.png)
Tengo un problema al intentar pasar doble etiqueta a través de un vSwitch.
Una interfaz física en la máquina host de VMWare recibe tráfico con doble etiqueta: la etiqueta externa diferencia varios conmutadores (replicación de etiqueta remota) y las etiquetas internas provienen del propio tráfico interno de los conmutadores. El tráfico interno puede estar etiquetado o no etiquetado dependiendo de si el puerto reflejado era un puerto de acceso o un troncal.
Un vSwitch está configurado con varias redes (cada una para una etiqueta externa diferente de un conmutador diferente) y una máquina invitada debería ver solo tráfico etiquetado (único).
El problema es que la máquina invitada no recibe nada del tráfico que se recibió (en el phy) como doblemente etiquetado. Si el tráfico interno original no fue etiquetado (phy en la máquina host recibe solo 1 etiqueta), el invitado ve ese tráfico correctamente.
También hice una prueba y configuré una red en vSwitch con la etiqueta 4095 por donde se debe pasar cualquier tráfico etiquetado (VGT). Nuevamente, la máquina invitada recibe solo el tráfico etiquetado único recibido de phy, la única diferencia es que el invitado lo ve como etiquetado. Esto demuestra que el sistema operativo invitado ve correctamente el tráfico etiquetado y me lleva a concluir que el problema está en vSwitch.
Entonces, ¿hay alguna manera de obligar al vSwitch a ignorar las etiquetas internas y pasar el tráfico al invitado independientemente de la etiqueta interna?
vSphere/vcenter/ESXi versión 5.1.0 en cuestión.
Respuesta1
Revisé la documentación y no encontré ninguna mención de soporte para el etiquetado VLAN de QinQ (802.1ad) para vSwitches o Distributed Switches y debemos concluir que no es compatible con vSphere. Tenía grandes esperanzas de que el conmutador virtual Nexus 1000v de Cisco fuera compatible con QinQ, perotambiénParece que no es compatible. Aparentemente, el soporte QinQ ni siquiera está disponible en la serie Nexus 5000, pero parece que sí lo está.Serie Nexus 7000.
Confirmaría esto con el soporte de VMware y Cisco antes de tomar cualquier decisión de diseño, pero parece que esta no es una configuración posible.
Respuesta2
En realidad, el problema está en el concepto de vmware, cómo maneja el tráfico etiquetado en el grupo de puertos de salida. Si elimina la VLAN externa, también descarta cualquier VLAN interna, si la hubiera. La única solución es evitar que vmware acceda o modifique los paquetes a medida que llegan, lo que significa que no se debe realizar ninguna adición ni eliminación de VLAN. Logré lograr esto usando un vDSW y un enlace troncal VLAN en cada grupo de puertos. En tal configuración, la VM obtiene tráfico con doble etiqueta sin modificar. Para la duplicación y el análisis de tráfico, esto es aceptable, pero para los sistemas de producción no es una solución viable. Debería haber una especie de opción de túnel VLAN disponible en v(D)SW.