Was ist eigentlich der richtige Weg, einen Trunk in Proxmox zu verwenden ohne dedizierte vlan Konfiguration für VMs

[s.meier77]

Moin,

ich habe einen Host, zu dem ein vlan-Trunk konfiguriert ist. Ich möchte in dem speziellen Fall den VM's die vlans nicht direkt mitgeben sondern das ganze entweder über die Linux vlan Konfiguration oder über eine Linux Brücke (vmbr) mit zugewiesenem vlan machen. Was von beiden wäre der "Standard"weg für Proxmox??

Gruß

PS: Mal unabhängig davon dass ich beides schon probiert habe und es nicht funktioniert hat.... Die Switch Konfiguration ist Standard, die ist ok.

 

[UdoB]

Was der Standardweg ist, weiß ich nicht. Ich habe für mich entschieden, dass eine VM "von innen" nichts manipulieren können darf, daher bekommt keine VM Zugriff auf tagged trunks. Außerdem ist mir SDN "zu kompliziert" ;-)

Stattdessen habe ich pro VLAN eine separate Bridge. In der /etc/network/interfaces findet sich bei mir (Auszug, nur für VLAN #2 und #4):

iface enp2s0 inet manual


auto vmbr2
iface vmbr2 inet manual
        bridge-ports enp2s0.2
        bridge-stp off
        bridge-fd 0
#dmz

auto vmbr4
iface vmbr4 inet manual
        bridge-ports enp2s0.4
        bridge-stp off
        bridge-fd 0
#aux

 

[s.meier77]

Danke Dir für die Antwort. Bei Dir macht das vLAN Tagging das jeweilige Interface (enps0.x) und Du weißt dem Linux vlan Interface dann jeweils eine Bridge zu. So war auch mein Gedanke.
Allerdings funktioniert das bei Mir nicht....

SDN finde ich eigentlich eine feine Sache, Wenn jedoch nicht alle weiteren Komponenten SDN können, ists nur innerhalb des Hostes auch Mist....

 

[Falk R.]

SDN geht auch mit einem Host wunderbar.
Die Bridge muss VLAN Aware sein und dann einfach eine VLAN Zone anlegen und dann die vNets.
Du willst verhindern, dass jemand ein anderes VLAN bei seiner VM einträgt? Dann musst du verbieten, dass diese Leute überhaupt etwas mit Netzwerk machen dürfen, sonst hat man immer wege.
Wenn du von deinem Interface mal angenommen eth0 ein Interface eth0.10 machst, dann hast du deine Daten sauber im VLAN 10 und die Bridge mit dem Adapter als uplink, ist nur im VLAN 10. Das funktioniert immer, außer dein Switch spielt nicht mit.
Was Probleme verursachen kann, wenn du einem Trunk eine andere PVID als 1 gibst, da gibts Szenarien mit Problemen bei dem VLAN das dann als PVID durchgereicht wird.

 

[s.meier77]

@Falk R.
Die Bridge darf aus meiner Sicht in dem Fall überhaupt nicht vlan-aware sein. Sonst werden die vlan Tags weitergereicht.... Wenn aber ein Host - vlan SubInterface verwendet wird, ist das kontraproduktiv.
Ja, dass ist mir auch schon aufgefallen, in dem speziellen Fall ist es aber so, dass ein paar Maschinen zu Testzwecken immer mal zwischen vLans hin und her gehängt werden.
Richtig, in dem Fall habe ich den Switch ausnahmsweise mal nicht über die CLI händisch konfiguriert und wahrscheinlich vergessen das vLAN ansich zu definieren. Das muss ich noch mal testen. Also macht wahrscheinlich der Switch das Problem

Jedes vlan sollte eine andere pvid als vlan 1 bekommen, alles andere ist keine gute Idee. Und es wird ja "nur" das Tag des pvid an Pakete angehängt, welche kein vLAN Tag haben, da ist dann an anderer Stelle schon etwas schief gelaufen

Gruß

 

[Falk R.]

@Falk R.
Die Bridge darf aus meiner Sicht in dem Fall überhaupt nicht vlan-aware sein. Sonst werden die vlan Tags weitergereicht.... Wenn aber ein Host - vlan SubInterface verwendet wird, ist das kontraproduktiv.
Ja, dass ist mir auch schon aufgefallen, in dem speziellen Fall ist es aber so, dass ein paar Maschinen zu Testzwecken immer mal zwischen vLans hin und her gehängt werden.
Richtig, in dem Fall habe ich den Switch ausnahmsweise mal nicht über die CLI händisch konfiguriert und wahrscheinlich vergessen das vLAN ansich zu definieren. Das muss ich noch mal testen. Also macht wahrscheinlich der Switch das Problem

Jedes vlan sollte eine andere pvid als vlan 1 bekommen, alles andere ist keine gute Idee. Und es wird ja "nur" das Tag des pvid an Pakete angehängt, welche kein vLAN Tag haben, da ist dann an anderer Stelle schon etwas schief gelaufen

Gruß

Wenn du verbieten möchtest, dass jemand ein VLAN bei der VM einträgt, dann kannst du nur mit vielen Linux VLANs auf deinem Adapter oder Bond arbeiten und viele Bridges anlegen. Aber auch die können ja dann den VMs zugeordnet werden und man wechselt dann hat die Bridge, statt das VLAN manuell zu vergeben. Am Ende des Tages, sobald du jemanden erlaubst seine VM an eine Bridge zu connecten, kann der genau das gleiche erreichen.
Ein echtes Securityproblem mit der manuellen Vergabe der VLANs an der VM hast du nur, wenn du auf dem Switch alle VLANs durchreichst, auch diese, welche von betroffenen Kreis nicht benutzt werden sollen.