Как подключить гостевых виртуальных машин к виртуальным локальным сетям, соединенным с хост-сервером, но сохранить хост-сервер недоступным?

Question

Я экспериментирую с разделением своей домашней сети на различные VLAN (в основном для целей безопасности и маршрутизации), и мне нужно подключить различные виртуальные машины к соответствующим VLAN (VoIP, IP-камеры, Wlan для гостей и т.д.). Я предпочитаю KVM, но это не обязательно.

У меня есть один хост-сервер VM, подключенный одним кабелем UTP к коммутатору, со всеми необходимыми VLAN, назначенными на порт. На хост-сервере настроены и работают интерфейсы VLAN (eth0 для немаркированного трафика, eth0.1, eth0.2 ... для тегированного трафика VLAN).

Я хочу добиться того, чтобы хосты могли подключаться к своим VLAN (guest0 к eth0.0, guest1 к eth0.1 и т.д.), Но хост-сервер не имеет назначенного IP-адреса в этих VLAN. Моя цель состоит в том, чтобы скрыть существование хост-сервера от всех этих гаджетов, которые могут присутствовать в этих VLAN.

Я довольно новичок во всем этом, поэтому, возможно, я упускаю простую базовую вещь, но я просто не могу понять, что моя формулировка поиска Google подходит именно для этой конкретной проблемы.

Answer 1

Я могу ответить на это с точки зрения VMware. Возможно, это можно сделать и на KVM, я просто не уверен. Что вы хотите сделать, это создать различные группы портов на вашем vSwitch. Каждая группа портов имеет свой собственный идентификатор VLAN (такой же, как тегирование 802.11q VLAN, используйте VLAN ID 4095 для всего немаркированного трафика). Вы помещаете порт Vmkernel в его собственную VLAN в его собственную группу портов, а затем вы получаете разделение на сетевом уровне.

Если вы хотите разрешить некоторый доступ, то настройте маршрутизатор между этими двумя VLAN и установите правила брандмауэра, чтобы разрешить / заблокировать определенный трафик. Но без маршрутизатора вы эффективно сегментируете трафик к различным VLAN.