Virtualisierung

Hr_Rossi

Hallo,

ich habe ein ziemlich komplexes Problem.
Zur Infrastruktur:

w2k8r2 mit TMG alles letzter Hotfix Stand lauft auf vsphere 4 (letzter stand)
Host: IBM x3650 nic intel Proset v15
VSpehre: distributed switch portgroup trunk

Habe in dieser Infrastruktur verschiedene VLANS konfiguriert. Mache auch Routing und Protokollfiltering mit dem TMG zwischen den VLANS.

Es hat alles ca 3-4 Tage wunderbar funktioniert, konnte von jedem VLAN den Traffic regeln IN & OUT einfach alles, bis mir aufgefallen ist das ich keine emails mehr von extern bekomme.

Da entdeckte ich folgende Fehlermeldung am TMG: 20106

Event ID 20106 ? RRAS Routing Interfaces

somit ging nichts mehr.....(von ausserhalb)

Ich kann zwar alle VLANS erreichen jedoch von extern geht kein eingehender datenverkehr mehr sprich z.B.: smtp

wenn wer einen ansatz hat wo das problem liegen könnte wäre ich sehr dankbar !

lg
rossi

zahni

Hallo,

ich steige nicht ganz durch, was Du konfiguriert hast. Was meinst Du mit " intel Proset v15" ? Das ist die Software Version von Proset von Intel. Die funtioniert nicht auf einem ESX-Host und hat auch in einer VM nichts zu suchen.

Das VLAN-Tagging solltest Du am Vswitch einrichten. Dort kannst Du für jedes VLAN ein Netz definieren. Diese Netze kannst Du dann als virtuelle NIC in die VM's durchreichen. Verwende als virtuelle NIC am Besten den VMXNET3.

Bitte das VLAN-Tagging nicht von der VM machen lassen.

-Zahni

Hr_Rossi

Hallo Zahni !

es handelt sich um VGT:
Virtual Guest tagging - dafür gibt es auch einen KB Artikel und es ist fully support von VMware

wir verwenden hier einen Trunking port am dvSwitch
proset funktioniert in einer VM !

vmxnet3 ist für dieses Szenario leider nicht geeignet ausser du kennst eine möglichkeit mehrere VLANs (logische Netwzerkkarten) mit diesem Adapter zu konfigurieren.

VLAN tagging in der VM ist sinnvoll wenn man mehr als 4 Netze an den TMG anbinden möchte so wie ich hier...

lg
rossi

zahni

Aber trotzdem hast Du ein Problem
Also funktioniert was nicht. Du kannst locker 20 Netze (oder so) an einen VSwitch hängen. Bei jedem Netz kannst Du Deiine VLAN-ID angeben. Wo ist das Problem ? Welchen Vorteil hat das Tagging im Gast ? Die virtuellen Netze reichst Du einfach über zusätzliche virtuelle NIC's an die VM weiter.

Welchen Vorteil hat das Gast-Tagging ? Proset baut Dir auch nur virtuelle NIC's und dürfte nur mit den E1000-Treiber funktionieren der für VMWare nicht ganz optimal ist. Besser ist VMXNET2 od. 3. Und Du hast eine Fehlerquelle mehr.

-Zahni

Hr_Rossi

hallo,

wie du weist kann eine VM nur 4 Netzwerkkarten - das ist ein Limit.

Der Vorteil bei Tagging im Gast ist - mehr als 4 Netze an eine VM anbinden,
mit VGT kann ich über eine VM NIC mehrer logische netze ausbilden.

Da ist der Vorteil !

zahni

Das Maximum liegt bei 10. Siehe http://www.vmware.com/pdf/vsphere4/r...config_max.pdf Seite 2 .

Wo steht schriftlich, dass Proset in einer VM supported ist ?

-Zahni

Hr_Rossi

jop das ist correct bei HW version 7 sinds 10! bei HW version 4 sinds 4 ..
aber was is bei mehr ?

werde das mal testen...
VMware Communities: 802.1q (VLAN Tagging) with Windows ...

glaube aber schön langsam das es an MS liegt... mit linux dürfte dies kein problem sein...

LukasB

Linux hat auch natives Teaming / VLAN. Finde das auch eher etwas unglücklich gelöst, aber darüber meckern bringt nur an der richtigen Stelle etwas.

zahni

@Hr Rossi,

wenn 10 NIC's nicht reichen, hast Du villeicht ein Desgin-Problem. Mir fällt auf die Schnelle keine Lösung ein, in der ich mehr als 2 VLAN's in einer VM brauche.

Gerade für VLAN-Routing sollte man einen L3-Switch nehmen. Die können das viel besser und sind performanter.

-Zahni

Hr_Rossi

zahni....
wenn du nicht weist was wir machen dann rede bitte nicht von einem design problem...

wir planen den einsatz des labmanagers 4.0... damit kunden alle neuen produkte produktiv in einem lab testen könen (wenns dich inetressiert kann ich dir gerne mal einen account anlegen).. damit verbunden mehrere physikalisch netze mittels vlan getrennt.. damit wir auch jedes labnet "filtern" und routen können, über das TMG !

und ja L3 switche stimmt auch wenn man nur routing funktionalitäten braucht und kein content filtering...


lg
rossi