У нас есть среда с 4 серверами Hyper-V, подключенными через коммутатор Dell PowerConnect 2824 к двум резервным межсетевым экранам Cisco PIX.
Прямо сейчас все работает без VLAN, но я хочу изолировать часть трафика, поэтому мне нужно установить тег VLAN на конкретном интерфейсе виртуальной машины, а затем позволить трафику выйти из порта коммутатора с этой конкретной VLAN. tag, и добраться до брандмауэра, но при входе в порт он должен быть немаркирован, чтобы брандмауэр мог обработать его, как если бы это был обычный нетегированный пакет.
Поэтому мне нужно позволить этим пакетам выходить с тегом VLAN на любом из портов, но разрешен вход только на двух определенных портах (в этот момент тег VLAN удаляется)
Обычные немаркированные пакеты не должны быть затронуты.
Я не очень разбираюсь в VLAN, поэтому мне интересно, возможно ли это. Некоторую документацию по коммутатору можно найти здесь:
http://support.dell.com/support/edocs/network/pc28xx/en/ug/html/switch.htm#wp1208025
Спасибо!
Нет. То, что вы предлагаете, противоречит цели VLANing. Предполагая, что существует способ заставить это работать, вы потеряете сегрегацию, как только она нажмет физический переключатель.
Вы можете сделать пару вещей, все из которых потребуют различных уровней переработки вашей сети и / или уродства.
Вы можете поменять местами это так, чтобы магистраль шла к машине Hyper-V, а порты доступа - к брандмауэру.
Вы можете настроить магистрали как для брандмауэра, так и для блока Hyper-V, а также настроить субинтерфейсы на брандмауэре, отдельные сети в блоке Hyper-V на основе этих VLAN.