关于虚拟机的访问控制

43nu7e7

因为要控制大量的虚拟机之间的访问，本来想采用N1KV交换机，一看钱袋只能叹气。初定方法如下，望大神指导。

1.如果要在同一VLAN中隔离虚拟机可以采用虚拟交换机的端组隔离方式。
2.控制不同VLAN之间的互访，可以在VLAN接口配置ALC来实现。

这压基本满足大多数应用，但是ACL的条目数量是个重活，IP民工的悲哀。。。。。。。。。

6r11vces

难道不是公司采购吗？还要看自己的钱袋？LZ是不是老板

26rnfmq

肯定是商用，因为业务链路多，导致以一部分网口多种业务复用，要保证安全性所以要从2层做起（网口不够用，因为都是万兆）。
因为是cisco的UCS刀框，所以结合N1KV虚拟交换机是最理想的组合。

hxcebn

这些是标准的方法，并不是什么野路子。

如果只能依靠高代价来定方案，竞标的时候会死得好惨的。

98nh3omr

家用还是商用？家用的话，虚拟交换机就行。
商用的话，如果安全性要求高，还是要用防火墙分割各个虚拟机。

wtu2mj

3层交换机也不贵呀。话说我这里倒是有很多台 可惜都是百兆的

6yvy3w8m

万兆、商用环境就别折腾野路子了，老老实实找思科，如果是涉密机构就通过中央政采找国内的大公司解决。

t27jnf

项目经费，呵呵。

gqgkmn

teardrop 于 2015-10-22 20:09 编辑

我这个方法是省钱的做法，机器多的话ACL管理起来也是头疼的。

我的业务网口全是万兆+冗余，用默认的策略足以处理带宽的需求。就算是坏掉一张，也能应付，所以我不担心负载均衡，况且是truck口，承载多个VLAN。

本来N1KV交换机可以接受其他机器下发的ACL，这个非常有用！还有很多Qos、Pvlan等等功能，比VM的VDS强太多了。

95edwb

我的是万兆的，N7K。