Раньше наш Интернет входил в небольшой коммутатор, через физический брандмауэр, а затем на главный коммутатор, к которому также подключены наши 3 esx'а.
Теперь межсетевой экран виртуализирован, поэтому к одному коммутатору подключены большой и малый коммутаторы, а виртуальный межсетевой экран - обе ноги.
Похоже, что проблем не возникает, поскольку внутренняя и внешняя стороны находятся в разных подсетях, маршрутизируемых через брандмауэр.
Но все же я бы хотел отделить внутреннее и внешнее ...
На esx'ах не хватает физических сетевых адаптеров, чтобы иметь внешний на отдельном нике.
Я могу создать «группу портов виртуальной машины» с vlan 99 на vSwitch, где я могу подключить «внешнюю ветвь» межсетевого экрана.
Но где я должен «пометить» интернет-соединение? Есть 3 места, перечисленные за пределами в:
Коммутаторы Dell, с опциями
На странице Vlan членство:
На странице "Настройки порта Vlan"
Тип кадра:
Входящая фильтрация:
Где и что установить?
Я предполагаю, что вы управляете ESX через отдельные pNIC. В противном случае (хотя это не лучшая практика) вы просто обрабатываете сеть управления так же, как и сети виртуальных машин ниже.
Вы начинаете с физического коммутатора, к которому подключены ваши ESX. Настройте VLAN «снаружи» и «внутри». Подключите ISP к внешней VLAN, все остальное к внутренней VLAN. Карты pNIC, используемые виртуальными машинами, являются особыми: настройте физические порты как транки со всеми VLAN на них, с тегированием 802.1q. Я не знаком с вашими коммутаторами, но полагаю, что вышеуказанное будет достигнуто, если для портов трафика ВМ вы будете использовать «выход тега», «допускать только теги», pvid не имеет значения, включена фильтрация входящего трафика и все, кроме виртуальных машин. порты трафика имеют немаркированный, правильный pvid (тот, который соответствует внешней или внутренней VLAN в зависимости от того, что к нему подключено), признать все, входящая фильтрация не имеет значения.
Затем перейдите в ESX и создайте один vSwitch для всех виртуальных машин.
На этом vSwitch вы создаете две группы портов, «внешнюю» и «внутреннюю» (первая группа портов создается при создании vSwitch, затем вы добавляете еще одну, используя тот же мастер «Добавить сеть», но повторно используя существующий vSwitch. ). Им обоим должны быть назначены идентификаторы VLAN, внешней и внутренней VLAN соответственно. Затем подключите виртуальные машины межсетевого экрана к обеим группам портов (по одному виртуальному сетевому адаптеру к каждой группе портов) и подключите внутренние виртуальные машины только к внутренней группе портов.
Справочный документ VMware: http://www.vmware.com/pdf/esx3_vlan_wp.pdf и вы ищете раздел, который описывает "VST".