d-jung
Goto Top

Hyper-V Testnetzwerk - über Produktivnetz routen

Hallo Leute,

ich wollte mir eine neue Testumgebung aufbauen. Ich habe eine alte Workstation (nur eine Netzwerkkarte) und dort Windows Server 2012 R2 am Laufen.
Dort habe ich nun virtuelle Testmaschinen installiert und würde gerne mit diesen "rumspielen und testen"
Soweit so gut,.. nun stehe ich aber bei folgender Thematik auf dem Schlauch:
Sobald man die Rolle Hyper-V hinzufügt und virtuelle Netzwerkkarten erstellt wird ja ein virtueller Switch generiert an denen die virtuellen Clients "hängen"
So gesehen müsste es doch nun klappen dass ich den virtuellen Servern eine andere IP vorgebe und eine Route hinzufüge.
Produktiv: 192.168.120.0/24
Hyper-V-Host: 192.168.120.199
virtuelle Testumgebung: 192.168.200.0/24
Klappt aber nicht, irgendwie verständlich weil ja das "Gateway" nicht in beide Netze sprechen kann (Als Gateway sehe ich den virtuellen Switch)

Kann mir hier evtl. jemand einen schubs in die richtige Richtung geben face-smile Evtl. komm ich dann vom Schlauch runter face-smile

Falls das nicht realisierbar ist, Tips? Lösungen?

Vielen Dank

Content-ID: 237905

Url: https://administrator.de/contentid/237905

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

MrNetman
MrNetman 13.05.2014 um 09:01:31 Uhr
Goto Top
Ein Switch ist keine Gateway.
Du brauchst eine Routingfunktion um das zu realisieren.
Das kann dein (realer) Server sein oder ein anderer Router im Netzwerk.

Und dann überlege ob die virtuelle Umgebung in der realen mitmischen soll oder nicht. Für DHCP und DNS Tests ist so etwas nicht trivial.

Gruß
Netman
D-Jung
D-Jung 13.05.2014 um 09:06:55 Uhr
Goto Top
d.h. ich trage wo was ein? Bzw. realer Server meinst du den Hyper-V Host? Oder besser gesagt wie würdest du es realisieren?
MCSE-Lehrling
Lösung MCSE-Lehrling 13.05.2014 aktualisiert um 11:22:54 Uhr
Goto Top
Ich bin selber neu in dem Thema, aber man kann im Server-Manager die Rolle Remotezugriff/Routing hinzufügen. Danach findet man unter Tools den Eintrag Routing und RAS. Darüber kann man einen Router einrichten und das 'interne' bzw. 'private' Netz routen.

Da Sie nur eine Netzwerkkarte haben, wäre es sinnvoll, ein komplett virtuelles Netzwerk aufzubauen, denn im Hyper-V Manager kann man einer virtuellen Maschine unter 'Einstellungen' beliebig viele Netzwerkkarten hinzufügen. Der externen Netzwerkkarte weist man dann das Standardgateway des realen Netzwerkes zu und den virtuellen Maschinen die IP des Routers. So hat man das reale und virtuelle Netz getrennt, was auch noch den Vorteil mit sich bringt, einen virtuellen DHCP-Server aufsetzen zu können, der nur innerhalb des virtuellen Netzes aktiv ist. Einen DNS-Server sollte man auch noch einrichten, aber man kann auch den realen DNS-Server angeben.

Zwar gibt es auch noch den DHCP-Wächter, der bei virtuellen Netzwerken dafür sorgt, dass der DHCP-Server keine IP-Adresskonflikte mit dem realen DHCP-Server auslöst, aber die obige Lösung ist m. E. 'realer' und man kann auch zu Testzwecken ein weiteres virtuelles Netzwerk einrichten.
D-Jung
D-Jung 13.05.2014 um 11:24:37 Uhr
Goto Top
Genau das war der "Schubs" den ich gemeint hatte.

Habe es nun wie du es beschrieben hast gemacht. Im Grunde (keine Ahnung warum) hat mir der Gedanke mit der zweiten Netzwerkkarte gefehlt.
Danke!
aqui
aqui 13.05.2014 um 16:40:08 Uhr
Goto Top
Oder eben doch einen kleinen 30 Euro HW Router verwenden. Das ist wenigstens sicher und nicht "virtuell".
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
MCSE-Lehrling
MCSE-Lehrling 27.05.2014 um 09:45:40 Uhr
Goto Top
Fragen:

1. Wieviel Strom verbraucht der kleine 30 Euro Router jährlich?
2. Wie sichert man sich ein Backup für den Fall, dass man z. B. Änderungen vornimmt, die sich als unproduktiv erweisen?
3. Wie flexibel kann man die Leistung des 30 Euro Routers skalieren?
4. Sollte man für eine Testumgebung tatsächlich Hardware einkaufen, wenn man alles virtuell installieren und administrieren kann?

VG Chriss'n
aqui
aqui 27.05.2014 aktualisiert um 19:46:16 Uhr
Goto Top
Antworten:

1. Wieviel Strom verbraucht der kleine 30 Euro Router jährlich?
A.: Ca. 10 bis 15 Euro im Jahr

2. Wie sichert man sich ein Backup für den Fall, dass man z. B. Änderungen vornimmt, die sich als unproduktiv erweisen?
A.: Der Router legt wie bei fast allen Produkten üblich und Standard eine Backup Datei der Konfig in seinem Flash an, die man bequem per Web, TFTP, Terminal, WinBox usw. runterladen kann und genau so wieder zurückspielen kann um den ursprünglichen Zustand wiederherzustellen. Die Konfig Datei ist eine simple ASCII textdatei der Kommando Settings.

3. Wie flexibel kann man die Leistung des 30 Euro Routers skalieren?
A.: Recht flexibel. 100 Mbit routet er im Wirespeed. Bei der 1 GiG Version schafft er es fast. Es kommt wie immer auf die Features an was du machen willst. Oder meinst du "flexibel" in Bezug aufs Featureset ?? Da lässt Mikrotik keine Wünsche offen und ist quasi auf "Cisco Niveau".
Performancedaten findest du auf der Herstellerseite ! Für deine Anwendung reicht das allemal !

4. Sollte man für eine Testumgebung tatsächlich Hardware einkaufen, wenn man alles virtuell installieren und administrieren kann?
A.: Besser ist das ! Router und FW haben eigentlich auf virtuellen Plttformen nichts zu suchen. Hängt sich die Plattform auf oder fällt Sicherheitslöchern zum Opfer betrifft das sofort auch die Infrastruktur. Deshalb ist sowas in der regel immer ein NoGo für Virtualisierung. Abgeshen davon lässt sich performantes Packet Forwarding nicht skalierbar in virtuellen Umgebungen umsetzen oder hat erheblichen negativen Einfluss auf die eigentliche Server Virtualisierung.
Bei den geringen Kosten von popeligen 30 Euro ist das eh vernachlässigbar. Ein Test ist ja auch immer Spiegel der Realität und dort gibt es keine virtuelle Infrastruktur.
Natürlich kann man aber auch mit virtuellen Router Firewalls wie z.B. pfSense, Monowall etc. ähnliches erreichen...keine Frage. Nachteile siehe oben... !
Es gibt viele Wege nach Rom....
108012
108012 27.05.2014 um 19:43:05 Uhr
Goto Top
Hallo,

also erst einmal verstehe ich nun wirklich nicht warum man
überhaupt ein Testnetzwerk nicht mindestens in ein eigenes
VLAN steckt und das produktive Netzwerk ganz in Ruhe
lässt!!! Oder sehe ich das jetzt falsch? Ich mache das
grundsätzlich so und kenne nicht wenige Leute die das
auch so machen.

1. Wieviel Strom verbraucht der kleine 30 Euro Router jährlich?
Je nach dem was er denn zu tun bekommt und/oder wie klein
er denn nun wirklich ist! Das ist doch aber hier auch nicht die Frage
die sich stellt, denn ich kann mit einem kleinen Router auch schnell
eine Testumgebung vom restlichen Netzwerk abschotten und eben
gefahrlos Tests durchführen.

Und nein ich habe verschiedene Router dafür und nicht nur
einen kleinen. Man muss sie ja nicht kaufen wenn sie
neu heraus kommen und oder schießt sich ein paar bei
eBay!

(MikroTik RB450G, RB435G, RB493G, RB800, RB1200 & RB1100AHx2)

2. Wie sichert man sich ein Backup für den Fall, dass man z. B.
Änderungen vornimmt, die sich als unproduktiv erweisen?
Man speichert die Konfiguration ab und gut ist es.
(USB Stick, HDD, SD Karte, LAN Verbindung, NAS)

3. Wie flexibel kann man die Leistung des 30 Euro Routers skalieren?
Kommt darauf an was das für ein Router ist!
Die kleinen von MikroTik wenn es wirklich nur um das blanke
Routing, VLANs und/oder Firewallregeln geht sind aber auch
recht kräftig.

4. Sollte man für eine Testumgebung tatsächlich Hardware
einkaufen,
Klar machen wirklich viele so die ich kenne.
Sogar ganze Switche, Router, WLAN Router & APs, UMTS Router
alles was geht und nützlich ist, so eine kleine Kramkiste oder Testrack
haben wirklich recht viele Firmen. Denn was soll es auch schon wenn
einmal etwas schief läuft und das gesamte Netzwerk ist dann
lahmgelegt und niemand kann mehr Arbeiten???

Und was das erst kostet, wenn 650 Leute Überstunden machen
müssen oder gar der Monatsabschluss nicht geschafft wird in größeren
Organisationen bzw. Konzernen fährst Du dann in der regel eine Woche später mal zum Raport in die Zentrale oder die Revisionsabteilung
kommt mal zu Besuch, da ist das vorherige testen eine Lachnummer
gegen.

wenn man alles virtuell installieren und administrieren kann?
Schön und gut aber dann auch nur in dem Testnetzwerk und
nicht im Produktivnetzwerk.

Gruß
Dobby
MCSE-Lehrling
MCSE-Lehrling 28.05.2014 um 09:56:01 Uhr
Goto Top
Erstmal vielen Dank an Dobby und Dich für die ausführliche Antwort, doch so ganz steige ich noch nicht dahinter. Wenn ich eine virtuelle Testumgebung auf einem Rechner aufbaue, der mit dem produktiven Netzwerk nur insoweit verbunden ist, in dem er sich darüber ins Internet verbindet, warum sollte man nicht die gesamte Test-Infrastruktur virtuell aufbauen?

Schließlich muss das produktive Netzwerk ohnehin nach außen abgeschirmt sein und da verstehe ich, wenn man unbedingt einen Hardware-Router einsetzen will. Der virtuelle Router soll doch nur für die virtuelle Testumgebung da sein. Selbst wenn die VM mal abschmieren sollte, kann ich doch die Kopie der virtuellen Festplatte sofort wieder eingebunden werden.

Ich möchte sogar noch weiter gehen und die Frage stellen, warum man nicht auch die produktiven Server virtualisieren sollte. Wo liegt denn die tatsächliche Gefahr?

Wenn man die Serverwelt auf zwei Servern abbildet, einen für das produktive Netzwerk, einen zur Ausfallsicherheit, dann sollte doch dem Sicherheitsbedürfnis genüge getan sein. Außerdem kann man doch die virtuellen Festplatten täglich sichern, so dass im Fall eines Ausfalls zumindest recht schnell der Zustand des Vortages wiederhergestellt werden kann. Die ganz professionelle Lösung liefert dann auch noch der System Center Virtual Machine Manager.

M. E. gehört der Virtualisierung die Zukunft, weswegen ich widersprechen möchte, wenn Du schreibst, in der Realität gibt es keine virtuelle Infrastruktur. Microsoft & Co. setzen nicht umsonst auf diese Technologie und machen ihre Serverversionen von ihnen abhängig. So kann man z. B. nur in der Data Center-Version beliebig viele virtuelle Maschinen aufsetzen. Ja, selbst die grundlegende Windows Server 2012 R2 Installation an sich, läuft doch schon in der Hyper-V Umgebung, da Microsoft die Hyper-V Architektur schon von vornherein so angelegt hat, dass Hyper-V den Sockel der gesamten Installation bildet. Der 'reale' Server läuft halt in der Parent Partition, während die 'virtuellen Maschinen' in den Child-Partitionen laufen.

Spiegeln Eure Ansichten vielleicht die Erfahrungen wieder, die man in der Vergangenheit mit Produkten wie Virtual Box gemacht hat?

VG Chriss'n
108012
108012 28.05.2014 um 10:21:30 Uhr
Goto Top
Spiegeln Eure Ansichten vielleicht die Erfahrungen wieder,
die man in der Vergangenheit mit Produkten wie Virtual Box
gemacht hat?

Don´t feed the troll!

ich bin dann mal raus aus der Nummer hier.
Ist ja auch erst Mittwoch.

Gruß
Dobby
aqui
aqui 28.05.2014 aktualisiert um 10:35:30 Uhr
Goto Top
Generell spricht ja nichts dagegen das virtuell aufzubauen. Nur... es ist technisch in jedem Falle besser das Testnetz auch physisch vom Produktivnetz zu trennen.
Ein Klickfehler in der virtuellen Umgebung und du exponierst dein Testnetz unkontrolliert mit einem Produktivnetz mit all den gefährlichen Nachteilen die dadurch entstehen können. Das reicht schon wenn z.B. ein virtueller Router oder FW Prozess als VM mal abstürzt, gestoppt wird oder was auch immer und eine NIC in den Bridge Mode zurückfällt.
Die Gefahren die da fürs Produktivnetz lauern sind nicht kontrollierbar.
Eigentlich will man ja auch etwas intensiver testen und das aber in einer absolut sicheren Umgebung.
Deshalb wird kein verantwortungsvoller Netzwerker ein Labor- oder Testnetz direkt über unsichere virtuelle Komponenten mit einem Produktivnetz koppeln. Deshalb siehst du sowas auch niemals in der Praxis.
Immer ist hier ein kleiner (NAT) Hardware Router minimal aber ein VLAN Switch dazwischen der das sicher und unabhängig vom Status des virtuellen Testnetzes abtrennt.
Das schafft so Sicherheit für beide Seiten sowohl den Tester als auch für den Betreiber des Produktivnetzes. Das leuchtet eigentlich auch jedem nur ein klein wenig nachdenkendem Laien ein ! Kein Netzwerker ist wirklich so leichtsinnig sowas direkt über virtuelle Komponenten zu koppeln.
OK, wenn dein "Produktivnetz" das Heimnetz von Oma Grete ist denk ich muss man hier nicht weiterreden ! Du weisst (hoffentlich) wie das obige in einem Firmenumfeld gemeint ist !

Diese Infrastruktur Vorgabe ist vollkommen unabhängig von einer Server Virtualisierung. Richtig ist auch das es inzwischen Comodity geworden ist alles an Server zu virtualisieren, dazu gehört natürlich auch das Virtualisiern von jeglichen Produktionsservern....keine Frage.
Darüber reden wir hier ja auch gar nicht und da hast du zweifelsohne Recht.
Es geht hier in deinem Thread aber um die Virtualisierung der Netzwerk Infrastruktur sei es im Layer 2 oder Layer 3 Bereich und das ist ja nun mal eine vollkommen andere Baustelle mit ganz anderen Anforderungen wie oben ja schon ausgeführt !!
Jedenfalls interpretiert man das so wenn man deine obigen Ausführungen zu dem Thema liest ?!

Es mag also sein das du hier grundsätzlich etwas verwechselst und durcheinander bringst weil du diese Design Problematik erheblich nur duch "Server" Scheuklappen siehst und auch darauf reduzierst und das Thema Infrastruktur darunter vollkommen ignorierst.
Deine Ausführungen zu Hyper-V belegen das ja auch klar.
Der Zusatz "& Co" ist dabei Blödsinn, denn MS macht mit Hyper V sein eigenes Ding. Marktführer VmWare und andere wie XEN usw. und auch Virtual Box nutzen andere und teils erfolgreichere Technologien.
Das tut hier aber all nichts zur Sache weil es bei deiner Threadfrage ja primär um die Netzwerk Infrastruktur ging und deren Sicherheit ! Mit keinem Wort aber um generelle Server Virtualisierung an sich.
Du redest aber oben nur noch zum Thema Server Virtualisierung und nicht mehr über das eigentliche Thema Infrastruktur Design....oder es geht dir gar nicht wirklich darum ?!
Was also ist denn dann wirklich dein Anliegen ??
MCSE-Lehrling
MCSE-Lehrling 02.06.2014 um 09:49:21 Uhr
Goto Top
@aqui

Das ist nicht mein Thread! face-smile

Ich habe das Thema nur aufgenommen und weitergeführt. Es besteht m. E. auch ein Missverständnis, welches darin liegt, dass von einem reinen Testserver die Rede war (siehe Threaderöffnung) und Du den Aspekt hast einfließen lassen, dass ein gemeinsamer Betrieb von Testumgebung und Produktivumgebung geplant sei. Davon war aber nie die Rede. Das Testumgebung und Produktivumgebung strikt getrennt sein sollten, habe ich nicht infrage gestellt.

Ich bin tatsächlich Anfänger in der Netzwerkadministration und taste mich an das Thema heran. Das es dabei zu Fehlschlüssen bzw. -interpretationen oder 'dummen' Fragen kommt, lässt sich kaum vermeiden.

Aber eben auch nicht, dass Nerds Aussagen in Ausführungen hineininterpretieren, die man gar nicht gemacht hat, denn mit dem '& Co.' waren eben VMware, Xen und Virtual Box gemeint.

Zitat @aqui: "Kein Netzwerker ist wirklich so leichtsinnig sowas direkt über virtuelle Komponenten zu koppeln."

Ist mir immer noch nicht klar, warum man keine virtuellen Router nutzen soll, wenn der Testserver und Produktivserver auf unterschiedlicher Hardware laufen. Welchen Einfluss soll es denn auf den virtuellen Router des Produktivservers haben, wenn der virtuelle Router auf dem Testserver irgendwelche Probleme verursacht? Außerdem verstehe ich nicht, welches Horrorszenario durch den Absturz eines Hyper-V Routers entstehen soll, schließlich kann man Hyer-V Maschinen replizieren und auf einem Ausfallserver, der die Produktivumgebung 'spiegelt' für den Notfall bereit halten.

Wenn ich eine Netzwerkinfrastruktur planen müsste, hätte ich drei Server. Einen Produktivserver, einen Ausfallserver (mit Data Center Vollversion) und einen Testserver (mit Data Center Evalutionsversion), mit gleicher Hardware, auf jedem würde ein virtueller Router laufen und aus Kostengründen als Linuxmaschine. So what?

Geht es hier um einen Glaubenskrieg oder um tatsächlich schwerwiegende Sicherheitsbedenken? Wenn ja, worin bestehen diese. Bislang gaben mir Deine Ausführungen darüber keinen wirklichen Aufschluss.

VG Chriss'n