是否可以在ESX 4上使用vSwitch来允许将多个相同的私有子网绑定到外部子网? 我已经习惯了将单个私有子网映射到物理networking上的可路由子网的逻辑,但是我可以configuration一些要采取的操作,例如5个端口组,都在自己的vSwitch中,并且都使用相同的/ 24子网最终将所有这些子网中的所有适当的出站stream量转移到它们来自的物理ESX计算机的单个IP代表? 我假设,在发生NAT的时候,有一个合适的托pipe状态表,这意味着来自物理远程机器的响应数据包将被放回到正确的始发子网上,即使该IP可能存在于其他4个VM子网上也是如此。 谢谢 克里斯
我正在使用Netgear FSM7328S交换机,并将指定端口19-24作为VLAN#3的一部分。我将它们全部指定为untagged,因为我不希望它们将stream量切换到交换机上的任何其他端口。 我也将它们从默认的,无标记的VLAN 1中删除。我的问题是没有一个端口19-24将彼此沟通。 我用wireshark插入的笔记本电脑显示没有切换的stream量是如此之多。 我configuration错了吗? 编辑:客户端工作站正在被直接连接到untagged,VLAN端口。 如果是这样的话,那么客户端的帧将被丢弃,因为这些端口只能切换标签帧? 感谢:D
我试图达到如下: 允许从我们networking的任何地方完全访问10.58.9.32(我们的VoIP服务器)上的设备。 允许ICMP在所有方向上stream入/stream出任何设备。 防止10.58.9.0/24上的所有其他设备在它们所在的VLAN之外进行通信。 为了实现这个目标,我在核心交换机上创build了以下ACL: access-list voip permit ip 10.58.9.32 255.255.255.255 0.0.0.0 0.0.0.0 access-list voip permit ip 0.0.0.0 0.0.0.0 10.58.9.32 255.255.255.255 access-list voip permit icmp any any 虽然我没有明确的拒绝规则,但是6224F按顺序处理规则,并在find匹配时停止,如果找不到匹配,隐式拒绝规则将生效。 子网10.58.9.0/24与VLAN 9相关联,因此我已将ACL应用于VLAN接口,如下所示: interface vlan 9 ip access-group voip in 1 VLAN 9通过核心交换机进行路由,在应用ACL之前,整个networking中的任何设备都可以与VLAN 9上的任何设备进行通信,而不受任何限制。 将ACL应用到networking后,当我尝试从我的桌面PC通过SSH连接到10.58.9.32时,我无法再build立连接。 前两条规则肯定会匹配两者之间的SSHstream量,并允许stream量stream动? 我已经certificate,ACL是负责任的,因为当我删除它,我可以再次SSH到服务器。 编辑 我有这个工作,通过更改访问列表来读取,如下所示: access-list voip permit ip 10.58.9.32 255.255.255.255 any access-list voip […]
我有以下configuration: vlan123@eth0 – range 1.2.3.0/24, with 1.2.3.4 assigned to it br2000 – range 10.2.3.0/24 在ip route我看到: 10.2.3.0/24 dev br2000 proto kernel scope link src 10.2.3.1 在iptables中,我重写传入数据包的目的地(表nat ): -A PREROUTING -d 1.2.3.4/32 -j DNAT –to-destination 10.2.3.4 如果我现在尝试ping地址1.2.3.4 ,我不希望转发,我不幸的是, ip route get 10.2.3.4 from 2.3.4.5 iif vlan123返回: RTNETLINK answers: Invalid cross-device link 这似乎证实,正确的路由不在那里。 可能是什么问题呢? IP转发在sysctl中启用,我也禁用了rp_filter进行testing。
我们有一个有点异国情调的设置。 一些连接到Cisco交换机的设备必须由第三方pipe理,我们不想让这个第三方完全访问我们的networking。 这些设备没有自己的路由子网,它们是交换机所在子网的一部分。不幸的是,这不能改变。 我们想出了以下解决scheme(不起作用): 我们把这些设备的端口放在一个单独的vlan上。 我们已经连接了一个路由器设备,其中两个接口连接到交换机,一个接口连接到主vlan,另一个连接到设备的新vlan。 我们尝试在路由器板上设置一个网桥(与防火墙结合,因此只有传入的连接是可能的),所以这些设备是可访问的。 我们不能得到这个解决scheme的工作,路由器的数据包从一个接口转发到另一个,因为错误的vlantag ceisco拒绝。 我们尝试在路由器板上设置vlantagging(使用这个参考: http ://blog.butchevans.com/2010/02/to-tag-or-not-to-tag-that-is-the-question/)没有交通似乎击中路由器板。 我们可以改变思科设置接受或忽略错误的VLAN标签,或者我们应该如何configuration路由器板? 提前致谢!
我已经inheritance了一个戴尔M1000e刀片机箱和16个M600刀片,现在正处于从独立式迁移到集群式的过程中。 每个都运行Server 2008 R2 SP1和Hyper-V。 我的问题是我想要pipe理在集群中托pipe多个客户端的stream量隔离的最简单的方法。 换句话说,我们的M1000e机箱是一个公共云,我们希望为我们的中小企业客户划分成更小的私有云。 然而,隔离纯粹是合乎逻辑的。 多个客户端可以并且将被托pipe在相同的物理服务器上。 所有隔离都必须能够在虚拟机之间的物理主机之间进行故障切换。 任何人都可以指出一些“最佳实践”的方法来处理这种或类似的情况? 到目前为止,我只处理了私人内部networking,从来没有在多个业务之间共享。 我目前的计划是使用我们使用的M6220刀片交换机的“绑定IP子网到VLAN”function。 然后,我会和我的同事们build立一个约定,VLAN的前两位是识别客户端,后两位识别客户端私有云中的一个VLAN。 然后,前两位数字成为子网的第二个八位位组,后两位数字确定子网的第三个八位位组。 例如:公司ID:12pipe理VLAN:99 WAN VLAN:10 LAN VLAN:20 IP子网:pipe理:10.12.99.0/24 WAN:10.12.10.0/24 LAN:10.12.20.0/24 VLAN到子网映射:10.12.99.0/24:VLAN 1299 10.12.10.0/24:VLAN 1210 10.12.20.0/24:VLAN 1220 这将允许我隔离40个客户端,每个客户端都有100/24个VLAN。 我想我可以颠倒这个顺序,每个客户端都有40个VLAN,但是我们太小了,我没有40个客户,更不用说100个客户了。 无论如何,这是一个理智的计划吗? 我喜欢它,因为唯一需要完成的VLANconfiguration位于交换机和网关路由器上。 而且,如果一台虚拟机从一台主机到另一台主机出现故障,这并不重要,因为stream量是基于子网隔离的,而不是交换机上的特定端口。 我能看到的唯一缺点是它不是安全的,因为只是改变一个网卡的IP就可能把它放在另一个VLAN上。 然而,我认为这是不可能的,因为我们将自己configuration和pipe理大部分(如果不是全部)这些环境,并且很less的客户端将直接login到服务器,更不用说更改IP。 我们的大部分客户都雇用了我们,因为他们没有IT部门,所以他们中的任何一个人都知道VLAN甚至是什么的可能性非常小。 思考?
我有几个关于思科和HP ProCurve互操作性的问题。 这是一个链接到我的networking拓扑的pdf。 有人可以帮助我在这种拓扑中的基本VLANconfiguration? 下面是我的configuration的一些细节: # m_management_2 interface FastEthernet0/43 switchport access vlan 250 switchport mode access spanning-tree port-priority 32 spanning-tree cost 100 # MTA2-swmgmt1 vlan 1 name "DEFAULT_VLAN" untagged 1-48 ip address 10.10.249.190 255.255.255.128 exit # MTA2-swtr1 vlan 1 name "DEFAULT_VLAN" untagged 1-14,16-48 no ip address no untagged 15 exit vlan 100 name "MTA Mgmt" […]
所以,我有两个戴尔PowerConnect 6224交换机(非堆叠)。 在这两个交换机上,我已经把端口8和9分配给VLAN 2 。 这些端口的另一端连接到两台Windows 2008 R2 Hyper-V主机服务器( Dell PowerEdge R710 )。 每台服务器通过组合连接连接到两台交换机,以实现冗余和速度。 服务器的IP地址为10.0.2.5和10.0.2.6 ,子网掩码为255.255.255.0 。 两台交换机的VLAN接口的IP为10.0.2.13和10.0.2.14 ,子网掩码为255.255.255.0 。 子网10.0.2.0/24绑定到VLAN。 组合连接的MAC地址以及来自两台交换机的VLAN接口也绑定到VLAN。 我的问题是,这两台服务器无法互相ping通,或VLAN接口的IP地址。 交换机也无法ping通其交换机的VLAN接口IP地址,也无法ping通服务器的IP地址。 如果有人能告诉我我错过了什么,我真的很感激。 我开始对这些开关真的很生气 更新1 (对于吉姆) 我从端口中删除了组,并为它们分配了以下IP: 10.0.2.35和10.0.2.36 ,子网掩码为255.255.255.0 。 然后我将各个端口的MAC绑定到VLAN。 服务器现在可以相互ping通,但仍然无法ping到VLAN IP。 另外,交换机仍然无法ping通服务器。 交换机通过端口23和24上的单根电缆连接。 端口仍然在默认VLAN 1 。 更新2 (对于吉姆) 我把端口23和24作为中继,并将它们分配给VLAN 2 。 自第一次更新以来没有任何改变。 服务器仍然可以互相ping通,但不能访问VLAN IP。 交换机也不能ping通服务器。
单个DHCP服务器是否可以为使用MADCAP的多个VLAN中的主机提供dynamic多播地址,就像通过ip-helper向主机提供单播地址一样? 或者从思科的angular度来看, ip-helper自动代理MADCAP以及DHCP? 我知道Microsoft的DHCP服务器也实现了MADCAP协议,因此它可以为想要使用多播IP的应用程序发出多播地址。 但是,我不清楚这是一个广播/链路层协议,还是通过其他机制工作。 背景:在一个VLAN中有一个WDS(Windows部署服务)服务器,而在另一个VLAN中有一个Microsoft DHCP服务器。 WDS服务器configuration为从DHCP获取多播地址,但我不知道它是否正在工作,我不知道如何validation它。
我是虚拟服务器vlans的新手。 我是一名程序员,并被分配到一个稳定的存储服务器的任务,我把一个旧的盒子(HP ProLiant ML350 G5)的XenServer免费5.6SP2设置我的RAID(5),安装的足迹,一切顺利。 用gui很简单。 我安装了我的Windows Server 2003的形象,一切运作良好。 现在从xencenter,我build立了我的networking,创build了一个VLAN。 但是,我如何将我的VLAN连接到networking? 我需要一个兼容的开关? 我用这个开关做什么? 它全新的,令人困惑。 我需要每个虚拟机1个物理网卡吗? 我的印象是,我可以使用我唯一的物理网卡作为尽可能多的服务器,因为我想(显然有后果) 基本上,我有一个服务器与xenserver。 Windows Server 2003安装和工作。 只是不能把它到我的networking。 我很感激你的阅读时间。