¿Cómo configuro una VLAN entre una VM ESXi y un hardware físico? [cerrado]

8

En primer lugar, soy un novato total. El alcance de mi experiencia VLAN es configurar una red de invitados en un enrutador inalámbrico.

Recientemente recibí una solicitud para configurar una red pública que requiere filtrado y limitación (a través de Untangle). Mientras tanto, hay una estación de trabajo en el mismo edificio que debería tener acceso sin restricciones.

Mi pregunta es, ¿qué hago en los conmutadores ESXi y / o el conmutador Netgear GS108E para separar lógicamente las redes? A partir de ahora, todo fluye a través de la ruta "roja" de no / all / default LAN. Necesito que la estación de trabajo [w] fluya a través del camino "azul", manteniendo todo lo demás en el camino "rojo". He leído docenas de artículos de VLAN, pero nada hace que los conceptos de VLAN predeterminados / etiquetados / sin etiquetar / nativos hagan clic.

diagrama

carl
fuente

Respuestas:

7

802.1q es el estándar técnico para el etiquetado de VLAN ( http://en.wikipedia.org/wiki/IEEE_802.1Q ). Este estándar incluye la colocación de una "etiqueta VLAN" dentro del encabezado de las tramas Ethernet. Esta etiqueta permite que un enlace lleve múltiples VLAN, siempre que ambos dispositivos reconozcan el etiquetado 802.1q, porque la etiqueta contiene la ID de VLAN a la que pertenece el tráfico.

Dicho enlace se conoce comúnmente como "enlace troncal" o "enlace troncal 802.1q", etc. En dicho entorno, normalmente hay una única VLAN a la que se le asigna el rol de "VLAN nativa". El término también puede ser "VLAN sin etiquetar", porque eso es lo que es una VLAN nativa: una VLAN particular que cruza un enlace troncal sin etiqueta de VLAN. Como no hay forma de identificar a qué VLAN pertenece un paquete sin esta etiqueta, solo una VLAN se puede designar como "VLAN nativa", y es una buena idea asegurarse de que este valor coincida en ambos lados de una troncal.

En ESXi, puede definir grupos de puertos con una ID de VLAN. Si deja este campo en blanco (o especifica 0), el tráfico de ese grupo de puertos sale del host sin etiqueta VLAN. Esto está bien si solo tiene un grupo de puertos en el host y ese vSwitch solo se conecta a un enlace, porque simplemente puede hacer que ese puerto sea un puerto de acceso, sin necesidad de troncal. Sin embargo, necesita que se pasen varias VLAN en el mismo enlace (o paquete de enlaces), por lo que me aseguraré de que el enlace troncal esté configurado en los puertos de conmutación a los que se conecta su host, luego todo lo que tendrá que hacer es ingresar la ID de VLAN adecuada por grupo de puertos vSwitch. ESXi etiquetará las tramas que ingresan a ese grupo de puertos cuando salen del host.

Es importante configurar sus puertos de conmutación en modo "VLAN Trunk" o "VLAN Tagging" porque los puertos que no son troncales no aceptan tramas etiquetadas (se caen). Los puertos troncales aceptan marcos etiquetados, y usted enviará marcos etiquetados desde su host ESXi con la configuración anterior.

Por lo que puedo decir, el interruptor que muestra en el diagrama debería admitir todo esto, pero podría no ser el más intuitivo o usar los mismos términos. Recomiendo seguir con la documentación y ver si puede hacer que funcione. http://www.netgear.com/business/products/switches/prosafe-plus-switches/GS108E.aspx

Mierdin
fuente
1

El puerto 1 debe tener la VLAN 14 etiquetada. El puerto 4 debe pertenecer al grupo VLAN 14 pero debe tener la VLAN 14 sin etiquetar ya que la estación de trabajo no tiene un concepto de VLAN.

En la configuración del conmutador Netgear, seleccione 802.11Q, no basado en puerto. Es un poco más complejo, pero lo necesitas.

Puede tener tantas VLAN como necesite en cada puerto, pero solo una (llamada PVID) puede estar sin etiquetar. Configure el PVID del puerto 1 como 1, pero hágalo unir a las dos VLAN 1 y 14. Establezca el PVID del puerto 4 como 14, y solo únalo a la VLAN 14. Todos los demás puertos son VLAN 1 PVID 1

Rod MacPherson
fuente
0

La única forma en que podía hacer que los hosts se comunicaran correctamente a través de una máquina basada en Windows ESXI (pude ver el tráfico etiquetado de ESXI pero el tráfico de retorno aparecía sin etiquetar, sin vlan)

Necesario para habilitar el modo Monitor en Windows para no quitar la VLAN

Así es como se hace. Una entrada en el registro y todo funciona. http://www.intel.com/support/network/sb/CS-005897.htm

nadats
fuente
0

Añadir:

Sugerencia cuando experimente con VLAN: haga que todos los puertos de su conmutador sean troncales (que transporten SOLO paquetes etiquetados y rechacen cualquier otra cosa) o acceso (solo paquetes no etiquetados y que lleven paquetes sin etiquetar hacia y desde exactamente una VLAN que esté en la troncal). Deshabilite cualquier "modo" de puerto que no necesite.

La combinación de etiquetado y no etiquetado en un puerto puede tener sentido, por ejemplo, para conectar una red VOIP a una planta de cable LAN, pero incluso allí es una solución un tanto impura con seguridad cuestionable. Para una "estructura" multi-DMZ compartida por hosts vSphere, es simplemente una mala práctica en la mayoría de los casos. Podría tener sentido en los hosts que realmente carecen de puertos de red físicos (pero luego, podría etiquetar TODO y dejar que el conmutador se encargue de ello). Considere la "VLAN predeterminada" como un sumidero de drenaje, no desea que nada se empape.

rackandboneman
fuente