如何使用單機(jī)單網(wǎng)卡實現(xiàn)公司內(nèi)、外網(wǎng)訪問

  在我所將要實施的一個項目中，某公司內(nèi)部有兩套網(wǎng)絡(luò)系統(tǒng)實現(xiàn)內(nèi)、外網(wǎng)的物理隔離，員工訪問內(nèi)、外網(wǎng)時使用的雙網(wǎng)卡隔離器來切換實現(xiàn)上不同的網(wǎng)絡(luò)。而隨著業(yè)務(wù)和科技的進(jìn)步，用戶需要布署一套桌面云系統(tǒng)，用桌面云來打造內(nèi)、外網(wǎng)絡(luò)，在前端使用云終端一體機(jī)來連接桌面云服務(wù)器登陸桌面訪問。這樣一來就會產(chǎn)生很多問題：

  1、因用戶前期在將要布署桌面云系統(tǒng)的每個云終端位置只布置了一根網(wǎng)線，不是象其它公司要使用內(nèi)、外網(wǎng)絡(luò)都是在每個終端前布兩根網(wǎng)線來切換不同網(wǎng)絡(luò)。

  2、云終端一體機(jī)上也只有一個網(wǎng)口，無法實現(xiàn)雙網(wǎng)口隔離訪問內(nèi)、外網(wǎng)絡(luò)。

  這里我想即然無法象一般的內(nèi)、外網(wǎng)訪問采用物理隔離方案，那我就只有采用網(wǎng)絡(luò)邏輯隔離方案拉（化分不同的VLAN，使用ACL來隔離內(nèi)、外網(wǎng)）。我在這個項目中使用超融合一體化服務(wù)器系統(tǒng)、Vmware Horizon6、華為萬兆核心交換機(jī)、華為千兆接入交換機(jī)、外網(wǎng)防火墻、WEB防火墻、IPS、云終端一體機(jī)等軟、硬件設(shè)備，系統(tǒng)的部分拓?fù)鋱D如下：

 在上面的拓?fù)鋱D可以看出，在云終端一體機(jī)和千兆接入交換機(jī)之間是使用超五類網(wǎng)線連接，超融合一體化服務(wù)器系統(tǒng)和萬兆交換機(jī)之間是使用SFP+多模模塊來實現(xiàn)連接，在萬兆核心交換機(jī)上一個電口連接內(nèi)網(wǎng)光纖專線，一個電口連接外網(wǎng)防火墻出Internet網(wǎng)，在外網(wǎng)防火墻和核心交換機(jī)之間透明布署一臺IPS，在接入交換機(jī)和核心交換機(jī)之間布署一臺WEB防火墻（給內(nèi)網(wǎng)用戶使用，保護(hù)WEB站點）。

  為了更好的在實施過程中不出現(xiàn)問題，我就自己搭了個實驗環(huán)境來走一遍，我的實驗拓?fù)鋱D如下：

  1、在拓?fù)鋱D中我把IPS和WEB防火墻給簡化掉了，不妨礙模擬真實的過程。

  2、我使用VMware Workstation軟件安裝一臺WIN2008 R2系統(tǒng)來模擬內(nèi)、外網(wǎng)桌面系統(tǒng)。

  3、我再使用VMware Workstation軟件安裝一臺WINXP系統(tǒng)來模擬終端用戶。

  4、我使用華為的eNSP來模擬核心、接入交換機(jī)系統(tǒng)。

  5、我使用VMware Workstation軟件安裝Panabit來模擬防火墻系統(tǒng)，使用上外網(wǎng)功能。

  6、在功能上要實現(xiàn)，終端用戶能分別正常訪問內(nèi)、外網(wǎng)桌面云，而內(nèi)、外網(wǎng)桌面云不能互相訪問（來實現(xiàn)內(nèi)、外網(wǎng)邏輯隔離）。

  7、外網(wǎng)桌面云可以正常上Internet,需內(nèi)網(wǎng)桌面云不能上Internet。

  華為eNSP網(wǎng)絡(luò)拓?fù)鋱D如下：

  1、在核心交換機(jī)分別創(chuàng)建VLAN 17、20、50、100

  2、分別設(shè)置每個VLAN的網(wǎng)關(guān)為254

  3、VLAN50可以訪問VLAN17、20，VLAN17和VLAN20不能相互訪問

  4、VLAN17可以訪問外網(wǎng)，其余VLAN拒絕訪問外網(wǎng)

  5、外網(wǎng)桌面云VM是接入VMware Workstation虛擬網(wǎng)VMnet1

  6、內(nèi)網(wǎng)桌面云VM是接入VMware Workstation虛擬網(wǎng)VMnet2

  7、終端用戶是接入VMware Workstation虛擬網(wǎng)VMnet3

  8、panabit是接入VMware Workstation虛擬網(wǎng)VMnet4

  9、panabit另一個網(wǎng)卡橋接在本機(jī)物理網(wǎng)卡上

  其中接入交換機(jī)的配置如下：

#

sysname sw2   #重命名為SW2

#

vlan batch 17 20 50 100  #建立VLAN17 20 50 100 

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094    #進(jìn)入G0/0/1接口，做Trunk模式，允許所有VLAN通過

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 50     #進(jìn)入G0/0/2接口，做access模式，化入VLAN50

#

  核心交換機(jī)的配置如下：

<Huawei>system-view

[Huawei]sysname sw1

[sw1]vlan batch 17 20 50 100    #創(chuàng)建不同的VLAN

[sw1]interface g0/0/1      #進(jìn)入G00/0/1口

[sw1-GigabitEthernet0/0/1]port link-type access

[sw1-GigabitEthernet0/0/1]port default vlan 17    #化入VLAN17

[sw1-GigabitEthernet0/0/1]qu

[sw1]interface g0/0/2      #進(jìn)入G00/0/2口

[sw1-GigabitEthernet0/0/2]port link-type access 

[sw1-GigabitEthernet0/0/2]port default vlan 20    #化入VLAN20

[sw1-GigabitEthernet0/0/2]qu

[sw1]interface g0/0/3      #進(jìn)入G00/0/3口

[sw1-GigabitEthernet0/0/3]port link-type trunk 

[sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all   #建TRUNK,允許所有VLAN通過

[sw1-GigabitEthernet0/0/3]qu

[sw1]interface vlan 17

[sw1-Vlanif17]ip address 172.16.17.254 255.255.255.0   #指定VLAN17的網(wǎng)關(guān)

[sw1-Vlanif17]qu

[sw1]interface vlan 20

[sw1-Vlanif20]ip address 192.168.20.254 255.255.255.0  #指定VLAN20的網(wǎng)關(guān)

[sw1-Vlanif20]qu

[sw1]interface vlan 50

[sw1-Vlanif50]ip address 192.168.50.254 255.255.255.0  #指定VLAN50的網(wǎng)關(guān)

[sw1-Vlanif50]qu

[sw1]interface vlan 100

[sw1-Vlanif100]ip address 10.10.10.254 255.255.255.0   #指定VLAN100的IP地址

[sw1-Vlanif100]qu

[sw1]acl number 3000   #配置VLAN17到VLAN20的訪問規(guī)則

[sw1-acl-adv-3000]rule deny ip source 172.16.17.0 0.0.0.255 destination 192.168.

20.0 0.0.0.255

[sw1-acl-adv-3000]qu

[sw1]traffic classifier c_vlan17   # 配置流分類c_vlan17，對匹配ACL 3000的報文進(jìn)行分類

[sw1-classifier-c_vlan17]if-match acl 3000

[sw1-classifier-c_vlan17]qu

[sw1]traffic behavior b_vlan17     # 配置流行為b_vlan17，動作為拒絕報文通過

[sw1-behavior-b_vlan17]deny 

[sw1-behavior-b_vlan17]qu

[sw1] traffic policy p_vlan17  # 配置流策略p_vlan17，將流分類c_vlan17與流行為b_vlan17關(guān)聯(lián)

[sw1-trafficpolicy-p_vlan17] classifier c_vlan17 behavior b_vlan17

[HUAWEI-trafficpolicy-p_market] quit

[sw1]interface g0/0/1         # 將流策略p_vlan17應(yīng)用到GE0/0/1接口

[sw1-GigabitEthernet0/0/1]traffic-policy p_vlan17 inbound 

[sw1-GigabitEthernet0/0/1]qu

[sw1]interface g0/0/24

[sw1-GigabitEthernet0/0/24]port link-type access 

[sw1-GigabitEthernet0/0/24]port default vlan 100  #化入VLAN100

[sw1-GigabitEthernet0/0/24]qu

[sw1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.10  #配置默認(rèn)路由到外網(wǎng)防火墻

<sw1>save

  把交換機(jī)的配置全部配置好后，我再到VMware Workstation中安裝好WIN2008 R2、WINXP系統(tǒng)，這個過程很簡單我就不再描述過程，只是講解怎么把系統(tǒng)接入到不同的網(wǎng)絡(luò)中來做實驗。

 1、把WINXP接入VMNET3網(wǎng)絡(luò)中

  2、把WINXP的IP地址設(shè)置為192.168.50.3，網(wǎng)關(guān)為192.168.50.254。

  3、用PING命令，看是否能PING通網(wǎng)關(guān)。

  4、先把WIN2008 R2接入VMNET1網(wǎng)絡(luò)中

  5、把WIN2008 R2的IP地址設(shè)置為172.16.17.2，網(wǎng)關(guān)為172.16.17.254.

  6、用PING命令，看是否能PING通網(wǎng)關(guān)。

  7、在WIN2008 R2系統(tǒng)中安裝IIS服務(wù)，然后把默認(rèn)網(wǎng)站啟用，因很簡單我這里不做介紹。到WINXP系統(tǒng)中用IE瀏覽器輸入172.16.17.2看能否打開默認(rèn)網(wǎng)站。如果能則表示從云終端能夠正常訪問外網(wǎng)桌面云系統(tǒng)。

  8、然后我們再把WIN2008 R2系統(tǒng)接入到VMNET2網(wǎng)絡(luò)中，模擬內(nèi)網(wǎng)桌面云系統(tǒng)

  9、把WIN2008 R2的IP地址修改為192.168.20.2，網(wǎng)關(guān)為192.168.20.254

  10、用PING命令，看是否能PING通網(wǎng)關(guān)。

  11、到WINXP系統(tǒng)中，用IE瀏覽器輸入192.168.20.2看能否打開默認(rèn)網(wǎng)站。如果能則表示從云終端能夠正常訪問內(nèi)網(wǎng)桌面云系統(tǒng)。用相同的方法測試外網(wǎng)桌面云系統(tǒng)172.16.17.2也是可以打開網(wǎng)站，這里不再重復(fù)描述。全部測試完成則表示云終端是可以分別正常訪問內(nèi)、外網(wǎng)系統(tǒng)的。

  12、因我只有WIN2008和XP兩個系統(tǒng)，所以我再把WINXP接入到VMNET1，來模擬下外網(wǎng)桌面云系統(tǒng)

  13、我把WINXP的IP地址修改為172.16.17.3，網(wǎng)關(guān)為172.16.17.254

  14、然后用PING命令，來PING192.168.20.2，來測試看我在核心交換機(jī)上做ACL能否起來拒絕內(nèi)、外網(wǎng)互訪的功能。如果不能PING通則表示已起到內(nèi)、外網(wǎng)隔離功能。

  15、再到WIN2008 R2系統(tǒng)中去PING172.16.17.3，如果不能PING通則表示已起到內(nèi)、外網(wǎng)隔離功能。

  16、在這里我是用Panabit軟件來模擬防火墻，真實的實現(xiàn)內(nèi)部設(shè)備上Internet的功能。先在VMware Workstation中安裝好Panabit。在Panabit系統(tǒng)中我使用了三塊網(wǎng)卡，第一塊接入VMNET3網(wǎng)絡(luò)，當(dāng)管理接口。第二塊接入VMNET4網(wǎng)絡(luò)，和核心交換機(jī)相連。第三塊網(wǎng)卡接入VMNET0網(wǎng)絡(luò)，橋接到我的物理網(wǎng)卡，模擬Internet。

  17、進(jìn)入系統(tǒng)后輸入用戶名root和密碼panaos.

  17、使用ifconfig來查看三塊網(wǎng)卡的地址，用ifconfig le0 192.168.50.10 255.255.255.0命令來給管理網(wǎng)口設(shè)備IP地址。

  18、在自己的物理機(jī)的瀏覽器上輸入192.168.50.10地址，來WEB管理Panabit。

  19、在此點擊繼續(xù)瀏覽此網(wǎng)站，輸入用戶名admin,密碼panaos

  20、進(jìn)入頁面后，我進(jìn)入系統(tǒng)維護(hù)－升級系統(tǒng)，把補(bǔ)丁給打好。

  21、進(jìn)入系統(tǒng)維護(hù)－管理接口，設(shè)置好接口地址，并提交。

  22、進(jìn)入系統(tǒng)維護(hù)－數(shù)據(jù)接口，分別的其余兩塊網(wǎng)卡接入內(nèi)、外網(wǎng)，并提交。

  23、進(jìn)入應(yīng)用路由－接口線路，分別設(shè)置LAN接口和WAN接口

  24、點擊LAN接口－添加，設(shè)置接口名inside,IP地址10.10.10.10，網(wǎng)絡(luò)掩碼255.255.255.0,其余默認(rèn)不用改。

  25、點擊WAN接口－添加，設(shè)置接口名outside,IP地址192.168.1.200，網(wǎng)關(guān)為192.168.1.1（這是我家里光貓的地址），DNS也是192.168.1.1.

  26、點擊應(yīng)用路由－策略路由，設(shè)置好內(nèi)網(wǎng)訪問外網(wǎng)的策略，源地址172.16.17.0/24（外網(wǎng)云地址），做NAT出外網(wǎng)。

  27、把WINXP接入VMNET2，模擬內(nèi)網(wǎng)桌面云，PING192.168.1.1，看能否上Internet，打開網(wǎng)頁也無法訪問。實現(xiàn)了內(nèi)網(wǎng)桌面云無法上Internet的功能。

  28、把WIN2008 R2接入VMNET1，模擬外網(wǎng)桌面云，PING192.168.1.1，看能否上Internet，打開網(wǎng)頁可以訪問百度。實現(xiàn)了外網(wǎng)桌面云可以上Internet的功能。

  29、我在最后了又測試了另外一個功能，就是在Internet訪問內(nèi)網(wǎng)服務(wù)器的功能，先把WIN2008 R2接入VMNET1，設(shè)好IP地址172.16.17.2,網(wǎng)關(guān)為172.16.17.254,DNS為192.168.1.1。在Panabit上，應(yīng)用路由－端口映射，如下圖所示：

  30、然后在物理機(jī)上，使用IE瀏覽器輸入IP地址192.168.1.200（相當(dāng)于公網(wǎng)地址），結(jié)果可以正常訪問，功能測試正常。

  最后所有的實驗和結(jié)果都做完了，功能都全部實現(xiàn)，當(dāng)然有人可能會用更好的方法和做法，我這里只是給大家一個借鑒，希望能對大家在以后的項目工程中有所幫助。