请教关于vSphere网络划分的问题

hbqyzf

虚拟化环境：
两台R620 安装esxi 5.0 update1，每台服务器4块网卡；
存储dell eql 6010x，存储交换机dell 6224；
另有一台cisco 2960上联机房网络， 供esxi 主机vmnic0 vmnic1接入供vm使用 。
以上设备托管在机房对外提供服务。
网络规划如下：
物理网卡(vmnic)            虚拟交换机（vSwitch）              端口组（Port Groups）                                         IP
vmnic0 （接cisco2960）    vSwitch0                                VM                                                                    外网IP+服务内网IP
vmnic1 （接cisco2960）    vSwitch0                                VM                                                                    外网IP+服务内网IP
vmnic2 （接dell 6224）     vSwitch1                                Management + VMkernel(ISCSI) + vMotion             172.16.0.*/24
vmnic3 （接dell 6224）     vSwitch1                                Management + VMkernel(ISCSI) + vMotion              172.16.0.*/24
        　　        　
Vcenter Server  部署在vm上IP地址 设置为服务内网IP。
问题：
1、对于虚拟交换机 vSwitch0 ，上面能否起两个网段，1个网段为公网IP，另一个为服务器内网？是否可行？
2、在vm上部署vpn可实现对vm的内网管理，但是由于隔离了vm 和 vmkernel网络，如何实现远程对vmkernel的管理（Management 、存储设备）？这个比较头疼，不知道大家是怎么实现的？
3、论坛上看到大家对4网卡的规划，建议合并到一起管理，但是iscsi要求交换机设置Jumbo Frame，但是对于vm对外提供服务，MTU设置过大，是不是影响服务？这也是我考虑用两个交换机的原因。

jjayy

1 可行 虚拟交换机是2层的 IP三次地址是在虚拟机里设置的 不影响
2 把其中一台虚拟机添加一块网卡 接到你的vswitch1
3 分开吧 vmware是推荐流量分开的 VM流量最好通管理 vmotion ISCSI分开

star_xin

R620 给外网的IP 目的是什么？

TiGi

个人觉得，EQL6010X、2台R620、Cisco2960、PC6224等等设备既然都买了且都扔到机房去了，出于稳定起见，还是再扔个硬件防火墙之类的进去吧！
硬件防火墙  Cisco2960（这时候似乎意义也不是很大了，如果确实打算区分流量、多个设备不影响费用或者不介意这个费用）  R620   PC6224  EQL6010X，外网地址全部放在硬件防火墙上（即便Juniper SSG550M这样的设备也就是3万多），通过重定向等手段，将“内网”地址发布出去。
Cisco2960之所以可选，是因为PC6224不妨又跑应用又跑iSCSI/vMotion —— EQL6010X差不多极速也就是200MB/s，即便每个端口1G的极速也不会拖垮PC6224。

hbqyzf

感谢大家的回复。
请教TiGi  如果所有流量都放在6224上，同时打开Jumbo Frame，会不会影响vm呢？

TiGi

本帖最后由 TiGi 于 8-17-2012 10:29 编辑
这个事情是这样的：
1、我不太清楚是不是可以划分两个VLan，其中一个启用巨型桢，还有一个不启用（我看了我的PC6224，可以对每个端口单独设置MTU的）；
2、我曾经听EQL的一个专家的优化建议，他提出不需要巨型桢！ —— 很奇怪，这个问题，当场很多人还再次确认了一下（因为通常建议启用，且EQL内部也启用）。
采用硬件防火墙的话，R620可以将iDRAC卡映射出去，这样ESXi故障时还能进行处理。

seanlaser

本帖最后由 seanlaser 于 8-19-2012 15:07 编辑
同一个物理端口只能使用一种MTU，vLAN是在帧上打标签而已，因此帧尺寸这种东西是没法分vLAN实现的。
vKernal因为是虚拟端口，可以单独指定MTU，但是也要注意上行的物理端口。本质上物理上行端口也遵循只能一种MTU的规范。
巨型帧的问题，国外的专家通常的意见是：如果存储厂方没有明确要求必须用的，不用！
应为当前的情况普遍由巨型帧带来性能提升不高，而且大大增加部署和诊断复杂性。
我也认同上述观点，而且你一定要开巨型帧建议你为存储独立部署交换机，不要和VM、管理流量混用物理上行端口。

seanlaser

首先明白一点，交换机的通过能力是pps（每秒包传递数）X包尺寸。在pps一定的情况下，理论上越大的包尺寸，就能获得更高的通过流量。
现下绝大多数的应用是不会利用巨型帧的，这样导致采用巨型帧后的实际payload不足，应用数据包数量依然无法下降。如果你的交换机pps能力不足，启用巨型帧对应用没有任何帮助！如果pps能力强，那么实际上不开巨型帧，你的存储数据包也会有足够的通过数。这就是为啥现在越来越多的专家不主张单纯为了存储通过率来启用巨型帧。

seanlaser

1 建议配置两个独立的VMnetwork 端口组，一个用于WAN，一个用于LAN，而且必须分配不同的vLAN，vmnic0和vmnic1对应的Cisco 2960端口开Trunk；从安全设计来说，这样其实还是不够安全的，这只能是网卡少权衡的做法，不是推荐的做法。
2 管理映射方面建议上防火墙或者前端路由设备，物理或者虚拟。如果使用虚拟的，建议额外留个IP直接绑到idrac上。最佳做法还是应该有外面的第三台机器上面跑AD、vCenter和作为远程管理的平台。
3 基本最近大家都认为4网卡是不够的。除非你用的聚合网卡或者新一代的10G的可以虚拟连接的网卡！最佳实践还是各个分开，因为这些都是处于不同网络的，不论从安全还是性能以及冗余考虑。目前我个人推荐如果千兆的网卡，而且有WAN和iSCSI的话，建议8端口起。