ESXi折腾试验笔记——虚拟机VLAN Trunk设置

voandrew

看到部分坛友的一些问题，简单介绍一下背景。最近我最近入手的UDM SE存在问题，在高负载下载的时候会出线WAN掉线的问题。目前在给售后提供一些debug文件，如果确认设备问题，会涉及到返厂换新。所以这次折腾这台软路由是为了临时替换UDM SE而存在的。目前因为UDM SE还在局域网中，所以目前并没有把这台软路由接入网络中。之前iKuai没怎么使用过，所以现在ESXi环境中初步尝试VLAN设置啥的。等到UDM SE正式下线，我会将物理网口直通给ikuai，接物理交换机。所以目前这里虚拟交换机是承担未来物理交换机的角色，虚拟lan口是承担未来物理lan口的角色。
家内局域网设置了VLAN，所以在ESXi虚拟机状态下先试着搞了一下VLAN设置，目前在ESXi中iKuai虚拟机和Win10虚拟机之间已经可以实现VLAN功能，记录一下折腾试验的过程。

先上ESXi虚拟机拓扑图：


简单解释一下：
1. 虚拟机设置
        iKuai局域网线路lan1上
                lan1 (vlan0)： vlan id = 0
                vlan30：vlan id = 30
        win10虚拟机上添加两个虚拟网卡
                虚拟网卡1：vlan id = 0
                虚拟网卡2：vlan id = 30
2. ESXi网络设置
        添加一台虚拟交换机
        添加三个端口：
                vlan0端口：vlan id = 0
                vlan30端口：vlan id = 30
                trunk端口：vlan id = 4095
        简单解释一下，如果没有trunk端口的话，vlan0的端口走不了vlan30数据，反之亦然。而添加了trunk端口后，trunk端口上vlan0和vlan30的数据都可以带着vlan标记走。所以，所以vlan0的数据，就可以通过ikuai的lan1线路走到ESXi的trunk端口，在通过虚拟交换机走到ESXi的vlan0端口，然后到win10虚拟机的vlan0虚拟网卡。vlan30数据链路也一样。

ESXi实际操作步骤：
1. 网络——虚拟交换机标签，新建1个虚拟交换机，安全设置全部允许


2. 网络——端口组标签，新建3个端口
        端口1：vlan0，vlan id = 0
        端口2：vlan30, vlan id = 30
        端口3：vlan-trunk, vlan id = 4095


3. 虚拟机
        ikuai虚拟机添加虚拟网卡，选择vlan-trunk

        win10虚拟机添加2块虚拟网卡，vlan0和vlan30


4. ikuai虚拟机设置
        找到vlan-trunk对应的虚拟网卡，绑定为lan1

        连接ikuai，在VLAN设置中添加vlan30

        在DHCP服务器中添加两个服务器
                lan1：192.168.1.0/24
                vlan30：192.168.30.0/24

开启win10虚拟机，系统中两块虚拟网卡就可以顺利获取到不同的ip地址了。


用vlan0和vlan30的两块网卡分别ping百度，测试网络连通性。



以上

5jwoj

老师，请问一下，通过以上复杂的部署，是为了解决哪些应用场景？我现在只会爱快+OP的模式。

voandrew

5jwoj 发表于 2023-1-13 12:14
老师，请问一下，通过以上复杂的部署，是为了解决哪些应用场景？我现在只会爱快+OP的模式。 ...

作用其实就是为了把不同用途的设备连到不同的虚拟局域网VLAN。VLAN你可以看作是一个虚拟的交换机，IP网段是独立分开的。

5jwoj

voandrew 发表于 2023-1-13 12:17
作用其实就是为了把不同用途的设备连到不同的虚拟局域网VLAN。VLAN你可以看作是一个虚拟的交换机，IP网段 ...

明白，但就是不太明白为啥要把这些设备隔离出来呢，一直很想学习。

voandrew

5jwoj 发表于 2023-1-13 12:28
明白，但就是不太明白为啥要把这些设备隔离出来呢，一直很想学习。

有几个好处：
1. 每个vlan在dhcp服务器中可以设置各自的网关ip，也就是说，你要番茄，可以把网关ip设置到openwrt，如果不番茄的vlan就设置ikuai作为网关。然后无线通过绑定vlan id就可以把设备划分到番茄和不番茄的两个虚拟局域网段。这样的好处是，连接不同的无线网络可以自动连到不同的网关，不需要手动去修改；而且如果旁路由崩了，不番茄的网段还能联网，不会整个网络都崩掉。
2. 每个vlan间的通信可以通过防火墙来阻断，如果你不希望智能家居设备侵入自己的主网络，可以阻断智能家具设备和主网络之间的数据通信
3. 还有比如防止网络风暴啥的本身vlan自带的一些好处。

normanlu

你这宽带延迟也太高了，我浦东这里ping百度，只有9~12ms

iooo

要求高的还是物理隔离，普通交换机也不贵，子网之间通过防火墙连接最安全，任何一个子网出现问题崩溃或被入侵，短时间都不会影响其他子网

c2h6o

这个VLAN设置有点画蛇添足了，简单事情复杂化。ESXI的虚拟交换机直接可以作为二层交换机使用，划分两个端口组，作为VLAN就能完成你这个循环，虚拟机网卡就不用再设置VLAN了，直接连接对应端口，如果需要跟物理交换机进行VLAN TRUNK，也是可以的。当然你如果想IKUAI里面单网卡连接然后IKUAI里面分开VLAN，这个是IKUAI的设置，这个就不讨论了。

企业环境中，ESXI划分VLAN的作用主要是使各种不同的虚拟服务器去连接到各自的VLAN中，实现隔离，这种隔离的安全性不比有些所谓的物理隔离安全性差。当然一般认为这种属于接入层的二层VLAN，企业一般有核心三层交换机，实现VLAN之间的互通。如果是多物理服务器之间VM做VMOTION，只要保证各个物理ESXI有对应的相同设置，或者启用了分布式交换机功能。

voandrew

c2h6o 发表于 2023-1-13 14:34
这个VLAN设置有点画蛇添足了，简单事情复杂化。ESXI的虚拟交换机直接可以作为二层交换机使用，划分两个端口 ...

兄弟说的没错，如果只是esxi内部虚拟机确实不需要做vlan，ikuai配置两个虚拟端口给lan1，lan2就解决了。不过我这么做其实是为了以后ikuai直通lan口外接物理交换机做的准备。所以未来这里的虚拟交换机会被物理交换机取代，ikuai的虚拟lan口也会改成直通口。

Satan023

你这好复杂
我也搞了vlan，不过vlan是三层交换机划的，目的是把guest ssid单独一个vlan 弄acl禁止guest ssid访问内网；esxi简单点就弄了trunk，因为有个虚拟AC的VM，否则esxi也不用配vlan了

c2h6o

voandrew 发表于 2023-1-13 15:20
兄弟说的没错，如果只是esxi内部虚拟机确实不需要做vlan，ikuai配置两个虚拟端口给lan1，lan2就解决了。 ...

外接也不需要这样做，对外物理口直接就是TRUNK口就可以了。如果是双或者多物理口，只要交换机支持聚合，那也可以直接聚合使用。

jameszjq

voandrew 发表于 2023-1-13 12:36
有几个好处：
1. 每个vlan在dhcp服务器中可以设置各自的网关ip，也就是说，你要番茄，可以把网关ip设置到 ...

这样的需求完全可以通过设定一个大的子网掩码255.255.252.0，不同用途的设备归入三个不同网段，然后iKuai里直接分流解决啊。端口分流还可以设定下一跳网关，科学的走科学。

voandrew

jameszjq 发表于 2023-1-13 20:24
这样的需求完全可以通过设定一个大的子网掩码255.255.252.0，不同用途的设备归入三个不同网段，然后iKuai ...

还会换回udm se，ikuai只是临时方案，不改变整体网络构架了。udm se不支持这种分流啊

snailler

我的情况跟楼主有点像：路由是ROS，其他全是UBNT，现在有点难搞，如果就一个DHCP倒没什么。但如果要弄vlan就难了，DHCP在ROS里做了，但是UBNT统一管理里，因为检测不到UBNT网关设备，所以很多配置无法进行。不知道有没有大佬能教

aaronlong

jameszjq 发表于 2023-1-13 20:24
这样的需求完全可以通过设定一个大的子网掩码255.255.252.0，不同用途的设备归入三个不同网段，然后iKuai ...

高手，能详细讲讲您所说方案在IKUAI里的三个不同网段如何划分么？是在LAN1里下面扩展IP还是直接增加LAN2 LAN3的VNET? 我也是想像楼主那样做家里内网和智能设备与监控和GUEST的三个网段。先行谢过！

jameszjq

aaronlong 发表于 2023-1-18 15:21
高手，能详细讲讲您所说方案在IKUAI里的三个不同网段如何划分么？是在LAN1里下面扩展IP还是直接增加LAN2  ...

不是，比如192.168.20.1/255.255.252.0，你自然就有20、21、22三个子网段了啊。

或者你保持255.255.255.0只留一个主网，剩下的全部用扩展IP解决。

fyc858

c2h6o 发表于 2023-1-13 14:34
这个VLAN设置有点画蛇添足了，简单事情复杂化。ESXI的虚拟交换机直接可以作为二层交换机使用，划分两个端口 ...

正解，两个端口组各自组一个局域网，流量互不干涉，需要访问直接在openwrt防火墙区域设置可以互相转发就好了，我自己的esxi的vlan只是拿来获取iptv内网ip用的，再新建一个debian虚拟机做一个udprxy转发，这样就算主路由关机也不影响家里iptv工作

sufee2000

学习了！各个设备各走其道，互不干涉！

aaronlong

jameszjq 发表于 2023-1-18 19:14
不是，比如192.168.20.1/255.255.252.0，你自然就有20、21、22三个子网段了啊。

或者你保持255.255.255. ...

好的，谢谢！只是252的掩码是不是三个网段其实能互通了？我还是想GUEST和监控和主内网的网段互相隔离，只设置其中几台管理IP能三个互通。

jameszjq

aaronlong 发表于 2023-1-19 00:02
好的，谢谢！只是252的掩码是不是三个网段其实能互通了？我还是想GUEST和监控和主内网的网段互相隔离，只 ...

三个网段可以对应设为LAN1/LAN2/LAN3，然后进一步设置成LAN-LAN之间不互通。

jyjs3993

我也一直想实施，就是还没理解透，看了楼主的文章，感觉可以照猫画虎了，谢谢。

ntuchenxy

收藏下，以后慢慢学习