基于域的端口转发与 VLAN 路由

在我的新工作区，我想设置一个网络，使我能够在开发、测试和接受服务器 (VM) 上部署我的 Web 开发工作，并基于不同的域 (多个网站) 从网络外部进行 (受控) 访问。我还想通过 VPN 远程访问我的网络。

然而，挑战在于我们共享内部网络，我无法自己控制路由器/防火墙（网络由外部方管理）。他们需要一个图文并茂、解释清楚的请求，以便应用新配置。

我对网络的了解有限，但研究让我相信我的网络设置是可行的。有人可以确认/评论我关于可行性/最佳实践的想法吗？

1. 我工作区所在的建筑物有光纤 (FTTO) 连接，公共 IP 为 176.xx.xx.xxx。网络流量由 Juniper SSG20 防火墙控制（我无法控制，但它们有一个在端口 80 上运行的公共 Web 界面）。内部网络的范围为 192.168.30.0/24。
2. 我有一个支持 VLAN 的 Netgear Prosafe GS105E 交换机。
3. 我有一台配备 VMware vSphere Hypervisor 服务器（ESXi）的戴尔服务器，该服务器有 5 个虚拟机（运行 Ubuntu 12.04 Srv）：
   • （A）VM：文件服务器（仅限我的本地工作站的内部访问（E）
   • （B）VM：Web 服务器（Dev）应该处理 dev.domain-1.com
   • （C）VM：Web 服务器（测试）应该处理 test.domain-1.com
   • （D）VM：Web 服务器（Accept）应该处理 accept.domain-1.com
   • 戴尔服务器有 3 个 NIC，我可以创建虚拟交换机来处理 VLAN 路由。
4. 我有一台带有 eth0 接口的多功能打印机（F），只有在 VLAN 内才可以访问。
5. 现有的 Apple Airport 也在同一子网上提供 WiFi 访问，但我可以隐藏我的 VM 以便大楼内的其他人无法访问它们吗（我猜是 VLAN 配置）。

本质上，我的目标是：

• 基于域名的端口转发（80、443、5000、8080）
• dev.domain-a.com --> 192.168.1.10（虚拟机：B）
• dev.domain-b.com --> “” “” “
• test.domain-a.com --> 192.168.1.11（虚拟机：C）
• test.domain-b.com --> “” “”
• accept.domain-a.com --> 192.168.1.12（虚拟机：D）
• 仅从本地工作站限制对文件服务器（VM：A）的访问
• 能够通过 VPN 访问网络（和文件服务器）

相关问题：

• 我是否必须在新的 ESXi VM 上配置反向代理才能从外部解析本地机器（Ubuntu 上的 Pound 反向代理服务器怎么样）？
• Juniper SSG20 防火墙是否需要将我的本地服务器/VLAN 添加到 DMZ？
• 如果我想对端口 80 进行端口转发，Juniper SSG20 防火墙如何才能继续访问 Web（端口 80）？我是否必须在反向代理中添加一条规则，将流量重定向回防火墙？

任何想法都会非常非常有帮助，以便我可以向外部网络管理方（通过物业经理）提出请求。

请参见网络布局图：