Как лучше всего принудительно разделить VLAN на несколько виртуальных коммутаторов?
У меня, вероятно, довольно сложная установка, чтобы получить по существу 4 отдельных виртуальных коммутатора.
Входящая линия представляет собой объединенное соединение 10 Гбит / с в режиме магистрали, которое я затем добавляю к внешнему виртуальному коммутатору и создаю 4 виртуальных сетевых адаптера для ОС управления, каждая из которых настроена на режим доступа в нужной мне VLAN. Затем я создал четыре внутренних виртуальных коммутатора. Четыре - это количество виртуальных локальных сетей, которые я хочу выделить.
Теперь я могу настроить каждую сетевую карту на режим доступа к той VLAN, которую я хочу, а затем создать на большом мосту. Вуаля, все виртуальные серверы могут видеть Интернет и иметь доступ к нужной VLAN. Но есть несколько проблем. Во-первых, если я настрою какой-либо сервер на DHCP, он получит DHCP только из vlan по умолчанию, а не из той VLAN, которой должен быть назначен коммутатор. Во-вторых, я могу назначить IP-адрес любой из сетей VLAN, и сервер по-прежнему будет обмениваться данными, независимо от того, что должен делать коммутатор.
Я понимаю концепции происходящего. Поскольку все настроено в режиме доступа, все они отправляют немаркированные кадры, поэтому, как только он наконец попадает на мост, он переводит все в собственную (немаркированную) VLAN. Моя единственная проблема в том, что я не могу найти способ указать кадры с тегами. Или, что еще лучше, создать 4 сетевых моста, по одному для каждой VLAN.
Какие-либо предложения?
Один коммутатор на каждую VLAN - ненужное усложнение. Настройте магистральный порт (порты) на коммутаторе TOR / доступа. Затем создайте 1 vSwitch на своем хосте. Подключите сетевые адаптеры vSwitch к портам магистрали. Когда вы создаете виртуальную машину, отредактируйте настройки vNIC и установите тег / идентификатор / номер VLAN.
Это и самый простой способ сделать это, и лучший способ. VSwitch, пока вы используете объединение MSFT (или следуете инструкциям для неподдерживаемого объединения сторонних производителей), защищен от переключения VLAN.
Единственный реальный сценарий, когда вам нужно несколько команд, - это когда вы сталкиваетесь с чем-то в Интернете. В этом случае вы используете вторую сетевую карту / команду не для безопасности, а для DDOS.
Хотя я настоятельно призываю всех использовать ответ Эйдана, если это вообще возможно. Окончательное решение, которое я нашел, позволило мне сохранить первоначальный дизайн сервера и при этом заставить его работать. Выход из ариткла, представленного здесь https://community.mellanox.com/docs/DOC-1845 стало очевидно, что я могу добавлять интерфейсы в свою команду.
Я добавил командный интерфейс для каждой VLAN и создал внешний коммутатор для каждого командного интерфейса. Я мог переключаться между созданными новыми коммутаторами и отлично получать DHCP.