我正在运行带有 2 个虚拟机的 VMware Server 2.0.2。我希望将其中一个虚拟机与主机的域/主 NIC 桥接,我已经成功完成了。我希望另一个虚拟机只能访问主机上的另一个 NIC,该 NIC 直接连接到硬件防火墙/网关,并有一个专用于该端口的 DMZ。这样做的目的是将虚拟机与域网络隔离,因为它将成为 Web 服务器。我在配置虚拟机以使其只能访问 DMZ 的 NIC 时遇到了麻烦。我有一个来自提供商的专用 IP 地址,我可以使用它来静态分配虚拟机或主机上的 NIC,我希望将虚拟机 DMZ 分配给虚拟机。
还有哪些信息对我有帮助?
有没有更实用/安全的方法来做到这一点?
下图所示:
答案1
最好对真正的 DMZ 使用两个防火墙路由器。这更像是一种“暴露路由器”设置;)
VMWare Server 和 ESXi(现在称为 VMware vSphere Hypervisor)在整体技术设置上没有太大区别。如果您符合虚拟机管理程序的硬件要求,则应该使用它而不是 VMWare Server。
首先检查兼容性指南:http://www.vmware.com/resources/compatibility/search.php?action=base&deviceCategory=server
您可以将 IP/范围添加到您的方案中,例如 DMZ 10.10.1.0/24 和 LAN 10.10.2.0/24。从现在开始将使用这两个网络。
对于 VMWare Server 2.0.2 设置,您可能希望通过 Windows 网络中心根据您的方案重命名现有的两个物理网卡;然后启动“VMWare 虚拟网络编辑器”应用程序并
- 从自动桥接中删除所有接口
- 在“主机虚拟网络映射”选项卡中分配两个网卡,例如 VMnet1 用于 DMZ 访问,VMnet2 用于 LAN 访问
- 停用/停止 DHCP 和 NAT 服务
正如您所写,您已将第一个 NIC 连接到 LAN + 配置物理服务器以进行 LAN 访问。检查用于虚拟 DMZ 访问的第二个 NIC 是否已激活 DHCP 配置,将其更改为静态配置(例如此处的 10.10.3.1;未使用的 IP 范围)。
根据您的网络映射,通过“VMware 服务器主页”将配置的虚拟 LAN 接口分配给两个虚拟机,例如,vm01 获取 vmnet1,vm02 获取 vmnet2。
启动 VM01 主机并设置静态 IP 配置,例如 10.10.1.2 和网关 10.10.1.1(如果您的防火墙有 10.10.1.1)
您的公网 IP 已分配给防火墙的 WAN 接口。防火墙的 DMZ 端口连接到服务器 NIC1/vmnet1,获取 (内部) ip 10.10.1.1,LAN 端口获取 ip 10.10.2.1 到网络交换机。
您可以为 LAN 端口激活 DHCP 服务器。所有 LAN/域设备现在都使用 10.10.2.1 作为网关,并且如果 DHCP 处于活动状态,则接收 10.10.2.0/24 范围内的 IP。
如果您想添加额外的 LAN 服务器,只需将其连接到您的 LAN 连接 vmnet2。
它能正常工作吗? ;)