Ciao Alessandro,

l'immagine che includi nel tuo post dovrebbe essere avvalorata dalle scelte progettuali. Attenzione non che la configurazione sia errata, mi permetto di fare qualche "pulce" senza avere l'immagine dell'intero ambiente.

1. Nel vSwitch0 collassi la rete di gestione, direi di eliminare il portgroup "VM Network" salvo che non utilizzi VM su quel segmento di rete.
   
2. sempre nel vSwitch0 usi vMotion e FT con 2 NIC fisiche, questa soluzione se ben configurata va bene se non hai dei fault. La perdita di una NIC sarebbe tollerata in termini di affidabilità ma la banda per i 2 servizi potrebbe essere insufficiente.
   
3. visto che usi le vlan a livello di vswitch (VST) perché non collassi tutti i servizi su un unico vSwitch, avresti una maggiore banda nominale per tutti i portgroup (fermo restando che non conosco il cablaggio fisico)
   
4. in riferimento al vSwitch1 visto il numero limitato di VM che hai la policy di loadbalancing potrebbe essere ininfluente ma se disponi di buoni apparati fisici con supporto di LACP potresti configurare il metodo "IP HASH" come criterio di load balancing per il tuo tem.
   

Domanda: non hai pensato ai distributed vSwitch a causa della licenza?

Venendo al tuo secondo punto la configurazione di un terzo vswitch con una VM con più "zampe" corrisponde alla configurazione ideale. Dallo screenshot vedo già dei virtual firewall come m0n0wall. Visto che hai FT deduco che almeno usi una licenza Advanced della soluzione. A questo punto perché non usi vShield zones che è già incluso nella licenza?

vShield ora è una famiglia di prodotti (http://www.vmware.com/products/vshield/). vShield Zones ti offre una protezione "basic" per la rete. La configurazione non è proprio friendly, ma dopo la lettura della guida all'uso sarai in grado di implementare il sw senza problemi. Se desideri qualcosa di più a livello di sicurezza, sempre col vestito VMware, potresti optare per vShield Edge (per le differenze consulta l'URL: http://www.vmware.com/products/vshield-edge/faq.html)

my 2 cents

Samuele

grazie! la cercherò sicuramente

(ps: ho provato a cliccare su 'risposta utile' ma mi da errore js isa con ie sia con chrome :smileyconfused:)

grazie mille per la risposta molto dettagliata, fammi pure le pulci e anche qualche zecca

1. sì ho qualche VM in quel portgroup, prima di cancellarlo cercherò di capire meglio perché è stato fatto (quando vennero a fare l'installazione eravamo totalmente digiuni quindi molti dettagli li abbiamo persi; dovrebbero venire nuovamente i consulenti che l'hanno fatta per installare una terza lama, approfitterò per approfondire tutti i dubbi)

2. la FT attualmente non è usata, non sono sicuro che la useremo e nel casò saranno pochissime VM. Come sopra, ne ragionerò quando avrò sottomano i consulenti

3. forse non ho capito bene.... comunque negli switch modulari ci sono due VLAN, una dove arrivano le 2 nic del vSwitch0, una dove arrivano attualmente le altre 6 del vSwitch2. La prima è stata riservata come rete di "management" chiusa, la seconda è la rete interna di tutta l'azienda. In firewallese sarebbe la rete "trusted" ma ormai ci sono dentro "c&p" e quindi la considero poco "trustable". Per questo preferirei mantenere questa distinzione.

4. gli switch sono dell M6220 e l'LACP ce l'hanno, valuteremo anche questa cosa.

Sì ho la advanced (mi scuso per non averlo specificato), di vShield zones ne apprendo ora, corro a studiarlo appena finito questo post

m0n0wall e vyatta li ho messi su con l'intenzione di provare e vederli, insieme a astaro e TMG che metterò su oggi con la versione di prova.

Intanto mi sono messo a giocare un po' e ho creato un vSwitch senza alcuna scheda di rete fisica. Lo utilizzerò come zona "internet" e ho messo una VM con scheda di rete collegata solo su questo vSwitch: rappresenterà il web server pubblico e l'attaccante ipotetico .