我们有一个环境,其中4个Hyper-V服务器通过Dell PowerConnect 2824交换机连接到两个Cisco PIX冗余防火墙。
现在,这一切都没有VLAN,但我想隔离一些stream量,所以我需要在虚拟机的特定接口上设置一个VLAN标记,然后让stream量退出交换机端口与此特定的VLAN标记并到达防火墙,但在进入端口时,需要将其标记为untagged,以便防火墙可以像处理普通的未加标签的数据包一样对其进行处理。
因此,我需要让这些数据包在任何端口上都带有VLAN标签,但只允许在两个特定端口上进行input(此时将VLAN标签剥离)
普通的未加标签的数据包应该不受影响。
我对VLAN不太了解,所以我想知道这是否可行。 有关交换机的一些文档可以在这里find:
http://support.dell.com/support/edocs/network/pc28xx/en/ug/html/switch.htm#wp1208025
谢谢!
不,你build议打破VLAN的目的。 假设有一种方法可以实现这个function,那么只要它碰到物理交换机就会失去隔离。
你可以做几件事情,所有这些都需要不同程度的改造你的networking和/或丑陋。
首先,可能是最简单的方法是创buildVLAN,然后从交换机向正常访问端口(无标记)添加第二个以太网分支到Hyper-V盒,然后为此stream量设置单独的虚拟networking。 您还必须将另一个接口添加到防火墙,以便从那里连接到交换机上的另一个正常访问端口和路由/防火墙。
您将设置一个Trunk到防火墙,并使用防火墙上的子接口或虚拟接口来处理标记有VLAN的数据包。 然后,您将有两个访问端口进入每个VLAN的Hyper-V盒。
你可以交换这个,这样Trunk就可以连接到Hyper-V机器,而访问端口连接到防火墙。
您可以将防火墙和Hyper-V防火墙都设置为中继,并在防火墙上设置子接口,并根据这些VLAN分离Hyper-V盒上的networking。