ESXi:任何 VLAN 一個網關
我有下一個配置:
虛擬機1 - - - >
VM2 - - - > VM0 網關
虛擬機3 - - - >
到目前為止,所有 vm 都在同一個 PortGroup 中,但我想將每個 mv 隔離在一個 VLAN 中,所以我創建了一個 PortGroup,每個 mv 有一個 vlan,如下所示:
用於網關的 PortGroupA VLAN 10 (pfsense)
VM1 的 PortGroupB VLAN 20
用於 VM2 的 PortGroupC VLAN 30
用於 VM3 的 PortGroupD VLAN 40
問題是這樣的,我想將每個虛擬機連接到網關,但我不能,我正在閱讀,不可能將兩個或多個 VLAN 分配給一個埠組,我嘗試將 VLAN 10 放入 4095 但沒有,當然如果我將 PortGroupA 和 PortGroupB 放在同一個 VLAN 中工作正常。我正在考慮的其他解決方案是在每個 PortGroup 的網關中放置一個 NIC,但我認為這是一個錯誤的選擇。謝謝!
**編輯:**我正在閱讀esxi中的vlan,有人說,我們只在連接到物理交換機時使用vlan,對嗎?在這種情況下,我的基礎架構完全虛擬化,那麼,最好的解決方案是使用子網嗎?而已?
好的,我明白你想要做什麼。您為每個 VLAN 添加額外 NIC 的想法也不是錯誤的,但我們假設您有 100 個 VLAN。如果是這種情況,那麼向 pfsense VM 添加額外的 NIC 聽起來確實不可行。你肯定會遇到規模問題。
從設計的角度來看,正確的做法是將 PortGroupA 配置為接收所有 VLAN。為此,請將 PortGroupA VLAN ID 設置編輯為ALL(4095)。這將允許 PortGroupA 擴展每個 VLAN 的廣播域,以一直擴展到 pfsense 虛擬防火牆設備。
然後在 pfsense 防火牆設備上配置四個子介面(或 VLAN 介面),VLAN 標籤為 10、20、30、40。在 pfsense 中為每個子介面配置 IP 地址。這一切都假設您為不同的 VLAN 使用不同的子網。例如,您應該有如下子網;
subnet 192.168.10.x/24 part of VLAN 10. subnet 192.168.20.x/24 part of VLAN 20. subnet 192.168.30.x/24 part of VLAN 30. subnet 192.168.40.x/24 part of VLAN 40.然後在 pfsense 上,您的 VLAN 介面應該具有來自每個 VLAN 的 IP 地址,這些 IP 地址將成為它們各自 VLAN 的預設網關。這對您的 VM 意味著它們的預設網關將被配置為指向在 pfsense 防火牆上配置的 IP 地址。例子,
if IP address for VLAN 20 on pfsense firewall is configured to 192.168.20.254 then the default gateway on the VM part of VLAN 20 (PortGroupB) should be configured to 192.168.20.254最重要的是,您希望 pfsense 能夠處理了解哪些流量屬於哪個 VLAN,以及這些流量來自哪里以及它要去哪裡。
基本上,從網路的角度來看,您應該考慮創建一個具有防火牆功能的 Router-on-A-Stick,並將其作為虛擬設備託管在 ESXi 虛擬機管理程序中。
祝一切順利 !!讓我知道你的進展。