VLAN scenario (probleem)

Als iedereen overal toegang toe moet hebben dan weet ik niet waarom je aparte VLAN'en wilt hebben.
Mocht dit toch echt nodig zijn, dan kan je het beste 3 VLAN'en aanmaken op je draytek:
vlan1: Internet (192.168.10.1/24)
vlan2: LAN/ESXi (192.168.20.1/24)
vlan3: WLAN (192.168.30.1/24)

Iedere host (WLAN en LAN/ESXi) krijgt dan een default gateway naar het betreffende 192.168.x.1 adres.
Makes sense of mis ik iets?

Maak een trunk tussen de fysieke switch en een vSwitch. Voor ieder vlan maak je een virtuele nic aan op je pfSense machine die op de vSwitch koppelt aan het juiste vlan.

Denk ook even na over hoe je bij je ESXi kan als pfSense stuk gaat. Je wil niet van een virtuele machine afhankelijk zijn om bij je hypervisor te kunnen.

Vergeet VLAN 1. Sommige vendors vinden dit een VLAN, bij anderen is het untagged. Noem het VLAN 10, 20 en 30, dan heb je ook nog ruimte om er extra VLANs tussen te zetten (extra LAN VLAN 11, extra WLAN VLAN 21 enz).

Daarnaast zou ik even goed uitsplitsen wat voor verkeer er door de VMware host heen gaat. Waar CAPSLOCK2000 al op aanstuurt: waar komt je VMkernel port, welke VMs hebben toegang tot welke VLANs etc. Het is prima mogelijk om bijvoorbeeld de management interface van de VMware host te scheiden van het WLAN netwerk, maar het komt uit de TS niet naar voren wat nu precies de bedoeling is.

Is er een bepaalde reden dat je pfsense als router gebruikt?

Een alternatief is om een physieke machine hiervoor in te gaan zetten, een andere is als je alleen de router functionaliteit gebruikt een router met VLAN ondersteuning te gebruiken.
DD-WRT/Open-WRT/enz zijn eventueel een optie om VLAN ondersteuning te krijgen op een aantal consumenten routers.

Wat CAPSLOCK2000 al aangeeft, been there, done that, never again. Het grootste nadeel vind ik is als je onderhoud/storing aan je host hebt dat je internetverbinding er niet meer is.

Ben zelf overgestapt toendertijd van een Cisco Pix (maakte te veel lawaai) naar de pfsense op de ESXI host.
Veel "elende" gehad als ik onderhoud moest verrichten aan de host of hardware upgrades en dan geen internet meer hebben. Toen maar een losse machine ingericht met pfsense en die draaid opzich nog naar tevredenheid al mag deze wel een upgrade krijgen om de volledige snelheid te kunnen benutten

[ Voor 28% gewijzigd door MdBruin op 14-05-2015 12:17 ]

Ik heb m'n router en firewall ook gevirtualiseerd. Dat hoeft geen probleem te zijn. Als de host moet rebooten zit ik inderdaad heel even zonder internet maar dat is zo kort en zeldzaam dat het geen probleem is. Binnenkort hoop ik een tweede systeem neer te zetten zodat ik de belangrijkste VMs bij onderhoud naar dat andere systeem kan verplaatsen.

Ik gebruik overigens geen ESXi maar Debian met KVM en ik heb een apart vlannetje om op dat systeem te komen zodat ik voor onderhoud niet afhankelijk ben van die VM.