Polish

 View Only
  • 1.  VMware ESXi i transparentny bridge

    Posted Dec 17, 2011 11:31 AM

    Witam,

    W chwili obecnej w moej sieci rolę routera pełni ForeFront zainstalowany na VMware ESXi (nazwijmy go VM01)

    Chciałbym przed tą maszyną wstawić transparentny bridge (VM02), oparty na linuksie, który pełniłby różnorakie funkcje, pocąwszy od filtrowania, przez statystyki i monitorowanie.

    W jaki sposób rozwiązać taki problem, by ruch z sieci lokalnej prechodził przez bridge,a zanim dotrze do VM01?

    Gdyby rozwiązywać to na maszynach fizycznych, sytuacja wyglądałaby nastepująco:

    Hosty_LAN --- Switch --- Transparent_Bridge -- Router --- Internet

    Jak poradzić sobie z tym zadaniem gdy w grę wchodzi wirtualizacja? Chciałbym aby na jednej fizycznej maszynie stał ForeFront oraz Bridge.

    Hosty_LAN --- Switch ---[ VM02_Bridge -- VM01_Router ] --- Internet

    Da się osiągnać coś takiego?

    Dziekuję.



  • 2.  RE: VMware ESXi i transparentny bridge

    Posted Dec 19, 2011 09:58 AM

    Da się, trzeba odpowiednio skonfigurować vSwitche, portugrupy i VLANy. Host ESXi musi być podłączony do przełącznika z obsługą VLANów lub mieć przynajmniej 2 fizyczne karty sieciowe.

    • Rozwiązanie oparte na VLANach (zalecane):
      - Internet wpinamy do fizycznego switcha na port z nietagowanym (natywnym) VLAN ID 100 (przykładowo)
      - Na portach na fizycznym przełączniku, do których wpięty jest host ESXi, ustawiamy tagowany VLAN 100 i nietagowany 1
      - Na hoście ESXi tworzymy wirtualny vSwitch, przypisujemy do niego kartę(y) sieciowe z poprzednich punktów i tworzymy na nim portgrupę INTERNET z VLAN 100 oraz grupę LAN bez VLAN
      - Na hoście ESXi tworzymy drugi wirtualny przełącznik bez kart sieciowych i tworzymy na nim portgrupę BRIDGE
      - Na wirtualnej maszynie VM01_Router do jednej karty sieciowej przypisujemy portgrupę INTERNET a do drugiej jakrty sieciowej BRIDGE
      - Na wirtualnej  maszynie VM02_Bridge do jednej karty sieciowej przypisujemy portgrupę BRIDGE a do drugiej karty sieciowej LAN
    • Rozwiązanie oparte na kartach sieciowych:
      - Analogicznie jak w przykładzie poprzednim z tym że zamiast VLANów separujemy ruch za pomocą kart sieciowych. W takiej konfiguracji będą trzy vSwitche, jeden na internet, jeden na LAN a trzeci na BRIDGE

    Jeżeli w środowisku ma działać vMotion to w obu przypadkach portgrupę BRIDGE trzeba przenieść na vSwitch z kartami sieciowymi i przypisać jej dodatkowy VLAN i ustawić go na wszystkich portach do których wpięte są serwery ESXi



  • 3.  RE: VMware ESXi i transparentny bridge

    Posted Dec 20, 2011 12:32 PM

    TO co opisał Bisti w zupełności wystarczy, ale do monitoringu i analizy ruchu można jeszcze użyć "port Mirroring" w wersji 5 dystrybucyjnych switchy bez potrzeby mieszania w kartach - Niestety już filtrowanie nie zadziała.

    Trzeba też jeszcze pamiętać, że jeżeli używamy teamingu z 802.3ad, to przy zbridge'owaniu dwoch wirtuanych kart sieciowych włączy się spanning tree na switchach fizycznych i będzie kuku :smileyhappy:



  • 4.  RE: VMware ESXi i transparentny bridge

    Posted Dec 21, 2011 01:56 PM

    Ten "port Mirroring" to torchę zło przy dużym rcuhu... sporo zasobow zżera... wiec rozwaznie Panowie rozważnie :smileywink: