• Bases de la gestion du réseau sous VMware ESXi
• Ajouter une interface VMkernel

Comme nous l'avions expliqué précédemment dans notre article "Comprendre les bases de la gestion du réseau sous VMware ESXi 6.7", vos machines virtuelles peuvent avoir accès au réseau physique grâce à plusieurs couches : les groupes de ports, les commutateurs virtuels (vSwitch), ...

Dans ce tutoriel, vous verrez comment créer un nouveau commutateur virtuel avec un nouveau groupe de ports et connecter vos machines virtuelles sur un autre réseau physique si vous le souhaitez grâce à des cartes réseau physiques supplémentaires.

1. Configuration réseau actuelle
2. Ajouter un commutateur virtuel standard (vSS)
3. Ajouter une carte réseau physique (NIC physique) à un commutateur virtuel standard (vSS)
4. Ajouter un groupe de ports
5. Connecter une machine virtuelle à votre nouveau groupe de ports

1. Configuration réseau actuelle

Pour le moment, notre hyperviseur VMware ESXi possède 2 groupes de ports.
Il s'agit des 2 groupes de ports existants par défaut :

• VM Network : pour l'accès réseau et Internet de vos machines virtuelles.
• Management Network : pour la gestion de votre hyperviseur depuis un ordinateur ou serveur de votre entreprise.
  Votre hyperviseur est accessible via ce groupe de ports grâce à une carte réseau virtuelle VMKernel.

Actuellement, notre hyperviseur possède 2 cartes réseau comme vous pouvez le voir ci-dessous.

Note : si votre serveur possède une carte réseau avec 2 connecteurs RJ45, VMware ESXi affichera 2 cartes réseau physiques (vmnic).

Si vous allez dans l'onglet "Commutateurs virtuels" et que vous cliquez sur "vSwitch0" (le commutateur virtuel créé automatiquement lors de l'installation de VMware ESXi), vous verrez que sa topologie contient :

• le groupe de ports "VM Network" (cité précédemment), ainsi que la liste des machines virtuelles connectées sur celui-ci (même si les VMs sont éteintes).
• le groupe de ports "Management Network" (cité précédemment) avec la carte réseau VMKernel qui sert par défaut au réseau de gestion.
• des adaptateurs physiques (cartes réseau physiques de votre serveur).
  Dans notre cas, nous en avons associé 2 pour la tolérance de panne / équilibrage de charge. Mais, par défaut, il n'y a que la carte réseau physique "vmnic0".

2. Ajouter un commutateur virtuel standard (vSS)

Sous VMware ESXi, vous pouvez créer uniquement des commutateurs virtuels standards (vSS).
Contrairement à VMware vSphere qui vous permettra également de créer des commutateurs virtuels distribués (vDS).

Pour ce tutoriel, nous avons ajouté 2 cartes réseau physiques à notre serveur.
Sur l'image ci-dessous, il s'agit des cartes réseau : vmnic2 et vmnic3.

Lorsque vous souhaitez ajouter un nouveau groupe de ports et créer un nouveau commutateur virtuel sous VMware ESXi, vous devez d'abord créer votre nouveau commutateur virtuel.
En effet, si vous cliquez sur "Ajouter un groupe de ports", vous verrez que vous ne pourrez pas créer en même temps un nouveau commutateur virtuel.

Comme vous pouvez le voir, VMware ESXi vous propose uniquement les commutateurs virtuels (vSwitch) déjà existants sur votre hyperviseur.

Note : vous pouvez créer plusieurs groupes de ports sur un même commutateur virtuel si vous le souhaitez et isoler le trafic réseau de ceux-ci en utilisant un ID de VLAN différent sur chaque port groupe.

Vous devez donc commencer par créer un nouveau commutateur virtuel.
Pour cela, dans "Mise en réseau -> Commutateurs virtuels", cliquez sur : Ajouter un commutateur virtuel standard.

Dans la fenêtre "Ajouter un commutateur virtuel standard - [nom du nouveau vSwitch]" qui apparait, sélectionnez la liaison montante (carte réseau physique) que vous souhaitez associer à ce commutateur virtuel.
Notez que vous pourrez ajouter des liaisons montantes (cartes réseau physiques) plus tard à ce commutateur virtuel si vous le souhaitez.
Donc, dans notre cas, nous choisissons pour le moment "vmnic2".

Lorsque vous créez un switch, vous pouvez spécifier :

• Nom du vSwitch : nom sous lequel ce commutateur virtuel standard (vSS) apparaitra dans l'interface de VMware ESXi.
• MTU : taille maximum des paquets de données en octets. Vous pouvez spécifier une valeur supérieure à 1500 pour activer les trames Jumbo (requises par certaines solutions professionnelles).
  Mais, cette valeur ne peut pas dépasser 9000 octets.
• Liaison montante x : carte(s) réseau physique(s) à assigner à ce commutateur virtuel.
  Ceci est facultatif, mais permet par exemple à une VM (via un groupe de port) ou à votre hyperviseur (via une carte réseau VMkernel) de communiquer avec votre réseau physique et d'accéder à Internet (si applicable).
  La valeur en "mbps" correspond à la vitesse supportée par votre carte réseau.
  Dans notre cas, il s'agit d'une carte réseau en 10 Gbps (10000 mbps).
• Découverte de liaison - Mode :
  • Ecouter : permet de détecter et afficher les informations sur le commutateur physique associé.
    Mais l'administrateur n'aura pas accès aux informations concernant ce commutateur vSS.
  • Annoncer : permet à l'administrateur d'accéder aux informations de ce commutateur vSS.
    Mais aucune information ne sera détectée ni affichée sur le commutateur physique.
  • Les deux : permet de détecter et afficher les informations sur le commutateur physique associé.
    Permet également à l'administrateur d'accéder aux informations de ce commutateur vSS.
  • Aucun : aucune information ne sera détectée ni affichée sur le commutateur physique et l'administrateur n'aura pas non plus accès aux informations de ce commutateur vSS.
• Découverte de liaison - Protocole : CDP (Cisco Discovery Protocol) est un protocole de découverte réseau de niveau 2 créé par Cisco Systems.
  CDP est le seul protocole de découverte réseau disponible sur les commutateurs virtuels standards (vSS).
• Sécurité :
  • Mode de Promiscuité : permet d'autoriser ou non le mode de promiscuité.
    • Accepter : lorsque le mode de promiscuité est activé, tous les paquets réseau sont envoyés à chaque machine virtuelle connectée à ce commutateur virtuel standard. Ce qui est utile pour surveiller le réseau via un logiciel comme Wireshark.
    • Rejeter : lorsque le mode de promiscuité est désactivé, votre machine virtuelle ne reçoit que les paquets réseau qui lui sont destinés.
      Ce qui évite qu'un utilisateur malveillant ne tente de récupérer des données sensibles qui ne lui sont pas destinées.
  • Modifications de l'adresse MAC : permet d'autoriser ou non le système d'exploitation à modifier l'adresse MAC utilisée par la machine virtuelle.
    • Accepter : lorsque la modification de l'adresse MAC est autorisée, le système d'exploitation invité peut utiliser une adresse MAC différente (de façon logicielle) différente de celle définie dans les paramètres de la machine virtuelle (dans le fichier de configuration ".vmx").
    • Rejeter : lorsque la modification de l'adresse MAC est interdite, un utilisateur malveillant ne sera pas en mesure de modifier de façon logicielle l'adresse MAC de la carte réseau virtuelle de la machine virtuelle.
  • Transmissions forgées :
    • Accepter : aucun filtrage n'est effectué et toutes les trames sortantes sont donc autorisées.
    • Rejeter : les trames sortantes (venant de vos machines virtuelles) dont l'adresse MAC source est différente de celle "physique" (définie dans le fichier de configuration ".vmx" de votre VM) seront ignorées et donc perdues.

Note : si vous souhaitez virtualiser un hyperviseur (VMware ESXi, Hyper-V, ...), il est important que les 3 paramètres de sécurité cités ci-dessus soient configurés sur "Accepter" pour que l'accès réseau et l'accès à Internet de vos machines virtuelles imbriquées puissent fonctionner correctement.

Une fois le commutateur virtuel standard (vSS) configuré, cliquez sur Ajouter.

Source : Modifier les paramètres des commutateurs virtuels dans VMware Host Client.

Le message "Le commutateur virtuel [nom du vSwitch] a été créé" apparait.

3. Ajouter une carte réseau physique (NIC physique) à un commutateur virtuel standard (vSS)

Comme vous pouvez le voir, par défaut, si vous n'assignez qu'une seule carte réseau physique (NIC physique) à un commutateur virtuel standard (vSS), un avertissement apparaitra :

Plain Text

Ce commutateur virtuel n'a pas de redondance de la liaison montante. Vous devez ajouter un autre adaptateur de liaison montante.

Pour régler ce problème, assurez-vous de posséder une carte réseau physique supplémentaire (non assignée) sur votre hôte VMware ESXi et cliquez sur : Ajouter une liaison montante.

Si une carte réseau physique (NIC physique) supplémentaire est disponible (non utilisée par votre hôte actuellement), celle-ci apparaitra en vert en tant que "Liaison montante 2".
Dans notre cas, cette carte réseau physique (NIC physique) est nommée "vmnic3" sur notre hôte VMware ESXi.

Lorsque vous modifiez un commutateur virtuel standard (vSS), vous retrouverez les mêmes paramètres déjà expliqués précédemment, ainsi que de nouveaux paramètres.
Pour la section "Association de cartes réseau" (NIC Teaming), cela vous permet de configurer comment les pannes concernant les liens réseau doivent être détectées et de choisir si vous souhaitez faire de la tolérance de panne et/ou de l'équilibrage de charges.
Pour les informations détaillées concernant les paramètres de cette section "Association de cartes réseau", référez-vous à l'étape "4. Associer des cartes réseau (NIC Teaming)" de notre tutoriel concernant les bases de la gestion du réseau sous VMware ESXi 6.7.

Dans la section "Formation du trafic", vous trouverez plusieurs paramètres supplémentaires :

• Etat : permet d'activer ou non la limitation de bande passante par port grâce aux paramètres suivants.
• Bande passante moyenne : permet de limiter la quantité de données (en ko) par seconde sur un port (charge moyenne autorisée).
• Bande passante maximale : idem que le paramètre précédent, mais lorsqu'un bonus de rafale est utilisé.
  Ce paramètre concerne l'envoi et la réception de données.
• Taille de rafale : permet de limiter la quantité de données (en Ko) qui peut être envoyée dans une rafale.
  Si ce paramètre est défini, un port peut bénéficier temporairement d'une bande passante plus élevée que la bande passante moyenne configurée ci-dessus.
• Remarque : indique que ces paramètres sont appliqués au trafic de chaque adaptateur réseau virtuel (carte réseau virtuelle) de vos machines virtuelles. Ce qui correspond au terme "port" utilisé précédemment.

Source : Modifier les paramètres des commutateurs virtuels dans VMware Host Client - VMware Docs.

Attention : dans le cas d'un commutateur virtuel standard (vSS), comme c'est le cas ici, la limitation de bande passante ne sera appliquée qu'au trafic sortant.
Pour limiter aussi la bande passante pour le trafic entrant, vous devez utiliser un commutateur virtuel distribué (vDS). Ce qui est disponible uniquement avec VMware vSphere et non sur un hôte VMware ESXi seul.

Une fois la carte réseau physique supplémentaire ajoutée et les paramètres souhaités modifiés (le cas échéant), cliquez sur Enregistrer.

Le message "Le commutateur virtuel [nom du vSwitch] a été enregistré" apparait.
En haut de page, vous verrez que le nombre de liaisons montantes est 2 au lieu de 1.

Si vous regardez en bas de cette page, vous trouverez une section "Topologie vSwitch" où vous verrez facilement que 2 adaptateurs physiques (cartes réseau physiques) sont assignés à celui-ci.

4. Ajouter un groupe de ports

Pour que vous puissiez connecter vos machines virtuelles sur votre nouveau commutateur virtuel (My vSwitch), vous devez ajouter au moins un groupe de ports sur celui-ci.
Pour cela, dans "Mise en réseau -> Groupes de ports", cliquez sur : Ajouter un groupe de ports.

Indiquez un nom pour votre nouveau groupe de ports, sélectionnez le nouveau commutateur virtuel que vous venez de créer, puis cliquez sur Ajouter.

Comme vous pouvez le voir, lorsque vous ajoutez un nouveau groupe de ports, plusieurs paramètres sont proposés :

• Nom : nom sous lequel ce groupe de ports apparaitra dans l'interface de votre hyperviseur VMware ESXi.
• ID du VLAN : permet d'isoler le trafic réseau de certaines machines virtuelles en utilisant des IDs de VLAN différents sur différents groupes de ports.
  Pour ne pas utiliser cette notion de VLAN, laissez la valeur par défaut "0".
• Commutateur virtuel : permet de choisir le commutateur virtuel sur lequel vous souhaitez ajouter ce groupe de ports.
• Sécurité : par défaut, les valeurs des 3 paramètres disponibles (Mode de Promiscuité, Modifications de l'adresse MAC et Transmissions forgées) sont héritées du commutateur virtuel (vSwitch) sélectionné ci-dessus.
  D'où le fait que l'option "Hériter de vSwitch" soit sélectionnée par défaut.
  Pour savoir à quoi servent ces paramètres de sécurité, référez-vous aux explications citées précédemment à l'étape "2. Ajouter un commutateur virtuel standard (vSS)".

Le message "Le groupe de ports [nom du groupe de ports] a été créé" apparait.

5. Connecter une machine virtuelle à votre nouveau groupe de ports

Maintenant que le réseau virtuel est correctement configuré sur votre hyperviseur VMware ESXi, il vous suffit de modifier la configuration de votre machine virtuelle et sélectionnez votre nouveau groupe de ports pour l'adaptateur réseau virtuel de celle-ci.
Dans notre cas, nous sélectionnons notre nouveau groupe de ports "My port groups".

Si vous retournez dans "Mise en réseau -> Commutateurs virtuels" et que vous cliquez sur le nom de votre nouveau commutateur virtuel (My vSwitch dans notre cas), vous pourrez voir le nom de votre machine virtuelle apparaitre dans la section "Topologie vSwitch".

Notez que VMware ESXi vous affiche toutes les machines virtuelles (référencées dans votre inventaire) utilisant le groupe de ports concerné, même si certaines machines virtuelles sont peut-être hors tension (éteintes) pour le moment.