> > en azt szoktam csinalni xen-el, hogy az eth0 a domu-hoz megy, semmi mas. > Az eth1 standard modon a belso szerver halo ,az eth2 a dmz. Ha kell, akkor > egy-egy speci eszkoz (nyomtato szerver, dhcp/dns szerver) meg megkapja > fizikailag az eth3-at, e azon annyi vlan huzok fel a domU-ban, amennyi > kell. >
Igy switch hiba eseten kiesik a belso halo/dmz/ami eppen azon az if-en jon. > > Megint nem ertem. a bond0 a nativ vlan-ban van, ami tipikusan az 1-es > szokott lenni, es kultur ember managementen kivul masra nem is hasznalja. Ebben az esetben a management is publikus IP-n zajlik, nyilvan tuzfalazava. A gateway mar nem az enyem. Ket drotot kapok amin fut STP es a vegen (gondolom HSRP-vel) a gateway IP cime. Szerintem alap esetben azt lenne erdemes ellenorizni, hogy az a gateway elerheto-e => bond0 -nak latnia kell a GW-t (Amennyire tegnap kiteszteltem a bond0-nak raadasul nem is eleg akarmilyen IP, egy IP tartomanyba kell esteni a ARP keres celpontjaval. Ebben en sok logikat nem latok, ha jol gondolom magahoz az ARP kerdeshez-valaszhoz IP cim sem kellene az adott interface-re, de megis igy van.) A virutualis gepeknek publikus IP cimek kellenek a szolgaltatasokhoz => a bridge-nek is 'latnia' kell a GW-t => bond0.vlanY-nak is 'latnia' kell a GW-t. Meg azt lehetne, hogy csinalni management VLAN-t es oda valami VPN-t, de eddig ez nem merult fel, duplan megtuzfalazott (dedikalt firewall + iptables a szerveren) SSH megfelelo volt. _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
