none
Hyper-V con diverse VLAN, switch Layer 3 e macchine virtuali associate alle diverse VLAN RRS feed

  • Discussione generale

  • Vorrei implementare un sistema che preveda la presenza di:

    1) un router fornito dal gestore che dispone di due interfacce: sulla prima ho gli indirizzi IP pubblici non nattati, sulla seconda la terminazione di un trunk voip

    2) un firewall Cisco ASA che dispone dell'interfaccia outside, e delle interfacce inside, web, sql, mail con diversi livelli di sicurezza e con protocolli e porte disponibili in base al traffico che desidero far transitare

    3) una coppia di switch Cisco Meraki connessi in stack, di tipo Layer 3, su cui attestare le diverse VLAN e connettere anche gli AP

    4) per ora un singolo server con 4 interfacce di rete sul quale installare Windows Server 2019 e una serie di macchine virtuali: una per AD inside, una per AD SQL, una per SQL, una per WEB, una per la gestione EMAIL una per FILE SERVER.

    5) un antispam Cisco Ironport basato su server che dispone di due interfacce su reti diverse per l'accettazione delle email da e per internet e una perla connessione con il server di posta

    Detto ciò.. secondo voi la 'soluzione regge' ?

    Come configuro le diverse macchine virtuali per poter accedere alle diverse VLAN ?

    Le 4 interfacce fisiche del server le metterò in team e le connetterò a 4 porte dello switch utilizzando per l'aggregazione LCP

    Ovviamente suppongo che sullo switch le porte devono poter lavorare in trunk in modo da veicolare il traffico relativo a tutte le VLAN.

    Ultima cosa... se volessi una rete separata a cui connettere un NAS esterno da utilizzare con il software VEEAM è consigliabile utilizzare una VLAN aggiuntiva e creae una macchina virtuale ad hoc per VEEAM dalla quale backuppare tutte le macchine virtuali ?

    Ovviamente non devo per forza utilizzare l'architettura che ho indicato, se avete suggerimenti, ben accetti !

    Grazie a chi vorrà darmi una mano nella scelta.

    sabato 16 marzo 2019 15:19

Tutte le risposte

  • Con le ultime versioni di Windows Server puoi optare anche per un team switch independent in modalità "hyper-v port": https://blogs.technet.microsoft.com/keithmayer/2012/10/16/nic-teaming-in-windows-server-2012-do-i-need-to-configure-my-switch/

    Per quanto riguarda la rete pubblica (esposta direttamente, senza NAT)/privata, se ho capito bene la tua configurazione, io non la separerei solo con delle VLAN per ragioni di sicurezza. Meglio utilizzare due reti distinte (differenti interfacce fisiche del router e switch) che poi si collegano a due separate interfacce dell'host Hyper-V (ad esempio due team distinti da 2 porte ciascuno). Per quanto riguarda invece la separazione rete privata cablata, rete privata wireless, telefonia allora può andare bene l'utilizzo di VLAN perché si tratta di una separazione già interna.
    Anche per la rete di backup sarebbe a mio parere meglio utilizzare una separazione fisica e non solo con le VLAN. E' vero che puoi impostare delle politiche QoS per non deteriorare le prestazioni ma a mio parere è sempre meglio evitare eccessive elaborazioni da parte degli switch e dei router, specialmente se il traffico ha una certa consistenza.


    lunedì 18 marzo 2019 09:29
    Moderatore
  • In pratica...

    • rete pubblica
    • router provider
    • uscita del router al firewall cisco asa interfaccia outside
    • firewall cisco asa configurato con più dmz configurate in funzione del servizio da gestire, con subinterface e quindi con una vlan dedicata per ogni servizio cioè per ogni dmz
    • interfaccia fisica del firewall connessa ad uno stack di due switch cisco meraki (sia sull'asa che sullo switch userà 4 porte in etherchannel LACP per avere ridondanza e aggregazione banda.. anche se qui non serve la banda)
    • su altre 4 porte fisiche dello s witch connetterò le 4 interfacce fisiche del server, anche loro configurate in team con LACP
    • al server arriveranno quindi i  frame taggati in funzione della VLAN, considerando che quelli non taggati che apparterranno alla VLAN nativa saranno quelli degli host inside
    • sul server metterò le macchine virtuli che, dovrebbero in pratica essere associate alle diverse VLAN.
    • tra le varie VLAN potrei prevederne una per i backup

    Non capisco il 'problema' di usare una separazione fisica invece di una VLAN: se non esiste routing,. le VLAN sono completamente distinte e i broadcast in una VLAN non vanno a influenzare il traffico delle altre VLAN: avere due VLAN o due switch fisici, in pratica non cambia nulla...

    Se non ho capito male, mi consigli, visto che sul server ho 4 interfacce fisiche, di usare una diversa interfaccia per ogni servizio e quindi abbinare le macchine virtuali a tali interfacce.. corretto ?

    Ma in tal caso avrò 4 interfacce su 4 reti con 4 diversi default gateway.. ciò non potrebbe dare problemi ?

    Secondo te la soluzione elencata sopra ci può stare o prevedi 'problemi' ?

    Ciao e grazie

    mercoledì 20 marzo 2019 12:45
  • Per le prestazioni pensavo che volevi far passare tutto sulla VLAN "privata", per questo parlavo di politiche di QoS. 
    Per quanto riguarda invece la sicurezza, visto che parliamo di una rete esposta all'esterno senza NAT, per me sarebbe comunque preferibile avere anche una separazione fisica delle reti.
    In pratica ti consiglio di non creare un team unico per l'host ma due team distinti: uno per la rete pubblica e uno per la privata, dove all'interno ci saranno le rispettive VLAN da collegare alle VM.
    L'host ovviamente dovrà avere la condivisione della rete solo sul team interno, mentre quello esterno dovrà essere esposto solo alle VM.
    mercoledì 20 marzo 2019 14:35
    Moderatore
  • Per quanto riguarda la sicurezza non è certo il NAT che me la garantisce, ma il firewall fisico cisco asa.

    Sarà lui che si occuperà di gestire le connessioni, effettuare il NAT/PAT, l'application inspection, ecc..

    Ok per i due team aggregando a due a due le interfacce di rete... ma

    .. se una macchina virtuale avrà due interfacce connesse alle due reti, e quindi due default gateway, come saprà quale dei default gateway utilizzare ?


    giovedì 21 marzo 2019 10:18
  • Allora non avevo capito come volevi configurare il Cisco ASA...anche perché non credevo avessi la necessità di connettere una singola VM sia alla rete interna che esterna...
    A questo punto mi sembra di aver capito che la tua rete è già interamente filtrata dal firewall, quindi non avendo in pratica servizi esposti direttamente puoi utilizzare tranquillamente le VLAN.

    giovedì 21 marzo 2019 10:24
    Moderatore