我有四台服务器连接到我们组织的networking。 我已经获得了第三层交换机(Cisco SG300)。 我已经单独将每个服务器的pipe理接口NIC连接到此交换机。 (pipe理界面是Dell iDRAC,以防万一)。为了安全起见,我想在此交换机上隔离pipe理networking,将交换机连接到我们组织的networking,并且只允许来自特定主机(如我的笔记本电脑)的外部连接。
,- server 1 management interface ,-------. +- server 2 management interface external (open) network ---+ SG300 +-+- server 3 management interface `-------' `- server 4 management interface 我想我可以在SG300的右侧为pipe理networking制定VLANconfiguration,如果我正确理解了Cisco交换机上的ACL,我应该能够创build一个ACL,以便只允许来自外部networking通过SG300连接到右侧的VLAN。
我的问题是这样的:如何从外部networking连接指定哪个目的地 (1-4)连接? 假设pipe理网卡的IP地址为192.1.1.1到192.1.1.4,并且说我在外部networking上,并且想连接到机器3的pipe理接口。 我怎么做? 服务器的pipe理接口在外部networking上没有IP地址,所以我无法连接到特定的IP地址。 我如何指定所需的目的地?
这可能是一个基本的networking问题,显然我缺乏线索,但是现在已经有一段时间了,我已经打败了Google,但是我无法弄清楚。 实现这种configuration的基本方法是什么?有没有解释如何实现这种configuration的资源?
你不要连接到一个端口。 您将连接到与在服务器中运行的服务相对应的套接字(IP和端口号)。
所以例如你不会连接到pipe理端口1。
假设服务器A的IP地址为192.1.1.1,并在端口80上运行一个Web服务器。服务器一个configuration了192.1.1.1的networking适配器连接到交换机上的接口1。
所以你问的是如何远程访问服务器A上的Web服务器
答案是您的防火墙必须有一个ACL和NAT规则,允许您的远程stream量进入networking,并且需要执行1:1networking地址转换(NAT)或端口地址转换(PAT)。
您需要一个路由器来在VLAN之间路由stream量。 然后,您可以在路由器而不是交换机上设置ACL,这将是使用ACL的首选方法。
如果防火墙上有可用的接口,则可以使用防火墙作为路由器,并使用它来保护VLAN之间的通信。