Hyper-V 虛擬交換機和 DHCP
強制跨多個虛擬交換機進行 VLAN 隔離的最佳方法是什麼?
為了獲得基本上 4 個獨立的虛擬交換機,我可能有一個相當複雜的設置。
傳入線路是中繼模式下的 10Gbe 組合連接,然後我將其添加到外部虛擬交換機並為管理作業系統創建 4 個虛擬網卡,每個網卡都設置為我想要的 VLAN 中的訪問模式。然後我創建了四個內部虛擬交換機。四個是我想要隔離的 VLAN 數量。
現在,我可以在我想要的 VLAN 中將每個 NIC 設置為訪問模式,然後在 big bridge 上創建。瞧,所有的虛擬伺服器都可以看到網際網路並且可以訪問他們需要的 VLAN。但是,有幾個問題。首先,如果我將任何伺服器設置為 DHCP,那麼它只會從預設 vlan 獲取 DHCP,而不是交換機應分配到的任何 VLAN。其次,我實際上可以從任何 VLAN 分配一個 IP,並且無論交換機應該做什麼,伺服器仍然可以通信。
我理解正在發生的事情的概念。因為所有內容都設置為訪問模式,所以它都發送未標記的幀,因此一旦它最終到達網橋,它會將所有內容轉換為本地(未標記)VLAN。我唯一的問題是,我找不到指定標記幀的方法。或者,更好的是,創建 4 個網橋,每個 VLAN 一個。
有什麼建議麼?
每個 VLAN 1 個交換機是不必要的過度複雜化。在您的 TOR/接入交換機上配置中繼埠。然後在您的主機上創建 1 個 vSwitch。將 vSwitch NIC 連接到中繼埠。創建 VM 時,編輯 vNIC 設置並設置 VLAN 標記/ID/編號。
這既是最簡單的方法,也是最佳實踐。只要您使用 MSFT 組合(或遵循不受支持的第 3 方組合的說明),vSwitch 就不會受到 VLAN 跳躍的影響。
您需要多個團隊的唯一真實場景是當您在 Internet 上遇到某些事情時。在這種情況下,您使用第二個 NIC/團隊,不是為了安全,而是為了 DDOS。