如何使用單機單網卡實現公司內、外網訪問

  在我所將要實施的一個項目中，某公司內部有兩套網絡系統實現內、外網的物理隔離，員工訪問內、外網時使用的雙網卡隔離器來切換實現上不同的網絡。而隨著業務和科技的進步，用戶需要布署一套桌面云系統，用桌面云來打造內、外網絡，在前端使用云終端一體機來連接桌面云服務器登陸桌面訪問。這樣一來就會產生很多問題：

  1、因用戶前期在將要布署桌面云系統的每個云終端位置只布置了一根網線，不是象其它公司要使用內、外網絡都是在每個終端前布兩根網線來切換不同網絡。

  2、云終端一體機上也只有一個網口，無法實現雙網口隔離訪問內、外網絡。

  這里我想即然無法象一般的內、外網訪問采用物理隔離方案，那我就只有采用網絡邏輯隔離方案拉（化分不同的VLAN，使用ACL來隔離內、外網）。我在這個項目中使用超融合一體化服務器系統、Vmware Horizon6、華為萬兆核心交換機、華為千兆接入交換機、外網防火墻、WEB防火墻、IPS、云終端一體機等軟、硬件設備，系統的部分拓撲圖如下：

 在上面的拓撲圖可以看出，在云終端一體機和千兆接入交換機之間是使用超五類網線連接，超融合一體化服務器系統和萬兆交換機之間是使用SFP+多模模塊來實現連接，在萬兆核心交換機上一個電口連接內網光纖專線，一個電口連接外網防火墻出Internet網，在外網防火墻和核心交換機之間透明布署一臺IPS，在接入交換機和核心交換機之間布署一臺WEB防火墻（給內網用戶使用，保護WEB站點）。

  為了更好的在實施過程中不出現問題，我就自己搭了個實驗環境來走一遍，我的實驗拓撲圖如下：

  1、在拓撲圖中我把IPS和WEB防火墻給簡化掉了，不妨礙模擬真實的過程。

  2、我使用VMware Workstation軟件安裝一臺WIN2008 R2系統來模擬內、外網桌面系統。

  3、我再使用VMware Workstation軟件安裝一臺WINXP系統來模擬終端用戶。

  4、我使用華為的eNSP來模擬核心、接入交換機系統。

  5、我使用VMware Workstation軟件安裝Panabit來模擬防火墻系統，使用上外網功能。

  6、在功能上要實現，終端用戶能分別正常訪問內、外網桌面云，而內、外網桌面云不能互相訪問（來實現內、外網邏輯隔離）。

  7、外網桌面云可以正常上Internet,需內網桌面云不能上Internet。

  華為eNSP網絡拓撲圖如下：

  1、在核心交換機分別創建VLAN 17、20、50、100

  2、分別設置每個VLAN的網關為254

  3、VLAN50可以訪問VLAN17、20，VLAN17和VLAN20不能相互訪問

  4、VLAN17可以訪問外網，其余VLAN拒絕訪問外網

  5、外網桌面云VM是接入VMware Workstation虛擬網VMnet1

  6、內網桌面云VM是接入VMware Workstation虛擬網VMnet2

  7、終端用戶是接入VMware Workstation虛擬網VMnet3

  8、panabit是接入VMware Workstation虛擬網VMnet4

  9、panabit另一個網卡橋接在本機物理網卡上

  其中接入交換機的配置如下：

#

sysname sw2   #重命名為SW2

#

vlan batch 17 20 50 100  #建立VLAN17 20 50 100 

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094    #進入G0/0/1接口，做Trunk模式，允許所有VLAN通過

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 50     #進入G0/0/2接口，做access模式，化入VLAN50

#

  核心交換機的配置如下：

<Huawei>system-view

[Huawei]sysname sw1

[sw1]vlan batch 17 20 50 100    #創建不同的VLAN

[sw1]interface g0/0/1      #進入G00/0/1口

[sw1-GigabitEthernet0/0/1]port link-type access

[sw1-GigabitEthernet0/0/1]port default vlan 17    #化入VLAN17

[sw1-GigabitEthernet0/0/1]qu

[sw1]interface g0/0/2      #進入G00/0/2口

[sw1-GigabitEthernet0/0/2]port link-type access 

[sw1-GigabitEthernet0/0/2]port default vlan 20    #化入VLAN20

[sw1-GigabitEthernet0/0/2]qu

[sw1]interface g0/0/3      #進入G00/0/3口

[sw1-GigabitEthernet0/0/3]port link-type trunk 

[sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all   #建TRUNK,允許所有VLAN通過

[sw1-GigabitEthernet0/0/3]qu

[sw1]interface vlan 17

[sw1-Vlanif17]ip address 172.16.17.254 255.255.255.0   #指定VLAN17的網關

[sw1-Vlanif17]qu

[sw1]interface vlan 20

[sw1-Vlanif20]ip address 192.168.20.254 255.255.255.0  #指定VLAN20的網關

[sw1-Vlanif20]qu

[sw1]interface vlan 50

[sw1-Vlanif50]ip address 192.168.50.254 255.255.255.0  #指定VLAN50的網關

[sw1-Vlanif50]qu

[sw1]interface vlan 100

[sw1-Vlanif100]ip address 10.10.10.254 255.255.255.0   #指定VLAN100的IP地址

[sw1-Vlanif100]qu

[sw1]acl number 3000   #配置VLAN17到VLAN20的訪問規則

[sw1-acl-adv-3000]rule deny ip source 172.16.17.0 0.0.0.255 destination 192.168.

20.0 0.0.0.255

[sw1-acl-adv-3000]qu

[sw1]traffic classifier c_vlan17   # 配置流分類c_vlan17，對匹配ACL 3000的報文進行分類

[sw1-classifier-c_vlan17]if-match acl 3000

[sw1-classifier-c_vlan17]qu

[sw1]traffic behavior b_vlan17     # 配置流行為b_vlan17，動作為拒絕報文通過

[sw1-behavior-b_vlan17]deny 

[sw1-behavior-b_vlan17]qu

[sw1] traffic policy p_vlan17  # 配置流策略p_vlan17，將流分類c_vlan17與流行為b_vlan17關聯

[sw1-trafficpolicy-p_vlan17] classifier c_vlan17 behavior b_vlan17

[HUAWEI-trafficpolicy-p_market] quit

[sw1]interface g0/0/1         # 將流策略p_vlan17應用到GE0/0/1接口

[sw1-GigabitEthernet0/0/1]traffic-policy p_vlan17 inbound 

[sw1-GigabitEthernet0/0/1]qu

[sw1]interface g0/0/24

[sw1-GigabitEthernet0/0/24]port link-type access 

[sw1-GigabitEthernet0/0/24]port default vlan 100  #化入VLAN100

[sw1-GigabitEthernet0/0/24]qu

[sw1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.10  #配置默認路由到外網防火墻

<sw1>save

  把交換機的配置全部配置好后，我再到VMware Workstation中安裝好WIN2008 R2、WINXP系統，這個過程很簡單我就不再描述過程，只是講解怎么把系統接入到不同的網絡中來做實驗。

 1、把WINXP接入VMNET3網絡中

  2、把WINXP的IP地址設置為192.168.50.3，網關為192.168.50.254。

  3、用PING命令，看是否能PING通網關。

  4、先把WIN2008 R2接入VMNET1網絡中

  5、把WIN2008 R2的IP地址設置為172.16.17.2，網關為172.16.17.254.

  6、用PING命令，看是否能PING通網關。

  7、在WIN2008 R2系統中安裝IIS服務，然后把默認網站啟用，因很簡單我這里不做介紹。到WINXP系統中用IE瀏覽器輸入172.16.17.2看能否打開默認網站。如果能則表示從云終端能夠正常訪問外網桌面云系統。

  8、然后我們再把WIN2008 R2系統接入到VMNET2網絡中，模擬內網桌面云系統

  9、把WIN2008 R2的IP地址修改為192.168.20.2，網關為192.168.20.254

  10、用PING命令，看是否能PING通網關。

  11、到WINXP系統中，用IE瀏覽器輸入192.168.20.2看能否打開默認網站。如果能則表示從云終端能夠正常訪問內網桌面云系統。用相同的方法測試外網桌面云系統172.16.17.2也是可以打開網站，這里不再重復描述。全部測試完成則表示云終端是可以分別正常訪問內、外網系統的。

  12、因我只有WIN2008和XP兩個系統，所以我再把WINXP接入到VMNET1，來模擬下外網桌面云系統

  13、我把WINXP的IP地址修改為172.16.17.3，網關為172.16.17.254

  14、然后用PING命令，來PING192.168.20.2，來測試看我在核心交換機上做ACL能否起來拒絕內、外網互訪的功能。如果不能PING通則表示已起到內、外網隔離功能。

  15、再到WIN2008 R2系統中去PING172.16.17.3，如果不能PING通則表示已起到內、外網隔離功能。

  16、在這里我是用Panabit軟件來模擬防火墻，真實的實現內部設備上Internet的功能。先在VMware Workstation中安裝好Panabit。在Panabit系統中我使用了三塊網卡，第一塊接入VMNET3網絡，當管理接口。第二塊接入VMNET4網絡，和核心交換機相連。第三塊網卡接入VMNET0網絡，橋接到我的物理網卡，模擬Internet。

  17、進入系統后輸入用戶名root和密碼panaos.

  17、使用ifconfig來查看三塊網卡的地址，用ifconfig le0 192.168.50.10 255.255.255.0命令來給管理網口設備IP地址。

  18、在自己的物理機的瀏覽器上輸入192.168.50.10地址，來WEB管理Panabit。

  19、在此點擊繼續瀏覽此網站，輸入用戶名admin,密碼panaos

  20、進入頁面后，我進入系統維護－升級系統，把補丁給打好。

  21、進入系統維護－管理接口，設置好接口地址，并提交。

  22、進入系統維護－數據接口，分別的其余兩塊網卡接入內、外網，并提交。

  23、進入應用路由－接口線路，分別設置LAN接口和WAN接口

  24、點擊LAN接口－添加，設置接口名inside,IP地址10.10.10.10，網絡掩碼255.255.255.0,其余默認不用改。

  25、點擊WAN接口－添加，設置接口名outside,IP地址192.168.1.200，網關為192.168.1.1（這是我家里光貓的地址），DNS也是192.168.1.1.

  26、點擊應用路由－策略路由，設置好內網訪問外網的策略，源地址172.16.17.0/24（外網云地址），做NAT出外網。

  27、把WINXP接入VMNET2，模擬內網桌面云，PING192.168.1.1，看能否上Internet，打開網頁也無法訪問。實現了內網桌面云無法上Internet的功能。

  28、把WIN2008 R2接入VMNET1，模擬外網桌面云，PING192.168.1.1，看能否上Internet，打開網頁可以訪問百度。實現了外網桌面云可以上Internet的功能。

  29、我在最后了又測試了另外一個功能，就是在Internet訪問內網服務器的功能，先把WIN2008 R2接入VMNET1，設好IP地址172.16.17.2,網關為172.16.17.254,DNS為192.168.1.1。在Panabit上，應用路由－端口映射，如下圖所示：

  30、然后在物理機上，使用IE瀏覽器輸入IP地址192.168.1.200（相當于公網地址），結果可以正常訪問，功能測試正常。

  最后所有的實驗和結果都做完了，功能都全部實現，當然有人可能會用更好的方法和做法，我這里只是給大家一個借鑒，希望能對大家在以后的項目工程中有所幫助。