Hola y Buenos dias, voy a esplicar el problema que me tengo:
Tendo varios ESX con su virtual switch para cada cosa, uno para el trafico vmotion, otro para las maquinas virtuales y ahora quiero poner otro para la DMZ.
Hasta ahora tengo un servidor fisicamente en la DMZ con Centos y vmware server y unas maquinas ahi.
Esto quiero cambiarlo e incluir estas VM en la infraestructura de almacenamiento y en el vcenter para disponer la seguridad de poder arrancarla en diferentes equipos ante fallos de hardware y poder hacer backup de esos servidores (cosa que hoy por hoy no tengo).
Antes de montarlo en toda la infraestructura lo voy a poner en 1 ESX con una tarjeta fisica conectado al switch del cortafuegos y al virtual switch nuevo para DMZ que creare en el Host.
Por mi parte no tengo ninguna duda que esta es la mejor configuracion (una tarjeta fisica del esx al virtual switch que esta en el rango de la DMZ que tenemos) y aqui las maquinas que tiene que estar en la DMZ.
El problema viene desde la gente que se encarga de las comunicaciones y el cortafuegos, que no tienen claro que al poner una pata lan en la dmz (de ese hots) y el resto en la LAN no tengamos problemas de forwarding u otros temas ya que consideran que estoy poniendo una maquina que no pasa por el cortafuegos.
Yo (con mis limitaciones en comunicaciones) he intentado esplicarles que el trafico no se mezcla (el trafico que hay un virtual switch no se mezcla con el otro), y como voy a conectar el virtual switch del host a la dmz, este switch solo esta conectado al cortafuegos, el trafico siempre pasa por ahi.
Su miedo es el anteriormente mencionado, que habramos un camino que no pasa por el cortafuegos.
Hay algun documento que explique que su miedo es injustificado para poder yo demostrarselo.
Siento la chapa un saludo y gracias