2016年7月7日 星期四

ESXI虛擬機與VLAN實驗

ESXI主機上有許多虛擬機器要透過實體網路出去,但是現在網路架構越來越複雜,尤其現在企業內都有VLAN的架構,我們簡單來看一下常見的用法。




vlan 10
vlan 20
vlan 30
interface GigabitEthernet0/1
switchport mode trunk
description fortigate

這裡我接了一台fortigate做單臂路由,所以交換器設定一個trunk給他,但是跟我們ESXI連接的地方要怎麼設定呢? (我是選擇用防火牆做單臂路由,同樣用L3交換器SVI也可以。)




基本上ESXI引進了虛擬交換器的想法,就是給你一台 120 Port的Switch,你的虛擬機器就是接在上面,vmnic2就是實體接線的網路埠,如果以交換器來看的話就是uplink,虛擬機器連接埠群組只是方便群組化控管,比方說我們可以同個vlan的網卡都放在一起,無(0)就是不帶tag,注意如果設成1的話,反而是帶tag的vlan1。


虛擬機網卡就是要在網卡標籤裡面設定,比方說我這裡是untag。


External Switch Tagging(EST)
interface GigabitEthernet0/2
switchport mode access
switchport access vlan 10
description esxi

假設網路管理者把接給我們的網路設成access vlan10,然後我們虛擬機設成untag,這樣的話所有封包出去都是vlan10。


果真拿到一個vlan10的網段的IP,也就是說上層網路管理者給你access vlan多少,你就拿到access vlan多少的網段IP。

那如果我有多台虛擬機要跨多個vlan呢?


Virtual Switch Tagging(VST)
interface GigabitEthernet0/2
switchport mode trunk
description esxi

我們請網路管理員把接給我們ESXI的網路埠設定成trunk,然後我們建了三台虛擬機,還有三個虛擬機器連接埠群組,差別只是在於 untag、vlan10、vlan20。




三台虛擬機,因為在虛擬機器連接埠群組的vlan不同,分別拿到不同vlan的DHCP IP。


Virtual Guest Tagging(VGT)
interface GigabitEthernet0/2
switchport mode trunk
description esxi


有沒有可能虛擬機器跟虛擬交換機跑trunk呢?有。就是選擇全部(4095)。


由於伺服器新的網卡驅動有支援封包自己帶tag出去,所以當我們設定tag30,然後虛擬機器連接埠群組又設定成trunk的話,就可以拿到vlan30的DHCP IP,然後還可以上網。

結論:
虛擬機器終究要回歸到實體網路,目前實體網路常用的技術就是vlan,因為虛擬機器有可能需要到不同的vlan出去,所以也支援多種設定方式,沒有最好的,只有最適合公司內部使用的。

沒有留言:

張貼留言