我是一家小公司的系统管理员,对网络的了解程度一般。我试图创建这样一种情况:许多内部主机可以通过 RDP 从 Internet 访问,但无法与办公网络通信,也无法相互通信。所有主机将共享一个公共 IP,因此从 Internet 连接的用户将在远程桌面连接客户端中附加一个端口号,以便访问这些主机中的特定主机。这些主机将是 ESXi 上的虚拟机。
在谷歌上搜索了一些内容后,我花了一天时间玩 Vyatta,对它印象非常深刻(尤其是我发现它的文档非常棒)。但是,我意识到我的问题不是理解具体概念或遵循说明;而是我不太清楚应该使用哪种网络技术和拓扑。我想有多种可能性。我听过很多人提到 VLAN。
我应该补充一点,我们有一个中档小型企业防火墙,如果有必要,我们可以将它的一个端口指定为其自己的接口,该接口专门在 WAN 和 ESXi 主机上的备用物理 NIC 之间传递流量。
所以我的问题是,您认为哪种技术和拓扑最适合创建我所描述的情况?总结一下,我想要多个内部虚拟机,它们彼此隔离,并与我们办公网络的其余部分隔离,但可以通过 RDP 从 Internet 连接(在单个公共 IP 上,但端口号唯一)。
提前谢谢了。
答案1
您可以使用 VLAN 并将每台主机设置在自己的私有 (RFC 1918) /30 网络中,我假设 Vyatta 可以处理其背后的多个 NAT 网络。然后每台机器都必须通过路由器(可能是 Vyatta)与外界以及任何其他机器通信。您将能够轻松设置防火墙规则,并且机器本身将被隔离,无法直接连接到路由器以外的任何东西。