V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Champa9ne
V2EX  ›  VMware

ESXI 的 vSwitch 如何设置端口组内所有主机不能相互访问(类似 WI-FI 的 AP 隔离)

  •  
  •   Champa9ne · 2023-06-12 02:45:24 +08:00 · 1335 次点击
    这是一个创建于 560 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一直以来都想实现这个功能,最开始的时候以为是在路由器上配置防火墙或 ACL 功能,结果不管怎么配置同一个 vS witch 同一个端口组 groupport 下的主机都能相互访问。

    最后发现是我傻了,纯属网络原理没学好。这个场景下设置了同子网 IP 的主机等于是直接接到同一台交换机上,路由上肯定是禁不了的,应该是在交换机上配才对。

    我知道有的专业路由一个按钮就能实现这种功能,不知道 ESXI 的 vSwitch 咋实现这个功能捏,听说要用到 NSX-T 的微分段 Micro Segment ,这个也安装了,找了一圈几乎没有我这场景的教程,资料贼少。

    我虚拟化运维实属半桶水,都是兼职搞这个的。特来问问有没有表哥能指点一二。

    • _ ——
    11 条回复    2023-06-12 11:49:45 +08:00
    Champa9ne
        1
    Champa9ne  
    OP
       2023-06-12 02:59:15 +08:00
    wc 为啥马上就不能编辑了。

    主题有点小错误,不是希望端口组内所有主机不能相互访问,应该是希望这个 vSwitch 下所有主机不能相互访问。

    我知道第一想法应该是用 VLAN ,vSwitch 确实可以直接给端口组打 VLAN tag ,但是我这个场景下的交换机下会有很多主机,比如二三十台,三五十台的样子,不太可能给每台机都专门开一个 VLAN ,那太麻烦了。

    主要要补充一下这两。 = =
    liuliangyz
        2
    liuliangyz  
       2023-06-12 05:47:58 +08:00 via iPhone
    很简单,在一台虚拟交换机上增加不同的 vlan ,同时 esxi 出口端口要加到所有 vlan 就可以了
    germain
        3
    germain  
       2023-06-12 06:20:02 +08:00
    NSX-T
    创建三五十个 group,每个分配一个 VM 成 member
    创建三五十个 policy ,deny 非本机 IP
    说实话你这个应用场景根本不需要用 NSX
    用 powershell 分配给每个 vm 不同的 vlan 不就行了么
    ladypxy
        4
    ladypxy  
       2023-06-12 07:32:40 +08:00 via iPhone
    不同 vlan 就好了……
    liuliangyz
        5
    liuliangyz  
       2023-06-12 07:39:38 +08:00 via iPhone
    子网掩码划分,每台电脑就一个电脑网端
    cat9life
        6
    cat9life  
       2023-06-12 08:37:58 +08:00
    NSX 是标准方案
    Champa9ne
        7
    Champa9ne  
    OP
       2023-06-12 08:40:16 +08:00
    = =我二楼不是加了场景,该交换机下会接很多台机,不可能手动给每台机都创建一个 VLAN 啊。。他应该是一个 VLAN (或者说 portgroup 下)下所有主机之间的不能相互访问。
    @liuliangyz
    @ladypxy

    这个交换机下的主机有 windows 有 linux ,某些时候甚至有 freeBSD ,最好是无感地从 esxi 接入交换机就开始隔离来的设置方便,主机不要动,路由那边配置 ACL 和访问关系,这样也不用我每台主机都设置一下。难道没有类似华为交换机的 mux-vlan 类似地功能,能在同 vlan 或者交换机间所有主机隔离的配置。
    @germain
    tolbkni
        8
    tolbkni  
       2023-06-12 08:52:16 +08:00
    那就用安全组隔离
    Qetesh
        9
    Qetesh  
       2023-06-12 11:04:35 +08:00
    这个需求属于典型 NSX-T 中分布式防火墙的需求,分布式防火墙会监控虚拟机上的所有东西向流量。
    Champa9ne
        10
    Champa9ne  
    OP
       2023-06-12 11:17:00 +08:00
    @Qetesh

    表哥有无这个场景下的实现教程推荐下,文章或文档都行。分布式防火墙能阻断所有东西向流量,只允许南北向流量么
    Qetesh
        11
    Qetesh  
       2023-06-12 11:49:45 +08:00   ❤️ 1
    @Champa9ne NSX-T 官方文档就不错。初始化配置完之后,添加内网 IP 到内网 IP 禁止的 FW 策略,应用到所有 VM 应该就可以了。这样内网之间禁止,不影响互联网访问。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3000 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:10 · PVG 22:10 · LAX 06:10 · JFK 09:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.