Я искал вокруг и пытался найти идеи о том, как изолировать тестовую лабораторию от нашей основной сети, в то же время предоставляя тестовой лаборатории доступ к Интернету.
На данный момент наша основная сеть находится в подсети 10.11.23.x. К этому мы добавили Cisco Catalyst WS2960 10.11.23.245. Я создал на этом коммутаторе vlan23, 10.11.23.245 и vlan192, 192.168.0.252.
К vlan23 этого коммутатора физически подключен eth0 настольного сервера HP под управлением CentOS. Подключенный к vlan192 коммутатора - это eth1 той же машины HP.
Итак, конфигурация переключателя показывает:
interface Vlan23
ip address 10.11.23.245 255.255.255.0
!
interface Vlan192
ip address 192.168.0.252 255.255.255.0
И окно CentOS показывает:
eth0 Link encap:Ethernet HWaddr A0:48:1C:D6:8D:78
inet addr:10.11.23.212 Bcast:10.11.23.255 Mask:255.255.255.0
inet6 addr: fe80::a248:1cff:fed6:8d78/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4463062082 errors:0 dropped:0 overruns:0 frame:0
TX packets:4058451942 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1677558138503 (1.5 TiB) TX bytes:1109258225607 (1.0 TiB)
Interrupt:17
eth1 Link encap:Ethernet HWaddr A0:48:1C:D6:8D:79
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::a248:1cff:fed6:8d79/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2983685 errors:1 dropped:0 overruns:0 frame:2
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:231387664 (220.6 MiB) TX bytes:522 (522.0 b)
Interrupt:18
Из коробки CentOS я могу пинговать что угодно на vlan23, но ничего не на частной тестовой LAN, vlan192. То же самое и с коммутатором, он даже не может пинговать eth1 на блоке CentOS, который физически подключен к одному из его собственных портов.
Мы хотим, чтобы vlan192 оставался невидимым для vlan23, пока мы настраиваем тестовый контроллер домена, и хотим быть уверены, что он никоим образом не мешает, но шлюз в Интернет - 10.11.23.254. Это можно сделать?
Спасибо заранее за любые предложения.
Если у вас есть брандмауэр между тестовой VLAN и основным шлюзом, попробуйте создать правило, разрешающее доступ «не к 192.168.0.0/16, 172.16.0.0/16, 10.0.0.0/8». Это должно означать «разрешить доступ ко всему, что не находится в частной сети», то есть в Интернете. Я не эксперт, но у меня дома есть VLAN изолированных серверов, настроенная с таким правилом, и она может получить доступ к Интернету и своей собственной VLAN, но ничего больше.