我们的互联网曾经通过物理防火墙进入一个小型交换机,然后进入主交换机,在那里我们的3个esx'es也连接在一起。
现在防火墙已经被虚拟化了,所以小型和大型的交换机都是连接的,而虚拟防火墙就是两条腿的交换机。
这看起来没有问题,因为内部和外部是在不同的子网上,通过防火墙路由。
但是,我想保持内外分开。
在esx'es上没有足够的物理nics来让外部独立。
我可以在vSwitch上用vlan 99创build一个“虚拟机端口组”,在那里我可以连接防火墙的“外部支路”。
但是,我应该在哪里“标记”互联网连接? 有3个地点,在外面上市:
戴尔交换机是可选的
在页面Vlan成员资格:
在页面上的“Vlan端口设置”
帧types:
入口过滤:
我应该在哪里设置?
我假设您通过单独的pNIC来pipe理ESX。 否则(尽pipe这不是最佳实践),您只需像处理下面的VMnetworking一样处理pipe理networking。
您从ESX连接到的物理交换机开始。 configurationVLAN“outside”和“inside”。 将ISP连接到外部VLAN,其他一切都连接到VLAN内部。 虚拟机使用的pNIC特殊:configuration物理端口为所有VLAN的中继,使用802.1q标记。 我不熟悉你的交换机,但是我相信,如果你使用“tag egress”,“只接受tag”,pvid无关紧要的VMstream量端口,入口过滤启用,以及所有非VMstream量端口没有标记,正确的pvid(对应于外部或内部VLAN基于什么连接到它的),承认所有,入口过滤并不重要。
然后进入ESX并为所有虚拟机创build一个vSwitch。
在该vSwitch上,创build两个端口组,“外部”和“内部”(第一个端口组在创buildvSwitch时创build,然后通过相同的“添加networking”向导添加另一个,但重新使用现有的vSwitch )。 它们都应该有分配给它们的VLAN ID,相应的外部VLAN和内部VLAN。 然后将防火墙虚拟机连接到两个端口组(每个端口组一个vNIC),并将您的内部虚拟机仅连接到内部端口组。
VMware参考文档是这样的: http : //www.vmware.com/pdf/esx3_vlan_wp.pdf ,您正在寻找描述“VST”的部分。