Одна сетевая карта - возможно ли ?
-
Есть опыт под KVM Proxmox VE 1.6 (Debian 5.0.6).
Там колизии были для "реальных" карточек Realtek,
пока не выбрал "e1000" в Virtual Machine Configuration->Hardware->Ethernet devices. -
Если можете, напишите где в ESXi это делается. Xen тоже умеет создавать VLAN-интерфейсы.
Попробую сделать по аналогии.суть в том, что Вам в любом случае понадобится либо добавить сетевую(ые) карту(ы), либо приобрести свич, который понимает vlan.
-
..тут есть замечательный бюджетный вариант, в виде D-Link DIR-100, перешитого в VLAN switch. Главное, чтобы родительский сетевой интерфейс (untagged) не был задействован вместе с созданными на нем tagged.
Последнее - это особенность прошивки DIR-100? В общем случае ведь пофиг. Например, у меня 2 виртуальные машины связаны через vswitch 3-мя каналами через один линк, из которых 2 tagged и 1 untagged. Аналогично на физическом свитче telesys default vlan доступна pfsens'у наряду с тегированными на том же порту.
@HDTV:На интерфейсы pfsense уже должен приходить тэгированный трафик.
В случае с виртуалками не обязательно. "Разбор VLAN" может осуществлять гипервизор. А в виртуальной машине надо просто создать столько интерфейсов, сколько есть VLAN. Другое дело, что ESXi, например, не позволяет создать больше 4-х на виртуалку. Тут уж приходится поручать разбор самой виртуальной машине.
З.Ы. Все это не отменяет того, что сказал Evgeny. Без IEEE 802.1Q свитча все-равно проблему топикстартера не решить. -
Последнее - это особенность прошивки DIR-100? В общем случае ведь пофиг. Например, у меня 2 виртуальные машины связаны через vswitch 3-мя каналами через один линк, из которых 2 tagged и 1 untagged. Аналогично на физическом свитче telesys default vlan доступна pfsens'у наряду с тегированными на том же порту.
В общем случае пофиг. Тут Вы правы, если знаете поведение конкретного "железа" при обработке нетегированного трафика на тегированном порту. Замените Allied Telesys на Cisco и ситуация измениться.
Если Вы не являетесь заложником ситуации, например, провайдер дает интернет нетегированным, а трафик IPTV в определенном VLAN, зачем создавать неоднозначности :)
У меня как раз такой вариант с Telesys не прокатил. Толи в этом виноваты мои кривые руки, толи то что свич был из восстановленных …... -
Есть опыт под KVM Proxmox VE 1.6 (Debian 5.0.6).
Там колизии были для "реальных" карточек Realtek,
пока не выбрал "e1000" в Virtual Machine Configuration->Hardware->Ethernet devices.Вот это и подошло! Спецом поставил Proxmox VE на машине с одной физической сетевой картой и при поднятии на ней виртуалки с pf 1.2.3 добавил три сетевые (LAN,WAN, OPT1) именно e1000 и , о чудо, ошибки пропали и все заработало.
P.S. В Vmware vSphere 4.1 (Free) при создание ВМ тоже возможно выбирать тип эмулирующей сетевой e1000. И самое интересное , что в Citrix XenServer 5.6 (Free) нативно есть эмуляция e1000 в ядре (http://forums.citrix.com/thread.jspa?threadID=266073&start=0&tstart=0), но она выключена и по-дефолту включен этот нехороший Realtek :( И как это пофиксить пока не нашел.
P.S.S. Пробовал по-очереди в Citrix XenServer поднимать виртуалку с Proxmon VЕ и Vmware vSphere, но оба продукта просто не устанавливаются, зависая в самом начале. Думается, запуск гипервизора в гипервизоре не возможен ::)
А так разрешите считать тему решеной, т.е. корректно работать на pfsense 1.2.3 на одной ФИЗИЧЕСКОЙ сетевой карте без поднятия VLAN возможно, хоть и в виртуальной среде.
-
Т.е. LAN и WAN на одной физической карте без vlan'ов?
Взлетит то он взлетит, но… по мне так нонсенс, зачем вообще тогда firewall? -
Т.е. LAN и WAN на одной физической карте без vlan'ов?
Взлетит то он взлетит, но… по мне так нонсенс, зачем вообще тогда firewall?Да , именно так, без ВЛАНов и на одной(!) физической сетевой. Мы-то pf не будем говорить, что она одна, а ;)? А так он считает, что у него столько интерфейсов, сколько мы ему "даем". И самое главное, это РАБОТАЕТ! Все остальное - не важно. А на счет второго, я описал конкретно свой случай и решил, с помощью сообщества и конкретных личностей (за что им низкий поклон) , поставленную задачу.
P.s. На гипервизоре XenServer,установленном Вашим покорным слугой, работает уже далеко ни одна серъёзная государственная контора и пара троек крупных коммерческих организаций. Второй год.
P.s.s Извините за оффтоп, вот две ссылки по поводу лицензирования ПО M$ в виртуальных средах - http://www.vmgu.ru/articles/windows-server-sql-licensing-virtulization и http://blogs.technet.com/b/vm/archive/2008/05/04/vm-licensing-introduction.aspx . И ссылка на один интересный документ - http://download.microsoft.com/documents/rus/licensing/licenzirovanie_servernih_produktovmicrosoft_pri_ispolzovanii_v_virtualnoy_srede.docx . Там на 10-й странице очень доходчиво написано как и сколько можно запускать экземпляров ОС в виртуальных средах и , самое главное, потом самому посчитать, во сколько раз это экономнее и в железе и в приобретение лицензий на устанавливаемые ОС. Таким способом сэкономил очень много "тэньге" для подшевных организаций.За сим разрешите откланяться. Еще раз извиняюсь за оффтоп ;D
-
Всё это классно за исключением одного - большая дырка в безопасности (безотносительно виртуализации).
-
Для госкомпании покупка железного firewall является непозволительной роскошью. Гораздо эффективнее поставить в виртуалку фаерволл, ведь тогда можно будет сказать что у нас типа защищенная сеть и мы жутко экономим.
И про такие штуки мы ничего не знаем.
-
Для госкомпании покупка железного firewall является непозволительной роскошью. Гораздо эффективнее поставить в виртуалку фаерволл, ведь тогда можно будет сказать что у нас типа защищенная сеть и мы жутко экономим.
И про такие штуки мы ничего не знаем.
Не в тему сарказм-то. Мы то знаем. Только вот денег подкиньте на это. Как-то не охота на свои покупать, а с "выбиванием" я еще в конце 90-х завязал ;D
-
300р стоит
-
В общем случае пофиг. Тут Вы правы, если знаете поведение конкретного "железа" при обработке нетегированного трафика на тегированном порту. Замените Allied Telesys на Cisco и ситуация измениться.
Если Вы не являетесь заложником ситуации, например, провайдер дает интернет нетегированным, а трафик IPTV в определенном VLAN, зачем создавать неоднозначности :)
У меня как раз такой вариант с Telesys не прокатил. Толи в этом виноваты мои кривые руки, толи то что свич был из восстановленных …...кхм.. пожалуй пересмотрю свое мнение.. действительно, использование untagged default vlan наряду с tagged vlans на одном порту - зло.. ушел все переделывать.. хотя default vlan != vlan all (4095), порой выглядит все именно так(( в частности на telesys в логах pfsense можно видеть траляля is on em0 but got reply from vlan1 (при этом все работает, но ведь некоторый перфекционизм нам не чужд?)
основное объяснение - неизвестно что накручено на default vlan в конкретной реализации свитча(( -
Поймите меня правильно - я не против виртуализации, во многих случаях она может сохранить кучу денег. Но:
- хост виртуальных машин с одной сетевой, подключенной к свичу, который не понимает vlan
и - хост с хотя бы двумя сетевыми, подключенными к разным свичам (тупым) (то же самое есть одна сетевая с умным свичом)
- это очень большая разница. И дело не в государственности контор.
- хост виртуальных машин с одной сетевой, подключенной к свичу, который не понимает vlan
-
я не против виртуализации, во многих случаях она может сохранить кучу денег.
Off: Это еще и очень гибкое решение. Просто не представляю тот кавардак из свитчей, проводов и серверов, который пришлось бы накрутить в моей тесной серверной, если бы не она)) В остальном подерживаю. Решение выбранное ТС - полумера. Все равно все подсети, насколько я понял, находятся в одном broadcast domain. И ничего не стоит получить доступ в другую подсеть с клиентской машины, просто прописав дополнительный IP на интефейсе. Не секъюрно это.
-
Так наше начальстов не увидит кавардак в сети, а вот кавардак видимый еще как. Сделать все красиво не умеем.
-
Так наше начальстов не увидит кавардак в сети, а вот кавардак видимый еще как. Сделать все красиво не умеем.
Off: В моем случае это только если я слишком много "бычков" в серверной по полу раскидаю)) Барьба с курением идет. Типа, кто кого заборет. Как там провода висят и где какие лампочки мигают - никто старается на вдаваться от греха. Для себя только стараюсь)) Все подвязано и прострочено. Иначе это оскорбляло бы мое эстетическое чувство, а я так не могу((