Jul 10, 2020

3883

In VMWare 2 oder mehr Netzwerkanschlüsse und VLAN nutzen? Wie funktioniert das?

Hallo Leute,

ich habe da mal wieder ein kleines Problem bei dem ich Hilfe benötige.
Ich habe ein VMWare-Server (vSphere 6.7.0 Customized Image für HP DL380 Gen9) welcher mehrere Netzwerkkarten besitzt.
Ich habe nun 2 Netzwerkanschlüsse aktiviert und weiß ehrlich gesagt gar nicht was da im Hintergrund damit genau passiert (Wird das automatisch zum Redundanten System und alle haben eine IP-Adresse -> so sieht es momentan für mich aus).
Was aber noch dringlicher ist, ist daß wir eine neue VLAN erstellen mit einem Subnetz und dieser Server dort 5 virtuelle Server betreiben soll.

Wir nutzen in der Firma das default VLAN1, jetzt kommt ein VLAN6 hinzu mit einem eigenen Subnetz (blöde Aussage, geht ja in einem separaten VLAN ja auch nicht anders). Zwischen diesen VLANs wird über die FW erstmal alles geroutet und im Nachgang dann soweit zugeschnürt damit nur das benötigte geroutet wird.

So weit so gut.

Was ich mir jetzt vorstelle ist daß ich den Server selber im Firmen-Netz (VLAN1) betreibe und die virtuellen Clients im VLAN6.

De Fragen sind wie folgt:
1. geht das? Ich habe gelesen VMWare kann Tagged-VLAN -> muss ich dann den Port auf dem Switch und die Netzwerkschnittstelle des Server einfach auf 'Tagged' setzen und VMWare selber unterschiedet ob die Datenpakete dann für den server oder die Clients bestimmt sind (-> Tag der Datenpakete auslesen)?
2. Was nutzen mir viele Netzwerkschnittstellen im VMWare-Server? Ich kann die wohl nicht einzeln adressieren wie ich sehe. Bildet VMWare damit autoamtisch ein Redundantes System und ich kann und soll da nichts ändern? Oder kann man das ändern und sagen: eth0 ist Mgmt des Servers, eth1 und eth2 sind für die Clients im redundanten Verbund?
3. Kann man neben dem 'Taggen' des Netzwerkverkehrs auch auf Portbasis die VLANs konfigurieren? eth0 ist VLAN1, eth1 und eth2 sind VLAN2 usw.?
4. Was macht überhaupt am ehesten Sinn?

Ich danke schon einmal im Voraus für eure Hilfe und für das Lesen bis hierhin.

Please also mark the comments that contributed to the solution of the article

Content-Key: 586524

Url: https://administrator.de/contentid/586524

Printed on: May 9, 2024 at 23:05 o'clock

11 Comments

Latest comment

Moin,

eigentlich ist das ja alles in der Doku von VMware niedergeschrieben. Dazu gibts hunderte Videos auf YT... aber naja

TL;DR:
1. Ja, geht. Am pSwitch alles wie gewünscht Taggen, und am vSwitch dann entsprechende Portgroups für die Vlans erstellen
2. Lastverteilung und Redundanz. Aufteilung auf Mgmt oder Gäste kann per separeten vSwitch und Portgroups erfolgen
3. Könnte man, macht aber keinen Sinn wg. #2
4. Alle pNICs am pSwitch mit allen VLANs taggen und am Host einem vSwitch zuweisen und die VLANs mit extra Portgroups verbinden

Wie gesagt. einfach mal die Networking Doku von VMWare ansehen... und die SuFu im Forum hilft dir da sicher auch weiter.

lg,
Slainte

Mein Problem ist das ich gestern Bescheid bekommen habe daß wir auf VOIP umsteigen und Deadline am Dienstag Abend ist... da brennst sozusagen unterm Arsch.. hehe

Danke für die Info erstmal.

Der Hintergund ist VOIP und daher wird dieses Netz in ein eigenes VLAN verschoben und QoS eingerichtet.
Darum bin ich mir auch noch nicht sicher ob ich den Switchen das Taggen 'aufbürden' soll da es doch 'Mehrabreit' für die Geräte bedeutet alle Daten-Pakete zu taggen und wieder enttaggen...
Vielleicht wäre in diesem Falle ja doch besser auf Portbasis die VLANs zuzuweisen?
Jedoch sehe ich die Möglichkeit dies lediglich im vSwitch zu machen und nicht auf der 'Hardwareebene' bzw. dem VMWare-Server und da wird dann ja wohl nur das 'Tagged' funktionieren. Oder sehe ich das falsch?

Wir haben einen externen Dienstleister dem ich das alles sagen kann was zu tun ist und der kümmert sich um die Switche und die FW. Auf VMWare-Basis ist das aber meine Aufgabe. Daher will ich lieber 2x fragen bevor ich was flasch mache.

Ich weise an daß der pSwitch die 2 Netzwerkports 'taggen' tut (oder eben alle wenn ich mich nicht irre -> ist aber nicht mein Bier) und auf der vSphere erstelle ich einen vSwitch und eine Portgruppe die im VLAN6 ist. Dieser vSwitch ist aber natürlich mit der physikalischen Netzwerkkarte (pNIC) des Servers verbunden. Der Server bekommt datenpakete vom pSwitch rein und liest die Tags aus und weist es der Portgruppe/vSwitch automatisch zu? Der Host selber ist in VLAN1 und kann 'normal' angesprochen werden im VLAN1 (wie immer eben)?.
Habe ich das so richtig verstanden?

Hallo,

es funktioniert genau mit physikalischen Netzwerkadapter.
Slainte hatte ja schon alles beschrieben.

Tipp: Kein OS mag mehr als ein Standardgateway.
Dann weiss das OS nicht wohin mit den Paketen ohne weitere Routingangaben.

Stefan

Der Hintergund ist VOIP und daher wird dieses Netz in ein eigenes VLAN verschoben und QoS eingerichtet.

Ja,das ist Standard

Darum bin ich mir auch noch nicht sicher ob ich den Switchen das Taggen 'aufbürden' soll da es doch 'Mehrabreit' für die Geräte bedeutet alle Daten-Pakete zu taggen und wieder enttaggen...

Das ist Quatsch! Die Mehrarbeit macht der Switch nebenher.
geTagged muss sein: Die Portgroup, der pSwitchport an dem die pNIC hängt, alle Querverbindungen zwischen deinen Switches, und dann der Port an dem das VoIP Phone hängt

Der Host selber ist in VLAN1 und kann 'normal' angesprochen werden im VLAN1 (wie immer eben)?.
Habe ich das so richtig verstanden?

Ja, sofern die Mgmt-Portgroup entsprechend untagged ist und auf ihren Uplinks auch untagged traffic (VLAN1) anliegt.

Ich habe am Server 2 Netzwerkkabel connected.
Wenn beide aktiv dem VMServer zugewiesen sind, dann kann ich in der vSW kein Uplink hinzufügen da keins frei ist.
Nehme ich diese Schnittstelle aber raus (in der VMWare-Oberfläche -> Network Adapters das 'x' entfernen und speichern bei vmnic1) kann ich im vSwitch diesen Uplinke hinzufügen.

So, ich bin durcheinander:
Ist die Netzwerkkarte nicht aktiv für den Server, kann ich sie dem vSW zuweisen, ist sie aktiv kann der VM-Server beiden utzen (redundanz?) aber dafür kann ich dem vSW kein uplink zuweisen.
Das wäre doch genau die falsche Vorgehensweise, oder?
Das sieht dann aus das ich explizit den Port nutze für diesen vSwitch und somit nicht 'getagged' sein muss.
Laut euch hier sollte ich aber tagged nutzen und dann ist es egal welcher Port wem zugewiesen wird, richtig?

Kann mir da mal jemand auf die Sprünge helfen?
vmnic0 und vmnic1 sind im Netz.
Ich soll beide taggen und beide sollen genutzt werden und zwar nicht explizit vom VLAN1 oder VLAN6 sondern gemeinsam (-> tagged).
Ich erstelle einen vSW und der muss ja ein physikalische Netzwerkschnittstelle haben. Sind beide NICs jedoch dem server zugewiesen, kann ich dem vSW nichts zuweisen. Ist vmnic0 nicht zugweisen, so kann ich es dem vSW zuweisen.

Was ist zu tun?

Nachtrag:
Oder muss ich bei einem Tagged-Port und Switch gar kein vSwitch erstellen und lediglich eine Portgruppe mit der entsprechenden VLAN welche auf die physikalischen NIC zugreift?

Was zu tun ist, steht in meiner Antwort auf deine Frage #1:

Am pSwitch alles wie gewünscht Taggen, und am vSwitch dann entsprechende Portgroups für die Vlans erstellen

Nohcmal für lesefaule...

0. Am pSwitch auf den Ports an denen der Host steckt die gew. VLANs taggen
1. Einen vSwitch erstellen (oder einen vorhandenen nutzen)
2. Portgroups mit den gerwünschten VLANs erstellen
3. vNICS der VM der entsprechenden Portgroup zuweisen

Ich bin nicht lesefaul. Ich bin vielleicht dumm oder sehe das Wesentliche nicht oder sonstiges.
Auch in deiner jetzigen Antwort, die ich nahezu verstehe, gibt es Dinge die mir nicht klar sind.

0. ist klar. Externer Dienstleister ist drann und gibt mir Bescheid.
1. Wenn ich einen neuen vSwitch erstelle, will der einen exklusiven UPLINK (also einer der Scnitstellen am Server) für sich. Wenn ich keinen frei habe dann kann ich nichts zuweisen. Ich kann aber aus dem 2er-Verbund des Servers einen lösen und diesem neuen vSwitch hinzufügen (verliere aber die Redundanz). Kann ich aber auch KEINEN neuen vSwitch erstellen und den vorhandenen vSwitch0 nutzen? In der Portgroup muss ich ja VLANs vergeben (wie ich sehe) und dann können sich die verschiedenen VLANs ja einen vSwitch (also den vSwitch0) teilen (der dann das tagging automatisch übernimmt gehe ich von aus?).
2. bin bereits bei #1 darauf eingegangen. Portgruppe erstellen, VPLAN6 vergeben und der UPLINK ist vSwitch0 (der ist ja schon defaultmäßig da und nutzt vmnic0 und vmnic1)
3. ich sehe keine vNics. Ich habe die pNICs zugewiesen.... wo und wie erstelle ich vNICs? Musste ich bisher nie machen...

Hmm, beim experimentieren bin ich eventuell darauf gestossen:
Muss ich etwa der neuen Portgruppierung (VOIP) einen 'VMkernel-Netzwerkkarte hinzufügen'?

Hui...

Ich bin nicht lesefaul.

Das war auf die (zuhauf) vorhandene und gute Dokuvon VMWare bezogen

bei 1 steht (oder einen vorhandenen nutzen) DU hast schon einen? Dann nimm den!

bei 3. steht vNICS der VM der Porgroup zuweisen.

1. ja, den Standard vSwitch0. Den habe ich auch genutzt. Ich würde es aber gerne verstehen. Legt man ein vSwitch an, kann man nur ungebundenen NICs zuweisen. Dies würde man dann machen wenn man nicht tagged sondern VLAN auf Portbasis erstellt, oder?
Für meinen aktuellen Fall: vSwitch0 ist ausreichend. Der macht das taggen/untaggen dann ja automatisch gehe ich von aus.
3. Ich habe keine vNICs. Wahrscheinlich verstehe ich den Begriff aber nicht. vNIC ist ein virtuelle NIC, oder? Ich habe 2 NICs im vSwitch. beide physikalisch. Das war es mit NICs die ich zur Verfügung habe! Ich müsste also ein vNIC erstellen -> mache ich das unter dem Reiter 'VMkernel-Netzwerkkarte hinzufügen'? Und dann diesen der Portgruppe VOIP hinzufügen?

Bei meiner vSwitch-Topologie aus:

VOIP                            ----- |
  VLAN-ID: 6                          |
                                      | ----- [grün] ----- vmnic1
                                      |        [grün] ----- vmnic0
                                      |
VM Network          ----- [weis]----- |
  VLAN-ID: 0                          |
                                      |
Management Network ----- [grün] ----- |
 VLAN-ID: 0
 VMkernel-Ports(1)

Wie man sieht ist hinter der Portgruppe VOIP kein NIC und keine Verbindung zum Netz.
Wir reden sicherlich an dieser Stelle vom vNIC -> virtueller NIC der die Portgruppe mit dem Netz verbindet, richtig?
Und wenn ich 'VMkernel-Netzwerkkarte erstelle und der VOIP-Portgruppe zuweise, dann bekommei ch genau an dieser Stelle ein NIC der auch gleich grün leuchtet.
Ist dies mit vNIC erstellen und der Portgruppe hinzufügen gemeint?
Klar ist es das wenn ich mir das so beim schreiben überlege, aber eine Bestätigung schadet ja nicht... ;)

Legt man ein vSwitch an, kann man nur ungebundenen NICs zuweisen.

Richtig

Dies würde man dann machen wenn man nicht tagged sondern VLAN auf Portbasis erstellt, oder?

Nein! der vSwtich hat per se nichts mit VLANs zu tun. VLANs wird per Portgroup konfiguriert

Für meinen aktuellen Fall: vSwitch0 ist ausreichend.

Der macht das taggen/untaggen dann ja automatisch gehe ich von aus.

Nein, siehe oben

Ich habe keine vNICs.

Doch!

Wahrscheinlich verstehe ich den Begriff aber nicht.

Glaub ich auch

vNIC ist ein virtuelle NIC, oder?

Richtig, vNics sind die Virtuellen NICs der VMs

Ich habe 2 NICs im vSwitch. beide physikalisch. Das war es mit NICs die ich zur Verfügung habe! Ich müsste also ein vNIC erstellen -> mache ich das unter dem Reiter 'VMkernel-Netzwerkkarte hinzufügen'? Und dann diesen der Portgruppe VOIP hinzufügen?

Nein! Du stellst das Netzwerk der vNIC in den Optionen der VM auf die gewünschte Portgroup

VMKernel NICs sind wieder was anderes. Die sind für Vmotion, Mgmt, ISCSI usw.

Wie man sieht ist hinter der Portgruppe VOIP kein NIC und keine Verbindung zum Netz.

Falsch! Die Portgroup "hängt" am vSwitch, und der hat Uplinks zum pSwitch

Wir reden sicherlich an dieser Stelle vom vNIC -> virtueller NIC der die Portgruppe mit dem Netz verbindet, richtig?

Nein! Siehe oben

Und wenn ich 'VMkernel-Netzwerkkarte erstelle und der VOIP-Portgruppe zuweise, dann bekommei ch genau an dieser Stelle ein NIC der auch gleich grün leuchtet.

Nein. VMKernel hat damit nichts zu tun! siehe oben.

Ist dies mit vNIC erstellen und der Portgruppe hinzufügen gemeint?

Nein! Siehe oben

Deine schematische Darstellung ist allerdings (wohl durch zufall) korrekt.

Ein vSwitch mit zwei Uplinks
Daran je eine Portgroup für
- VLAN 6
- VLAN 0 (=untagged) VM Network
- VLAN 0 (=untagged) VMKernel

Ja, beim langen schreiben habe ich Anfangs eine andere Vorstellung gehabt. Als ich unten angekommen bin und das Shema gezeichnet habe, ist mir so einiges klar geworden.

Ich habe in der vSwitch Topologie:
- 2 physikalische NICs (rechte Seite)
- VLAN6 und wenn eine VM dieser Portgruppe zugewiesen ist, sieht es genauso aus wie es soll.
- VLAN 0 VMNetwork (standard)
- VLAN 0 Mgmt

Die Vorgehensweise war:
1. Portgruppe "VOIP" erstellen
2. VLAN-ID vergeben (6)
3. Virtuellen Switch zuweisen (vSwitch0)
4. VM erstellen und die Netzwerkkarte der VOIP-Portgruppe zuweisen

Ich musste somit kein vNIC erstellen ausser das was beim Erstellen der VM selber als Netzwerkkarte erstellt wird.
Ich musste nirgendws taggen/untaggen wählen sondern habe lediglich das VLAN 6 in der Portgroup VOIP gesetzt.
Daher meine Frage ob ich irgendwo 'taggen' setzen muss oder das nun automatisch passiert nach der Logik:
VLAN ID 6 <> VLAN ID 0 -> beide auf gleichem physikalischem NIC -> merkt VM selber das er das 'taggen' muss?
Auf der anderen Siete müsste ich nur sicherstellen das auf dem physikalischen Switch der Port tagged ist der zum VMServer führt.
Wenn dem nicht so ist: wo muss ich das taggen?

German Question VMware Virtualization

Hotly discussed

Wireguard with systemd and nftablesLinuxero - 9 Comments