Como faço para configurar uma VLAN entre uma VM ESXi e um hardware físico? [fechadas]

8

Primeiro de tudo, eu sou um noob total. A extensão da minha experiência em VLAN é configurar uma rede de convidado em um roteador sem fio.

Recentemente, recebi uma solicitação para configurar uma rede pública que requer filtragem e limitação (via Desembaraçar). Enquanto isso, há uma estação de trabalho no mesmo prédio que deve ter acesso irrestrito.

Minha pergunta é: o que faço nos comutadores ESXi e / ou no comutador Netgear GS108E para separar logicamente as redes? A partir de agora, tudo está fluindo através do caminho "vermelho" da LAN no / all / default. Eu preciso que a estação de trabalho [w] flua pelo caminho "azul", mantendo todo o resto no caminho "vermelho". Eu li dezenas de artigos sobre VLAN, mas nada está fazendo clique nos conceitos padrão / tagging / untagged / native VLAN.

diagrama

carl
fonte

Respostas:

7

802.1q é o padrão técnico para marcação de VLAN ( http://en.wikipedia.org/wiki/IEEE_802.1Q ). Este padrão inclui a colocação de uma "etiqueta VLAN" dentro do cabeçalho dos quadros Ethernet. Essa tag permite que um link carregue várias VLANs, desde que ambos os dispositivos reconheçam a marcação 802.1q, porque a tag contém o ID da VLAN à qual o tráfego pertence.

Esse link é geralmente chamado de "link de tronco" ou "tronco 802.1q", etc. Nesse ambiente, normalmente há uma única VLAN à qual é atribuída a função de "VLAN nativa". O termo também pode ser "VLAN sem etiqueta", porque é isso que é uma VLAN nativa - uma VLAN específica que atravessa um link de tronco sem etiqueta de VLAN. Como não há como identificar a qual VLAN um pacote pertence sem essa tag, apenas uma VLAN pode ser designada como "VLAN nativa", e é uma boa idéia garantir que esse valor corresponda nos dois lados de um tronco.

No ESXi, você pode definir grupos de portas com um ID de VLAN. Se você deixar esse campo em branco (ou especificar 0), o tráfego desse grupo de portas sairá do host sem uma etiqueta VLAN. Tudo bem se você tiver apenas um grupo de portas no host e o vSwitch se conectar apenas a um link, porque você pode simplesmente fazer dessa porta uma porta de acesso, sem necessidade de tronco. No entanto, você precisa que várias VLANs sejam transmitidas no mesmo link (ou pacote de links), para garantir que o entroncamento esteja configurado nas portas de comutação às quais o host se conecta, tudo o que você precisará fazer é inserir o ID da VLAN apropriado por grupo de portas vSwitch. O ESXi marcará os quadros que entram nesse grupo de portas quando eles saem do host.

É importante configurar suas portas de switch no modo "VLAN Trunk" ou "VLAN Tagging" porque as portas que não são de tronco não aceitam quadros marcados (são descartados). As portas de tronco aceitam quadros marcados e você enviará quadros marcados do seu host ESXi com a configuração acima.

Pelo que sei, a opção que você mostra no diagrama deve suportar tudo isso, mas pode não ser a mais intuitiva ou usar os mesmos termos. Eu recomendo ficar com a documentação e ver se você pode fazê-lo funcionar. http://www.netgear.com/business/products/switches/prosafe-plus-switches/GS108E.aspx

Mierdin
fonte
1

A porta 1 deve ter a VLAN 14 marcada. A porta 4 deve pertencer ao grupo VLAN 14, mas a VLAN 14 está desmarcada, pois a estação de trabalho não possui um conceito de VLANs.

Na configuração do switch Netgear, selecione 802.11Q, não baseado em porta. É um pouco mais complexo, mas você precisa.

Você pode ter quantas VLANs precisar em cada porta, mas apenas uma (chamada PVID) pode ser desmarcada. Defina o PVID da porta 1 como 1, mas faça com que ele se junte às VLANs 1 e 14. Defina o PVID da porta 4 como 14 e une-o apenas à VLAN 14. Todas as outras portas são VLAN 1 PVID 1

Rod MacPherson
fonte
0

A única maneira de conseguir que os hosts se comuniquem adequadamente através de uma máquina baseada no Windows ESXI (eu podia ver o tráfego marcado pelo ESXI, mas o tráfego de retorno estava aparecendo sem marcação - sem vlan)

Necessário para ativar o Modo Monitor no Windows para não remover a VLAN

aqui está como é feito. Uma entrada no registro e está tudo funcionando. http://www.intel.com/support/network/sb/CS-005897.htm

nadats
fonte
0

Adicionar:

Dica ao experimentar VLANs: todas as portas de seu comutador sejam tronco (carregando APENAS pacotes com etiqueta e rejeitando qualquer outra coisa) ou acesso (apenas pacotes sem etiqueta e carregando pacotes sem etiqueta para e de exatamente uma VLAN que está no tronco). Desative os "modos" de porta que você não precisa.

A combinação de etiquetas sem etiqueta em uma porta pode fazer sentido, por exemplo, em colocar uma rede VOIP em uma fábrica de cabos LAN - mas mesmo assim existe uma solução um pouco impura com segurança questionável. Para uma "malha" multi-DMZ compartilhada pelos hosts vSphere, é simplesmente uma prática ruim na maioria dos casos. Poderia fazer sentido em hosts que carecem de portas de rede físicas (mas você pode marcar TUDO e deixar o switch cuidar disso). Considere a "VLAN padrão" como um reservatório de drenagem, você não quer que nada fique embebido nela.

rackandboneman
fonte