Comment configurer un VLAN entre une VM ESXi et du matériel physique? [fermé]

Tout d'abord, je suis un noob total. L'étendue de mon expérience VLAN consiste à configurer un réseau invité sur un routeur sans fil.

J'ai récemment reçu une demande de mise en place d'un réseau public nécessitant un filtrage et une limitation (via Untangle). Pendant ce temps, il y a un poste de travail dans le même bâtiment qui devrait avoir un accès illimité.

Ma question est, que dois-je faire sur les commutateurs ESXi et / ou le commutateur Netgear GS108E pour séparer logiquement les réseaux? À partir de maintenant, tout circule sur le chemin "rouge" du LAN sans / tout / par défaut. J'ai besoin que le poste de travail [w] passe par le chemin "bleu", tout en gardant tout le reste sur le chemin "rouge". J'ai lu des dizaines d'articles VLAN, mais rien ne fait cliquer sur les concepts VLAN par défaut / tagging / untagged / native.

802.1q est la norme technique pour le balisage VLAN ( http://en.wikipedia.org/wiki/IEEE_802.1Q ). Cette norme comprend le placement d'un "VLAN Tag" à l'intérieur de l'en-tête des trames Ethernet. Cette balise permet à un lien de transporter plusieurs VLAN, tant que les deux appareils reconnaissent le balisage 802.1q, car la balise contient l'ID de VLAN auquel appartient le trafic.

Un tel lien est communément appelé "lien de jonction" ou "jonction 802.1q", etc. Dans un tel environnement, il existe généralement un seul VLAN auquel est attribué le rôle de "VLAN natif". Le terme peut également être "VLAN non balisé", car c'est ce qu'est un VLAN natif - un VLAN particulier qui traverse une liaison de jonction sans balise VLAN. Puisqu'il n'y a aucun moyen d'identifier à quel VLAN un paquet appartient sans cette balise, un seul VLAN peut être désigné comme le "VLAN natif", et c'est une bonne idée de s'assurer que cette valeur correspond des deux côtés d'un tronc.

Dans ESXi, vous pouvez définir des groupes de ports avec un ID VLAN. Si vous laissez ce champ vide (ou spécifiez 0), le trafic de ce groupe de ports quitte l'hôte sans balise VLAN. C'est correct si vous n'avez qu'un seul groupe de ports sur l'hôte et que vSwitch ne se branche que sur une seule liaison, car vous pouvez simplement faire de ce port un port d'accès, aucune jonction nécessaire. Cependant, vous avez besoin de plusieurs VLAN pour être transmis sur le même lien (ou groupe de liens), donc je m'assurerais que la jonction est configurée sur les ports de commutation auxquels votre hôte se connecte, alors tout ce que vous aurez à faire est d'entrer l'ID de VLAN approprié par groupe de ports vSwitch. ESXi marquera les trames entrant dans ce groupe de ports à la sortie de l'hôte.

Il est important de configurer vos ports de commutation en mode "VLAN Trunk" ou "VLAN Tagging" car les ports non trunk n'acceptent pas les trames marquées (elles sont supprimées). Les ports de jonction acceptent les trames marquées et vous enverrez des trames marquées à partir de votre hôte ESXi avec la configuration ci-dessus.

D'après ce que je peux dire, le commutateur que vous montrez dans le diagramme devrait prendre en charge tout cela, mais il pourrait ne pas être le plus intuitif ou utiliser les mêmes termes. Je vous recommande de vous en tenir à la documentation et de voir si vous pouvez la faire fonctionner. http://www.netgear.com/business/products/switches/prosafe-plus-switches/GS108E.aspx

Le port 1 doit avoir le VLAN 14 marqué. Le port 4 doit appartenir au groupe VLAN 14 mais avoir VLAN 14 non balisé car la station de travail n'a pas de concept de VLAN.

Dans la configuration du commutateur Netgear, sélectionnez 802.11Q, non basé sur le port. C'est un peu plus complexe, mais vous en avez besoin.

Vous pouvez avoir autant de VLAN que nécessaire sur chaque port, mais un seul (appelé PVID) peut être non balisé. Définissez le PVID du port 1 sur 1, mais joignez-le aux deux VLAN 1 et 14. Définissez le PVID du port 4 sur 14 et ne le joignez qu'au VLAN 14. Tous les autres ports sont VLAN 1 PVID 1

La seule façon de faire communiquer correctement les hôtes via une machine basée sur Windows ESXI (je pouvais voir le trafic étiqueté par ESXI mais le trafic de retour montrait sans étiquette - sans vlan)

Nécessaire pour activer le mode moniteur sous Windows pour ne pas supprimer le VLAN

voici comment c'est fait. Une entrée dans le registre et tout fonctionne. http://www.intel.com/support/network/sb/CS-005897.htm

Ajouter:

Astuce lors de l'expérimentation avec des VLAN: tous vos ports de commutation doivent être trunk (transportant UNIQUEMENT des paquets balisés et rejetant toute autre chose) ou accès (uniquement des paquets non balisés, et transportant des paquets non balisés vers et depuis exactement un VLAN qui se trouve sur le tronc). Désactivez tous les "modes" de port dont vous n'avez pas besoin.

Mixte étiqueté-non étiqueté sur un port peut avoir un sens, par exemple pour ferrer un réseau VOIP dans une usine de câbles LAN - mais même là, il s'agit d'une solution quelque peu impure avec une sécurité douteuse. Pour une «structure» multi-DMZ partagée par des hôtes vSphere, c'est tout simplement une mauvaise pratique dans la plupart des cas. Cela pourrait avoir un sens sur les hôtes qui manquent cruellement de ports réseau physiques (mais alors, vous pouvez TOUT étiqueter et laisser le commutateur s'en occuper). Considérez le «VLAN par défaut» comme un puisard de drainage, vous ne voulez pas que quoi que ce soit y soit trempé.