеет восходящие каналы от всех 4 сегментов сети. Мы также создали отдельную группу портов для каждого сегмента.

Теперь проблема в том, что хост D теперь может связываться с другими сегментами, но только с теми, которые находятся в настройке vmware, то есть с хостами, подключенными к распределенному коммутатору. Физические машины в других сегментах все еще недоступны для машины Z.

Это мой анализ проблемы.

  1. Проверяя хост Z, если он обнаружен, шлюз по умолчанию был установлен как сам хост Z.
  2. Распределенный коммутатор vsphere ведет себя как коммутатор второго уровня, а группы портов - это просто группа портов, которые не отмечают никакой изоляции между ними.
  3. Поскольку шлюз по умолчанию сохраняется, в таблице маршрутизации хоста Z есть путь для всех остальных сегментов. т.е. пакеты достигают коммутатора сегмента D [точка 1].Затем коммутатор отправляет эти пакеты через восходящие каналы на распределенный коммутатор vsphere., Помня пункт 2, пакеты достигают хоста назначения.

В пункте 3 я запутался [в частности, та часть, которая жирный], может быть, из-за того, что я плохо разбираюсь в сетевых технологиях. Поскольку для машины Z шлюзом является сам, любой пакет, отправленный для других сегментов, должен возвращаться самому себе .... !!. ?? .. или я знаю, что существует так называемый протокол связующего дерева, который предотвращает образование петель в сети . Это вступает в игру .... ?? Как пакет достигает моего распределенного коммутатора .... ??

Пожалуйста, поправьте меня, если что-то не так, и заранее большое спасибо.

Наконец-то получил ответ на свой вопрос. Это произошло из-за того, как Linux реализует стек TCP / IP. По умолчанию используется модель слабого хоста. [http://en.wikipedia.org/wiki/Host_model] . Из-за этого сетевой адаптер удаленных хостов, который был подключен к частной сети, отвечал на запрос по IP-адресу другого адаптера.

Хост Z всегда имел доступ только к частной сети D. Как упомянул Шон, поскольку шлюз Z по умолчанию был установлен сам по себе, он будет пытаться отправлять пакеты напрямую на любой другой хост, который поддерживает такое поведение.

Мне кажется, ваша сеть не сегментирована, как вы описываете. Возможно ли, что распределенный коммутатор использует один и тот же номер VLAN для всех групп портов или вообще не использует VLAN? Если пакеты не маркируются VLAN через VDS, это объясняет, почему существует нежелательное подключение внутри vSphere, и такое же подключение не наблюдается на физических восходящих каналах.

Было бы полезно предоставить более подробную информацию об IP / маскировке в вашей среде, а также об интерфейсах маршрутизатора, чтобы более подробно объяснить сегментацию.

В любом случае, я надеюсь, что это может быть полезно. Удачи.