通过多个虚拟交换机强制VLAN隔离的最佳方式是什么?
我可能有一个相当复杂的设置,努力获得基本上4个独立的虚拟交换机。
input线路是一个10Gbe的集群连接模式,然后我添加到一个外部虚拟交换机,并为pipe理操作系统创build4个虚拟控制器,每个虚拟控制器在我想要的VLAN中设置为访问模式。 然后我创build了四个内部虚拟交换机。 四是我想分离出来的VLAN数量。
现在,我可以设置每个网卡访问我想要的VLAN模式,然后在大桥上创build。 瞧,所有的虚拟服务器都可以看到互联网,并且可以访问他们需要的VLAN。 但是,有一些问题。 首先,如果我将任何服务器设置为DHCP,那么它只从默认VLAN获取DHCP,而不是交换机应分配给哪个VLAN。 其次,实际上我可以从任何VLAN分配一个IP,服务器仍然可以通信,不pipe交换机应该做什么。
我理解正在发生的事情的概念。 因为一切都设置为访问模式,它都会发送无标记的帧,所以一旦它最终到达网桥,它将所有内容都转换为本地(无标记)的VLAN。 我唯一的问题是,我找不到指定标记帧的方法。 或者,更好的方法是创build4个networking桥,每个VLAN一个。
有什么build议么?
每VLAN 1交换机是不必要的过度复杂。 在您的TOR /接入交换机上configuration中继端口。 然后在主机上创build1个vSwitch。 将vSwitch网卡连接到中继端口。 创buildVM时,请编辑vNIC设置并设置VLAN标记/ ID /号码。
这既是最简单的方法,也是最佳实践。 vSwitch,只要您使用MSFT分组(或按照说明进行不支持的第三方分组),就可以保护VLAN跳频。
您需要多个团队的唯一真实场景是当您在互联网上遇到某些问题时。 在这种情况下,您使用第二个NIC /团队,不是为了安全,而是为了DDOS。
尽pipe我强烈要求任何人尽可能使用艾丹的答案。 我find的最终解决scheme允许我保留服务器的原始devise,并使其一切工作。 从https://community.mellanox.com/docs/DOC-1845提供的aritcle中可以看出,我能够为我的团队添加接口。
我为每个VLAN添加了一个团队接口,并为每个团队接口创build了一个外部交换机。 我可以在创build的新交换机之间进行交换,并获得完美的DHCP。