码迷,mamicode.com
首页 > 其他好文 > 详细

如何使用单机单网卡实现公司内、外网访问

时间:2016-05-24 22:51:24      阅读:615      评论:0      收藏:0      [点我收藏+]

标签:单机   网卡   如何   交换机   云桌面   acl   

  在我所将要实施的一个项目中,某公司内部有两套网络系统实现内、外网的物理隔离,员工访问内、外网时使用的双网卡隔离器来切换实现上不同的网络。而随着业务和科技的进步,用户需要布署一套桌面云系统,用桌面云来打造内、外网络,在前端使用云终端一体机来连接桌面云服务器登陆桌面访问。这样一来就会产生很多问题:

  1、因用户前期在将要布署桌面云系统的每个云终端位置只布置了一根网线,不是象其它公司要使用内、外网络都是在每个终端前布两根网线来切换不同网络。

  2、云终端一体机上也只有一个网口,无法实现双网口隔离访问内、外网络。

  这里我想即然无法象一般的内、外网访问采用物理隔离方案,那我就只有采用网络逻辑隔离方案拉(化分不同的VLAN,使用ACL来隔离内、外网)。我在这个项目中使用超融合一体化服务器系统、Vmware Horizon6、华为万兆核心交换机、华为千兆接入交换机、外网防火墙、WEB防火墙、IPS、云终端一体机等软、硬件设备,系统的部分拓扑图如下:

技术分享

 在上面的拓扑图可以看出,在云终端一体机和千兆接入交换机之间是使用超五类网线连接,超融合一体化服务器系统和万兆交换机之间是使用SFP+多模模块来实现连接,在万兆核心交换机上一个电口连接内网光纤专线,一个电口连接外网防火墙出Internet网,在外网防火墙和核心交换机之间透明布署一台IPS,在接入交换机和核心交换机之间布署一台WEB防火墙(给内网用户使用,保护WEB站点)。

  为了更好的在实施过程中不出现问题,我就自己搭了个实验环境来走一遍,我的实验拓扑图如下:

技术分享

  1、在拓扑图中我把IPS和WEB防火墙给简化掉了,不妨碍模拟真实的过程。

  2、我使用VMware Workstation软件安装一台WIN2008 R2系统来模拟内、外网桌面系统。

  3、我再使用VMware Workstation软件安装一台WINXP系统来模拟终端用户。

  4、我使用华为的eNSP来模拟核心、接入交换机系统。

  5、我使用VMware Workstation软件安装Panabit来模拟防火墙系统,使用上外网功能。

  6、在功能上要实现,终端用户能分别正常访问内、外网桌面云,而内、外网桌面云不能互相访问(来实现内、外网逻辑隔离)。

  7、外网桌面云可以正常上Internet,需内网桌面云不能上Internet。

  华为eNSP网络拓扑图如下:

技术分享

 

  1、在核心交换机分别创建VLAN 17、20、50、100

  2、分别设置每个VLAN的网关为254

  3、VLAN50可以访问VLAN17、20,VLAN17和VLAN20不能相互访问

  4、VLAN17可以访问外网,其余VLAN拒绝访问外网

  5、外网桌面云VM是接入VMware Workstation虚拟网VMnet1

  6、内网桌面云VM是接入VMware Workstation虚拟网VMnet2

  7、终端用户是接入VMware Workstation虚拟网VMnet3

  8、panabit是接入VMware Workstation虚拟网VMnet4

  9、panabit另一个网卡桥接在本机物理网卡上

  其中接入交换机的配置如下:

#

sysname sw2   #重命名为SW2

#

vlan batch 17 20 50 100  #建立VLAN17 20 50 100 

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094    #进入G0/0/1接口,做Trunk模式,允许所有VLAN通过

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 50     #进入G0/0/2接口,做access模式,化入VLAN50

#

  核心交换机的配置如下:

<Huawei>system-view

[Huawei]sysname sw1

[sw1]vlan batch 17 20 50 100    #创建不同的VLAN

[sw1]interface g0/0/1      #进入G00/0/1口

[sw1-GigabitEthernet0/0/1]port link-type access

[sw1-GigabitEthernet0/0/1]port default vlan 17    #化入VLAN17

[sw1-GigabitEthernet0/0/1]qu

[sw1]interface g0/0/2      #进入G00/0/2口

[sw1-GigabitEthernet0/0/2]port link-type access 

[sw1-GigabitEthernet0/0/2]port default vlan 20    #化入VLAN20

[sw1-GigabitEthernet0/0/2]qu

[sw1]interface g0/0/3      #进入G00/0/3口

[sw1-GigabitEthernet0/0/3]port link-type trunk 

[sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all   #建TRUNK,允许所有VLAN通过

[sw1-GigabitEthernet0/0/3]qu

[sw1]interface vlan 17

[sw1-Vlanif17]ip address 172.16.17.254 255.255.255.0   #指定VLAN17的网关

[sw1-Vlanif17]qu

[sw1]interface vlan 20

[sw1-Vlanif20]ip address 192.168.20.254 255.255.255.0  #指定VLAN20的网关

[sw1-Vlanif20]qu

[sw1]interface vlan 50

[sw1-Vlanif50]ip address 192.168.50.254 255.255.255.0  #指定VLAN50的网关

[sw1-Vlanif50]qu

[sw1]interface vlan 100

[sw1-Vlanif100]ip address 10.10.10.254 255.255.255.0   #指定VLAN100的IP地址

[sw1-Vlanif100]qu


[sw1]acl number 3000   #配置VLAN17到VLAN20的访问规则

[sw1-acl-adv-3000]rule deny ip source 172.16.17.0 0.0.0.255 destination 192.168.

20.0 0.0.0.255

[sw1-acl-adv-3000]qu

[sw1]traffic classifier c_vlan17   # 配置流分类c_vlan17,对匹配ACL 3000的报文进行分类

[sw1-classifier-c_vlan17]if-match acl 3000

[sw1-classifier-c_vlan17]qu

[sw1]traffic behavior b_vlan17     # 配置流行为b_vlan17,动作为拒绝报文通过

[sw1-behavior-b_vlan17]deny 

[sw1-behavior-b_vlan17]qu

[sw1] traffic policy p_vlan17  # 配置流策略p_vlan17,将流分类c_vlan17与流行为b_vlan17关联

[sw1-trafficpolicy-p_vlan17] classifier c_vlan17 behavior b_vlan17

[HUAWEI-trafficpolicy-p_market] quit

[sw1]interface g0/0/1         # 将流策略p_vlan17应用到GE0/0/1接口

[sw1-GigabitEthernet0/0/1]traffic-policy p_vlan17 inbound 

[sw1-GigabitEthernet0/0/1]qu


[sw1]interface g0/0/24

[sw1-GigabitEthernet0/0/24]port link-type access 

[sw1-GigabitEthernet0/0/24]port default vlan 100  #化入VLAN100

[sw1-GigabitEthernet0/0/24]qu

[sw1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.10  #配置默认路由到外网防火墙

<sw1>save

  把交换机的配置全部配置好后,我再到VMware Workstation中安装好WIN2008 R2、WINXP系统,这个过程很简单我就不再描述过程,只是讲解怎么把系统接入到不同的网络中来做实验。

 1、把WINXP接入VMNET3网络中

技术分享

  2、把WINXP的IP地址设置为192.168.50.3,网关为192.168.50.254。

技术分享

  3、用PING命令,看是否能PING通网关。

技术分享

  4、先把WIN2008 R2接入VMNET1网络中

技术分享

  5、把WIN2008 R2的IP地址设置为172.16.17.2,网关为172.16.17.254.

技术分享

  6、用PING命令,看是否能PING通网关。

技术分享

  7、在WIN2008 R2系统中安装IIS服务,然后把默认网站启用,因很简单我这里不做介绍。到WINXP系统中用IE浏览器输入172.16.17.2看能否打开默认网站。如果能则表示从云终端能够正常访问外网桌面云系统。

技术分享

  8、然后我们再把WIN2008 R2系统接入到VMNET2网络中,模拟内网桌面云系统

技术分享

  9、把WIN2008 R2的IP地址修改为192.168.20.2,网关为192.168.20.254

技术分享

  10、用PING命令,看是否能PING通网关。

技术分享

  11、到WINXP系统中,用IE浏览器输入192.168.20.2看能否打开默认网站。如果能则表示从云终端能够正常访问内网桌面云系统。用相同的方法测试外网桌面云系统172.16.17.2也是可以打开网站,这里不再重复描述。全部测试完成则表示云终端是可以分别正常访问内、外网系统的。

技术分享

技术分享

  12、因我只有WIN2008和XP两个系统,所以我再把WINXP接入到VMNET1,来模拟下外网桌面云系统

技术分享

  13、我把WINXP的IP地址修改为172.16.17.3,网关为172.16.17.254

技术分享

  14、然后用PING命令,来PING192.168.20.2,来测试看我在核心交换机上做ACL能否起来拒绝内、外网互访的功能。如果不能PING通则表示已起到内、外网隔离功能。

技术分享

  15、再到WIN2008 R2系统中去PING172.16.17.3,如果不能PING通则表示已起到内、外网隔离功能。

技术分享

  16、在这里我是用Panabit软件来模拟防火墙,真实的实现内部设备上Internet的功能。先在VMware Workstation中安装好Panabit。在Panabit系统中我使用了三块网卡,第一块接入VMNET3网络,当管理接口。第二块接入VMNET4网络,和核心交换机相连。第三块网卡接入VMNET0网络,桥接到我的物理网卡,模拟Internet。

技术分享

  17、进入系统后输入用户名root和密码panaos.

技术分享

  17、使用ifconfig来查看三块网卡的地址,用ifconfig le0 192.168.50.10 255.255.255.0命令来给管理网口设备IP地址。

技术分享

  18、在自己的物理机的浏览器上输入192.168.50.10地址,来WEB管理Panabit。

技术分享

  19、在此点击继续浏览此网站,输入用户名admin,密码panaos

技术分享

  20、进入页面后,我进入系统维护-升级系统,把补丁给打好。

技术分享

技术分享

  21、进入系统维护-管理接口,设置好接口地址,并提交。

技术分享

  22、进入系统维护-数据接口,分别的其余两块网卡接入内、外网,并提交。

技术分享

  23、进入应用路由-接口线路,分别设置LAN接口和WAN接口

技术分享

  24、点击LAN接口-添加,设置接口名inside,IP地址10.10.10.10,网络掩码255.255.255.0,其余默认不用改。

技术分享

  25、点击WAN接口-添加,设置接口名outside,IP地址192.168.1.200,网关为192.168.1.1(这是我家里光猫的地址),DNS也是192.168.1.1.

技术分享

  26、点击应用路由-策略路由,设置好内网访问外网的策略,源地址172.16.17.0/24(外网云地址),做NAT出外网。

技术分享

  27、把WINXP接入VMNET2,模拟内网桌面云,PING192.168.1.1,看能否上Internet,打开网页也无法访问。实现了内网桌面云无法上Internet的功能。

技术分享

技术分享

  28、把WIN2008 R2接入VMNET1,模拟外网桌面云,PING192.168.1.1,看能否上Internet,打开网页可以访问百度。实现了外网桌面云可以上Internet的功能。

技术分享

技术分享

  29、我在最后了又测试了另外一个功能,就是在Internet访问内网服务器的功能,先把WIN2008 R2接入VMNET1,设好IP地址172.16.17.2,网关为172.16.17.254,DNS为192.168.1.1。在Panabit上,应用路由-端口映射,如下图所示:

技术分享

  30、然后在物理机上,使用IE浏览器输入IP地址192.168.1.200(相当于公网地址),结果可以正常访问,功能测试正常。

技术分享

  最后所有的实验和结果都做完了,功能都全部实现,当然有人可能会用更好的方法和做法,我这里只是给大家一个借鉴,希望能对大家在以后的项目工程中有所帮助。


如何使用单机单网卡实现公司内、外网访问

标签:单机   网卡   如何   交换机   云桌面   acl   

原文地址:http://lijie1977.blog.51cto.com/8265485/1782664

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!