Nar*_*yna 5 virtualization hyper-v vlan windows-server-2012-r2
强制跨多个虚拟交换机进行 VLAN 隔离的最佳方法是什么?
为了获得基本上 4 个独立的虚拟交换机,我可能有一个相当复杂的设置。
传入线路是中继模式下的 10Gbe 组合连接,然后我将其添加到外部虚拟交换机并为管理操作系统创建 4 个虚拟网卡,每个网卡都设置为我想要的 VLAN 中的访问模式。然后我创建了四个内部虚拟交换机。四个是我想要隔离的 VLAN 数量。
现在,我可以在我想要的 VLAN 中将每个 NIC 设置为访问模式,然后在大桥上创建。瞧,所有的虚拟服务器都可以看到互联网并可以访问他们需要的 VLAN。但是,存在一些问题。首先,如果我将任何服务器设置为 DHCP,那么它只会从默认的 vlan 获取 DHCP,而不是应该将交换机分配到的任何 VLAN。其次,我实际上可以从任何 VLAN 分配 IP,并且服务器仍然可以通信,无论交换机应该做什么。
我理解正在发生的事情的概念。因为一切都设置在访问模式下,所以它都发送未标记的帧,所以一旦它最终到达网桥,它就会将所有内容转换为本地(未标记)VLAN。我唯一的问题是,我找不到指定标记帧的方法。或者,更好的是,创建 4 个网桥,每个 VLAN 一个。
有什么建议?
小智 8
每个 VLAN 1 个交换机是不必要的过度复杂化。在您的 TOR/接入交换机上配置中继端口。然后在您的主机上创建 1 个 vSwitch。将 vSwitch NIC 连接到中继端口。创建 VM 时,编辑 vNIC 设置并设置 VLAN 标记/ID/编号。
这既是最简单的方法,也是最佳实践。只要您使用 MSFT 组合(或遵循不受支持的第 3 方组合的说明),vSwitch 就不会受到 VLAN 跳跃的影响。
您需要多个团队的唯一真实场景是当您在 Internet 上遇到某些事情时。在这种情况下,您使用第二个 NIC/团队,不是为了安全,而是为了 DDOS。
| 归档时间: |
|
| 查看次数: |
4646 次 |
| 最近记录: |