使用Hyper-V VLAN功能组建受隔离的网络环境

        在开始今天的分享前，gOxiA 带着大家前先了解下面的截图，这样才能更好的理解所要分享的内容。在一个企业网络内（Corp LAN），已经部署了DC、DNS、DHCP、WDS等服务器，是一个完整的生产环境。在 10.1.50.x 的子网内 gOxiA 有三台 Hyper-V 主机（两台基于 Windows 10，一台基于 Windows Server 2016）进行工作相关的测试和评估。

        默认情况下三台 Hyper-V 主机与 Corp LAN 是可以相互访问的，这个应该很容易理解吧；现在为这三台Hyper-V 主机分别创建了虚拟交换机 vNet-LAN50，那意味着其上的虚拟机将从 10.1.50.x 获取网络地址，并运行相互访问，到这里也很容易理解吧；由于一些测试需要进行隔离，通常会在Hyper-V 主机上创建 VMs Only LAN，仅供当前Hyper-V 主机上的虚拟机相互访问，或在当前 vNet-LAN50 上启用 VLAN 分配 ID 20 进行隔离，到这里相信也能理解；OK，我们继续，现在由于一个测试任务过于庞大所需的硬件资源很高，无法在一台Hyper-V主机上进行，需要现有的三台 Hyper-V 主机组网使用，且不变动现有的物理网络环境，同时实现与现有逻辑网络隔离。

        如果为每台虚拟机创建单独的网络，如192.168.192.x，是可以实现相互通讯的，但是并未完全实现逻辑网络的隔离，假如虚机部署了 DHCP 服务，那么极有可能会对现有的 Corp LAN 产生影响。但是启用虚机 VLAN 后，怎么实现跨 Hyper-V 主机访问呢？！按理说 vNet-LAN50 这个虚拟交换机的物理接口是 Hyper-V 主机上与 10.1.50.x 相连的网卡，由于是透明通讯，虚拟机设置 VLAN20 后理应透过 vNet-LAN50 与其他 Hyper-V 主机上 VLAN20 的虚机通讯，但是现实很残酷并非如所想的那样！！！

        经过测试需要通过 Hyper-V 的 Virtual Switch Manager（虚拟交换机管理器）为当前网络即 vNet-LAN50 也启用 VLAN ID 20，才能实现跨 Hyper-V 主机 的 VLAN 段虚机互访。

        虽然该法实现了最终的需求，但也确实与现有逻辑网络完全隔离，这意味着原有 10.1.50.x 段中的其他设备将无法访问这三台 Hyper-V 主机，否则也必须修改 VLAN 为 20。（如果 Hyper-V 主机是多宿主，倒是很好解决！）