Bagaimana cara mengatur VLAN antara ESXi VM dan Fisik Perangkat Keras? [Tutup]


8

Pertama-tama, saya benar-benar noob. Tingkat pengalaman VLAN saya adalah mengatur jaringan tamu pada router nirkabel.

Baru-baru ini saya mendapat permintaan untuk membuat jaringan publik yang membutuhkan pemfilteran dan pelambatan (via Untangle). Sementara itu, ada workstation di gedung yang sama yang harus memiliki akses tidak terbatas.

Pertanyaan saya adalah, apa yang harus saya lakukan pada sakelar ESXi dan / atau sakelar Netgear GS108E untuk secara logis memisahkan jaringan? Sampai sekarang, semuanya mengalir melalui jalur "merah" dari no / all / default LAN. Saya membutuhkan workstation [w] untuk mengalir melalui jalur "biru", sambil menjaga semua yang lain di jalur "merah". Saya telah membaca puluhan artikel VLAN, tetapi tidak ada yang membuat konsep VLAN default / tagging / untagged / asli.

diagram

Jawaban:


7

802.1q adalah standar teknis untuk pemberian tag VLAN ( http://en.wikipedia.org/wiki/IEEE_802.1Q ). Standar ini mencakup penempatan "VLAN Tag" di dalam header frame Ethernet. Tag ini memungkinkan tautan untuk membawa beberapa VLAN, selama kedua perangkat mengenali pemberian tag 802.1q, karena tag tersebut berisi ID VLAN yang menjadi milik lalu lintas.

Tautan seperti itu biasanya disebut sebagai "trunk link" atau "802.1q trunk", dll. Dalam lingkungan seperti itu, biasanya ada satu VLAN yang diberi peran "VLAN asli". Istilah ini mungkin juga "VLAN tidak bertanda", karena itulah VLAN asli - VLAN tertentu yang melintasi tautan trunk tanpa tag VLAN. Karena tidak ada cara untuk mengidentifikasi VLAN mana paket milik tanpa tag ini, hanya satu VLAN dapat ditunjuk sebagai "VLAN asli", dan itu adalah ide yang baik untuk memastikan nilai ini cocok di kedua sisi bagasi.

Di ESXi, Anda dapat menentukan grup port dengan ID VLAN. Jika Anda mengosongkan bidang ini (atau tentukan 0) maka lalu lintas grup port tersebut akan keluar dari host tanpa tag VLAN. Ini tidak apa-apa jika Anda hanya memiliki satu grup port pada host dan vSwitch hanya terhubung ke satu tautan, karena Anda dapat dengan mudah membuat port tersebut sebagai port akses, tidak perlu trunk. Namun, Anda perlu beberapa VLAN untuk dilewatkan pada tautan yang sama (atau bundel tautan), jadi saya akan memastikan trunking dikonfigurasi pada switchports yang terhubung dengan host Anda, maka yang perlu Anda lakukan hanyalah memasukkan VLAN ID yang sesuai per grup port vSwitch. ESXi akan menandai bingkai yang memasuki grup port saat keluar dari host.

Sangat penting untuk mengkonfigurasi switchports Anda dalam mode "VLAN Trunk" atau "VLAN Tagging" karena port non trunk tidak menerima bingkai yang ditandai (mereka terjatuh). Port trunk menerima frame yang ditandai, dan Anda akan mengirim frame yang ditandai dari host ESXi Anda dengan konfigurasi di atas.

Dari apa yang bisa saya katakan, saklar yang Anda tunjukkan dalam diagram harus mendukung semua ini tetapi mungkin bukan yang paling intuitif atau menggunakan istilah yang sama. Saya akan merekomendasikan tetap dengan dokumentasi dan melihat apakah Anda bisa membuatnya bekerja. http://www.netgear.com/business/products/switches/prosafe-plus-switches/GS108E.aspx


1

Port 1 harus ditandai VLAN 14. Port 4 harus menjadi bagian dari grup VLAN 14 tetapi memiliki VLAN 14 tanpa tanda karena workstation tidak memiliki konsep VLAN.

Dalam konfigurasi sakelar Netgear pilih 802.11Q, bukan berbasis port. Ini sedikit lebih kompleks, tetapi Anda membutuhkannya.

Anda dapat memiliki VLAN sebanyak yang diperlukan di setiap port, tetapi hanya satu (disebut PVID) yang dapat dibatalkan tagnya. Atur PVID port 1 sebagai 1, tetapi gabungkan dengan VLAN 1 dan 14. Atur PVID port 4 sebagai 14, dan hanya gabungkan ke VLAN 14. Semua port lain adalah VLAN 1 PVID 1


0

Satu-satunya cara saya bisa membuat host berkomunikasi dengan benar melalui mesin berbasis windows ESXI (saya bisa melihat traffic ditandai dari ESXI tetapi lalu lintas balik muncul tanpa tanda - tanpa vlan)

Diperlukan untuk mengaktifkan Mode Monitor pada Windows untuk tidak menghapus VLAN

di sini adalah bagaimana hal itu dilakukan. Satu entri ke dalam registri dan semuanya berfungsi. http://www.intel.com/support/network/sb/CS-005897.htm


0

Tambahan:

Petunjuk ketika bereksperimen dengan VLAN: Mintalah semua port switch Anda menjadi trunk (membawa HANYA yang menandai paket dan menolak yang lain) atau mengakses (hanya paket yang tidak ditandai, dan membawa paket yang tidak ditandai ke dan dari tepat satu VLAN yang ada di bagasi). Nonaktifkan "mode" port apa pun yang tidak Anda butuhkan.

Campuran yang ditandai - tidak ditandai pada satu port mungkin masuk akal untuk mis. Menyemai jaringan VOIP ke dalam instalasi kabel LAN - tetapi meskipun ada solusi yang agak tidak bersih dengan keamanan yang dipertanyakan. Untuk multi-DMZ "fabric" yang dibagikan oleh host vSphere, ini adalah praktik yang buruk pada kebanyakan kasus. Ini bisa masuk akal pada host yang sangat kekurangan port jaringan fisik (tapi kemudian, Anda bisa menandai SEMUA dan membiarkan switch mengurusnya). Pertimbangkan "Default VLAN" sebagai genangan drainase, Anda tidak ingin apa pun basah kuyup di dalamnya.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.