我在嘗試透過 vSwitch 傳遞雙重標記時遇到問題。
VMWare 主機上的實體介面正在接收雙標記流量 - 外部標記區分多個交換器(鏡像遠端標記),內部標記來自交換器本身的內部流量。內部流量可以標記或不標記,這取決於鏡像連接埠是存取連接埠還是中繼連接埠。
vSwitch 配置有多個網路(每個網路用於來自不同交換器的不同外部標記),而來賓電腦應該只看到(單一)標記的流量。
問題是來賓電腦沒有接收到(在 phy 上)作為雙重標記接收的任何流量。如果原始內部流量未標記(主機上的 phy 僅接收 1 個標記),則來賓會正確看到該流量。
我還進行了測試,並在帶有標記 4095 的 vSwitch 上配置了一個網絡,其中任何標記的流量都應通過 (VGT)。同樣,訪客電腦僅接收從 phy 接收的單一標記流量,唯一的區別是訪客將其視為已標記的。這證明來賓作業系統正確地看到了標記的流量,並使我得出結論問題出在 vSwitch 中。
那麼有沒有辦法強制 vSwitch 忽略內部標籤並將流量傳遞給訪客,而不管內部標籤如何?
有問題的 vSphere/vcenter/ESXi 版本 5.1.0。
答案1
我查看了文檔,發現沒有提到支援QinQ VLAN標記(802.1ad)對於 vSwitch 或分散式交換機,必須得出結論:vSphere 不支援它。我對 Cisco Nexus 1000v 虛擬交換器寄予厚望,希望它能支援QinQ,但它也似乎不支持。顯然,QinQ 支援甚至在 Nexus 5000 系列中不可用,但看起來它在 Nexus 5000 系列中可用。Nexus 7000 系列。
在做出任何設計決策之前,我會向 VMware 和 Cisco 的支援確認這一點,但這似乎不是可行的設定。
答案2
問題實際上在於 vmware 概念如何處理現有連接埠群組上的標記流量。如果它會剝離外部 VLAN,那麼它也會丟棄任何內部 VLAN(如果有)。唯一的解決方案是防止 vmware 在封包到達時對其進行竊聽/修改 - 這意味著不應執行 VLAN 新增或剝離。我透過在每個連接埠群組中使用 vDSW 和 VLAN 中繼成功實現了這一目標。在這樣的設定中,虛擬機器獲得未修改的雙標記流量。對於鏡像和流量分析來說這是可以接受的,但對於生產系統來說這不是一個可行的解決方案。 v(D)SW 上應該有某種可用的 VLAN 隧道選項。