我有 Win2008 R2 HyperV 主機,其中一個實體適配器運行一組虛擬機器。我有一個外部 IP 位址子網路:xxx208 / 255.255.255.240
我曾經有以下設定:
主機作業系統將具有 AD DC、HyperV、RRAS、DHCP 和 DNS 角色。實體適配器將明確分配所有可用的 IP 位址:
xxx210 / 255.255.255.240
…
xxx221 / 255.255.255.240
HyperV 網路將建立一個外部網路 - 但開啟「允許管理作業系統共用適配器」選項 - 這樣我也可以將公用 IP 指派給主機作業系統:
HyperV 創建了另一個網路適配器,我用於內部 LAN (192.168.2.0 / 255)。 RRAS 設定為 NAT 和 LAN 路由,並為來賓執行 NAT,如下所示:
xxx210 -> 192.168.2.10,允許傳入會話 = YES
…
xxx221 -> 192.168.2.21,允許傳入會話 = YES
因此基本上所有來賓虛擬機都沒有外部 IP 位址 - 但這對他們來說並不重要 - 他們仍然可以訪問互聯網,並且可以從外部訪問。
然後我們開始遇到 RRAS、VPN 等方面的問題 - 所以我做了一些閱讀,發現 NAT 模式不好 ( could someone comment on this btw?),我應該虛擬化實體適配器,讓來賓虛擬機直接存取外部網路。好吧,我就是這麼做的。
這是目前的設定:
我從外部適配器中刪除了“允許管理作業系統共用適配器”,並向 HyperV 新增了第二個內部網路。
然後,我必須在每個來賓虛擬機器中新增第二個網路適配器,然後為每個虛擬機器明確設定公用 IP 位址。這樣就完成了,而且效果很好。 RRAS 角色已從主機中刪除。
問題:
我做對了嗎?我的內心感覺是的——因為這裡我們的「部分」較少(或至少看起來),但我只是想得到一些權威的意見。
目前設定與舊設定相比有什麼我應該注意的問題嗎?按照上述方式設定網路後,我應該採取哪些最佳實務?
也許,這對我來說是最重要的問題。在這兩種情況下,防火牆都在來賓虛擬機器上運行,切換後沒有任何變化。我的理解是 NAT 不會對流量進行任何過濾 - 一切都直接發送給訪客。然而,在切換之後,我開始在日誌中收到以下錯誤(在我們的交換虛擬機器伺服器上):
入站身份驗證失敗,並出現接收連接器預設 EXCHANGE 錯誤 LogonDenied。認證機制是Ntlm。嘗試向 Microsoft Exchange 進行驗證的用戶端的來源 IP 位址是 [200.195.42.7]。
這對我來說意味著,在新的設定中,虛擬機器變得「更多」暴露於外部威脅 - 但我只是不明白為什麼 NAT 場景不是這種情況?我驗證了 - 切換之前沒有類似的錯誤。為什麼我現在會收到這樣的錯誤?從網路的角度來看發生了什麼變化?