ESXi4 . vSwitch . vLAN ID

[fcmarc]

Hallo zusammen,

ich habe eine Frage bzgl. der vSwitche eines ESXi Servers.

Ausgangssituation:
Der ESXi hat 5 physische Netzwerkschnittstellen, jede Schnittstelle ist einem eigenem vSwitch zugeordnet.

VM's 1-5 sind vSwitch 1 zugeordnet.
VM's 6-10 sind vSwitch zugeordnet.

Jetzt musste ich feststellen, dass sich die VM's untereinander pingen können, obwohl die vSwitche doch getrennt sind?! Mache ich einen Trace von VM1 (IP 101.101.101.101) auf VM6 (IP 101.101.101.107) - sind diese untereiander pingbar.

Trage ich bei den vSwitchen unterschiedliche VLAN ID's ein, erreichen sich z.B. VM1 und VM6 nicht mehr untereinander (ist ja auch logisch).

Jetzt meine Frage: Ist dieses Vorgehen mit den VLAN ID's bei den vSwitchen offiziell dafür gedacht, virtuelle Maschinen zu trennen - und ist dieses Vorgehen auch sicher, sprich kann der Kunde keinen Umweg finden, um auf das andere VLAN zuzugreifen?

Es gibt auch diverse Produkte, u.a. von Checkpoint Security Gateway Virtual Edition, welche speziell dafür gedacht sind, VM's netzwerktechnisch sicher zu trennen.

Was sagt ihr dazu? Ist dieser Weg sicher und geprüft von VMWARE?

Danke für eure Hilfe.

[irix]

Wenn alle deine pNICs an den selben pSwitch angeschlossen sind ist es doch logisch das die sich sehen.

Gruss
Joerg

[kastlr]

Hallo,

zuerst einmal werden vLAN ID's nicht an die vSwitche, sondern an die Port Gruppen gehängt.
Damit hast du dann wie bei physikalischen Switchen die Möglichkeit, deinen Netzwerktraffic zu separieren.

Lies dir mal folgendes Dokument durch, das sollte ein Großteil deiner Fragen beantworten.
VMware ESX Server 3 802.1Q VLAN Solutions

Laß dich nicht vom Titel verwirren, das ist immer noch aktuell.

Gruß,
Ralf