InterVLAN-Routing zw. VMs auf ESXi
NewBee2018 (Level 1) - Jetzt verbinden
05.12.2020, aktualisiert 20:01 Uhr, 480 Aufrufe, 12 Kommentare, 3 Danke
Hallo zusammen,
in der Ausbildung beschäftigen wir uns im Moment mit dem Thema VLANs und InterVLAN-Kommunikation. Wie das prinzipiell funktioniert habe ich verstanden. Geräte im gleichen VLAN werden "geswitcht" und Geräte in unterschiedlichen VLANs müssen geroutet werden .. soweit so klar.
Mich interessiert wie das auf einem Virtualisierungshost aussieht. Auf so einem physischen ESXi entsteht ja ein eigener "Mikrokosmos" inkl. Netzwerk. Wenn ich jetzt auf einem einzelnen ESXi z.B. 10xVMs in VLAN10 und 10xVMs in VLAN20 habe, und dann VLAN 10 mit VLAN 20 Daten austauschen möchte, verlässt dann der Traffic den Host, oder kann dass auch irgendwie innerhalb von dem ESXi "geroutet" werden? Eigentlich heißt das Device im ESXi ja vSwitch, also würde ich erst einmal sagen, der Traffic muss raus aus dem Host auf das physische Netzwerk (dort wird dann geroutet) und dann zurück in den Host. Jetzt hab ich aber auch gelesen, dass es virtuelle Router bei VMware geben kann?!
Ein Artikel aus 2018 stützt meine Vermutung (Link: https://www.windowspro.de/thomas-drilling/traffic-flow-vswitches-wann-la ...). Aber der ist eben aus 2018 und in 2 Jahren passiert ja viel in der IT. Von daher meine Frage an die Profis
. Vielleicht ist das ja auch ein Lizenzabhängiges FEature bei VMware, ich hab keine Ahnung.
Danke euch halbwegs schöne Weihnachtszeit.
Grüße
NeeBee
in der Ausbildung beschäftigen wir uns im Moment mit dem Thema VLANs und InterVLAN-Kommunikation. Wie das prinzipiell funktioniert habe ich verstanden. Geräte im gleichen VLAN werden "geswitcht" und Geräte in unterschiedlichen VLANs müssen geroutet werden .. soweit so klar.
Mich interessiert wie das auf einem Virtualisierungshost aussieht. Auf so einem physischen ESXi entsteht ja ein eigener "Mikrokosmos" inkl. Netzwerk. Wenn ich jetzt auf einem einzelnen ESXi z.B. 10xVMs in VLAN10 und 10xVMs in VLAN20 habe, und dann VLAN 10 mit VLAN 20 Daten austauschen möchte, verlässt dann der Traffic den Host, oder kann dass auch irgendwie innerhalb von dem ESXi "geroutet" werden? Eigentlich heißt das Device im ESXi ja vSwitch, also würde ich erst einmal sagen, der Traffic muss raus aus dem Host auf das physische Netzwerk (dort wird dann geroutet) und dann zurück in den Host. Jetzt hab ich aber auch gelesen, dass es virtuelle Router bei VMware geben kann?!
Ein Artikel aus 2018 stützt meine Vermutung (Link: https://www.windowspro.de/thomas-drilling/traffic-flow-vswitches-wann-la ...). Aber der ist eben aus 2018 und in 2 Jahren passiert ja viel in der IT. Von daher meine Frage an die Profis
. Vielleicht ist das ja auch ein Lizenzabhängiges FEature bei VMware, ich hab keine Ahnung.Danke euch halbwegs schöne Weihnachtszeit.
Grüße
NeeBee
Antworten-
3 
- Mehr
Auf Facebook teilen
Auf Twitter teilen12 Antworten
- LÖSUNG StefanKittel schreibt am 05.12.2020 um 16:30:56 Uhr
- LÖSUNG NewBee2018 schreibt am 05.12.2020 um 19:03:31 Uhr
- LÖSUNG maretz schreibt am 05.12.2020 um 17:25:08 Uhr
- LÖSUNG aqui schreibt am 05.12.2020 um 18:22:42 Uhr
- LÖSUNG NewBee2018 schreibt am 05.12.2020 um 19:06:16 Uhr
- LÖSUNG aqui schreibt am 05.12.2020 um 22:28:45 Uhr
- LÖSUNG maretz schreibt am 05.12.2020 um 23:02:09 Uhr
- LÖSUNG aqui schreibt am 06.12.2020 um 12:04:40 Uhr
- LÖSUNG NewBee2018 schreibt am 06.12.2020 um 12:58:17 Uhr
- LÖSUNG aqui schreibt am 06.12.2020 um 13:13:05 Uhr
- LÖSUNG StefanKittel schreibt am 06.12.2020 um 14:09:21 Uhr
- LÖSUNG NewBee2018 schreibt am 06.12.2020 um 12:58:17 Uhr
- LÖSUNG aqui schreibt am 06.12.2020 um 12:04:40 Uhr
- LÖSUNG Ad39min schreibt am 05.12.2020 um 18:24:33 Uhr
LÖSUNG 05.12.2020 um 16:30 Uhr
Hallo,
im Prinzip ist es das gleiche.
Wichtig ist hier vor allem die Zuordnung der VMs zu den physikalischen Netzwerkkarten.
Dort verlässt der Traffic den Host nicht. 2 VMs können also mit mehr als 1GBit kommunizieren auch wenn die NIC nur 1GBit kann.
Wenn die beiden VMs auf unterschiedlichen NICs liegen greifen die normalen Regeln.
Stefan
im Prinzip ist es das gleiche.
Wichtig ist hier vor allem die Zuordnung der VMs zu den physikalischen Netzwerkkarten.
Dort verlässt der Traffic den Host nicht. 2 VMs können also mit mehr als 1GBit kommunizieren auch wenn die NIC nur 1GBit kann.
Wenn die beiden VMs auf unterschiedlichen NICs liegen greifen die normalen Regeln.
Stefan
LÖSUNG 05.12.2020 um 17:25 Uhr
Warum sollte es auf virtueller Hardware anders laufen als auf realer? Du hast beim ESX halt switches - baust du dir jetzt ne VM als router dann kannst du die verbinden (oder eben mit nem richtigem Router).
Eigentlich ist es ganz einfach... Schau mal in deinen VM-Server rein. Sitzt da ne frau mit spitzem Hut die aufm Besen fliegt? Oder nen Kerl my schwarzem Zylinder der Karnickel ausm Hut holt? Wenn nicht dann kann wohl ne VM auch nich zaubern und wird sich entsprechend der realen Hardware verhalten (man könnte sich auch überlegen das der Erfolg von VMs wohl kaum da wäre wenn die sich komplett anders verhalten würden und jeder Admin dann div. verschiedene Infra-Strukturen zu verwalten hätte... )
Eigentlich ist es ganz einfach... Schau mal in deinen VM-Server rein. Sitzt da ne frau mit spitzem Hut die aufm Besen fliegt? Oder nen Kerl my schwarzem Zylinder der Karnickel ausm Hut holt? Wenn nicht dann kann wohl ne VM auch nich zaubern und wird sich entsprechend der realen Hardware verhalten (man könnte sich auch überlegen das der Erfolg von VMs wohl kaum da wäre wenn die sich komplett anders verhalten würden und jeder Admin dann div. verschiedene Infra-Strukturen zu verwalten hätte... )
LÖSUNG 05.12.2020 um 18:22 Uhr
Einen groben Überblick über die Grundlagen gibt auch:
https://administrator.de/forum/sophos-software-appliance-utm-vlan-cisco- ...
und
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
https://administrator.de/forum/sophos-software-appliance-utm-vlan-cisco- ...
und
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
LÖSUNG 05.12.2020 um 18:24 Uhr
Hi,
Mich interessiert wie das auf einem Virtualisierungshost aussieht. Auf so einem physischen ESXi entsteht ja ein eigener "Mikrokosmos" inkl. Netzwerk. Wenn ich jetzt auf einem einzelnen ESXi z.B. 10xVMs in VLAN10 und 10xVMs in VLAN20 habe, und dann VLAN 10 mit VLAN 20 Daten austauschen möchte, verlässt dann der Traffic den Host, oder kann dass auch irgendwie innerhalb von dem ESXi "geroutet" werden? Eigentlich heißt das Device im ESXi ja vSwitch, also würde ich erst einmal sagen, der Traffic muss raus aus dem Host auf das physische Netzwerk (dort wird dann geroutet) und dann zurück in den Host. Jetzt hab ich aber auch gelesen, dass es virtuelle Router bei VMware geben kann?!
Beim ESXi selber ist jeder virtuelle Switch erstmal ein Layer2-Switch und hat somit keine Ahnung von IP, bzw. kennt nur MAC und leitet auch nur MAC weiter.
Deine Frage, ob sich auch Layer3-Features (wie IP-Forwarding) virtualisieren lassen, kann man mit Ja beantworten, jedoch nicht mit ESXi alleine.
Aus dem VMware-Hause gibt es hierfür "NSX" (kostenpflichtig).
Jedoch hindert Dich auch niemand daran in Deinem ESXi-Test-Lab(Annahme) virtuell ein Betriebssystem einzusetzen, mit dem man Layer3-Funktionen bereit stellen kann, und das NIC in VLAN4095(=Trunk-Port) aufzunehmen. Ein typischer Kandidat wäre hier "Vyos" oder jedes dumme Linux mit ein bisschen Bastelei.
Danke euch halbwegs schöne Weihnachtszeit.
Grüße
NeeBee
Grüße
NeeBee
Ebenso und Gruß
Alex
LÖSUNG 05.12.2020 um 19:03 Uhr
Hi Stefan,
danke für deine Antwort. Ich hab mal ein Bild aus einem VMware Videotraining beigefügt.
Da scheint die InterVLan-Kommunikation den Host aber zu verlassen, geht in den physichen L3-Switch und wird da geroutet.
Mein gefundener Link sagt das Gleiche zu diesem Szenario:
Auszug:
Im zweiten Szenario hängen VM1 und VM2 am gleichen vSwitch namens vSwitch1, aber VM1 ist mit einer Portgruppe namens TestDev und VM2 mit der Portgruppe Production verbunden. Beide laufen auf dem gleichen Host mit dem Namen ESX1.
Hier fließt der Netzwerkverkehr zwischen VM1 und VM2 über eine an vSwitch1 angeschlossene physische NIC und dann an einen physischen Switch. Anschließend wird er zu einer physischen NIC auf vSwitch1 und anschließend zu VM2 zurückgeleitet.
Aber wie Alex weiter unter geschrieben hat, ist dann wohl das Feature VMWare NSX.
danke für deine Antwort. Ich hab mal ein Bild aus einem VMware Videotraining beigefügt.
Da scheint die InterVLan-Kommunikation den Host aber zu verlassen, geht in den physichen L3-Switch und wird da geroutet.
Mein gefundener Link sagt das Gleiche zu diesem Szenario:
Auszug:
Im zweiten Szenario hängen VM1 und VM2 am gleichen vSwitch namens vSwitch1, aber VM1 ist mit einer Portgruppe namens TestDev und VM2 mit der Portgruppe Production verbunden. Beide laufen auf dem gleichen Host mit dem Namen ESX1.
Hier fließt der Netzwerkverkehr zwischen VM1 und VM2 über eine an vSwitch1 angeschlossene physische NIC und dann an einen physischen Switch. Anschließend wird er zu einer physischen NIC auf vSwitch1 und anschließend zu VM2 zurückgeleitet.
Aber wie Alex weiter unter geschrieben hat, ist dann wohl das Feature VMWare NSX.
LÖSUNG 05.12.2020 um 19:06 Uhr
Zitat von maretz:
Warum sollte es auf virtueller Hardware anders laufen als auf realer? Du hast beim ESX halt switches - baust du dir jetzt ne VM als router dann kannst du die verbinden (oder eben mit nem richtigem Router).
Eigentlich ist es ganz einfach... Schau mal in deinen VM-Server rein. Sitzt da ne frau mit spitzem Hut die aufm Besen fliegt? Oder nen Kerl my schwarzem Zylinder der Karnickel ausm Hut holt? Wenn nicht dann kann wohl ne VM auch nich zaubern und wird sich entsprechend der realen Hardware verhalten (man könnte sich auch überlegen das der Erfolg von VMs wohl kaum da wäre wenn die sich komplett anders verhalten würden und jeder Admin dann div. verschiedene Infra-Strukturen zu verwalten hätte... )
Warum sollte es auf virtueller Hardware anders laufen als auf realer? Du hast beim ESX halt switches - baust du dir jetzt ne VM als router dann kannst du die verbinden (oder eben mit nem richtigem Router).
Eigentlich ist es ganz einfach... Schau mal in deinen VM-Server rein. Sitzt da ne frau mit spitzem Hut die aufm Besen fliegt? Oder nen Kerl my schwarzem Zylinder der Karnickel ausm Hut holt? Wenn nicht dann kann wohl ne VM auch nich zaubern und wird sich entsprechend der realen Hardware verhalten (man könnte sich auch überlegen das der Erfolg von VMs wohl kaum da wäre wenn die sich komplett anders verhalten würden und jeder Admin dann div. verschiedene Infra-Strukturen zu verwalten hätte... )
vielleicht versteh ich Internet-Sarkasmus oder Humor nicht ... aber trotzdem danke ...
LÖSUNG 05.12.2020 um 22:28 Uhr
....geht in den physichen L3-Switch und wird da geroutet.
Das ist richtig !Das Bild geht fest davon aus der der "physical Switch" ein Layer 3 Switch ist, also einer der routen kann.
Ist das der Fall läuft das Routing zweifelsohne natürlich über den Switch.
Ist der "physical Switch" aber nur ein reiner Layer 2 VLAN Switch braucht es immer noch einen Router dazu wie im VLAN_Tutorial oben beschrieben ist !
LÖSUNG 05.12.2020 um 23:02 Uhr
Nein - das soll einfach verdeutlichen das deine virtuelle Hardware eben nix anderes - und nix magisches - macht als physikalische. Es ist dabei unerheblich ob du den virtuellen Computer nimmst oder nen Switch oder sonstwas. Der Switch bei VMWare verhält sich eben wie ein ganz normaler L2-Switch. Dabei ist es egal ob du jetzt einen physikalischen nimmst oder einen virtuellen - du musst in jedem Fall ein Routingfähiges Gerät ranhängen. Du KANNST das wie auf deinem Bild mit nem L3-Switch machen. Du KANNST nen Linux rankorken was das für dich macht. Du KANNST auch nen Router (sofern der VLANs kennt) davor hauen... Egal was du machst - es ist dabei unerheblich ob du reale oder virtuelle Hardware nutzt, die TECHNIK bleibt gleich...
LÖSUNG 06.12.2020 um 12:04 Uhr
LÖSUNG 06.12.2020 um 12:58 Uhr
Ok, danke für eure Antworten! Ich habe ehrlich gesagt nicht daran gedachte eine VM als Router zu verwenden.
Was mich dann zu der Frage bringt, ob dass den aus Security-Sicht ein vernüftiges Design ist, wobei ich ja vermutlich mit einer FW-VM auch eine gewisse Sichtbarkeit reinbringen kann. In einem großen Netzwerk stell ich mir das nur irgendwie schwierig vor. Die Netzwerker sollen eigentlich Netzwerk und Überwachung machen und dann machen die Server-Leute auch noch bisschen Routing und kümmern sich um die vSwitche und dann sieht keiner mehr durch. Also alles was mit Netzwerk zu tun hat, würde ich dann auch in den Händen der Netzwerker belassen - gehört da im Zweifel eine Bastel-VM mit Routing-Funktion dazu? Vermutlich eine Sache der Definition.
Was mich dann zu der Frage bringt, ob dass den aus Security-Sicht ein vernüftiges Design ist, wobei ich ja vermutlich mit einer FW-VM auch eine gewisse Sichtbarkeit reinbringen kann. In einem großen Netzwerk stell ich mir das nur irgendwie schwierig vor. Die Netzwerker sollen eigentlich Netzwerk und Überwachung machen und dann machen die Server-Leute auch noch bisschen Routing und kümmern sich um die vSwitche und dann sieht keiner mehr durch. Also alles was mit Netzwerk zu tun hat, würde ich dann auch in den Händen der Netzwerker belassen - gehört da im Zweifel eine Bastel-VM mit Routing-Funktion dazu? Vermutlich eine Sache der Definition.
LÖSUNG 06.12.2020, aktualisiert um 13:13 Uhr
Ich habe ehrlich gesagt nicht daran gedachte eine VM als Router zu verwenden.
Mmmhh...daran denkt man doch zuallererst zumal es sowas schon fix und fertig mit Klicki Bunti GUI gibt in Form von Firewalls usw:https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-esxi.html
https://www.pfsense.org/download/
bzw. Grundlagen hier:
https://administrator.de/tutorial/preiswerte-vpn-fähige-firewall-ei ...
Die Netzwerker sollen eigentlich Netzwerk und Überwachung machen
Richtig, deshalb gehört sowas auch eigentlich immer auf dediziertes Blech. Allein schon aus Security Gründen.Zwingend ist das aber wie du oben siehst ja nicht.
Also alles was mit Netzwerk zu tun hat, würde ich dann auch in den Händen der Netzwerker belassen
Solch eine Einstellung geht einem Netzwerk Admin natürlich runter wie Öl. Ist aber leider nicht immer üblich.Aber auch wenn nicht....eine Firewall VM hat ja immer ein getrenntes Konfig GUI was der netzwerker ja dann nach Vorgaben konfiguriert. Wo diese FW werkelt ist dem Netzwerker dann mehr oder minder egal solange er die Netzwerke, IP Adressen und regelwerke kennt die an so einem Router oder Firewall gelten sollen.
Na ja...wie immer alles eine Frage der Politik.
Wenns das den war
https://administrator.de/faq/32
LÖSUNG 06.12.2020 um 14:09 Uhr
Zitat von NewBee2018:
Ok, danke für eure Antworten ! Ich habe ehrlich gesagt nicht daran gedachte eine VM als Router zu verwenden.
Da bekommt man einen Router mit viel CPU-Leistung und 10GBit LAN (sofern die Hardware das hat) quasi zum Nulltarif.Ok, danke für eure Antworten ! Ich habe ehrlich gesagt nicht daran gedachte eine VM als Router zu verwenden.
Nur die Firewall sollte weiterhin davor in eigener Hardware liegen.
Stefan
