VMware-Forum

Hi

Ich habe mein Netzwerk umgebaut. Nun läuft die DMZ nicht mehr über den Switch, sondern direkt von der Firewall (Zywall 110) zum ESXi. So kann ich den Switch ausschalten, wenn ich schlafe, und die Dienste in der DMZ sind weiterhin erreichbar. So der Plan.

Wenn ich das einfach so einstöpsle, dann beziehen die Server, bzw. Clients an dem vSwitch brav die Adresse von dem physikalischen Port der Zywall. Die haben dann auch Internet.

Wenn ich aber am vSwitch die PVID vom gewünschten VLAN eintrage, dann beziehen die Maschinen an diesem vSwitch keine Adresse mehr.

Eigentlich müsste ich den physikalischen Netzwerkadapter bei vSphere ja auf tagged legen, aber keine Ahnung, wie man das macht. Liege ich da richtig?

Mehr Infos wären hilfreich.

FIrewall DMZ Port hängt direkt auf dedizierter Netzwerkkarte des ESX Hosts?

Wenn ja, eigenen vSwitch einrichten mit dieser Netzwerkkarte und fertig. Wozu ein VLAN? Die DMZ ist dann doch physikalisch getrennt.

Wenn man in einer Konstellation, deren Kommunikation funktioniert, nur eine Seite mit einer VLAN-ID konfiguriert, dann ist die Kommunikation unterbrochen. Was hast du erwartet?

Physikalische Adapter kann man im ESXi nicht taggen - das widerspricht der Virtualisierung.

Hi

So ein Zywall Profi hat mir das empfohlen. Wir waren aber x Stunden dran, die ganzen VLAN's einzurichten, MAC's anzulernen und sowas.

Ja, ist eine eigene Netzwerkkarte am Host, mit einem vSwitch dran. Am DMZ Port der Zywall, ebenfalls richtig. Im Moment lasse ichs auf dem physischen Gateway laufen. Aber da ich sonst auch alles in VLAN's habe, wär das in der DMZ schon auch schön.

Eigentlich habe ich vor dem Umbau alles auf den Gateways laufen lassen. Aber mein Kumpel meinte, das wär besser, wenn das alles in VLAN's laufen würde. Wahrscheinlich sind wir dann flexibler im beregeln.

Wär echt nice, wenn ich die DMZ irgendwie in ein VLAN kriegen würde.

Wozu? Was willst du mit einem VLAN in einem völlig getrennten Netz?

MarroniJohny hat geschrieben:Wär echt nice, wenn ich die DMZ irgendwie in ein VLAN kriegen würde.

Setze auf dem ZyWall-DMZ-Port die VLAN-ID.
Setze auf der DMZ-Portgruppe im ESXi die selbe VLAN-ID.
Achte darauf, dass dann der DMZ-Port der ZyWall möglicherweise nur noch Tagged-Pakete transportiert.

Setze auf dem ZyWall-DMZ-Port die VLAN-ID.
Setze auf der DMZ-Portgruppe im ESXi die selbe VLAN-ID.
Achte darauf, dass dann der DMZ-Port der ZyWall möglicherweise nur noch Tagged-Pakete transportiert.

Danke. Die VLAN's auf dem vSwitch kriege ich irgendwie nicht zum laufen. Wahrscheinlich liegts am letzen Part Deiner Anleitung. Keine Ahnung was Du meinst, und wie das auf der Zywall aussieht.

Aber ich werde halt über die Festtage die DMZ wieder über den Switch verkabeln. Da hat das ganze ja mal funktioniert.

Der Firewall Spezialist hat das eben so angedacht gehabt, dass das Web Admin vom Switch in der DMZ liegt. Auf jeden Fall waren wir wirklich lange dran. Was er ursprünglich erreichen wollte (eben Switch in DMZ und alle Clients in VLAN's), das läuft jetzt nur zur Hälfte. Und ich wollte eigentlich nur ein VPN haben, und das läuft jetzt immer noch nicht.

Ich habe das auch nicht ganz verstanden, wieso er den Switch in der DMZ haben wollte. Dass das alles getagt über den DMZ Port der Zywall laufen sollte, soweit konnte ich ihm folgen. Aber die Admin Sachen hatte ich bislang immer einfach im LAN, k.A., wieso ich die in die DMZ stellen sollte.

Ist das gängige Praxis? Ihr hättet sehen müssen, was wir alles gemacht haben. Und hat ja auch alles Sinn ergeben, was der Zyxel Mensch da erzählt hat.

Vorher war halt echt alles Portbased, jetzt ist es in VLAN's. Und die Zywall ist auch nicht ohne zu konfigurieren, muss ich anfügen. Und ich habe die schon eineinhalb Jahre.

Auf jeden Fall danke ich recht herzlich all denen, die mir hier schon geholfen haben, und wünsche allen schöne Festtage!

Stell dir folgendes vor:

Beim Port-basierten VLAN werden die Switchports mit jeweils genau einer Farbe versehen - nachher können nur Geräte untereinander an den Ports kommunizieren, die die gleiche Farbe haben. Die Geräte selbst müssen nix machen oder können.

Beim Tagged-VLAN wird auf alle Netzwerkpakete genau ein bunter Punkt geklebt, der die Zugehörigkeit zu einem tagged-VLAN markiert. Die Geräte (VM, Switchport, PC, vSwitch-Portgruppe) können nun aber einen oder auch mehrere bunte Punkte haben. Sie nehmen dann nur Pakete mit dem richtigen Punkt an (oder leiten nur Pakete mit den richtigen Punkten weiter).

Weist du also deiner ESXi-vSwitch-Portgruppe eine bestimmte VLAN-ID zu, so werden diese Pakete nur noch von Gegenstellen akzeptiert, die die gleiche VLAN-ID tragen. Alle VMs an dieser Portgruppe können dann nur noch Gegenstellen "sehen", die auf der ZyWall zu diesem einen VLAN gehören.

Das Web-Admin-Interface gehört nicht in die DMZ, sondern ins interne LAN.