Làm cách nào để thiết lập Vlan giữa máy ảo ESXi và Phần cứng vật lý? [đóng cửa]

Trước hết, tôi là một người hoàn toàn. Phạm vi trải nghiệm Vlan của tôi là thiết lập mạng khách trên bộ định tuyến không dây.

Gần đây tôi đã nhận được yêu cầu thiết lập một mạng công cộng yêu cầu lọc và điều chỉnh (thông qua Untangle). Trong khi đó, có một máy trạm trong cùng tòa nhà nên có quyền truy cập không hạn chế.

Câu hỏi của tôi là, tôi phải làm gì trên các thiết bị chuyển mạch ESXi và / hoặc công tắc Netgear GS108E để phân tách hợp lý các mạng? Đến bây giờ, mọi thứ đang chảy qua đường dẫn "đỏ" của mạng LAN không / tất cả / mặc định. Tôi cần máy trạm [w] chảy qua đường dẫn "màu xanh", trong khi vẫn giữ mọi thứ khác trên đường dẫn "màu đỏ". Tôi đã đọc hàng tá bài viết về Vlan, nhưng không có gì làm cho các khái niệm Vlan mặc định / gắn thẻ / không được gắn thẻ / bản địa nhấp vào.

802.1q là tiêu chuẩn kỹ thuật cho việc gắn thẻ Vlan ( http://en.wikipedia.org/wiki/IEEE_802.1Q ). Tiêu chuẩn này bao gồm việc đặt "Thẻ Vlan" bên trong tiêu đề của khung Ethernet. Thẻ này cho phép một liên kết mang nhiều Vlan, miễn là cả hai thiết bị đều nhận ra việc gắn thẻ 802.1q, vì thẻ chứa Vlan ID mà lưu lượng thuộc về.

Một liên kết như vậy thường được gọi là "liên kết trung kế" hoặc "trung kế 802.1q", v.v. Trong một môi trường như vậy, thường có một Vlan duy nhất được gán vai trò của "Vlan gốc". Thuật ngữ này cũng có thể là "Vlan không được gắn thẻ", bởi vì đó là Vlan bản địa - một Vlan cụ thể vượt qua một liên kết trung kế không có thẻ Vlan. Do không có cách nào để xác định Vlan mà gói tin thuộc về nếu không có thẻ này, nên chỉ có một Vlan có thể được chỉ định là "Vlan gốc" và nên đảm bảo giá trị này khớp với cả hai mặt của một thân cây.

Trong ESXi, bạn có thể xác định các nhóm cổng bằng Vlan ID. Nếu bạn để trống trường này (hoặc chỉ định 0) thì lưu lượng của nhóm cổng đó sẽ đi ra khỏi máy chủ không có thẻ Vlan. Điều này không sao nếu bạn chỉ có một nhóm cổng trên máy chủ và vSwitch chỉ cắm vào một liên kết, bởi vì bạn chỉ cần biến cổng đó thành cổng truy cập, không cần trung kế. Tuy nhiên, bạn cần truyền nhiều Vlan trên cùng một liên kết (hoặc gói liên kết), vì vậy tôi sẽ đảm bảo trung kế được cấu hình trên các tổng đài mà máy chủ của bạn kết nối với, sau đó tất cả những gì bạn cần làm là nhập Vlan ID thích hợp mỗi nhóm cổng vSwitch. ESXi sẽ gắn thẻ các khung vào nhóm cổng đó khi chúng thoát khỏi máy chủ.

Điều quan trọng là định cấu hình các tổng đài của bạn ở chế độ "Vlan Trunk" hoặc "Vlan Tagging" vì các cổng không trung kế không chấp nhận các khung được gắn thẻ (chúng bị loại bỏ). Các cổng trung kế chấp nhận các khung được gắn thẻ và bạn sẽ gửi các khung được gắn thẻ từ máy chủ ESXi của mình với cấu hình trên.

Từ những gì tôi có thể nói, công tắc bạn hiển thị trong sơ đồ sẽ hỗ trợ tất cả những điều này nhưng nó có thể không trực quan nhất hoặc sử dụng các thuật ngữ tương tự. Tôi khuyên bạn nên gắn bó với tài liệu này và xem liệu bạn có thể làm cho nó hoạt động không. http://www.netgear.com/business/products/switches/prosafe-plus-switches/GS108E.aspx

Cổng 1 phải được gắn thẻ Vlan 14. Cổng 4 phải thuộc nhóm Vlan 14 nhưng không có Vlan 14 vì máy trạm không có khái niệm về Vlan.

Trong cấu hình chuyển đổi Netgear, chọn 802.11Q, không dựa trên cổng. Nó phức tạp hơn một chút, nhưng bạn cần nó.

Bạn có thể có nhiều Vlan như bạn cần trên mỗi cổng, nhưng chỉ một (được gọi là PVID) có thể được bỏ chặn. Đặt PVID của cổng 1 là 1, nhưng đã kết nối với cả Vlan 1 và 14. Đặt PVID của cổng 4 là 14 và chỉ tham gia vào Vlan 14. Tất cả các cổng khác là Vlan 1 PVID 1

Cách duy nhất tôi có thể khiến máy chủ liên lạc chính xác thông qua máy dựa trên ESXI của windows (Tôi có thể thấy lưu lượng được gắn thẻ frm ESXI nhưng lưu lượng truy cập trở lại không hiển thị - không có vlan)

Cần thiết để bật Chế độ màn hình trên Windows để không loại bỏ Vlan

đây là cách nó được thực hiện Một mục vào sổ đăng ký và tất cả đều hoạt động. http://www.intel.com/support/network/sb/CS-005897.htm

Thêm vào:

Gợi ý khi thử nghiệm với Vlan: Có tất cả các cổng chuyển đổi của bạn là trung kế (chỉ mang các gói được gắn thẻ và từ chối mọi thứ khác) hoặc truy cập (chỉ các gói không được gắn thẻ và mang các gói không được gắn thẻ đến và từ chính xác một Vlan trên thân cây). Vô hiệu hóa bất kỳ "chế độ" cổng nào bạn không cần.

Hỗn hợp được gắn thẻ không gắn thẻ trên một cổng có thể có ý nghĩa, ví dụ như việc nối mạng VOIP vào nhà máy cáp LAN - nhưng ngay cả ở đó cũng là một giải pháp hơi ô uế với bảo mật đáng ngờ. Đối với một "vải" đa DMZ được chia sẻ bởi các máy chủ vSphere, nó chỉ đơn giản là thực hành xấu trong hầu hết các trường hợp. Nó có thể có ý nghĩa đối với các máy chủ cực kỳ thiếu các cổng mạng vật lý (nhưng sau đó, bạn có thể gắn thẻ MỌI THỨ và để công tắc xử lý nó). Hãy xem xét "Vlan mặc định" một hố thoát nước, bạn không muốn bất cứ thứ gì bị ngâm trong đó.