在我所將要實施的一個項目中，某公司內(nèi)部有兩套網(wǎng)絡(luò)系統(tǒng)實現(xiàn)內(nèi)、外網(wǎng)的物理隔離，員工訪問內(nèi)、外網(wǎng)時使用的雙網(wǎng)卡隔離器來切換實現(xiàn)上不同的網(wǎng)絡(luò)。而隨著業(yè)務(wù)和科技的進步，用戶需要布署一套桌面云系統(tǒng)，用桌面云來打造內(nèi)、外網(wǎng)絡(luò)，在前端使用云終端一體機來連接桌面云服務(wù)器登陸桌面訪問。這樣一來就會產(chǎn)生很多問題：

成都創(chuàng)新互聯(lián)專注于網(wǎng)站建設(shè)|網(wǎng)站維護公司|優(yōu)化|托管以及網(wǎng)絡(luò)推廣，積累了大量的網(wǎng)站設(shè)計與制作經(jīng)驗，為許多企業(yè)提供了網(wǎng)站定制設(shè)計服務(wù)，案例作品覆蓋LED顯示屏等行業(yè)。能根據(jù)企業(yè)所處的行業(yè)與銷售的產(chǎn)品，結(jié)合品牌形象的塑造，量身策劃品質(zhì)網(wǎng)站。

 1、因用戶前期在將要布署桌面云系統(tǒng)的每個云終端位置只布置了一根網(wǎng)線，不是象其它公司要使用內(nèi)、外網(wǎng)絡(luò)都是在每個終端前布兩根網(wǎng)線來切換不同網(wǎng)絡(luò)。

 2、云終端一體機上也只有一個網(wǎng)口，無法實現(xiàn)雙網(wǎng)口隔離訪問內(nèi)、外網(wǎng)絡(luò)。

 這里我想即然無法象一般的內(nèi)、外網(wǎng)訪問采用物理隔離方案，那我就只有采用網(wǎng)絡(luò)邏輯隔離方案拉（化分不同的VLAN，使用ACL來隔離內(nèi)、外網(wǎng)）。我在這個項目中使用超融合一體化服務(wù)器系統(tǒng)、Vmware Horizon6、華為萬兆核心交換機、華為千兆接入交換機、外網(wǎng)防火墻、WEB防火墻、IPS、云終端一體機等軟、硬件設(shè)備，系統(tǒng)的部分拓?fù)鋱D如下：

 在上面的拓?fù)鋱D可以看出，在云終端一體機和千兆接入交換機之間是使用超五類網(wǎng)線連接，超融合一體化服務(wù)器系統(tǒng)和萬兆交換機之間是使用SFP+多模模塊來實現(xiàn)連接，在萬兆核心交換機上一個電口連接內(nèi)網(wǎng)光纖專線，一個電口連接外網(wǎng)防火墻出Internet網(wǎng)，在外網(wǎng)防火墻和核心交換機之間透明布署一臺IPS，在接入交換機和核心交換機之間布署一臺WEB防火墻（給內(nèi)網(wǎng)用戶使用，保護WEB站點）。

 為了更好的在實施過程中不出現(xiàn)問題，我就自己搭了個實驗環(huán)境來走一遍，我的實驗拓?fù)鋱D如下：

 1、在拓?fù)鋱D中我把IPS和WEB防火墻給簡化掉了，不妨礙模擬真實的過程。

 2、我使用VMware Workstation軟件安裝一臺WIN2008 R2系統(tǒng)來模擬內(nèi)、外網(wǎng)桌面系統(tǒng)。

 3、我再使用VMware Workstation軟件安裝一臺WINXP系統(tǒng)來模擬終端用戶。

 4、我使用華為的eNSP來模擬核心、接入交換機系統(tǒng)。

 5、我使用VMware Workstation軟件安裝Panabit來模擬防火墻系統(tǒng)，使用上外網(wǎng)功能。

 6、在功能上要實現(xiàn)，終端用戶能分別正常訪問內(nèi)、外網(wǎng)桌面云，而內(nèi)、外網(wǎng)桌面云不能互相訪問（來實現(xiàn)內(nèi)、外網(wǎng)邏輯隔離）。

 7、外網(wǎng)桌面云可以正常上Internet,需內(nèi)網(wǎng)桌面云不能上Internet。

 華為eNSP網(wǎng)絡(luò)拓?fù)鋱D如下：

 1、在核心交換機分別創(chuàng)建VLAN 17、20、50、100

 2、分別設(shè)置每個VLAN的網(wǎng)關(guān)為254

 3、VLAN50可以訪問VLAN17、20，VLAN17和VLAN20不能相互訪問

 4、VLAN17可以訪問外網(wǎng)，其余VLAN拒絕訪問外網(wǎng)

 5、外網(wǎng)桌面云VM是接入VMware Workstation虛擬網(wǎng)VMnet1

 6、內(nèi)網(wǎng)桌面云VM是接入VMware Workstation虛擬網(wǎng)VMnet2

 7、終端用戶是接入VMware Workstation虛擬網(wǎng)VMnet3

 8、panabit是接入VMware Workstation虛擬網(wǎng)VMnet4

 9、panabit另一個網(wǎng)卡橋接在本機物理網(wǎng)卡上

  其中接入交換機的配置如下：

#

sysname sw2  #重命名為SW2

#

vlan batch 17 20 50 100  #建立VLAN17 20 50 100

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094   #進入G0/0/1接口，做Trunk模式，允許所有VLAN通過

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 50   #進入G0/0/2接口，做access模式，化入VLAN50

#

  核心交換機的配置如下：

system-view

[Huawei]sysname sw1

[sw1]vlan batch 17 20 50 100   #創(chuàng)建不同的VLAN

[sw1]interface g0/0/1    #進入G00/0/1口

[sw1-GigabitEthernet0/0/1]port link-type access

[sw1-GigabitEthernet0/0/1]port default vlan 17   #化入VLAN17

[sw1-GigabitEthernet0/0/1]qu

[sw1]interface g0/0/2    #進入G00/0/2口

[sw1-GigabitEthernet0/0/2]port link-type access

[sw1-GigabitEthernet0/0/2]port default vlan 20   #化入VLAN20

[sw1-GigabitEthernet0/0/2]qu

[sw1]interface g0/0/3    #進入G00/0/3口

[sw1-GigabitEthernet0/0/3]port link-type trunk

[sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all  #建TRUNK,允許所有VLAN通過

[sw1-GigabitEthernet0/0/3]qu

[sw1]interface vlan 17

[sw1-Vlanif17]ip address 172.16.17.254 255.255.255.0  #指定VLAN17的網(wǎng)關(guān)

[sw1-Vlanif17]qu

[sw1]interface vlan 20

[sw1-Vlanif20]ip address 192.168.20.254 255.255.255.0  #指定VLAN20的網(wǎng)關(guān)

[sw1-Vlanif20]qu

[sw1]interface vlan 50

[sw1-Vlanif50]ip address 192.168.50.254 255.255.255.0  #指定VLAN50的網(wǎng)關(guān)

[sw1-Vlanif50]qu

[sw1]interface vlan 100

[sw1-Vlanif100]ip address 10.10.10.254 255.255.255.0  #指定VLAN100的IP地址

[sw1-Vlanif100]qu

[sw1]acl number 3000  #配置VLAN17到VLAN20的訪問規(guī)則

[sw1-acl-adv-3000]rule deny ip source 172.16.17.0 0.0.0.255 destination 192.168.

20.0 0.0.0.255

[sw1-acl-adv-3000]qu

[sw1]traffic classifier c_vlan17  # 配置流分類c_vlan17，對匹配ACL 3000的報文進行分類

[sw1-classifier-c_vlan17]if-match acl 3000

[sw1-classifier-c_vlan17]qu

[sw1]traffic behavior b_vlan17   # 配置流行為b_vlan17，動作為拒絕報文通過

[sw1-behavior-b_vlan17]deny

[sw1-behavior-b_vlan17]qu

[sw1] traffic policy p_vlan17  # 配置流策略p_vlan17，將流分類c_vlan17與流行為b_vlan17關(guān)聯(lián)

[sw1-trafficpolicy-p_vlan17] classifier c_vlan17 behavior b_vlan17

[HUAWEI-trafficpolicy-p_market] quit

[sw1]interface g0/0/1     # 將流策略p_vlan17應(yīng)用到GE0/0/1接口

[sw1-GigabitEthernet0/0/1]traffic-policy p_vlan17 inbound

[sw1-GigabitEthernet0/0/1]qu

[sw1]interface g0/0/24

[sw1-GigabitEthernet0/0/24]port link-type access

[sw1-GigabitEthernet0/0/24]port default vlan 100  #化入VLAN100

[sw1-GigabitEthernet0/0/24]qu

[sw1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.10  #配置默認(rèn)路由到外網(wǎng)防火墻

save

 把交換機的配置全部配置好后，我再到VMware Workstation中安裝好WIN2008 R2、WINXP系統(tǒng)，這個過程很簡單我就不再描述過程，只是講解怎么把系統(tǒng)接入到不同的網(wǎng)絡(luò)中來做實驗。

 1、把WINXP接入VMNET3網(wǎng)絡(luò)中

 2、把WINXP的IP地址設(shè)置為192.168.50.3，網(wǎng)關(guān)為192.168.50.254。

 3、用PING命令，看是否能PING通網(wǎng)關(guān)。

 4、先把WIN2008 R2接入VMNET1網(wǎng)絡(luò)中

 5、把WIN2008 R2的IP地址設(shè)置為172.16.17.2，網(wǎng)關(guān)為172.16.17.254.

 6、用PING命令，看是否能PING通網(wǎng)關(guān)。

 7、在WIN2008 R2系統(tǒng)中安裝IIS服務(wù)，然后把默認(rèn)網(wǎng)站啟用，因很簡單我這里不做介紹。到WINXP系統(tǒng)中用IE瀏覽器輸入172.16.17.2看能否打開默認(rèn)網(wǎng)站。如果能則表示從云終端能夠正常訪問外網(wǎng)桌面云系統(tǒng)。

 8、然后我們再把WIN2008 R2系統(tǒng)接入到VMNET2網(wǎng)絡(luò)中，模擬內(nèi)網(wǎng)桌面云系統(tǒng)

 9、把WIN2008 R2的IP地址修改為192.168.20.2，網(wǎng)關(guān)為192.168.20.254

 10、用PING命令，看是否能PING通網(wǎng)關(guān)。

 11、到WINXP系統(tǒng)中，用IE瀏覽器輸入192.168.20.2看能否打開默認(rèn)網(wǎng)站。如果能則表示從云終端能夠正常訪問內(nèi)網(wǎng)桌面云系統(tǒng)。用相同的方法測試外網(wǎng)桌面云系統(tǒng)172.16.17.2也是可以打開網(wǎng)站，這里不再重復(fù)描述。全部測試完成則表示云終端是可以分別正常訪問內(nèi)、外網(wǎng)系統(tǒng)的。

 12、因我只有WIN2008和XP兩個系統(tǒng)，所以我再把WINXP接入到VMNET1，來模擬下外網(wǎng)桌面云系統(tǒng)

 13、我把WINXP的IP地址修改為172.16.17.3，網(wǎng)關(guān)為172.16.17.254

 14、然后用PING命令，來PING192.168.20.2，來測試看我在核心交換機上做ACL能否起來拒絕內(nèi)、外網(wǎng)互訪的功能。如果不能PING通則表示已起到內(nèi)、外網(wǎng)隔離功能。

 15、再到WIN2008 R2系統(tǒng)中去PING172.16.17.3，如果不能PING通則表示已起到內(nèi)、外網(wǎng)隔離功能。

 16、在這里我是用Panabit軟件來模擬防火墻，真實的實現(xiàn)內(nèi)部設(shè)備上Internet的功能。先在VMware Workstation中安裝好Panabit。在Panabit系統(tǒng)中我使用了三塊網(wǎng)卡，第一塊接入VMNET3網(wǎng)絡(luò)，當(dāng)管理接口。第二塊接入VMNET4網(wǎng)絡(luò)，和核心交換機相連。第三塊網(wǎng)卡接入VMNET0網(wǎng)絡(luò)，橋接到我的物理網(wǎng)卡，模擬Internet。

 17、進入系統(tǒng)后輸入用戶名root和密碼panaos.

 17、使用ifconfig來查看三塊網(wǎng)卡的地址，用ifconfig le0 192.168.50.10 255.255.255.0命令來給管理網(wǎng)口設(shè)備IP地址。

 18、在自己的物理機的瀏覽器上輸入192.168.50.10地址，來WEB管理Panabit。

 19、在此點擊繼續(xù)瀏覽此網(wǎng)站，輸入用戶名admin,密碼panaos

 20、進入頁面后，我進入系統(tǒng)維護－升級系統(tǒng)，把補丁給打好。

 21、進入系統(tǒng)維護－管理接口，設(shè)置好接口地址，并提交。

 22、進入系統(tǒng)維護－數(shù)據(jù)接口，分別的其余兩塊網(wǎng)卡接入內(nèi)、外網(wǎng)，并提交。

 23、進入應(yīng)用路由－接口線路，分別設(shè)置LAN接口和WAN接口

 24、點擊LAN接口－添加，設(shè)置接口名inside,IP地址10.10.10.10，網(wǎng)絡(luò)掩碼255.255.255.0,其余默認(rèn)不用改。

 25、點擊WAN接口－添加，設(shè)置接口名outside,IP地址192.168.1.200，網(wǎng)關(guān)為192.168.1.1（這是我家里光貓的地址），DNS也是192.168.1.1.

 26、點擊應(yīng)用路由－策略路由，設(shè)置好內(nèi)網(wǎng)訪問外網(wǎng)的策略，源地址172.16.17.0/24（外網(wǎng)云地址），做NAT出外網(wǎng)。

 27、把WINXP接入VMNET2，模擬內(nèi)網(wǎng)桌面云，PING192.168.1.1，看能否上Internet，打開網(wǎng)頁也無法訪問。實現(xiàn)了內(nèi)網(wǎng)桌面云無法上Internet的功能。

 28、把WIN2008 R2接入VMNET1，模擬外網(wǎng)桌面云，PING192.168.1.1，看能否上Internet，打開網(wǎng)頁可以訪問百度。實現(xiàn)了外網(wǎng)桌面云可以上Internet的功能。

 29、我在最后了又測試了另外一個功能，就是在Internet訪問內(nèi)網(wǎng)服務(wù)器的功能，先把WIN2008 R2接入VMNET1，設(shè)好IP地址172.16.17.2,網(wǎng)關(guān)為172.16.17.254,DNS為192.168.1.1。在Panabit上，應(yīng)用路由－端口映射，如下圖所示：

 30、然后在物理機上，使用IE瀏覽器輸入IP地址192.168.1.200（相當(dāng)于公網(wǎng)地址），結(jié)果可以正常訪問，功能測試正常。

 最后所有的實驗和結(jié)果都做完了，功能都全部實現(xiàn)，當(dāng)然有人可能會用更好的方法和做法，我這里只是給大家一個借鑒，希望能對大家在以后的項目工程中有所幫助。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文題目：如何使用單機單網(wǎng)卡實現(xiàn)公司內(nèi)、外網(wǎng)訪問-創(chuàng)新互聯(lián)
當(dāng)前鏈接：http://weahome.cn/article/dgghjc.html