Создать выделенную vlan сеть на ESXi 5.5

Posted by

Мне для экспериментов с сервисам на моем гипервизоре нужна сеть которая не будет иметь доступ к домашней сети и сервисам внутри нее.
Моя домашняя инфраструктура состоит из:

Mikrotik (v6.40.5 on RB2011UiAS-2HnD) → HP MicroServer Gen8 (4CPUs x 2,494Ghz, Intel Xeon CPU E3-1265L V2 2.50GHz, RAM 12Gb)

Я хочу поднять почтовый сервер, а как известно чтобы развернуть Exchange 2013 нужен контроллер домена и потому сеть должна отличаться от текущей в которой я сейчас работаю. Для чего я это делаю, просто на новом месте работы используется почтовый сервер Exchange 2013, а я пока с ним не работал, но очень хочу приобщиться и быть наравне с тем кто там работает. Время есть и его нужно проводить с пользой постоянно повышая свой уровень как системного администратора.

Начинаю воплощение своей задумки:

Шаг №1: С рабочего ноутбука Lenovo E555 операционной системы Ubuntu Trusty Desktop (Gnome Classic) запускаю утилиту Winbox:

Приложения — Стандартные — Терминал и ввожу команду winbox

ekzorchik@system:~$ winbox

Шаг №2:
Затем подключаюсь (ip&dns:port&user&pass) к домашнему Mikrotik и создаю VLAN: Interfaces — вкладка VLAN — Add

  • Name: vlanMAIL
  • ARP: enabled
  • VLAN ID: 5
  • Interface: указываю интерфейс который в моей сети является Master для всех остальных, к примеру: ether2-master-local и нажимаю Apply — Ok или все тоже самое но через New Terminal

[ekzorchik@ekzorchik] > interface vlan add name=vlanMail arp=enabled vlan-id=5 interface=ether2-master-local

Шаг №3:
Затем присваиваю данному интерфейсу IP адрес (сетевой адрес выбираю любой из серых адресов)

IP — Addresses — Add

  • Address: 172.34.34.0/24
  • Interface: выбираю созданный выше vlanMail
    или все то же самое но через New Terminal

[ekzorchik@ekzorchik] > ip address add address=172.34.34.0/24 interface=vlanMAIL

Шаг №4:
Теперь чтобы созданная сеть присвоенная VLAN“у не перекликалась с домашней нужно в Firewall создать правило блокирующее трафик между ними:

IP — Firewall — вкладка Filter Rules — Add

вкладка: General

  • Chain: forward
  • Src. Address: указываю сеть VLAN 5, т. е. 172.34.34.0/24
  • Dst. Address: указываю домашнюю сеть, т. е. 172.38.38.0/24

вкладка: Action

  • Action: drop
    и сохраняю внесенные изменения Apply — Ok, после данное правило нужно поднять после всех разрешающих. Чтобы создать данное правило через New Terminal

[ekzorchik@ekzorchik] > ip firewall filter add chain=forward src-address=172.34.34.0/24 dst-address=172.38.38.0/24 action=drop

Шаг №5:
Чтобы сеть VLAN 5 имела доступ в интернет нужно правило MASQUERADE

IP — Firewall — вкладка NAT — Add

вкладка General

  • Chain: srcnat
  • Scr. Address: 172.34.34.0/24
  • Out. Interface: vlanMail

вкладка Action:

  • Action: masquerade
    и сохраняю внесенные изменения Apply — Ok. Чтобы создать данное правило через New Terminal

[ekzorchik@ekzorchik] > ip firewall nat add chain=srcnat src-address=172.34.34.0/24 out-interface=vlanMAIL action=masquerade

Шаг №6:
Если нужно то можно поднять DHCP сервис на Mikrotik который будет выдавать IP адреса, но в моем случае он не нужен, т. к. мне нужна сеть с домен контроллером на котором будет развернута роль DHCP.

Шаг №7:
Теперь нужно завести данный VLAN в гипервизор , но вот под Ubuntu нет vSphere клиента для подключения к гипервизору, но я знаю на что я подписывался используя в повседневности систему Ubuntu Trusty Desktop. Выходом из этой ситуации у меня служит домашняя система виртуализации Virtualbox с развернутой внутри рабочей системой Windows 7 x64 SP1 Pro где установлен vSphere Client. Запускаю его и указываю IP&DNS&USER&PASS для подключения. После того как подключился, выделяю в левой панели сам сервер точнее его IP адресс и перехожу в ConfigurationNetworking — Add Networking — выбираю тип соединения Virtual Machine и нажимаю Next, после отмечаю галочкой сетевой адаптер (у меня пока подключен один)
Use vSwitch0 (Broadcom Corporation NetXtreme BCM5720 Gigabit Ethernet)
vmnic0 — должен быть отмечен галочкой которая затемнена
и нажимаю Next. Именую новую сеть:

  • Network Label: vlanMail
  • VLAN ID (Optional): вот здесь указываю идентификатор созданного на Mikrotik вилана, т. е. 5 и нажимаю Next — Finish
    Итак я завел в гипервизор ESXi 5.5.0, 3116895) новую сеть и обозначил ее VLAN ID 5

Шаг №8:
Создаю в гипервизоре виртуальную машину на базе шаблона Windows 7 x64, устанавливаю ось Windows 7 x64 Pro SP1 и когда она загрузится прописан настройки IP адреса вручную в свойствах сетевого адаптера, а именно:
IP address, Mask, Gateway из созданной сети, т. е. К примеру:

  • 172.34.34.24
  • 255.255.255.0
  • 172.34.34.1

и нужно не забыть прописать DNS адреса, а вот откуда их брать, а берутся они от настроек которые предоставляет мне мой провайдер интернета если этого не сделать выход из этой сети не будет работать.

Когда все сделано, то открыв консоль командной строки и выполнив ICMP запрос к примеру до сайта ya.ru в ответ приходят положительные пакеты о доставке:

Vlan заведен на ESXi 5.5Отлично я все задокумментировал и запомнил. Я так работаю и изучаю что-то что мне может пригодиться в работе. Воссоздаю всю задачу на виртуальном окружении, а не дожидаюсь покуда на рабочем месте поступит задача и ее буду решать совершая кучу ошибок. Собеседую сотрудника в свой отдел я спрашиваю, а что вы сами делали, а не кто-то другой. Порой слыша что соискатель Администрировал Exchange к примеру превращается в то, максимум что делалось это создание почтовых ящиков, а вот устанавливал, восстанавливал, осуществлял бекапирование и восстановление и тому подобное — ответ нет, был так называемый эксперт который не подпускал никого в свою вотчину. И в следствии этого соискатель уже ни как не будет принят ко мне в отдел. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.