我一直在寻找并尝试找到如何将测试实验室与我们的主网络隔离的想法,同时仍允许测试实验室访问互联网。
目前,我们的主要网络位于 10.11.23.x 子网上。为此,我们在 10.11.23.245 上添加了 Cisco Catalyst WS2960。我在此交换机上创建了 vlan23,10.11.23.245 和 vlan192,192.168.0.252。
物理上插入到此交换机 vlan23 的是运行 CentOS 的 HP 台式服务器的 eth0。插入到交换机 vlan192 的是同一台 HP 机器的 eth1。
因此交换机配置显示:
interface Vlan23
ip address 10.11.23.245 255.255.255.0
!
interface Vlan192
ip address 192.168.0.252 255.255.255.0
CentOS 框显示:
eth0 Link encap:Ethernet HWaddr A0:48:1C:D6:8D:78
inet addr:10.11.23.212 Bcast:10.11.23.255 Mask:255.255.255.0
inet6 addr: fe80::a248:1cff:fed6:8d78/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4463062082 errors:0 dropped:0 overruns:0 frame:0
TX packets:4058451942 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1677558138503 (1.5 TiB) TX bytes:1109258225607 (1.0 TiB)
Interrupt:17
eth1 Link encap:Ethernet HWaddr A0:48:1C:D6:8D:79
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::a248:1cff:fed6:8d79/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2983685 errors:1 dropped:0 overruns:0 frame:2
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:231387664 (220.6 MiB) TX bytes:522 (522.0 b)
Interrupt:18
从 CentOS 机器上,我可以 ping 通 vlan23 上的任何内容,但无法 ping 通私有测试 LAN vlan192 上的任何内容。交换机也是如此,它甚至无法 ping 通 CentOS 机器上的 eth1,尽管该机器物理上插入了其自己的一个端口。
我们希望 vlan192 对 vlan23 保持不可见,因为我们正在设置测试域控制器,并希望确保它不会以任何方式干扰,但是,通往互联网的网关是 10.11.23.254。可以做到这一点吗?
在此先感谢您的任何建议。
答案1
如果测试 VLAN 和主网关之间有防火墙,请尝试制定一条允许访问“非 192.168.0.0/16、172.16.0.0/16、10.0.0.0/8”的规则。这应该相当于“允许访问非私有网络(即互联网)上的所有内容”。我不是专家,但我家里有一个隔离服务器的 VLAN,并设置了这样的规则,它可以访问互联网和自己的 VLAN,但不能访问其他任何内容。