Wie richte ich ein VLAN zwischen einer ESXi-VM und physischer Hardware ein? [geschlossen]

8

Zuallererst bin ich ein totaler Noob. Der Umfang meiner VLAN-Erfahrung besteht darin, ein Gastnetzwerk auf einem WLAN-Router einzurichten.

Ich habe kürzlich die Anfrage erhalten, ein öffentliches Netzwerk einzurichten, das gefiltert und gedrosselt werden muss (über Untangle). In der Zwischenzeit befindet sich im selben Gebäude eine Workstation, die uneingeschränkten Zugang haben sollte.

Meine Frage ist, was mache ich mit den ESXi-Switches und / oder dem Netgear GS108E-Switch, um die Netzwerke logisch zu trennen? Ab sofort fließt alles durch den "roten" Pfad von no / all / default LAN. Ich brauche die Workstation [w], um durch den "blauen" Pfad zu fließen, während alles andere auf dem "roten" Pfad bleibt. Ich habe Dutzende von VLAN-Artikeln gelesen, aber nichts lässt die Standard-VLAN-Konzepte / tagging / untagged / native klicken.

Diagramm

Carl
quelle

Antworten:

7

802.1q ist der technische Standard für das VLAN-Tagging ( http://en.wikipedia.org/wiki/IEEE_802.1Q ). Dieser Standard beinhaltet die Platzierung eines "VLAN-Tags" im Header von Ethernet-Frames. Mit diesem Tag kann eine Verbindung mehrere VLANs übertragen, sofern beide Geräte das 802.1q-Tagging erkennen, da das Tag die VLAN-ID enthält, zu der der Datenverkehr gehört.

Eine solche Verbindung wird üblicherweise als "Trunk-Link" oder "802.1q-Trunk" usw. bezeichnet. In einer solchen Umgebung gibt es normalerweise ein einzelnes VLAN, dem die Rolle eines "nativen VLAN" zugewiesen ist. Der Begriff kann auch "VLAN ohne Tags" sein, da dies ein natives VLAN ist - ein bestimmtes VLAN, das eine Trunk-Verbindung ohne VLAN-Tag kreuzt. Da es ohne dieses Tag keine Möglichkeit gibt, festzustellen, zu welchem ​​VLAN ein Paket gehört, kann nur ein VLAN als "natives VLAN" bezeichnet werden. Es empfiehlt sich, sicherzustellen, dass dieser Wert auf beiden Seiten eines Trunks übereinstimmt.

In ESXi können Sie Portgruppen mit einer VLAN-ID definieren. Wenn Sie dieses Feld leer lassen (oder 0 angeben), wird der Datenverkehr dieser Portgruppe ohne VLAN-Tag an den Host übertragen. Dies ist in Ordnung, wenn Sie nur eine Portgruppe auf dem Host haben und dieser vSwitch nur an eine Verbindung angeschlossen ist, da Sie diesen Port einfach zu einem Zugriffsport machen können, ohne dass eine Amtsleitung erforderlich ist. Es müssen jedoch mehrere VLANs an denselben Link (oder dasselbe Link-Bundle) übergeben werden. Daher würde ich sicherstellen, dass Trunking für die Switchports konfiguriert ist, mit denen Ihr Host eine Verbindung herstellt. Anschließend müssen Sie nur die entsprechende VLAN-ID eingeben pro vSwitch-Portgruppe. ESXi markiert Frames, die in diese Portgruppe eintreten, wenn sie den Host verlassen.

Es ist wichtig, dass Sie Ihre Switchports im Modus "VLAN-Trunk" oder "VLAN-Tagging" konfigurieren, da Nicht-Trunk-Ports keine getaggten Frames akzeptieren (sie werden gelöscht). Trunk-Ports akzeptieren getaggte Frames, und Sie senden getaggte Frames von Ihrem ESXi-Host mit der oben genannten Konfiguration.

Soweit ich das beurteilen kann, sollte der Schalter, den Sie im Diagramm zeigen, all dies unterstützen, aber er ist möglicherweise nicht der intuitivste oder verwendet dieselben Begriffe. Ich würde empfehlen, bei der Dokumentation zu bleiben und zu prüfen, ob Sie sie zum Laufen bringen können. http://www.netgear.com/business/products/switches/prosafe-plus-switches/GS108E.aspx

Mierdin
quelle
1

In Port 1 sollte VLAN 14 markiert sein. Port 4 sollte zur VLAN 14-Gruppe gehören, aber VLAN 14 ohne Tags haben, da die Workstation kein VLAN-Konzept hat.

Wählen Sie in der Netgear-Switch-Konfiguration 802.11Q aus, nicht portbasiert. Es ist etwas komplexer, aber Sie brauchen es.

Sie können an jedem Port so viele VLANs haben, wie Sie benötigen, aber nur eines (als PVID bezeichnet) kann nicht markiert werden. Stellen Sie die PVID von Port 1 auf 1 ein, lassen Sie sie jedoch mit beiden VLANs 1 und 14 verbinden. Stellen Sie die PVID von Port 4 auf 14 ein und verbinden Sie sie nur mit VLAN 14. Alle anderen Ports sind VLAN 1-PVID 1

Rod MacPherson
quelle
0

Die einzige Möglichkeit, Hosts dazu zu bringen, über einen Windows ESXI-basierten Computer ordnungsgemäß zu kommunizieren (ich konnte Datenverkehr sehen, der vom ESXI markiert wurde, aber der Rückverkehr wurde ohne Tags angezeigt - ohne VLAN).

Wird benötigt, um den Überwachungsmodus unter Windows zu aktivieren, damit das VLAN nicht entfernt wird

Hier ist, wie es gemacht wird. Ein Eintrag in die Registrierung und alles funktioniert. http://www.intel.com/support/network/sb/CS-005897.htm

Nadats
quelle
0

Hinzufügen:

Hinweis beim Experimentieren mit VLANs: Alle Switch-Ports müssen entweder Trunk sein (NUR markierte Pakete enthalten und alles andere ablehnen) oder Zugriff (nur nicht getaggte Pakete und nicht getaggte Pakete zu und von genau einem VLAN, das sich auf dem Trunk befindet). Deaktivieren Sie alle nicht benötigten Port- "Modi".

Ein gemischtes Tagged-Untagged an einem Port kann sinnvoll sein, um beispielsweise ein VOIP-Netzwerk in eine LAN-Kabelanlage zu integrieren - aber selbst dort ist es eine etwas unreine Lösung mit fragwürdiger Sicherheit. Für eine Multi-DMZ- "Fabric", die von vSphere-Hosts gemeinsam genutzt wird, ist dies in den meisten Fällen einfach eine schlechte Praxis. Es könnte auf Hosts sinnvoll sein, denen physische Netzwerkports dringend fehlen (aber dann könnten Sie ALLES markieren und den Switch sich darum kümmern lassen). Betrachten Sie das "Standard-VLAN" als Entwässerungswanne, Sie möchten nicht, dass etwas darin durchnässt wird.

Rackandboneman
quelle