ESXI 的 vSwitch 如何设置端口组内所有主机不能相互访问(类似 WI-FI 的 AP 隔离)

2023-06-12 02:45:24 +08:00
 Champa9ne

一直以来都想实现这个功能,最开始的时候以为是在路由器上配置防火墙或 ACL 功能,结果不管怎么配置同一个 vS witch 同一个端口组 groupport 下的主机都能相互访问。

最后发现是我傻了,纯属网络原理没学好。这个场景下设置了同子网 IP 的主机等于是直接接到同一台交换机上,路由上肯定是禁不了的,应该是在交换机上配才对。

我知道有的专业路由一个按钮就能实现这种功能,不知道 ESXI 的 vSwitch 咋实现这个功能捏,听说要用到 NSX-T 的微分段 Micro Segment ,这个也安装了,找了一圈几乎没有我这场景的教程,资料贼少。

我虚拟化运维实属半桶水,都是兼职搞这个的。特来问问有没有表哥能指点一二。

1281 次点击
所在节点    VMware
11 条回复
Champa9ne
2023-06-12 02:59:15 +08:00
wc 为啥马上就不能编辑了。

主题有点小错误,不是希望端口组内所有主机不能相互访问,应该是希望这个 vSwitch 下所有主机不能相互访问。

我知道第一想法应该是用 VLAN ,vSwitch 确实可以直接给端口组打 VLAN tag ,但是我这个场景下的交换机下会有很多主机,比如二三十台,三五十台的样子,不太可能给每台机都专门开一个 VLAN ,那太麻烦了。

主要要补充一下这两。 = =
liuliangyz
2023-06-12 05:47:58 +08:00
很简单,在一台虚拟交换机上增加不同的 vlan ,同时 esxi 出口端口要加到所有 vlan 就可以了
germain
2023-06-12 06:20:02 +08:00
NSX-T
创建三五十个 group,每个分配一个 VM 成 member
创建三五十个 policy ,deny 非本机 IP
说实话你这个应用场景根本不需要用 NSX
用 powershell 分配给每个 vm 不同的 vlan 不就行了么
ladypxy
2023-06-12 07:32:40 +08:00
不同 vlan 就好了……
liuliangyz
2023-06-12 07:39:38 +08:00
子网掩码划分,每台电脑就一个电脑网端
cat9life
2023-06-12 08:37:58 +08:00
NSX 是标准方案
Champa9ne
2023-06-12 08:40:16 +08:00
= =我二楼不是加了场景,该交换机下会接很多台机,不可能手动给每台机都创建一个 VLAN 啊。。他应该是一个 VLAN (或者说 portgroup 下)下所有主机之间的不能相互访问。
@liuliangyz
@ladypxy

这个交换机下的主机有 windows 有 linux ,某些时候甚至有 freeBSD ,最好是无感地从 esxi 接入交换机就开始隔离来的设置方便,主机不要动,路由那边配置 ACL 和访问关系,这样也不用我每台主机都设置一下。难道没有类似华为交换机的 mux-vlan 类似地功能,能在同 vlan 或者交换机间所有主机隔离的配置。
@germain
tolbkni
2023-06-12 08:52:16 +08:00
那就用安全组隔离
Qetesh
2023-06-12 11:04:35 +08:00
这个需求属于典型 NSX-T 中分布式防火墙的需求,分布式防火墙会监控虚拟机上的所有东西向流量。
Champa9ne
2023-06-12 11:17:00 +08:00
@Qetesh

表哥有无这个场景下的实现教程推荐下,文章或文档都行。分布式防火墙能阻断所有东西向流量,只允许南北向流量么
Qetesh
2023-06-12 11:49:45 +08:00
@Champa9ne NSX-T 官方文档就不错。初始化配置完之后,添加内网 IP 到内网 IP 禁止的 FW 策略,应用到所有 VM 应该就可以了。这样内网之间禁止,不影响互联网访问。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/947847

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX