Windows server настройка vlan
Сервер Enc3n2 - тут vlan2 работает
Сервер node7 - тут vlan2 НЕ работает.
Name IsManagementOs VMName SwitchName MacAddress Status IPAddresses
---- -------------- ------ ---------- ---------- ------ -----------
Heartbeat True Heartbeat Logical Switch 001DD8B71C11
Live Migration True Heartbeat Logical Switch 001DD8B71C10
Management True Heartbeat Logical Switch 001DD8B71C0F
Устаревший сетевой адаптер False aster LAN Logical Switch 00155D0C0106 <>
Устаревший сетевой адаптер False aster LAN Logical Switch 00155D0C0107 <>
Network Adapter False gate LAN Logical Switch 00155D14662B
Network Adapter False gate LAN Logical Switch 00155D14662C
Network Adapter False scomsql01 LAN Logical Switch 00155D146629 Network Adapter False scomsql01 LAN Logical Switch 00155D14662A Network Adapter False scomsql02 LAN Logical Switch 00155D146625
Network Adapter False scomsql02 LAN Logical Switch 00155D146626
Network Adapter False scomsql02 LAN Logical Switch 00155D14662D
Node7 (не рабоает):
PS C:\Windows\system32> Get-VMNetworkAdapter -all
Name IsManagementOs VMName SwitchName MacAddress Status IPAddresses
---- -------------- ------ ---------- ---------- ------ -----------
LM True VSwitch 00155D146B02
ClusterNetwork True VSwitch 00155D146B01
Management True VSwitch 00155D146B00
Network Adapter False ADFS VSwitch 00155D14680D
Network Adapter False dc2 VSwitch 00155D146A22
Network Adapter False DPM01 VSwitch 00155D146628 <>
Network Adapter False FTP VSwitch 00155D146506
Legacy Network Adapter False HP SP 00155D9BA81B <>
Сетевой адаптер False print_old VSwitch 00155D0C0108
Network Adapter False RD-GW VSwitch 00155D146726
Network Adapter False scom01 VSwitch 00155D14671F
Network Adapter False scom02 VSwitch 00155D146806
Network Adapter False SCOM03 VSwitch 00155D146509
Network Adapter False term04 VSwitch 00155D146C03
Network Adapter False Videoserver VSwitch 00155D0CDF6B
Network Adapter False VMM01 VSwitch 00155D146A1F
Network Adapter False WAP VSwitch 00155D146519
Network Adapter False WAP VSwitch 00155D146B03
Enc3n2 (Работает):
PS C:\Windows\system32> Get-VMNetworkAdapterVlan
VMName VMNetworkAdapterName Mode VlanList
------ -------------------- ---- --------
Heartbeat Access 0
Live Migration Access 0
Management Access 0
aster Устаревший сетевой адаптер Access 2
aster Устаревший сетевой адаптер Access 0
gate Network Adapter Access 2
gate Network Adapter Access 0
scomsql01 Network Adapter Access 0
scomsql01 Network Adapter Access 0
scomsql02 Network Adapter Untagged
scomsql02 Network Adapter Untagged
scomsql02 Network Adapter Access 2
Node7 (не рабоает):
PS C:\Windows\system32> Get-VMNetworkAdapterVlan
VMName VMNetworkAdapterName Mode VlanList
------ -------------------- ---- --------
ADFS Network Adapter Untagged
dc2 Network Adapter Access 0
DPM01 Network Adapter Untagged
FTP Network Adapter Untagged
HP SP Legacy Network Adapter Access 0
print_old Сетевой адаптер Access 0
RD-GW Network Adapter Access 0
scom01 Network Adapter Access 0
scom02 Network Adapter Untagged
SCOM03 Network Adapter Untagged
term04 Network Adapter Untagged
Videoserver Network Adapter Access 0
VMM01 Network Adapter Access 0
WAP Network Adapter Untagged
WAP Network Adapter Access 2
Enc3n2 (Работает):
PS C:\Windows\system32> Get-VMSwitch "LAN Logical Switch" | fl
ComputerName : ENC3N2
Name : LAN Logical Switch
Id : 45c23aa6-b8c4-474b-8f80-ec8a20213624
Notes :
SwitchType : External
AllowManagementOS : False
NetAdapterInterfaceDescription : HP Ethernet 10Gb 2-port 560FLB Adapter
AvailableVMQueues : 63
NumberVmqAllocated : 7
IovEnabled : False
IovVirtualFunctionCount : 0
IovVirtualFunctionsInUse : 0
IovQueuePairCount : 0
IovQueuePairsInUse : 0
AvailableIPSecSA : 0
NumberIPSecSAAllocated : 0
BandwidthPercentage : 2
BandwidthReservationMode : Weight
DefaultFlowMinimumBandwidthAbsolute : 0
DefaultFlowMinimumBandwidthWeight : 1
Extensions : Windows Filtering Platform>
IovSupport : False
IovSupportReasons : o control PCI Express. Contact your system manufacturer for an update., SR-IOV ca
nnot be used on this system as the PCI Express hardware does not support Access C
ontrol Services (ACS) at any root port. Contact your system vendor for further in
formation., This system has a security vulnerability in the system I/O remapping
hardware. As a precaution, the ability to use SR-IOV has been disabled. You shoul
d contact your system manufacturer for an updated BIOS which enables Root Port Al
ternate Error Delivery mechanism. If all Virtual Machines intended to use SR-IOV
run trusted workloads, SR-IOV may be enabled by adding a registry key of type DWO
RD with value 1 named IOVEnableOverride under HKEY_LOCAL_MACHINE\SOFTWARE\Microso
ft\Windows NT\CurrentVersion\Virtualization and changing state of the trusted vir
tual machines. If the system exhibits reduced performance or instability after SR
-IOV devices are assigned to Virtual Machines, consider disabling the use of SR-I
OV., This network adapter does not support SR-IOV.>
IsDeleted : False
Key :
Node7 (не рабоает):
PS C:\Windows\system32> Get-VMSwitch "vSwitch" | fl
В этой статье мы покажем, как настроить тегированный интерфейс VLAN в Windows 10 и Windows Server 2016 (2019/2012R2). Стандарт VLAN (Virtual LAN) описан в 802.1Q и предполагает маркировку трафика с помощью тегов (vlanid), необходимую для отнесения пакета к той или иной виртуальной сети. VLAN используются для разделения и сегментирования сетей, ограничения широковещательных доменов и изоляции сегментов сети для повышения безопасности. В Windows вы можете настроить несколько различных логических сетевых интерфейсов с разными VLAN на одном физическом интерфейсе с помощью различных средств.
Для использования VLAN необходимо соответствующим образом перенастроить порт коммутатора, куда подключен ваш компьютер/сервер. Порт должен быть переведен из режима access в режим транк. По умолчанию на транк порту разрешены все VLAN, но вы можете указать список номеров разрешенных VLAN(от 1до 4094), которые доступны на данном порту коммутатора Ethernet.
Настройка VLAN интерфейсов в Windows 10
В десктопных версиях Windows нет встроенный поддержки VLAN. Только в самых последних версиях Windows 10 можно установить один тег VLAN для сетевого интерфейса. Для этого используется командлет PowerShell для управления сетевыми настройками. Например:
Set-NetAdapter –Name "Ethernet1" -VlanID 50
Однако есть два способа создать отдельный виртуальный сетевой интерфейс с определенным VLAN ID в Windows 10: с помощью специального драйвера и утилиты от производителя вашей сетевой карты и с помощью Hyper-V.
Настройка VLAN в Windows 10 на сетевой карте Realtek
Скачайте и установите последнюю версию сетевого драйвера для вашего адаптера Realtek и запустите утилиту Ethernet Diagnostic Utility.
Перейдите в раздел VLAN, нажмите кнопку Add и добавьте нужный VLAN ID. После этого в Windows появится новое сетевое подключение.
После создания сетевых интерфейсов для ваших VLAN вы можете задать на них нужный IP из соответствующей подсети.
Настройка VLAN на сетевом адаптере Intel Ethernet
У Intel для настройки VLAN есть собственная утилита Intel Advanced Network (Intel® ANS) VLAN. Ваша модель сетевого адаптера, естественно, должна поддерживать технологию VLAN (например, VLAN не поддерживаются для карт Intel PRO/100 и PRO/1000). При установке драйвера выбейте опции Intel PROSet for Windows Device Manager и Advanced Network Services.
После этого в свойствах физического сетевого адаптера Intel появляется отдельная вкладка VLANs, где можно создать несколько VLAN интерфейсов.
Однако этот способ работает во всех предыдущих версиях Windows (до Windows 10 1809). В последних версиях Windows 10 на вкладке присутствует надпись:
Для последних версий Windows 10 недавно Intel выпустила обновленный драйвера сетевых адаптеров и утилиту Intel PROSet Adapter Configuration Utility. Скачайте и установите последнюю версию драйвера Intel и эту утилиту.
Запустите ее, перейдите на вкладку Teaming/VLANs, нажмите кнопку New и укажите имя сетевого интерфейса и его VLANID.
Кроме того, вы можете добавить/удалить/просмотреть список VLAN с помощью специальных PowerShell командлетов из модуля IntelNetCmdlets:
Несколько VLAN в Windows 10 с помощью Hyper-V
Есть еще один способ создать несколько VLAN в Windows 10 с помощью Hyper-V (доступен только в Pro и Enterprise). Для этого нужно установить компоненты Hyper-V:
Enable-WindowsOptionalFeature -Online -FeatureName:Microsoft-Hyper-V -All
Создайте новый виртуальный коммутатор через Hyper-V Manager или с помощью команд PowerShell (см. пример в статье о настройке Hyper-V Server).
Затем для каждого VLAN, который нужно создать, выполнить команды:
Add-VMNetworkAdapter -ManagementOS -Name VLAN50 -StaticMacAddress “11-22-33-44-55-AA” -SwitchName vSwitch2
Set-VMNetworkAdapterVlan -ManagementOS -VMNetworkAdapterName VLAN50 -Access -VlanId 50
В результате у вас в системе появится сетевой адаптер с нужным VLAN.
Настройка нескольких VLAN в Windows Server 2016
В Windows Server 2016 можно настроить VLAN с помощью встроенных средств, устанавливать специализированные драйвера или утилиты не нужно. Попробуем настроить несколько разных VLAN на одной физической сетевой карте в Windows Server 2016 с помощью NIC Teaming.
- размер шрифта уменьшить размер шрифтаувеличить размер шрифта
- Печать
- Эл. почта
- Станьте первым комментатором!
Если вы пытались работать с VLAN под Windows, особенно при попытке получить доступ к VLAN на физическом оборудовании из виртуальных машин под Hyper-V или VMware, у вас, скорее всего, ничего не получилось.
Всё дело в том, что раньше Windows не имел встроенного механизма работы с VLAN, но в последних версиях Windows Server он появился.
Драйвера сетевых адаптеров, по умолчанию, обрезают в пакетах все VLAN-тэги и внешние VLAN становиться недоступными.
В этой статье мы рассмотрим, как настроить windows 10 таким образом, чтобы адаптер не обрезал VLAN-тэги у пакетов, приходящих на заданный интерфейс.
В Windows 10 есть возможность указать VLAN в настройках адаптера, но это вариант, для отдельных случаев и нам он не подходит, если мы работаем с эмуляторами ЛВС, например, GNS3. У нас может быть сколько угодно виртуальных сетей с разными VLANID и каждый раз менять в настройках адаптера VLAN нам не подходит.
В Wireshark эта проблема давно известна, и они создали в своей wiki страницу , на которой описали варианты решения проблемы для нескольких производителей чипов для сетевых адаптеров.
Я использую адаптер - D-Link DUB-E100 USB2.0, и всё описанное ниже, помогло заставить работать VLAN в GNS3.
Настройка адаптера
Сперва нам нужно узнать GUID нашего адаптера, в моем случае это USB-адаптер, для этого запускаем PowerShell с правами админа и запускаем команду:
Смотрим ifIndex нужного устройства, у меня он равен 8.
Запускаем regedit с правами администратора.
Откройте в нём следующий путь (просто вставьте в строку поиска на самом верху и нажмите Enter):
В списке справа найдите раздел с номером своего адаптера, в моем случае это 008.
Всё что нам осталось это изменить значения нескольких значений:
Как показано на рисунке:
После этого обязательно перезагрузите ПК.
Вот и всё, после загрузки ПК у вас должен заработать VLAN, например, в GNS3.
Единственным недостатком можно назвать появление «мусора» в дампе Wireshark на настроенном интерфейсе, например, такого:
Но его можно и отфильтровать, так что это не такая большая проблема. Именно поэтому я и использую сетевой usb-адаптер, чтобы эксперименты не вредили реальной ЛВС.
Если вы знаете способ избавиться от этой проблемы – пишите в комментариях.
Заключение
Сегодня мы рассмотрели настройку Windows с целью разрешить доступ к физическим VLAN из виртуальных серверов.
С помощью этого раздела вы узнаете о рекомендациях по настройке и просмотру параметров виртуальной локальной сети (VLAN) на порте виртуального коммутатора Hyper-V.
если вы хотите настроить параметры виртуальной лс на портах виртуального коммутатора Hyper-v, можно использовать либо Windows® Server 2016, либо диспетчер Hyper-v System Center Virtual Machine Manager (VMM).
если вы используете vmm, vmm использует следующую команду Windows PowerShell для настройки порта коммутатора.
если вы не используете VMM и настраиваете порт коммутатора в Windows Server, можно использовать консоль диспетчера Hyper-V или следующую команду Windows PowerShell.
Из-за этих двух методов настройки параметров виртуальной ЛС на портах виртуального коммутатора Hyper-V возможно, что при попытке просмотреть параметры порта коммутатора не настроены параметры виртуальной ЛС, даже если они настроены.
Используйте тот же метод для настройки и просмотра параметров виртуальной ЛС для порта коммутатора.
Чтобы убедиться, что эти проблемы не возникают, необходимо использовать тот же метод для просмотра параметров виртуальной ЛС порта коммутатора, которые использовались для настройки параметров VLAN для порта коммутатора.
Чтобы настроить и просмотреть параметры порта коммутатора виртуальной ЛС, необходимо выполнить следующие действия.
- Если вы используете VMM или сетевой контроллер для настройки и управления сетью и развернули программно-определяемую сеть (SDN), необходимо использовать командлеты вмнетворкадаптерисолатион .
- если вы используете Windows Server 2016 диспетчер Hyper-V или командлеты Windows PowerShell и не развернули программно-определяемую сеть (SDN), необходимо использовать командлеты вмнетворкадаптервлан .
Возможные проблемы
Если не следовать этим рекомендациям, могут возникнуть следующие проблемы.
- В случаях, когда вы развернули SDN и используете VMM, сетевой контроллер или командлеты вмнетворкадаптерисолатион для настройки параметров виртуальной ЛС на порте виртуального коммутатора Hyper-V: Если вы используете диспетчер Hyper-v или получите вмнетворкадаптервлан для просмотра параметров конфигурации, в выходных данных команды не отображаются параметры виртуальной ЛС. Вместо этого для просмотра параметров виртуальной ЛС необходимо использовать командлет Get-вмнетворкисолатион .
- В случаях, когда вы не развернули SDN, вместо этого используйте диспетчер Hyper-V или командлеты вмнетворкадаптервлан для настройки параметров виртуальной ЛС на порте виртуального коммутатора Hyper-V. Если вы используете командлет Get-вмнетворкисолатион для просмотра параметров конфигурации, в выходных данных команды не отображаются параметры виртуальной ЛС. Вместо этого для просмотра параметров виртуальной ЛС необходимо использовать командлет Get вмнетворкадаптервлан .
Также важно не пытаться настроить те же параметры виртуальной ЛС для порта коммутатора с помощью обоих методов настройки. В этом случае порт коммутатора будет неправильно настроен, а результат может быть неудачным при сетевом взаимодействии.
Ресурсы
дополнительные сведения о Windows PowerShell командах, упомянутых в этом разделе, см. в следующих разделах:
Одной из главных компонент нового Hyper-V в Windows Server 2012 является Hyper-V Extensible Switch. Hyper-V Extensible Switch представляет собой программный управляемый коммутатор второго уровня, обладающий рядом интересных возможностей, среди которых поддержка технологии Private VLAN (PVLAN). Я вкратце опишу реализацию PVLAN в свиче Hyper-V и в большей степени сосредоточусь на вопросах настройки частных VLAN-ов для виртуальных машин (ВМ). Посмотреть технологию в действии вы можете в первой демонстрации веб-каста, посвященного новым возможностям Hyper-V в Windows Server 2012.
Суть PVLAN-ов уже обсуждалась на Хабре, в частности здесь. Применительно к Hyper-V вы можете присвоить каждому порту Hyper-V Extensible Switch один основной (первичный или Primary VLAN ID) идентификатор и один или несколько вторичных (Secondary VLAN ID). В отличие от аппаратного свича с конкретным количеством портов, порт на свиче Hyper-V идентифицируется виртуальной машиной, а еще точнее сетевым адаптером (поскольку их может быть несколько) виртуальной машины, подключенным к этому порту. Поэтому здесь и далее, задать настройки для порта Hyper-V Extensible Switch = задать настройки для соответствующей виртуальной машины.
- promiscuous (смешанный) – в этом режиме ВМ может обмениваться пакетами с любыми портами у которых совпадает Primary VLAN ID;
- community (общий) – в этом режиме ВМ может обмениваться пакетами с любыми другими портами, сконфигурированными в community режиме, у которых совпадают и Primary, и Secondary VLAN ID; кроме того (см. выше), ВМ может взаимодействовать с promiscuous-портами, у которых такой же Primary VLAN ID;
- isolated (изолированный) – в этом режиме ВМ может взаимодействовать только с promiscuous- портами c таким же Primary VLAN ID.
- Конфигурируем SRV1 и SRV2 в community-режиме с Primary VLAN и Secondary VLAN разумеется, конкретные значения идентификаторов определяете вы сами;
- Конфигурируем SRV4 в режиме isolated с Primary VLAN и Secondary VLAN SRV3 в режиме promiscuous с Primary VLAN и Secondary VLAN и 5.
Теперь давайте реализуем эту задачу в Windows Server 2012. Начнем с SRV4. Настройка PVLAN осуществляется командлетами PowerShell. Как отмечалось, порт свича Hyper-V идентифицируется сетевым адаптером ВМ, подключенной к этому порту. Проще всего получить информацию о сетевых адаптерах ВМ с помощью команды Get-VMNetworkAdapter, указав в качестве параметра имя ВМ:
Как видно, в SRV4 существует единственный сетевой адаптер с именем, совпадающим с именем самой виртуальной машины – SRV4. Текущие настройки VLAN соответствующего порта Hyper-V Extensible Switch можно увидеть с помощью Get-VMNetworkAdapterVlan:
Сейчас SRV4 находится в режиме Access с единственным VLAN ID, равным нулю. Это настройка по умолчанию для ВМ равносильная тому, что нет вообще никаких VLAN-ов. И в таком же состоянии находятся пока все остальные ВМ: SRV1, SRV2, SRV3. Включаем нужный нам режим для SRV4 командой Set-VMNetworkAdapterVlan:
Параметрами -VMName и -VMNetworkAdapterName указываем имена ВМ и сетевого адаптера соответственно, остальными параметрами указываем режим и Primary и Secondary VLAN ID. Проверяем настройки:
Обратите внимание, что начиная с этого момента, SRV4 не может взаимодействовать с другими ВМ, пока мы не настроим должным образом PVLAN и для них. Сделаем это соответствующими командами, используя конвейер команд PowerShell, где результат выполнения одной команды передается на вход следующей:
Замечу, что в первой команде список Secondary VLAN ID задан диапазоном. Кроме того, можно задать различные значения идентификаторов, перечислив их через запятую и заключив в кавычки: -SecondaryVlanIdList “4,5”.
В любой момент можно вернуть настройки в исходное состояние, например для SRV4 выполнив:
В заключение, несколько слов о режиме trunk. Как я упоминал выше, Hyper-V переводит в режим trunk порт, к которому подключен физический сетевой адаптер. Но если необходимо, в trunk-режим можно переключить любую ВМ, чтобы она могла принимать пакеты с различными VLAN ID. Для все той же SRV4 команда будет выглядеть как:
Здесь -AllowedVlanIdList задает список разрешенных VLAN ID, как Primary, так и Secondary, а параметр -NativeVlanId указывает, к какому VLAN-у будут относиться нетегированные пакеты.
Таким образом, поддержка технологии PVLAN наряду с другими возможностями Hyper-V Extensible Switch поможет обеспечить дополнительный уровень изоляции ВМ в рамках мультитенантной архитектуры.
Дополнительную информацию вы сможете найти на портале Microsoft Virtual Academy.
Но лучший, с моей точки зрения, источник информации — сам продукт, который можно скачать и попробовать перечисленные возможности на практике.
Читайте также: