我们在VMware ESXi 4上安装了Windows Server 2008主机,并希望将其与其他networking隔离。 也就是说,我不希望在正常networking上允许来自Windows Server 2008的stream量。 我想如果设置正确,VLAN会这样做。
涉及到的是通过一个Endian(Linux)防火墙向这个主机授予对VPN的访问权限。
此外,防火墙和VMware主机之间还有两台Cisco(LinkSys更名)SG 200-26交换机。 VMware主机在故障转移configuration中使用双网卡。
正如我所看到的那样,出现了几个问题:
我最初的调查表明,Endian支持VLAN和VLAN接口,尽pipe我还没有尝试过。 思科交换机支持VLAN,但我不知道如何在同一端口上使用多个VLAN。 VMware ESXi似乎支持VLAN,但仅在主机级别; 我看不到一个guest虚拟机可以放在一个单独的VLAN上。
更新:从我的阅读,这听起来像我需要从Endian防火墙标记VLAN帧到连接的交换机,然后到另一台交换机,并在VMware使用的两个网卡。 我不确定所有这些将支持标记的VLAN帧。 如果我标记了VLAN帧,那么它们应该能够通过VMware ESXi主机和Endian防火墙之间的相同线路传输。 这个技巧就是让Windows Server 2008 guest虚拟机只能访问一个VLAN。
我发现另外一个问题的答案 ,很好地解释了VLAN,以及解释何时使用VLAN的另一个答案 。
我还发现一些讨论表明Endian不可能同时在同一个端口上支持带标记和不带标记的VLAN帧。 这种configuration听起来像是在寻求麻烦。
我怀疑我所有的stream量目前都是没有标记的,但是我不确定。
有很多方法可以做到这一点,这取决于你想要如何偏执狂。
如果您已经在VLAN vSwitch上将VLANs中继到一个或多个端口组,并且乐于接受VLAN分离的安全性,那么您可以使用最简单的方法。 这只是为了创build一个新的端口组,为其分配适当的VLAN ID,并将W2K8 VM的vNIC添加到该端口组 – 这一切都告诉你很容易。
如果您已经有一个“VLAN-gnostic”vSwitch /端口组,其他所有的使用,那么只需在该端口组的VLAN设置中input适当的“默认”VLAN ID,这应该不会影响现有的VM。 然后,为W2K8 VM创build一个新的端口组,为其分配合适的VLAN ID,并将W2K8 VM的vNIC指向该新的端口组。
如果您希望将物理电缆分开,只需将备用ESXi主机NIC连接到交换机,请将交换机设置为中继W2K8 VM的新VLAN,然后创build一个链接到该NIC的新vSwitch,然后使用新的VLAN ID创build一个新的端口组作为该端口组的VLAN,并将W2K8 VM的vNIC指向该新的端口组及其底层新的vSwitch。
如果你想要别的东西,你需要让我们知道更多。
哦,W2K8虚拟机是“客户”而不是“主机”,ESXi是主机。