Несколько VLAN в одной подсети

Question

Несколько VLAN в одной подсети

Можно ли иметь несколько VLAN в одной подсети с одним и тем же адресом шлюза (TMG)?

Я хочу избежать множества подсетей (и vNIC в TMG), чтобы изолировать наборы из нескольких хостов.

IP: 10.0.0.1         (TMG server)       VLAN:1 ~ 3

IP: 10.0.0.11 ~ 20   (Hosts group 1)    VLAN:1

IP: 10.0.0.21 ~ 30   (Hosts group 2)    VLAN:2

IP: 10.0.0.31 ~ 40   (Hosts group 3)    VLAN:3

Обратите внимание, что я не хочу, чтобы они соединялись друг с другом, поэтому маршрутизация ARP/inter-vlan (внутри подсети) не требуется.

Шлюз работает в ВМ в ESXi 5, я могу передать VLans в ВМ, используя VGT или VLan Range, но я не знаю, как OS/TMG должна их обрабатывать.

6

vmware-esxi virtual-machines vlan subnet tmg

Источник

A.J. 29 июн '13 в 21:16

1 ответ

Решение

Другие вопросы по тегам vmware-esxi virtual-machines vlan subnet tmg

Falcon Momot 29 июн '13 в 21:52 2013-06-29 21:52 · Accepted Answer · 2013-06-29 21:52

Конечно, вы можете сделать это, но это не рекомендуемый способ.

В виртуальных локальных сетях используется программное обеспечение для эмуляции отдельных физических локальных сетей. Таким образом, каждая VLAN является отдельным широковещательным доменом и отдельной сетью.

Как вы определили, маршрутизация между этими VLAN будет затруднена, поскольку они представляют собой одну подсеть. Если все адреса разные, можно маршрутизировать трафик, используя очень большое количество правил, которые не соответствуют фактической конфигурации подсети и могут запутать любого, кто унаследует это от вас. Однако вполне допустимо использовать одни и те же подсети RFC1918 в разных физических сетях. Вы могли бы даже сделать все адреса одинаковыми.

Другое ограничение, которое следует иметь в виду, и, возможно, более важное, заключается в том, что если любому из этих хостов вообще нужно что-либо подключать, маршрутизация их в эту сеть также будет затруднена. Вам почти наверняка придется использовать NAT и настроить правила NAT таким образом, чтобы каждая из этих VLAN имела отдельный внешний адрес. Если эта конфигурация не запутает хост-ОС, она наверняка запутает любого администратора, пытающегося работать с ней.

Доступно много, много, много адресов RFC1918, и редко существует реальная необходимость сохранять адреса таким способом. В крайне маловероятном случае, если вы находитесь вне их, вы даже можете использовать диапазон адресов RFC6598 100.64.0.0/10 (который обозначен как закрытый диапазон для NAT операторского уровня, и хотя он не предназначен для использования по назначению, если вы достаточно велики, чтобы использовать целые /8, /16 и /12, кроме того, вы, вероятно, могли бы сделать аргумент, что вы эффективно являетесь провайдером для этих устройств).