fenioo
Contributor
Contributor

VMware ESXi i transparentny bridge

Witam,

W chwili obecnej w moej sieci rolę routera pełni ForeFront zainstalowany na VMware ESXi (nazwijmy go VM01)

Chciałbym przed tą maszyną wstawić transparentny bridge (VM02), oparty na linuksie, który pełniłby różnorakie funkcje, pocąwszy od filtrowania, przez statystyki i monitorowanie.

W jaki sposób rozwiązać taki problem, by ruch z sieci lokalnej prechodził przez bridge,a zanim dotrze do VM01?

Gdyby rozwiązywać to na maszynach fizycznych, sytuacja wyglądałaby nastepująco:

Hosty_LAN --- Switch --- Transparent_Bridge -- Router --- Internet

Jak poradzić sobie z tym zadaniem gdy w grę wchodzi wirtualizacja? Chciałbym aby na jednej fizycznej maszynie stał ForeFront oraz Bridge.

Hosty_LAN --- Switch ---[ VM02_Bridge -- VM01_Router ] --- Internet

Da się osiągnać coś takiego?

Dziekuję.

0 Kudos
3 Replies
Bisti
Enthusiast
Enthusiast

Da się, trzeba odpowiednio skonfigurować vSwitche, portugrupy i VLANy. Host ESXi musi być podłączony do przełącznika z obsługą VLANów lub mieć przynajmniej 2 fizyczne karty sieciowe.

  • Rozwiązanie oparte na VLANach (zalecane):
    - Internet wpinamy do fizycznego switcha na port z nietagowanym (natywnym) VLAN ID 100 (przykładowo)
    - Na portach na fizycznym przełączniku, do których wpięty jest host ESXi, ustawiamy tagowany VLAN 100 i nietagowany 1
    - Na hoście ESXi tworzymy wirtualny vSwitch, przypisujemy do niego kartę(y) sieciowe z poprzednich punktów i tworzymy na nim portgrupę INTERNET z VLAN 100 oraz grupę LAN bez VLAN
    - Na hoście ESXi tworzymy drugi wirtualny przełącznik bez kart sieciowych i tworzymy na nim portgrupę BRIDGE
    - Na wirtualnej maszynie VM01_Router do jednej karty sieciowej przypisujemy portgrupę INTERNET a do drugiej jakrty sieciowej BRIDGE
    - Na wirtualnej  maszynie VM02_Bridge do jednej karty sieciowej przypisujemy portgrupę BRIDGE a do drugiej karty sieciowej LAN
  • Rozwiązanie oparte na kartach sieciowych:
    - Analogicznie jak w przykładzie poprzednim z tym że zamiast VLANów separujemy ruch za pomocą kart sieciowych. W takiej konfiguracji będą trzy vSwitche, jeden na internet, jeden na LAN a trzeci na BRIDGE

Jeżeli w środowisku ma działać vMotion to w obu przypadkach portgrupę BRIDGE trzeba przenieść na vSwitch z kartami sieciowymi i przypisać jej dodatkowy VLAN i ustawić go na wszystkich portach do których wpięte są serwery ESXi

0 Kudos
McBolo
Enthusiast
Enthusiast

TO co opisał Bisti w zupełności wystarczy, ale do monitoringu i analizy ruchu można jeszcze użyć "port Mirroring" w wersji 5 dystrybucyjnych switchy bez potrzeby mieszania w kartach - Niestety już filtrowanie nie zadziała.

Trzeba też jeszcze pamiętać, że jeżeli używamy teamingu z 802.3ad, to przy zbridge'owaniu dwoch wirtuanych kart sieciowych włączy się spanning tree na switchach fizycznych i będzie kuku Smiley Happy

Piotr Iwaszkiewicz piotr.iwaszkiewicz@udt.ov.pl http://www.udt.gov.pl
0 Kudos
inleo
Leadership
Leadership

Ten "port Mirroring" to torchę zło przy dużym rcuhu... sporo zasobow zżera... wiec rozwaznie Panowie rozważnie Smiley Wink

http://blog.inleo.pl @maciejlelusz
0 Kudos