Auswirkung / Managment Network aus VLAN entfernen

[PEASANT KING]

Guten Morgen,

eine kurze knappe Frage, was passiert, wenn ich im ESXi Host über die Shell das Management Network aus dem VLAN nehme.
Ist dann das Management Network über das Netz trotzdem noch erreichbar?

Mein Problem ist, ich entlöse hier gerade das Netzwerkgewirr und möchte einen alten Switch aus dem Netz werfen, allerdings komme ich nur auf das Management Network bzw. ESXi Web UI was sich im VLAN 200 befindet, über diesen Switch.
Ich habe schon tausende Konfigurationen gestartet an einem anderen Switch und bekomme dennoch keinen Zugriff, nur über den ollen Switch. Ich check es einfach nicht.

Meine Idee war jetzt über die ESXi Console das Management Network von VLAN 200 zu befreien und auf default zu stellen.
Blöd wäre nur, wenn dann auch die virtuellen Server über das Netz nicht mehr erreichbar wären und die UI auch nicht.

Die virtuellen Server befinden sich dezeit im Default VLAN 0

Grüße

 

[IVAN]

Moin.
Also ich benutze schon lang kein VMware Gedöhns mehr, aber wenn ich mich recht entsinne, mußt du doch einfach das Management auf das Default VLAN 1 verschieben und ne passende IP vergeben haben.

Könnte es mir selbst nachher mal woanders anschauen und nochmal berichten.

 

[Masamune2]

Wenn du die Managementschnittstelle von der VLAN ID befreist muss der Port an dem der ESX angeschlossen ist dieses Netz halt untagged weitergeben dann kommst du auch wieder dran.
Sollte grundsätzlich gar kein Problem sein. Kommst du denn auf die Switche zur Konfig drauf?

 

[PEASANT KING]

Ich hab einfach jetzt das VLAN umgestellt auf default und es geht. War etwas in Sorge das Netzwerk runter zu nehmen, lieber vorsichtiger als nachsichtiger vor allem mitten im Betrieb xD

EDIT:

@Masamune2 ja ich komme auf die Switche drauf, aber egal wie ich die Ports konfiguriert hatte es ging einfach nicht. Jetzt kann ich das ganze neu planen.

 

[Krisenmanager]

Hinterfrage erstmal, warum das Mgmt-Network von der VmWare-Umgebung wirklich in einem extra VLAN liegt. Das macht aus Security-Sicht schon Sinn, dass Management-Oberflächen in separaten VLANs verortet sind. Habt ihr vielleicht sogar eurer Backup so konfiguriert, dass es ebenfalls in dem VLAN verortet ist?

 

[Masamune2]

Die können ja nach wie vor in einem extra VLAN liegen, das muss den Server aber nicht mehr tagged weitergegeben werden.

 

[PEASANT KING]

Ja etwas durcheinander war es hier. Wenn die im extra VLAN liegen, ungetagged würde das dennoch keinen Sinn ergeben oder, denn der Sinn von VLAN ist es doch Netze auf zu teilen und zu trennen.

Wenn die Kommunikation dennoch über alle Netze geht ungetagged dann brauch ich ja kein VLAN, es sei denn ich beschränke es so, das nur von einem bestimmten VLAN in das andere geroutet wird.

Liege ich falsch?

@Krisenmanager ja das macht aus sicherheitstechnischen Gründen Sinn, nur wie es hier war nicht wirklich. Hier war alles Kraut und Rüben. Jetzt kann ich es Stück für Stück neu einrichten.
Ich kam immer auf das Management trotz VLAN egal von welchem Client und das sollte ja nicht so sein.

 

[Masamune2]

Ich glaube hier ist nicht ganz klar wie VLANs funktionieren. Es ist kein Problem zu den ESX Servern das Management VLAN untagged mitzugeben damit man hier nicht auf die Konfiguration achten muss und es out-of-the-box funktioniert und die Netze in denen sich die VMs dann befinden tagged. Das is so sogar eher üblich.
Natürlich kann man auch alle Netze inkl. des Management Netzes tagged übergeben, muss dann aber auf dem ESX es bei der Management Schnittstelle angeben.
Was man hier macht ist reine Geschmackssache, an der Sicherheit ändert sich hier gar nicht. Getrennt bleibt der Netzwerkverkehr in jedem Fall.