我一直在环顾四周,试图find如何从我们的主networking中隔离testing实验室的想法,同时仍然允许testing实验室访问互联网。
目前,我们的主networking位于10.11.23.x子网。 为此,我们在10.11.23.245上添加了Cisco Catalyst WS2960。 我在这个交换机上创build了vlan23,10.11.23.245和vlan192,192.168.0.252。
物理上插入此交换机的vlan23是运行CentOS的HP桌面服务器的eth0。 插入到交换机的vlan192是相同的HP机器的eth1。
所以开关configuration显示:
interface Vlan23 ip address 10.11.23.245 255.255.255.0 ! interface Vlan192 ip address 192.168.0.252 255.255.255.0 CentOS方块显示:
eth0 Link encap:Ethernet HWaddr A0:48:1C:D6:8D:78 inet addr:10.11.23.212 Bcast:10.11.23.255 Mask:255.255.255.0 inet6 addr: fe80::a248:1cff:fed6:8d78/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4463062082 errors:0 dropped:0 overruns:0 frame:0 TX packets:4058451942 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1677558138503 (1.5 TiB) TX bytes:1109258225607 (1.0 TiB) Interrupt:17 eth1 Link encap:Ethernet HWaddr A0:48:1C:D6:8D:79 inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::a248:1cff:fed6:8d79/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2983685 errors:1 dropped:0 overruns:0 frame:2 TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:231387664 (220.6 MiB) TX bytes:522 (522.0 b) Interrupt:18
在CentOS中,我可以在vlan23上ping任何东西,但在私有testingLAN vlan192上没有任何东西。 同样的交换机,它甚至不能在物理上插入到它自己的端口之一的CentOS盒子上ping eth1。
我们希望vlan192在vlan23中保持不可见状态,因为我们正在设置一个testing域控制器,并且要确保它不以任何方式干扰networking外的网关是10.11.23.254。 可以这样做吗?
在此先感谢您的任何build议。
如果在testingVLAN和主网关之间有防火墙,请尝试制定允许访问“不是192.168.0.0/16,172.16.0.0/16,10.0.0.0/8”的规则。 这应该等于“允许访问不在专用networking上的所有内容”,这是互联网。 我不是专家,但是我有一个这样的规则设置在家里孤立的服务器VLAN,它可以访问互联网和自己的VLAN,但没有别的。