Switches virtuais Hyper-V e DHCP

Navegue suas respostas
5

Qual é a melhor maneira de forçar a segregação de VLAN em vários switches virtuais?

Eu provavelmente tenho uma configuração bastante complexa no esforço para obter essencialmente 4 switches virtuais separados.

A linha de entrada é uma conexão de 10Gb agrupada em modo de tronco, que depois adiciono a um comutador virtual externo e cria 4 nics virtuais para o sistema operacional de gerenciamento, cada conjunto configurado para acessar o modo na VLAN desejada. Então eu tenho quatro switches virtuais internos criados. Quatro sendo o número de VLANs que quero separar.

Agora, posso configurar cada NIC para acessar o modo na VLAN desejada e, em seguida, criar em uma ponte grande. Voila, todos os servidores virtuais podem ver a internet e acessar a VLAN que precisam. Mas há alguns problemas. Primeiro, se eu definir qualquer servidor para DHCP, ele só receberá o DHCP da vlan padrão, em vez de qualquer VLAN à qual o switch deva ser atribuído. Segundo, posso realmente atribuir um IP de qualquer uma das VLANs e o servidor ainda se comunicará, não importa o que o switch deva fazer.

Eu entendo os conceitos do que está acontecendo. Como tudo é definido no modo de acesso, todos os quadros são enviados sem tag. Assim, quando finalmente chega à ponte, ele traduz tudo para a VLAN nativa (não marcada). Meu único problema é que não consigo encontrar uma maneira de especificar quadros marcados. Ou, melhor ainda, criar 4 pontes de rede, uma para cada VLAN.

Alguma sugestão?

    
por Naryna 01.02.2016 / 20:59

2 respostas

7

1 switch por VLAN é uma complicação desnecessária. Configure porta (s) de tronco no seu switch de acesso / TOR. Em seguida, crie 1 vSwitch no seu host. Conecte as NICs do vSwitch às portas de tronco. Ao criar uma VM, edite as configurações da vNIC e defina a marca / ID / número da VLAN.

Essa é a maneira mais simples de fazer isso e a melhor prática. O vSwitch, desde que você use o agrupamento de MSFT (ou siga as instruções para equipes terceirizadas não suportadas), está protegido contra saltos de VLAN.

O único cenário real em que você precisa de várias equipes é quando você enfrenta algo na Internet. Nesse caso, você usa uma segunda NIC / equipe, não por segurança, mas por DDOS.

    
por 01.02.2016 / 21:41
1

Embora eu exija strongmente que alguém use a resposta de Aidan, se possível. A solução final que encontrei me permitiu preservar o design original do servidor e ainda fazer tudo funcionar. Saindo da artilharia fornecida aqui link ficou claro que eu era capaz de adicionar interfaces à minha equipe.

Eu adicionei uma interface de equipe para cada VLAN e criei um switch externo para cada interface de equipe. Eu poderia trocar entre os novos switches criados e obter o DHCP perfeitamente.

    
por 01.02.2016 / 22:41

Tags

Não há atualmente nenhuma instância icinga escrevendo para o IDO Quando as entradas ARP STALE se tornam FALHAS quando nunca usadas?