Назад | Перейти на главную страницу

Настройка частного vlan для тестовой лаборатории, но при этом доступ в Интернет

Я искал вокруг и пытался найти идеи о том, как изолировать тестовую лабораторию от нашей основной сети, в то же время предоставляя тестовой лаборатории доступ к Интернету.

На данный момент наша основная сеть находится в подсети 10.11.23.x. К этому мы добавили Cisco Catalyst WS2960 10.11.23.245. Я создал на этом коммутаторе vlan23, 10.11.23.245 и vlan192, 192.168.0.252.

К vlan23 этого коммутатора физически подключен eth0 настольного сервера HP под управлением CentOS. Подключенный к vlan192 коммутатора - это eth1 той же машины HP.

Итак, конфигурация переключателя показывает:

interface Vlan23
 ip address 10.11.23.245 255.255.255.0
!
interface Vlan192
 ip address 192.168.0.252 255.255.255.0

И окно CentOS показывает:

eth0      Link encap:Ethernet  HWaddr A0:48:1C:D6:8D:78  
          inet addr:10.11.23.212  Bcast:10.11.23.255  Mask:255.255.255.0
          inet6 addr: fe80::a248:1cff:fed6:8d78/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4463062082 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4058451942 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1677558138503 (1.5 TiB)  TX bytes:1109258225607 (1.0 TiB)
          Interrupt:17 

eth1      Link encap:Ethernet  HWaddr A0:48:1C:D6:8D:79  
          inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::a248:1cff:fed6:8d79/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2983685 errors:1 dropped:0 overruns:0 frame:2
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:231387664 (220.6 MiB)  TX bytes:522 (522.0 b)
          Interrupt:18 

Из коробки CentOS я могу пинговать что угодно на vlan23, но ничего не на частной тестовой LAN, vlan192. То же самое и с коммутатором, он даже не может пинговать eth1 на блоке CentOS, который физически подключен к одному из его собственных портов.

Мы хотим, чтобы vlan192 оставался невидимым для vlan23, пока мы настраиваем тестовый контроллер домена, и хотим быть уверены, что он никоим образом не мешает, но шлюз в Интернет - 10.11.23.254. Это можно сделать?

Спасибо заранее за любые предложения.

Если у вас есть брандмауэр между тестовой VLAN и основным шлюзом, попробуйте создать правило, разрешающее доступ «не к 192.168.0.0/16, 172.16.0.0/16, 10.0.0.0/8». Это должно означать «разрешить доступ ко всему, что не находится в частной сети», то есть в Интернете. Я не эксперт, но у меня дома есть VLAN изолированных серверов, настроенная с таким правилом, и она может получить доступ к Интернету и своей собственной VLAN, но ничего больше.