一直以来都想实现这个功能,最开始的时候以为是在路由器上配置防火墙或 ACL 功能,结果不管怎么配置同一个 vS witch 同一个端口组 groupport 下的主机都能相互访问。
最后发现是我傻了,纯属网络原理没学好。这个场景下设置了同子网 IP 的主机等于是直接接到同一台交换机上,路由上肯定是禁不了的,应该是在交换机上配才对。
我知道有的专业路由一个按钮就能实现这种功能,不知道 ESXI 的 vSwitch 咋实现这个功能捏,听说要用到 NSX-T 的微分段 Micro Segment ,这个也安装了,找了一圈几乎没有我这场景的教程,资料贼少。
我虚拟化运维实属半桶水,都是兼职搞这个的。特来问问有没有表哥能指点一二。
1
Champa9ne OP wc 为啥马上就不能编辑了。
主题有点小错误,不是希望端口组内所有主机不能相互访问,应该是希望这个 vSwitch 下所有主机不能相互访问。 我知道第一想法应该是用 VLAN ,vSwitch 确实可以直接给端口组打 VLAN tag ,但是我这个场景下的交换机下会有很多主机,比如二三十台,三五十台的样子,不太可能给每台机都专门开一个 VLAN ,那太麻烦了。 主要要补充一下这两。 = = |
2
liuliangyz 2023-06-12 05:47:58 +08:00 via iPhone
很简单,在一台虚拟交换机上增加不同的 vlan ,同时 esxi 出口端口要加到所有 vlan 就可以了
|
3
germain 2023-06-12 06:20:02 +08:00
NSX-T
创建三五十个 group,每个分配一个 VM 成 member 创建三五十个 policy ,deny 非本机 IP 说实话你这个应用场景根本不需要用 NSX 用 powershell 分配给每个 vm 不同的 vlan 不就行了么 |
4
ladypxy 2023-06-12 07:32:40 +08:00 via iPhone
不同 vlan 就好了……
|
5
liuliangyz 2023-06-12 07:39:38 +08:00 via iPhone
子网掩码划分,每台电脑就一个电脑网端
|
6
cat9life 2023-06-12 08:37:58 +08:00
NSX 是标准方案
|
7
Champa9ne OP = =我二楼不是加了场景,该交换机下会接很多台机,不可能手动给每台机都创建一个 VLAN 啊。。他应该是一个 VLAN (或者说 portgroup 下)下所有主机之间的不能相互访问。
@liuliangyz @ladypxy 这个交换机下的主机有 windows 有 linux ,某些时候甚至有 freeBSD ,最好是无感地从 esxi 接入交换机就开始隔离来的设置方便,主机不要动,路由那边配置 ACL 和访问关系,这样也不用我每台主机都设置一下。难道没有类似华为交换机的 mux-vlan 类似地功能,能在同 vlan 或者交换机间所有主机隔离的配置。 @germain |
8
tolbkni 2023-06-12 08:52:16 +08:00
那就用安全组隔离
|
9
Qetesh 2023-06-12 11:04:35 +08:00
这个需求属于典型 NSX-T 中分布式防火墙的需求,分布式防火墙会监控虚拟机上的所有东西向流量。
|
10
Champa9ne OP |