У меня следующая конфигурация:
ВМ1 - - ->
VM2 - - -> Шлюз VM0
ВМ3 - - ->
К настоящему времени все vms находятся в одной группе портов, но я хочу изолировать каждый mv в одной VLAN, поэтому я создал одну группу портов с одним vlan для каждого mv, например:
PortGroupA VLAN 10 для шлюза (pfsense)
PortGroupB VLAN 20 для VM1
PortGroupC VLAN 30 для VM2
PortGroupD VLAN 40 для VM3
Проблема в том, что я хочу подключить каждую виртуальную машину к шлюзу, но я не могу, я читал, и невозможно назначить две или более VLAN одной группе портов, я попытался поместить VLAN 10 в 4095, но ничего, конечно, если Я помещаю PortGroupA и PortGroupB в одну и ту же VLAN, работает нормально. Другое решение, о котором я подумал, - это поставить одну сетевую карту в шлюз для каждой группы портов, но я думаю, что это неправильный вариант. Спасибо!
редактировать: Я читаю о vlan в esxi, и кто-то говорит, что мы используем vlan только при подключении к физическому коммутатору, верно? В этом случае моя инфраструктура полностью виртуализирована, поэтому лучшее решение - использование подсетей? ничего более?
Хорошо, я понимаю, что вы пытаетесь сделать. Ваша идея о добавлении дополнительных сетевых адаптеров для каждой VLAN также не является неверной, но предположим, что у вас есть 100 VLAN. Если это так, то добавление дополнительных сетевых адаптеров к виртуальной машине pfsense не представляется возможным. Вы обязательно столкнетесь с проблемой масштаба.
С точки зрения дизайна, правильный способ сделать это - настроить PortGroupA для приема всех VLAN. Для этого измените параметр PortGroupA VLAN ID на ВСЕ (4095). Это позволит PortGroupA расширить широковещательный домен для каждой сети VLAN до устройства виртуального межсетевого экрана pfsense.
Затем на устройстве брандмауэра pfsense вы настраиваете четыре подчиненных интерфейса (или интерфейсов VLAN) с тегами VLAN 10, 20, 30, 40. Настройте IP-адрес для каждого подчиненного интерфейса в pfsense. Все это предполагает, что вы используете разные подсети для разных VLAN. Например, у вас должна быть подсеть, как показано ниже;
subnet 192.168.10.x/24 part of VLAN 10.
subnet 192.168.20.x/24 part of VLAN 20.
subnet 192.168.30.x/24 part of VLAN 30.
subnet 192.168.40.x/24 part of VLAN 40.
Затем в pfsense ваши интерфейсы VLAN должны иметь IP-адреса от каждой VLAN, и эти IP-адреса станут шлюзом по умолчанию для их соответствующей VLAN. Для ваших виртуальных машин это означает, что их шлюз по умолчанию будет настроен так, чтобы указывать на IP-адреса, настроенные на брандмауэре pfsense. Пример,
if IP address for VLAN 20 on pfsense firewall is configured to 192.168.20.254
then the default gateway on the VM part of VLAN 20 (PortGroupB) should be
configured to 192.168.20.254
В итоге вы хотите, чтобы pfsense позаботился о понимании того, какой трафик принадлежит какой VLAN, и откуда этот трафик исходит и куда он собирается.
По сути, с точки зрения сети, вам следует подумать о создании Router-on-A-Stick с возможностями межсетевого экрана, размещенного в гипервизоре ESXi в виде виртуального устройства.
Всего наилучшего !! дайте мне знать о вашем прогрессе.