ESXi :: ASA NAT + Switch :: Configuração em .27 IP Block

3

Acabamos de comprar um ASA 5505 e um switch gigabit separado, junto com um servidor de virtualização Dell R610 para substituir o servidor da web bare-metal existente.

Haverá 2 máquinas físicas, o R610 executando o ESXi 4.1 & um servidor de backup (antigo SC 1435).

O R610 tem 2X NICs de porta dupla, todas serão conectadas ao switch, assim como o servidor de backup, e o switch será conectado ao ASA, então:

uplink > > ASA > > mudar > > 2 servidores

O que me atrapalha é o que fazer com o bloco de 30 IPs que tenho.

Engenheiro de data center que fará a configuração do ASA sugerido:

****************
66.xxx.47.96/27
Network:  66.xxx.47.96
Gateway: 66.xxx.47.97
Firewall: 66.xxx.47.98
Switch: 66.xxx.47.99
Name Server 1: 66.xxx.47.100
Name Server 2: 66.xxx.47.101
Backup Server: 66.xxx.47.102
First Usable for production server: 66.xxx.47.103
Last Usable for production server: 66.xxx.47.126
Broadcast: 66.xxx.47.127
****************

Estou pensando no servidor ESXi que a porta 1 da NIC1 será para o gerenciador de console; NIC1 port2 para devel VMs; NIC2 porta1 para VMs de produção de LAMP (ou seja, servidor da Web de bare metal existente) e NIC2 port2 para VMs de Rails / Grails

O servidor web atual usa apenas 6 IPs, então obviamente eu tenho alguma flexibilidade.

Eu só não quero me encaminhar para um canto, como você alocaria os IPs .103 a .126 para as portas NIC ESXi 4? Além disso, se os servidores de nome estiverem fora do alcance de escuta do ESXi, como as solicitações de DNS serão roteadas para a VM de destino no ESXi?

Idéias muito apreciadas ...

Obrigado!

    
por virtualeyes 23.07.2010 / 23:21

1 resposta

2

Por que você colocaria seus switches etc na Internet pública? Isso cheira a loucura.

Sugiro que você tenha duas VLANs - uma para seu tráfego interno (um 192.168.x.x por exemplo) e uma DMZ para seu tráfego público (seu intervalo 66.x.47.x).

Do ponto de vista de segurança, não faz sentido colocar seus servidores de backup e seu switch na rede pública. É só pedir problemas.

O ESXi suporta VLAN Tagging para vNICs, portanto, não deve ser um problema apenas atribuir dois vNICs às suas máquinas virtuais e ter um na rede privada e outro no público. Em seguida, basta atribuir seus endereços IP públicos às máquinas virtuais que precisam deles.

O que você vai querer no final do dia é algo parecido com isso :

texto alternativo http://blog.stackoverflow.com/wp -content / uploads / stack-overflow-network-diagram-small.png

Quanto a solicitações que o ESXi não "conhece", elas serão roteadas por meio do seu gateway padrão, como de costume. Seu gateway deve ser inteligente o suficiente para saber que esses endereços IP estão em sua própria rede (um Cisco ASA configurado corretamente é muito inteligente), então os encaminhará de volta para você (de preferência na vLAN com os endereços IP públicos). Isso não é diferente de qualquer outra rede e não é específico apenas para o ESXi.

    
por 23.07.2010 / 23:54