XenServer 7 - передавать весь общедоступный трафик в решение межсетевого экрана
У меня есть сервер с установленным XenServer 7.
В настоящее время XenServer имеет только одну виртуальную машину (FW01), которая является моим брандмауэром и маршрутизатором, я бы хотел подключить XenServer к WAN через ETH0 и перенаправить весь трафик, полученный на ETH0. прямо к виртуальной машине FW01 без того, чтобы сам XenServer просматривал полученные пакеты, поэтому эта виртуальная машина может обрабатывать все угрозы безопасности без компрометации самого XenServer.
Примечание. Виртуальная машина FW01 также является межсетевым экраном для самого XenServer, поэтому важно, чтобы XenServer пересылал все пакеты, полученные по ETH0, непосредственно на виртуальную машину FW01.
Или это похоже на официальный способ архивирования этого XenServer?
Как и в случае с сетью гипервизора, XenServer создает виртуальный Ethernet-коммутатор, к которому подключаются виртуальные машины. Эти виртуальные коммутаторы играют важную роль в качестве посредника между физической сетевой картой и виртуальной сетевой картой в вашей виртуальной машине. Следовательно, XenServer попытается проверить пакеты и направить их соответствующим образом.
Поскольку вы используете виртуальную машину в качестве основного брандмауэра, хорошим решением было бы выбрать двухпортовый сетевой адаптер и использовать аппаратную сквозную передачу непосредственно на вашу виртуальную машину FW01. Это приведет к передаче управления всей сетевой картой виртуальной машине, и XenServer не будет касаться ни одного из входящих пакетов.
Один порт на сетевом адаптере будет использоваться как входящее соединение WAN, а другой порт будет использоваться для обратного подключения (с помощью кабеля Ethernet или коммутатора) к хосту XenServer. При такой настройке создается впечатление, что у вас есть специальный брандмауэр, а не работает как виртуальная машина.