Come si configura una VLAN tra una VM ESXi e un hardware fisico? [chiuso]

Prima di tutto, sono un noob totale. L'estensione della mia esperienza con la VLAN sta configurando una rete ospite su un router wireless.

Recentemente ho ricevuto una richiesta per creare una rete pubblica che richiedesse il filtro e la limitazione (tramite Untangle). Nel frattempo, c'è una workstation nello stesso edificio che dovrebbe avere accesso senza restrizioni.

La mia domanda è: cosa devo fare sugli switch ESXi e / o sullo switch Netgear GS108E per separare logicamente le reti? A partire da ora, tutto scorre attraverso il percorso "rosso" della LAN no / all / default. Ho bisogno che la workstation [w] scorra attraverso il percorso "blu", mantenendo tutto il resto sul percorso "rosso". Ho letto dozzine di articoli VLAN, ma nulla fa fare clic sui concetti VLAN predefiniti / tagging / non etichettati / nativi.

802.1q è lo standard tecnico per la codifica VLAN ( http://en.wikipedia.org/wiki/IEEE_802.1Q ). Questo standard include il posizionamento di un "tag VLAN" all'interno dell'intestazione dei frame Ethernet. Questo tag consente a un collegamento di trasportare più VLAN, a condizione che entrambi i dispositivi riconoscano il tag 802.1q, poiché il tag contiene l'ID VLAN a cui appartiene il traffico.

Tale collegamento viene comunemente definito "collegamento trunk" o "trunk 802.1q", ecc. In tale ambiente, in genere esiste una singola VLAN a cui viene assegnato il ruolo di "VLAN nativa". Il termine può anche essere "VLAN senza tag", perché è una VLAN nativa, una VLAN particolare che attraversa un collegamento trunk senza tag VLAN. Poiché non esiste alcun modo per identificare a quale VLAN appartiene un pacchetto senza questo tag, solo una VLAN può essere designata come "VLAN nativa", ed è una buona idea assicurarsi che questo valore corrisponda su entrambi i lati di un trunk.

In ESXi, è possibile definire gruppi di porte con un ID VLAN. Se si lascia questo campo vuoto (o si specifica 0), il traffico di quel gruppo di porte esce dall'host senza tag VLAN. Questo va bene se hai un solo gruppo di porte sull'host e quel vSwitch si collega a un solo collegamento, perché puoi semplicemente rendere quella porta una porta di accesso, senza bisogno di trunk. Tuttavia, hai bisogno di più VLAN da passare sullo stesso link (o bundle di link), quindi mi assicurerei che il trunking sia configurato sugli switchport a cui si connette il tuo host, quindi tutto ciò che devi fare è inserire l'ID VLAN appropriato per gruppo di porte vSwitch. ESXi taggerà i frame che entrano in quel gruppo di porte quando escono dall'host.

È importante configurare i tuoi switchport in modalità "VLAN Trunk" o "VLAN Tagging" perché le porte non trunk non accettano i frame con tag (vengono rilasciati). Le porte del trunk accettano frame con tag e invierete frame con tag dall'host ESXi con la configurazione precedente.

Da quello che posso dire, l'interruttore che mostri nel diagramma dovrebbe supportare tutto questo, ma potrebbe non essere il più intuitivo o usare gli stessi termini. Consiglio di attenersi alla documentazione e vedere se riesci a farlo funzionare. http://www.netgear.com/business/products/switches/prosafe-plus-switches/GS108E.aspx

La porta 1 dovrebbe avere VLAN 14 taggata. La porta 4 dovrebbe appartenere al gruppo VLAN 14 ma avere VLAN 14 senza tag poiché la workstation non ha un concetto di VLAN.

Nella configurazione dello switch Netgear selezionare 802.11Q, non basato sulla porta. È un po 'più complesso, ma ne hai bisogno.

Puoi avere tutte le VLAN di cui hai bisogno su ogni porta, ma solo una (chiamata PVID) può essere senza tag. Impostare il PVID della porta 1 su 1, ma averlo unito a entrambe le VLAN 1 e 14. Impostare il PVID della porta 4 su 14 e collegarlo solo alla VLAN 14. Tutte le altre porte sono PVLAN 1 VLAN 1

L'unico modo in cui sono riuscito a ottenere gli host per comunicare correttamente attraverso una macchina basata su Windows ESXI (ho potuto vedere il traffico taggato dall'ESXI ma il traffico di ritorno stava mostrando senza tag - senza vlan)

Necessario per abilitare la modalità Monitor su Windows per non rimuovere la VLAN

ecco come è fatto. Una voce nel registro e tutto funziona. http://www.intel.com/support/network/sb/CS-005897.htm

Aggiungi su:

Suggerimento quando si sperimentano le VLAN: tutte le porte dello switch devono essere trunk (che trasportano SOLO pacchetti con tag e che rifiutano qualsiasi altra cosa) o accesso (solo pacchetti senza tag e trasporto di pacchetti senza tag da e verso esattamente una VLAN che si trova sul trunk). Disabilita le "modalità" di porta che non ti servono.

Un misto etichettato-etichettato su una porta potrebbe avere un senso, ad esempio, per trasformare una rete VOIP in un impianto di cavi LAN, ma anche lì si tratta di una soluzione un po 'sporca con una sicurezza discutibile. Per un "fabric" multi-DMZ condiviso dagli host vSphere, nella maggior parte dei casi è semplicemente una cattiva pratica. Potrebbe avere senso sugli host a cui mancano gravemente le porte di rete fisiche (ma poi, puoi etichettare TUTTO e lasciare che lo switch si occupi di esso). Considera la "VLAN predefinita" come un pozzetto di drenaggio, non vorrai che niente venga inzuppato.