http://proxmox.su Новое в теме Ограничить тегирование 802.1q для гостевой виртуальной машины форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Thu, 07 May 2026 23:38:48 +0300 Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ага, ты прав. Если в Proxmox UI задан VLAN ID, интерфейс ведёт себя как «access», и разрешён только неразмеченный трафик с этим VLAN ID. Я совсем не ожидал, что отсутствие заданного VLAN для гостя будет работать как непрореженный транк-порт. Если кто-то из разработчиков это читает, было бы здорово, если бы в UI при настройке параметров сетевой карты гостя это предупреждалось. Спасибо @spirit и @zimbres за то, что разобрались с этим.
17.01.2022 18:20:00, virtualbitz.]]> http://proxmox.su/forum/messages/forum63/message367625/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367625/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Mon, 17 Jan 2022 18:20:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Сегодня утром я проведу несколько тестов в своей лаборатории, чтобы точно понять ситуацию. Вспомнив, я, возможно, тестировал с интерфейсом, у которого не был задан VLAN в интерфейсе Proxmox.
17.01.2022 18:07:00, virtualbitz.]]> http://proxmox.su/forum/messages/forum63/message367624/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367624/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Mon, 17 Jan 2022 18:07:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Это действительно странно, если посмотреть документацию ovs Код: http://www.openvswitch.org/support/dist-docs/ovs-vswitchd.conf.db.5.html

     vlan_mode: необязательная строка, одно из значений: access, dot1q-tunnel, native-tagged,
      native-untagged или trunk  
             Режим VLAN для порта, как описано выше. Если этот столбец пуст, выбирается режим по умолчанию следующим образом:

             ·      Если tag содержит значение, порт считается access-портом.  
                    Столбец trunks должен быть пустым.

             ·      В противном случае, порт — trunk. Значение столбца trunks учитывается, если оно есть.  

И код Proxmox:  
my $ovs_bridge_add_port = sub {  
   my ($bridge, $iface, $tag, $internal, $trunks) = @_;  

   $trunks =~ s/;/,/g if $trunks;  

   my $cmd = ['/usr/bin/ovs-vsctl'];
   # первая команда  
   push @$cmd, '--', 'add-port', $bridge, $iface;  
   push @$cmd, "tag=$tag" if $tag;  
   push @$cmd, "trunks=". join(',', $trunks) if $trunks;  
   push @$cmd, "vlan_mode=native-untagged" if $tag && $trunks;  

... значит, если в графическом интерфейсе для vm nic задан тег, порт ovs должен быть в режиме access и разрешать только этот vlan.
17.01.2022 13:54:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message367623/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367623/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Mon, 17 Jan 2022 13:54:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Посмотрите мой тред https://forum.proxmox.com/threads/ovspatchport-patch-ovs_type-availability-for-openvswitch.103180/ Там можно создать новый мост и ограничить VLANы, которые будут передаваться по транку.
16.01.2022 18:49:00, zimbres.]]> http://proxmox.su/forum/messages/forum63/message367622/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367622/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Sun, 16 Jan 2022 18:49:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Даже если я в интерфейсе назначу VLAN на интерфейс через UI, я всё равно могу создать VLAN-интерфейсы на гостевой системе, и Proxmox/OVS это пропустит.
15.01.2022 17:47:00, virtualbitz.]]> http://proxmox.su/forum/messages/forum63/message367621/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367621/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Sat, 15 Jan 2022 17:47:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Итак, ты хочешь только нетегированные VLAN, или несколько VLAN (с фиксированным списком) внутри виртуальной машины? Ты можешь ограничить количество VLAN, которые идут в виртуалку, отредактировав файл конфигурации VM: "netX: ....,trunks=2-4;6;8;9-10". Сейчас такого нет в графическом интерфейсе. В общем, если ты не указываешь VLAN на интерфейсе виртуальной машины, то разрешены все VLAN, которые идут в виртуалку (пока не используешь trunks). Если укажешь VLAN, то он будет принудительно назначен, как access-VLAN на свитче Cisco.
13.01.2022 08:32:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message367620/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367620/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Thu, 13 Jan 2022 08:32:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я этого не пробовал, но я не использую VLAN по умолчанию. Вся суть в том, чтобы использовать несколько VLAN и не давать ненадёжным ВМ пересекать границы других ВМ. Так работает по умолчанию VMware, и я пытаюсь повторить это здесь с помощью OVS.
12.01.2022 18:52:00, virtualbitz.]]> http://proxmox.su/forum/messages/forum63/message367619/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367619/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Wed, 12 Jan 2022 18:52:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ты пробовал установить tag=1? Это должно принудительно задать VLAN по умолчанию и исключить остальные VLAN.
12.01.2022 10:00:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message367618/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367618/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Wed, 12 Jan 2022 10:00:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Напомню. У кого-нибудь есть ответ на это? Это вообще невозможно? В текущем виде кажется, что скомпрометированная виртуальная машина может участвовать в любой VLAN, какую захочет. Это серьёзная проблема безопасности.
11.01.2022 21:35:00, virtualbitz.]]> http://proxmox.su/forum/messages/forum63/message367617/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367617/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Tue, 11 Jan 2022 21:35:00 +0300 Proxmox Виртуальная Среда Ограничить тегирование 802.1q для гостевой виртуальной машины Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я использую OVS и обнаружил, что если создать VLAN-интерфейс на гостевой виртуальной машине, OVS-бридж это пропустит. Я хочу этого избежать и разрешать только нетегированный трафик туда и обратно с ВМ. Как это можно реализовать?
28.12.2021 00:26:00, virtualbitz.]]> http://proxmox.su/forum/messages/forum63/message367616/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny http://proxmox.su/forum/messages/forum63/message367616/82515-ogranichit-tegirovanie-802.1q-dlya-gostevoy-virtualnoy-mashiny Tue, 28 Dec 2021 00:26:00 +0300 Proxmox Виртуальная Среда