如何对托管虚拟机进行子网划分

如何对托管虚拟机进行子网划分

我有一个虚拟机网络,每个虚拟机都有一个 LAN IP 地址和一个公共 IP 地址。每个虚拟机都有一个 1:1 NAT 映射,用于通过公共 IP 进行 HTTP、SSH 等公共访问。我正在尝试找出一种方法来限制 LAN IP 相互通信,但在某些情况下,一组 LAN IP 需要通信。

我在配置中使用 pfSense 作为防火墙/路由器192.168.0.0/24
似乎我可以为每个虚拟机分配自己的子网,并为该虚拟机添加一条到防火墙的静态路由,以便返回防火墙进行互联网访问和其他防火墙规则。对吗?

我分配了 1 个虚拟机:

address 192.168.1.2
netmask 255.255.255.254
gateway 192.168.1.1

然后在 FW 的 LAN 接口上添加静态路由,用作192.168.1.0/30目标网络和192.168.1.1网关。

似乎什么都没起作用,所以有人有什么想法吗?请注意,我对子网不太熟悉。

谢谢!

答案1

您在虚拟机上运行什么操作系统?在机器上使用内部防火墙可能更简单。这样您就可以选择每个虚拟机响应的地址。

答案2

掩码 = 255.255.255.254???? 看看这个

Network           Net Broadcast     CIDR Mask              UsableHosts 
192.168.1.0       192.168.1.3       30   255.255.255.252   2           
192.168.1.4       192.168.1.7       30   255.255.255.252   2           
192.168.1.8       192.168.1.11      30   255.255.255.252   2           
192.168.1.12      192.168.1.15      30   255.255.255.252   2           

输出来自我的子网规划器

答案3

我不明白你为什么要执行这一步:

“然后在 FW 的 LAN 接口上添加一条静态路由,使用 192.168.1.0/30 作为目标网络,使用 192.168.1.1 作为网关。”

为每个虚拟机或客户创建一个 VLAN。分配适当的网络,/30 或更大。第一个地址是网络,第二个地址是该子网上的防火墙 IP - 其余地址直到广播将由虚拟机使用。

就是这样,您需要做的就是为 VLAN 接口添加规则,或者如果您愿意的话,为 VLAN 内的 IP 添加规则。

答案4

大多数防火墙规则使用与子网掩码相同的掩码,但可用于定位多个子网或子网内的 IP 地址块。

因此,不要管网关,而是将虚拟机 IP 地址分组到子网中,这样您就可以编写指定这些虚拟机的掩码。您可以使用掩码 255.255.255.255 来定位单个 IP 地址。您可以使用CIDR 计算器帮助你解决这个问题,或者看一下 Gary A. Donohue 的优秀著作《网络战士》中的 IP 分配图

相关内容