Configurando o VLAN no Windows Server 2008 VMware guest

Navegue suas respostas
1

Temos um host do Windows Server 2008 no VMware ESXi 4 e queremos isolá-lo do restante da rede. Ou seja, não quero que o tráfego do Windows Server 2008 seja permitido na rede normal. Eu estava pensando que uma VLAN faria isso se configurado corretamente.

Envolvido nisso está concedendo acesso através de uma VPN de um firewall Endian (Linux) para este host.

Além disso, entre o firewall e o host VMware estão dois switches SG 200-26 da Cisco (LinkSys rebranded!). O host VMware está usando duas placas de rede em uma configuração de failover.

Como eu vejo, há vários problemas que surgem:

  • Como a VLAN é reconhecida pelo VMware? Como configuro o VMware?
  • Como o host do Windows Server reconhece a VLAN?
  • Qual configuração de switch é necessária?
  • Como a VLAN é isolada corretamente? (Eu estava pensando que as regras de firewall apropriadas fariam isso.)
  • Como configuro o firewall sem afetar outro tráfego?
  • Como configuro o Windows Server sem afetar o tráfego de outros convidados?

Minha investigação inicial sugere que o Endian suporta interfaces VLANs e VLAN, embora eu ainda não tenha experimentado. O switch da Cisco suporta VLANs, mas não sei como funcionaria com várias VLANs na mesma porta. O VMware ESXi parece suportar VLANs, mas apenas no nível do host; Não vejo onde um único convidado possa ser colocado em uma VLAN separada.

ATUALIZAÇÃO: De minha leitura, parece que preciso marcar os quadros de VLAN do firewall Endian para o switch conectado, depois para o outro switch e em ambos os NICs usados pelo VMware. Não tenho certeza se todos eles suportarão quadros VLAN marcados. Se eu tiver marcado quadros de VLAN, eles poderão viajar pelos mesmos fios entre o host do VMware ESXi e o firewall do Endian. O truque, então, é colocar o convidado do Windows Server 2008 em apenas uma VLAN.

Eu encontrei outra pergunta com um answer que explica as VLANs lindamente, assim como outra resposta que explica quando usar as VLANs.

Também encontrei uma discussão que sugere que não é possível para a Endian oferecer suporte a quadros de VLAN marcados e não marcados na mesma porta ao mesmo tempo. Esta configuração soa como se estivesse pedindo problemas.

Eu suspeito que todo o meu tráfego está atualmente sem tag, mas não tenho certeza.

    
por Mei 27.04.2012 / 18:18

1 resposta

4

Há muitas maneiras de fazer isso, depende de quão paranóico você quer ser.

Se você já estiver entrando em VLANs com até um ou mais Grupos de portas em uma VM vSwitch e estiver satisfeito em viver com a segurança da separação de VLAN, poderá usar o método mais simples. Isso é apenas para criar um novo grupo de portas, atribuir a ID de VLAN apropriada e adicionar o vNIC da VM do W2K8 a esse grupo de portas - isso é tudo, disse que era fácil.

Se você já tem um 'VNN-gnostic' vSwitch / Port Group que tudo o mais usa, basta digitar o ID de VLAN 'default' apropriado na configuração de VLAN do Grupo de portas, isso não afetará as VMs existentes. Em seguida, basta criar um novo Grupo de portas para a VM W2K8, atribuir a VLAN ID correta e apontar o vNIC da VM W2K8 para esse novo grupo de portas.

Se desejar separar o cabo físico, basta conectar uma NIC do host ESXi sobressalente ao comutador, definir o comutador para o tronco da nova VLAN da VM do W2K8, criar um novo vSwitch vinculado a essa NIC e criar um novo Grupo de portas com o novo ID de VLAN definida como a VLAN do Grupo de portas e apontar o vNIC da VM W2K8 para esse novo Grupo de portas e seu novo vSwitch subjacente.

Se você quiser algo diferente, precisará nos informar mais.

Ah, e a VM W2K8 é um 'guest' e não um 'host, o ESXi é o host.

    
por 27.04.2012 / 18:40

Tags

Como o cliente em particular puxa a política do servidor cfengine debian: IP / rota de saída padrão