vSwitch mit mehreren vLAN - schlechte Idee?

[MarroniJohny]

Hi

Bislang hatte ich immer mehrere vSwitches, und bin die ungetagged mit mehreren Strippen angefahren. Jetzt habe ich eine neue Firewall, und fahre einen einzelnen vSwitch getagged mit einem Kabel an.

Nun habe ich das Problem, dass zum Teil Verbindungen verloren gehen. Sprich ich habe in einem vLAN "Labor" einen Gameclient, welcher in einem anderen vLAN "DMZ" mit einem Gameserver verbunden ist. Aber alle 2-3 Tage verliert der Client die Verbindung zum Server.

Mag sein, dass es an der neuen China 10 Gbit NIC im ESXi liegt. Komisch ist nur, dass die meisten Clients die Verbindung halten. Gibt es halt immer wieder, dass ein einzelner Client die Verbindung verliert. Die anderen verbundenen Clients merken nichts davon. Auch von meinem Desktop aus passiert das dann und wann mal. Allerdings gehe (muss) ich am Desktop über Mozilla VPN raus.

Habe halt das Gefühl, dass es ohne die vLAN Geschichte über den pSwitch irgendwie stabiler lief. Und da auch der Client innerhalb des vSwitches die Verbindung verliert alle paar Tage, dachte ich, es ist eher ein Problem auf dem ESXi intern. Ist ja nicht so, dass da netzwerktechnisch alles zusammen bricht.

Physischen Switch gibt es nicht im neuen Setup. Zumindest keiner, welcher damit im Zusammenhang steht. Einfach Modem/Router per doppelt NAT an Firewall, und von da getagged weiter zum ESXi.

Wie könnte ich das Problem weiter eingrenzen?

Gruss und danke!

[Dayworker]

Ich will dich nicht unwissend lassen, aber bei der Thematik bin ich leider raus.

[~thc]

Nur zur Klärung: vSwitches haben kein VLAN tagging - nur Portgruppen.

Wie hast du das genau realisiert, dass Pakete VLANs überschreiten können ("Labor" <-> "DMZ")?

[MarroniJohny]

Hi

So habe ich das konfiguriert:

In der FW habe ich Regeln, dass die VLANs zwar raus, aber nicht untereinander telefonieren dürfen:

Also geht das Labor Netz raus (durch doppelt NAT), und kommt dann an der öffentlichen IP wieder rein. Die OPNsense ist ein eigenes Blech, nicht virtualisiert, oder so.

[~thc]

Also muss der "interne" Client vom "Labor" ins "DMZ" den gleichen, komplexen Weg durchlaufen wie externe Clients. Damit ist für mich deine These "Und da auch der Client innerhalb des vSwitches die Verbindung verliert alle paar Tage, dachte ich, es ist eher ein Problem auf dem ESXi intern." nicht nachvollziehbar.

Einen solchen nicht-systematischen Fehler in so einem komplexen Setup zu finden, ist kein Spaß.

Ich würde direkt am Verbindungsabriss ansetzen. Wenn er auftritt, was ist Netzwerk-technisch am Client zu beobachten? Physischer Abriss (OSI Level 1)? ARP (OSI Level 2)? IP (OSI Level 3)?

[MarroniJohny]

Hi

Glaube der Gameclient fliegt einfach raus, aber sonst läuft die Maschine normal weiter. Also keinen Abbruch der Verbindung des Gasts festzustellen. Wie gesagt, der Fehler tritt irgendwann mal random alle paar Tage auf. Hatte es aber schon live beobachtet, und sonst nicht wirklich eine Beeinträchtigung der VM festgestellt.

Habe ein bisschen die NIC aus China in Verdacht. Ist eine inspur X540. In der Firewall stecken auch drei X540, die sind aber fest verbaut. Hat auch überall ECC RAM drin. Und der Modem/Router ist bislang ja unauffällig gelaufen.

Gruss

[irix]

Wir machen seit 2008 und dem Start mit Virtual Infrastructure 3.5 immer Tagged VLANs und hatten bis Dato niemals eine schlechte Erfahrung in der Form das man gesagt haette die VLAN IDs sind schuld. Ich hab Umgebungen mit bis zu 100 Portgruppen und entsprechend viele VLANs. Ob vDS oder VSS macht keinen Unterschied.

Wenn vDS dann haben wir auch hier und dort Private VLANIDs am Start.

Gruss
Joerg

[MarroniJohny]

Hmm, witzig. Der Gameclient braucht einen USB Dongle, der steckte bislang am Host. War das Game aber mal in der Lobby, konnte man den vom Gast trennen, lief alles weiter.

Nun habe ich die Dongles an einem Dongleserver. Wie soll ich sagen? Der Gameclient hat seither nicht einmal die Verbindung verloren.

Der Dongle hat aber rein gar nichts mit Netzwerk zu tun. Zumindest glaube ich das, sind so billig Chinadinger. Der Host lässt sich auch nicht starten, wenn die eingestöpselt sind. Das endet zwangsläufig in einem PSOD. Ganz koscher sind die Dinger also nicht. Verstehe wer will, und was das mit dem Netzwerk zu tun hat.