Hyper-V Testnetzwerk - über Produktivnetz routen

Moin,

schau mal hier:
http://www.mcseboard.de/topic/194029-hyperv-subnetze-in-testumgebung-si ...
http://www.mcseboard.de/topic/196345-hyper-v-vm-als-router-konfiguriere ...

Und hier:
http://forum.hyper-v-server.de/index.php?page=Thread&threadID=88

Oder hier (für Basics):
http://social.technet.microsoft.com/Forums/de-DE/f40a21c2-5b09-4e68-a2f ...

Gruß

Ich bin selber neu in dem Thema, aber man kann im Server-Manager die Rolle Remotezugriff/Routing hinzufügen. Danach findet man unter Tools den Eintrag Routing und RAS. Darüber kann man einen Router einrichten und das 'interne' bzw. 'private' Netz routen.

Da Sie nur eine Netzwerkkarte haben, wäre es sinnvoll, ein komplett virtuelles Netzwerk aufzubauen, denn im Hyper-V Manager kann man einer virtuellen Maschine unter 'Einstellungen' beliebig viele Netzwerkkarten hinzufügen. Der externen Netzwerkkarte weist man dann das Standardgateway des realen Netzwerkes zu und den virtuellen Maschinen die IP des Routers. So hat man das reale und virtuelle Netz getrennt, was auch noch den Vorteil mit sich bringt, einen virtuellen DHCP-Server aufsetzen zu können, der nur innerhalb des virtuellen Netzes aktiv ist. Einen DNS-Server sollte man auch noch einrichten, aber man kann auch den realen DNS-Server angeben.

Zwar gibt es auch noch den DHCP-Wächter, der bei virtuellen Netzwerken dafür sorgt, dass der DHCP-Server keine IP-Adresskonflikte mit dem realen DHCP-Server auslöst, aber die obige Lösung ist m. E. 'realer' und man kann auch zu Testzwecken ein weiteres virtuelles Netzwerk einrichten.

Oder eben doch einen kleinen 30 Euro HW Router verwenden. Das ist wenigstens sicher und nicht "virtuell".
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Fragen:

1. Wieviel Strom verbraucht der kleine 30 Euro Router jährlich?
2. Wie sichert man sich ein Backup für den Fall, dass man z. B. Änderungen vornimmt, die sich als unproduktiv erweisen?
3. Wie flexibel kann man die Leistung des 30 Euro Routers skalieren?
4. Sollte man für eine Testumgebung tatsächlich Hardware einkaufen, wenn man alles virtuell installieren und administrieren kann?

VG Chriss'n

Antworten:

1. Wieviel Strom verbraucht der kleine 30 Euro Router jährlich?
A.: Ca. 10 bis 15 Euro im Jahr

2. Wie sichert man sich ein Backup für den Fall, dass man z. B. Änderungen vornimmt, die sich als unproduktiv erweisen?
A.: Der Router legt wie bei fast allen Produkten üblich und Standard eine Backup Datei der Konfig in seinem Flash an, die man bequem per Web, TFTP, Terminal, WinBox usw. runterladen kann und genau so wieder zurückspielen kann um den ursprünglichen Zustand wiederherzustellen. Die Konfig Datei ist eine simple ASCII textdatei der Kommando Settings.

3. Wie flexibel kann man die Leistung des 30 Euro Routers skalieren?
A.: Recht flexibel. 100 Mbit routet er im Wirespeed. Bei der 1 GiG Version schafft er es fast. Es kommt wie immer auf die Features an was du machen willst. Oder meinst du "flexibel" in Bezug aufs Featureset ?? Da lässt Mikrotik keine Wünsche offen und ist quasi auf "Cisco Niveau".
Performancedaten findest du auf der Herstellerseite ! Für deine Anwendung reicht das allemal !

4. Sollte man für eine Testumgebung tatsächlich Hardware einkaufen, wenn man alles virtuell installieren und administrieren kann?
A.: Besser ist das ! Router und FW haben eigentlich auf virtuellen Plttformen nichts zu suchen. Hängt sich die Plattform auf oder fällt Sicherheitslöchern zum Opfer betrifft das sofort auch die Infrastruktur. Deshalb ist sowas in der regel immer ein NoGo für Virtualisierung. Abgeshen davon lässt sich performantes Packet Forwarding nicht skalierbar in virtuellen Umgebungen umsetzen oder hat erheblichen negativen Einfluss auf die eigentliche Server Virtualisierung.
Bei den geringen Kosten von popeligen 30 Euro ist das eh vernachlässigbar. Ein Test ist ja auch immer Spiegel der Realität und dort gibt es keine virtuelle Infrastruktur.
Natürlich kann man aber auch mit virtuellen Router Firewalls wie z.B. pfSense, Monowall etc. ähnliches erreichen...keine Frage. Nachteile siehe oben... !
Es gibt viele Wege nach Rom....

Hallo,

also erst einmal verstehe ich nun wirklich nicht warum man
überhaupt ein Testnetzwerk nicht mindestens in ein eigenes
VLAN steckt und das produktive Netzwerk ganz in Ruhe
lässt!!! Oder sehe ich das jetzt falsch? Ich mache das
grundsätzlich so und kenne nicht wenige Leute die das
auch so machen.

Je nach dem was er denn zu tun bekommt und/oder wie klein
er denn nun wirklich ist! Das ist doch aber hier auch nicht die Frage
die sich stellt, denn ich kann mit einem kleinen Router auch schnell
eine Testumgebung vom restlichen Netzwerk abschotten und eben
gefahrlos Tests durchführen.

Und nein ich habe verschiedene Router dafür und nicht nur
einen kleinen. Man muss sie ja nicht kaufen wenn sie
neu heraus kommen und oder schießt sich ein paar bei
eBay!

(MikroTik RB450G, RB435G, RB493G, RB800, RB1200 & RB1100AHx2)

Man speichert die Konfiguration ab und gut ist es.
(USB Stick, HDD, SD Karte, LAN Verbindung, NAS)

Kommt darauf an was das für ein Router ist!
Die kleinen von MikroTik wenn es wirklich nur um das blanke
Routing, VLANs und/oder Firewallregeln geht sind aber auch
recht kräftig.

Klar machen wirklich viele so die ich kenne.
Sogar ganze Switche, Router, WLAN Router & APs, UMTS Router
alles was geht und nützlich ist, so eine kleine Kramkiste oder Testrack
haben wirklich recht viele Firmen. Denn was soll es auch schon wenn
einmal etwas schief läuft und das gesamte Netzwerk ist dann
lahmgelegt und niemand kann mehr Arbeiten???

Und was das erst kostet, wenn 650 Leute Überstunden machen
müssen oder gar der Monatsabschluss nicht geschafft wird in größeren
Organisationen bzw. Konzernen fährst Du dann in der regel eine Woche später mal zum Raport in die Zentrale oder die Revisionsabteilung
kommt mal zu Besuch, da ist das vorherige testen eine Lachnummer
gegen.

Schön und gut aber dann auch nur in dem Testnetzwerk und
nicht im Produktivnetzwerk.

Gruß
Dobby

Erstmal vielen Dank an Dobby und Dich für die ausführliche Antwort, doch so ganz steige ich noch nicht dahinter. Wenn ich eine virtuelle Testumgebung auf einem Rechner aufbaue, der mit dem produktiven Netzwerk nur insoweit verbunden ist, in dem er sich darüber ins Internet verbindet, warum sollte man nicht die gesamte Test-Infrastruktur virtuell aufbauen?

Schließlich muss das produktive Netzwerk ohnehin nach außen abgeschirmt sein und da verstehe ich, wenn man unbedingt einen Hardware-Router einsetzen will. Der virtuelle Router soll doch nur für die virtuelle Testumgebung da sein. Selbst wenn die VM mal abschmieren sollte, kann ich doch die Kopie der virtuellen Festplatte sofort wieder eingebunden werden.

Ich möchte sogar noch weiter gehen und die Frage stellen, warum man nicht auch die produktiven Server virtualisieren sollte. Wo liegt denn die tatsächliche Gefahr?

Wenn man die Serverwelt auf zwei Servern abbildet, einen für das produktive Netzwerk, einen zur Ausfallsicherheit, dann sollte doch dem Sicherheitsbedürfnis genüge getan sein. Außerdem kann man doch die virtuellen Festplatten täglich sichern, so dass im Fall eines Ausfalls zumindest recht schnell der Zustand des Vortages wiederhergestellt werden kann. Die ganz professionelle Lösung liefert dann auch noch der System Center Virtual Machine Manager.

M. E. gehört der Virtualisierung die Zukunft, weswegen ich widersprechen möchte, wenn Du schreibst, in der Realität gibt es keine virtuelle Infrastruktur. Microsoft & Co. setzen nicht umsonst auf diese Technologie und machen ihre Serverversionen von ihnen abhängig. So kann man z. B. nur in der Data Center-Version beliebig viele virtuelle Maschinen aufsetzen. Ja, selbst die grundlegende Windows Server 2012 R2 Installation an sich, läuft doch schon in der Hyper-V Umgebung, da Microsoft die Hyper-V Architektur schon von vornherein so angelegt hat, dass Hyper-V den Sockel der gesamten Installation bildet. Der 'reale' Server läuft halt in der Parent Partition, während die 'virtuellen Maschinen' in den Child-Partitionen laufen.

Spiegeln Eure Ansichten vielleicht die Erfahrungen wieder, die man in der Vergangenheit mit Produkten wie Virtual Box gemacht hat?

VG Chriss'n

Don´t feed the troll!

ich bin dann mal raus aus der Nummer hier.
Ist ja auch erst Mittwoch.

Gruß
Dobby

Generell spricht ja nichts dagegen das virtuell aufzubauen. Nur... es ist technisch in jedem Falle besser das Testnetz auch physisch vom Produktivnetz zu trennen.
Ein Klickfehler in der virtuellen Umgebung und du exponierst dein Testnetz unkontrolliert mit einem Produktivnetz mit all den gefährlichen Nachteilen die dadurch entstehen können. Das reicht schon wenn z.B. ein virtueller Router oder FW Prozess als VM mal abstürzt, gestoppt wird oder was auch immer und eine NIC in den Bridge Mode zurückfällt.
Die Gefahren die da fürs Produktivnetz lauern sind nicht kontrollierbar.
Eigentlich will man ja auch etwas intensiver testen und das aber in einer absolut sicheren Umgebung.
Deshalb wird kein verantwortungsvoller Netzwerker ein Labor- oder Testnetz direkt über unsichere virtuelle Komponenten mit einem Produktivnetz koppeln. Deshalb siehst du sowas auch niemals in der Praxis.
Immer ist hier ein kleiner (NAT) Hardware Router minimal aber ein VLAN Switch dazwischen der das sicher und unabhängig vom Status des virtuellen Testnetzes abtrennt.
Das schafft so Sicherheit für beide Seiten sowohl den Tester als auch für den Betreiber des Produktivnetzes. Das leuchtet eigentlich auch jedem nur ein klein wenig nachdenkendem Laien ein ! Kein Netzwerker ist wirklich so leichtsinnig sowas direkt über virtuelle Komponenten zu koppeln.
OK, wenn dein "Produktivnetz" das Heimnetz von Oma Grete ist denk ich muss man hier nicht weiterreden ! Du weisst (hoffentlich) wie das obige in einem Firmenumfeld gemeint ist !

Diese Infrastruktur Vorgabe ist vollkommen unabhängig von einer Server Virtualisierung. Richtig ist auch das es inzwischen Comodity geworden ist alles an Server zu virtualisieren, dazu gehört natürlich auch das Virtualisiern von jeglichen Produktionsservern....keine Frage.
Darüber reden wir hier ja auch gar nicht und da hast du zweifelsohne Recht.
Es geht hier in deinem Thread aber um die Virtualisierung der Netzwerk Infrastruktur sei es im Layer 2 oder Layer 3 Bereich und das ist ja nun mal eine vollkommen andere Baustelle mit ganz anderen Anforderungen wie oben ja schon ausgeführt !!
Jedenfalls interpretiert man das so wenn man deine obigen Ausführungen zu dem Thema liest ?!

Es mag also sein das du hier grundsätzlich etwas verwechselst und durcheinander bringst weil du diese Design Problematik erheblich nur duch "Server" Scheuklappen siehst und auch darauf reduzierst und das Thema Infrastruktur darunter vollkommen ignorierst.
Deine Ausführungen zu Hyper-V belegen das ja auch klar.
Der Zusatz "& Co" ist dabei Blödsinn, denn MS macht mit Hyper V sein eigenes Ding. Marktführer VmWare und andere wie XEN usw. und auch Virtual Box nutzen andere und teils erfolgreichere Technologien.
Das tut hier aber all nichts zur Sache weil es bei deiner Threadfrage ja primär um die Netzwerk Infrastruktur ging und deren Sicherheit ! Mit keinem Wort aber um generelle Server Virtualisierung an sich.
Du redest aber oben nur noch zum Thema Server Virtualisierung und nicht mehr über das eigentliche Thema Infrastruktur Design....oder es geht dir gar nicht wirklich darum ?!
Was also ist denn dann wirklich dein Anliegen ??