0 Replies Latest reply on Jul 19, 2019 12:27 AM by rout86

    Best Practice promiscuous mode & VGT

    rout86 Lurker

      Guten Morgen zusammen,

       

      ich hätte heute eine Frage bzgl. dem "promiscuous mode" und Virtual Guest Tagging.

       

      Umgebung: Vsphere Essentials 6.7 3 Hosts

       

      Habe 2 virtuelle "Routing-Appliances" vor die Nase gestellt bekommen die miteinander ein "Cluster" bilden.  2 VMs mit jeweils 3 virtuelle Netzwerkkarten/Portgruppen.

       

      1. Thematik Promiscuouse mode (Funktion ist klar)

       

      Beide VMs benötigen die Aktivierung des promiscuous mode auf 2 virtuellen Netzwerkkarten/Portgruppen. Wir nennen die Portgruppe mal Server + Clients. Diese Portgruppen werden auch von anderen VMs genutzt.

       

      Um die Sicherheitsthematik Traffic-Mitlesen etc. umgehen zu können trotz aktiviertem Mode hätte ich eine 2te Portgruppe mit den Einstellungen von Portgruppe Server erstellt und nur auf dieser Portgruppe den promiscuous mode aktiviert.

       

      Die Frage ist hier ob mir das überhaupt was bringt und die Trennung pro Portgruppe sinnvoll ist trotz gleicher VLANs etc. oder ich besser ein eigenes VLAN mit eigenem Netz erstelle.

       

      2. Thematik Virtual Guest Tagging

       

      Der Appliance können derzeit nur 3 Netzwerkkarten zugewiesen werden. In meinem Szenario benötigt ich für HA/VRRP innerhalb der Maschine aber nochmals ein zusätzliches Netz. Dieses Netz soll laut Hersteller über Virtual Guest Tagging oder einen Distibuted Switch eingebunden werden - Distributed Switch aufgrund der Lizenz nicht möglich.

      Somit habe ich für die notwendige Portgruppe/Netzwerkkarte VGT 4095 all aktiviert.

       

      Aus Sicht der Sicherheit wird VGT nicht empfohlen - siehe General Networking Security Recommendations

       

      Benötige diese Funktion aber definitiv, hier stellt sich nun die Frage nach dem Design - erste Idee von mir wäre zusätzliche Netzwerkkarte einbauen, 2ten Vswitch + Portgruppe mit VGT konfigurieren.  Auf physikalischer Switchseite im Trunk nur die VLANs konfigurieren die in der VM für diese Karten notwendig sind.

       

      Würde mich über Einschätzungen/Meinungen von eurer Seite freuen.

       

      Wünsche allen einen stressfreien Wochenendeinstieg

       

      Wolfgang