扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
在我所将要实施的一个项目中,某公司内部有两套网络系统实现内、外网的物理隔离,员工访问内、外网时使用的双网卡隔离器来切换实现上不同的网络。而随着业务和科技的进步,用户需要布署一套桌面云系统,用桌面云来打造内、外网络,在前端使用云终端一体机来连接桌面云服务器登陆桌面访问。这样一来就会产生很多问题:
成都创新互联专注于网站建设|网站维护公司|优化|托管以及网络推广,积累了大量的网站设计与制作经验,为许多企业提供了网站定制设计服务,案例作品覆盖LED显示屏等行业。能根据企业所处的行业与销售的产品,结合品牌形象的塑造,量身策划品质网站。1、因用户前期在将要布署桌面云系统的每个云终端位置只布置了一根网线,不是象其它公司要使用内、外网络都是在每个终端前布两根网线来切换不同网络。
2、云终端一体机上也只有一个网口,无法实现双网口隔离访问内、外网络。
这里我想即然无法象一般的内、外网访问采用物理隔离方案,那我就只有采用网络逻辑隔离方案拉(化分不同的VLAN,使用ACL来隔离内、外网)。我在这个项目中使用超融合一体化服务器系统、Vmware Horizon6、华为万兆核心交换机、华为千兆接入交换机、外网防火墙、WEB防火墙、IPS、云终端一体机等软、硬件设备,系统的部分拓扑图如下:
在上面的拓扑图可以看出,在云终端一体机和千兆接入交换机之间是使用超五类网线连接,超融合一体化服务器系统和万兆交换机之间是使用SFP+多模模块来实现连接,在万兆核心交换机上一个电口连接内网光纤专线,一个电口连接外网防火墙出Internet网,在外网防火墙和核心交换机之间透明布署一台IPS,在接入交换机和核心交换机之间布署一台WEB防火墙(给内网用户使用,保护WEB站点)。
为了更好的在实施过程中不出现问题,我就自己搭了个实验环境来走一遍,我的实验拓扑图如下:
1、在拓扑图中我把IPS和WEB防火墙给简化掉了,不妨碍模拟真实的过程。
2、我使用VMware Workstation软件安装一台WIN2008 R2系统来模拟内、外网桌面系统。
3、我再使用VMware Workstation软件安装一台WINXP系统来模拟终端用户。
4、我使用华为的eNSP来模拟核心、接入交换机系统。
5、我使用VMware Workstation软件安装Panabit来模拟防火墙系统,使用上外网功能。
6、在功能上要实现,终端用户能分别正常访问内、外网桌面云,而内、外网桌面云不能互相访问(来实现内、外网逻辑隔离)。
7、外网桌面云可以正常上Internet,需内网桌面云不能上Internet。
华为eNSP网络拓扑图如下:
1、在核心交换机分别创建VLAN 17、20、50、100
2、分别设置每个VLAN的网关为254
3、VLAN50可以访问VLAN17、20,VLAN17和VLAN20不能相互访问
4、VLAN17可以访问外网,其余VLAN拒绝访问外网
5、外网桌面云VM是接入VMware Workstation虚拟网VMnet1
6、内网桌面云VM是接入VMware Workstation虚拟网VMnet2
7、终端用户是接入VMware Workstation虚拟网VMnet3
8、panabit是接入VMware Workstation虚拟网VMnet4
9、panabit另一个网卡桥接在本机物理网卡上
其中接入交换机的配置如下:
#
sysname sw2 #重命名为SW2
#
vlan batch 17 20 50 100 #建立VLAN17 20 50 100
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094 #进入G0/0/1接口,做Trunk模式,允许所有VLAN通过
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 50 #进入G0/0/2接口,做access模式,化入VLAN50
#
核心交换机的配置如下:
[Huawei]sysname sw1
[sw1]vlan batch 17 20 50 100 #创建不同的VLAN
[sw1]interface g0/0/1 #进入G00/0/1口
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 17 #化入VLAN17
[sw1-GigabitEthernet0/0/1]qu
[sw1]interface g0/0/2 #进入G00/0/2口
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 20 #化入VLAN20
[sw1-GigabitEthernet0/0/2]qu
[sw1]interface g0/0/3 #进入G00/0/3口
[sw1-GigabitEthernet0/0/3]port link-type trunk
[sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all #建TRUNK,允许所有VLAN通过
[sw1-GigabitEthernet0/0/3]qu
[sw1]interface vlan 17
[sw1-Vlanif17]ip address 172.16.17.254 255.255.255.0 #指定VLAN17的网关
[sw1-Vlanif17]qu
[sw1]interface vlan 20
[sw1-Vlanif20]ip address 192.168.20.254 255.255.255.0 #指定VLAN20的网关
[sw1-Vlanif20]qu
[sw1]interface vlan 50
[sw1-Vlanif50]ip address 192.168.50.254 255.255.255.0 #指定VLAN50的网关
[sw1-Vlanif50]qu
[sw1]interface vlan 100
[sw1-Vlanif100]ip address 10.10.10.254 255.255.255.0 #指定VLAN100的IP地址
[sw1-Vlanif100]qu
[sw1]acl number 3000 #配置VLAN17到VLAN20的访问规则
[sw1-acl-adv-3000]rule deny ip source 172.16.17.0 0.0.0.255 destination 192.168.
20.0 0.0.0.255
[sw1-acl-adv-3000]qu
[sw1]traffic classifier c_vlan17 # 配置流分类c_vlan17,对匹配ACL 3000的报文进行分类
[sw1-classifier-c_vlan17]if-match acl 3000
[sw1-classifier-c_vlan17]qu
[sw1]traffic behavior b_vlan17 # 配置流行为b_vlan17,动作为拒绝报文通过
[sw1-behavior-b_vlan17]deny
[sw1-behavior-b_vlan17]qu
[sw1] traffic policy p_vlan17 # 配置流策略p_vlan17,将流分类c_vlan17与流行为b_vlan17关联
[sw1-trafficpolicy-p_vlan17] classifier c_vlan17 behavior b_vlan17
[HUAWEI-trafficpolicy-p_market] quit
[sw1]interface g0/0/1 # 将流策略p_vlan17应用到GE0/0/1接口
[sw1-GigabitEthernet0/0/1]traffic-policy p_vlan17 inbound
[sw1-GigabitEthernet0/0/1]qu
[sw1]interface g0/0/24
[sw1-GigabitEthernet0/0/24]port link-type access
[sw1-GigabitEthernet0/0/24]port default vlan 100 #化入VLAN100
[sw1-GigabitEthernet0/0/24]qu
[sw1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.10 #配置默认路由到外网防火墙
把交换机的配置全部配置好后,我再到VMware Workstation中安装好WIN2008 R2、WINXP系统,这个过程很简单我就不再描述过程,只是讲解怎么把系统接入到不同的网络中来做实验。
1、把WINXP接入VMNET3网络中
2、把WINXP的IP地址设置为192.168.50.3,网关为192.168.50.254。
3、用PING命令,看是否能PING通网关。
4、先把WIN2008 R2接入VMNET1网络中
5、把WIN2008 R2的IP地址设置为172.16.17.2,网关为172.16.17.254.
6、用PING命令,看是否能PING通网关。
7、在WIN2008 R2系统中安装IIS服务,然后把默认网站启用,因很简单我这里不做介绍。到WINXP系统中用IE浏览器输入172.16.17.2看能否打开默认网站。如果能则表示从云终端能够正常访问外网桌面云系统。
8、然后我们再把WIN2008 R2系统接入到VMNET2网络中,模拟内网桌面云系统
9、把WIN2008 R2的IP地址修改为192.168.20.2,网关为192.168.20.254
10、用PING命令,看是否能PING通网关。
11、到WINXP系统中,用IE浏览器输入192.168.20.2看能否打开默认网站。如果能则表示从云终端能够正常访问内网桌面云系统。用相同的方法测试外网桌面云系统172.16.17.2也是可以打开网站,这里不再重复描述。全部测试完成则表示云终端是可以分别正常访问内、外网系统的。
12、因我只有WIN2008和XP两个系统,所以我再把WINXP接入到VMNET1,来模拟下外网桌面云系统
13、我把WINXP的IP地址修改为172.16.17.3,网关为172.16.17.254
14、然后用PING命令,来PING192.168.20.2,来测试看我在核心交换机上做ACL能否起来拒绝内、外网互访的功能。如果不能PING通则表示已起到内、外网隔离功能。
15、再到WIN2008 R2系统中去PING172.16.17.3,如果不能PING通则表示已起到内、外网隔离功能。
16、在这里我是用Panabit软件来模拟防火墙,真实的实现内部设备上Internet的功能。先在VMware Workstation中安装好Panabit。在Panabit系统中我使用了三块网卡,第一块接入VMNET3网络,当管理接口。第二块接入VMNET4网络,和核心交换机相连。第三块网卡接入VMNET0网络,桥接到我的物理网卡,模拟Internet。
17、进入系统后输入用户名root和密码panaos.
17、使用ifconfig来查看三块网卡的地址,用ifconfig le0 192.168.50.10 255.255.255.0命令来给管理网口设备IP地址。
18、在自己的物理机的浏览器上输入192.168.50.10地址,来WEB管理Panabit。
19、在此点击继续浏览此网站,输入用户名admin,密码panaos
20、进入页面后,我进入系统维护-升级系统,把补丁给打好。
21、进入系统维护-管理接口,设置好接口地址,并提交。
22、进入系统维护-数据接口,分别的其余两块网卡接入内、外网,并提交。
23、进入应用路由-接口线路,分别设置LAN接口和WAN接口
24、点击LAN接口-添加,设置接口名inside,IP地址10.10.10.10,网络掩码255.255.255.0,其余默认不用改。
25、点击WAN接口-添加,设置接口名outside,IP地址192.168.1.200,网关为192.168.1.1(这是我家里光猫的地址),DNS也是192.168.1.1.
26、点击应用路由-策略路由,设置好内网访问外网的策略,源地址172.16.17.0/24(外网云地址),做NAT出外网。
27、把WINXP接入VMNET2,模拟内网桌面云,PING192.168.1.1,看能否上Internet,打开网页也无法访问。实现了内网桌面云无法上Internet的功能。
28、把WIN2008 R2接入VMNET1,模拟外网桌面云,PING192.168.1.1,看能否上Internet,打开网页可以访问百度。实现了外网桌面云可以上Internet的功能。
29、我在最后了又测试了另外一个功能,就是在Internet访问内网服务器的功能,先把WIN2008 R2接入VMNET1,设好IP地址172.16.17.2,网关为172.16.17.254,DNS为192.168.1.1。在Panabit上,应用路由-端口映射,如下图所示:
30、然后在物理机上,使用IE浏览器输入IP地址192.168.1.200(相当于公网地址),结果可以正常访问,功能测试正常。
最后所有的实验和结果都做完了,功能都全部实现,当然有人可能会用更好的方法和做法,我这里只是给大家一个借鉴,希望能对大家在以后的项目工程中有所帮助。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流