web-dev-qa-db-ja.com

Hyper-V仮想スイッチとDHCP

複数の仮想スイッチ間でVLAN分離を強制する最良の方法は何ですか?

基本的に4つの個別の仮想スイッチを取得するために、おそらくかなり複雑なセットアップを行っています。

着信回線は、トランクモードの10Gbeのチーム化された接続で、外部仮想スイッチに追加して、管理OSに4つの仮想NICを作成し、それぞれがVLANでアクセスモードに設定します。次に、4つの内部仮想スイッチを作成しました。 4つは、分離したいVLANの数です。

これで、各NICを、必要なVLANのアクセスモードに設定して、大きなブリッジ上に作成できます。ほら、すべての仮想サーバーはインターネットを見ることができ、必要なVLANにアクセスできます。しかし、いくつかの問題があります。まず、サーバーをDHCPに設定すると、スイッチが割り当てられるVLANではなく、デフォルトVLANからDHCPが取得されます。次に、実際に任意のVLANからIPを割り当てることができ、スイッチが何をするかに関係なく、サーバーは引き続き通信します。

私は何が起こっているのかという概念を理解しています。すべてがアクセスモードに設定されているため、すべてタグなしフレームが送信されるため、最終的にブリッジに到達すると、すべてがネイティブ(タグなし)VLANに変換されます。私の唯一の問題は、タグ付きフレームを指定する方法が見つからないことです。または、さらに良いことに、各VLANに1つずつ、合計4つのネットワークブリッジを作成します。

助言がありますか?

5
Naryna

VLANは必要以上の複雑化はありません。TOR/アクセススイッチにトランクポートを構成します。次に、ホストに1つのvSwitchを作成します。vSwitchNICをトランクポートに接続します。 VMを作成するときは、vNIC設定を編集し、VLANタグ/ ID /番号を設定します。

これは、最も簡単な方法であり、ベストプラクティスでもあります。 vSwitchは、MSFTチーミングを使用している限り(またはサポートされていないサードパーティチーミングの指示に従っている限り)、VLANホッピングから保護されます。

複数のチームが必要になる唯一の実際のシナリオは、インターネット上で何かに直面したときです。その場合は、セキュリティではなくDDOSに2つ目のNIC /チームを使用します。

7
Aidan Finn

可能な限り、誰にもエイダンの答えを使うよう強く勧めます。私が見つけた最終的な解決策により、サーバーの元の設計を維持しながら、すべてを機能させることができました。ここで提供されているaritcleから抜け出す https://community.mellanox.com/docs/DOC-1845 チームにインターフェイスを追加できることが明らかになりました。

各VLAN=にチームインターフェイスを追加し、各チームインターフェイスに外部スイッチを作成しました。作成した新しいスイッチ間で交換してDHCPを完全に取得できました。

1
Naryna