本帖最后由 Sangfor1087 于 2017-8-22 13:50 编辑
物理双网隔离&逻辑双网隔离
一、物理双网隔离
需要有两套VMP,盒子启用双网,通过网络切换器来切换。
VDC4.3开始支持盒子启用双网,即一个盒子可以同时配置两套网络地址。 目前ARM架构的盒子都支持启用双网:STD-PRO-200H有两张网卡,自带网络切换器;其他ARM架构的盒子只有一张网卡,需要外置网络切换器。 STD-500(x86架构)不支持启用双网。
二、逻辑双网隔离
一套VMP,一套虚拟机能上外网,一套虚拟机不能上外网,盒子配置一个网卡即可,通过ctrl+shift+f11来切换内外网虚拟机。
2.1 首先需要明确以下几点:
1、在VMP上,软件VDC的网卡1对应LAN口,网卡2对应DMZ口,网卡3、4对应WAN1、WAN2;
2、软件VDC和虚拟机的网卡需要桥接虚拟交换机,虚拟交换机需要桥接服务器的物理网口;
3、服务器的网口不能是同一网段,且只能配置一个网关,即eth0和eth1不能是同一网段,eth0配置了网关,则eth1就不能配置网关了;
4、VMP5.1及之前版本,【实体机】-【物理主机】-【详情】-【网络】-【高级设置】-VDC客户端通信口,若为空,则终端会去连虚拟机桥接的虚拟交换机桥接的物理网口;VMP5.2及之后的版本,该网口的位置在【实体机】-【物理主机】-【设置终端与主机通信网口】;终端成功连接VDC之后,VDC会告诉终端去连这个地址,所以要保证这个终端通信口的IP是终端能连接上的;
5、VMP5.1及之前版本,要保证虚拟机能访问到VDC的LAN口的8866端口,agent才能正常接入; VMP5.2及之后的版本,没有这个限制,agent可以免IP接入。
2.2 基本步骤
1、软件VDC单臂模式部署,LAN口接外网,DMZ口接内网;
2、在虚拟网络创建两个虚拟交换机A、B,将A接服务器的外网网口eth0,B接服务器的内网网口eth1;
3、软件VDC的网卡1接A,网卡2接B;需要上外网的虚拟机接A,内网的虚拟机接B;
4、内网虚拟机接B,只能访问到VDC的DMZ口,由于2.1中第5点的限制(VMP5.1及之前版本需要写,VMP5.2及之后的版本不需要),需要:
1)在物理网络中写一条去往VDC LAN口的下一跳为VDC的DMZ口的主机路由;
2)若物理网络中不允许,在每台虚拟机的cmd里写该条路由:route add -p 1.1.1.1 mask 255.255.255.255 2.2.2.2(1.1.1.1为LAN口IP,2.2.2.2为DMZ口IP,可以在模板里面写了之后,更新模板虚拟机,亲测有效);
3)若内网虚拟机是独立的网段,实际上物理网络是没有它的网关的,可以直接把网关写成DMZ的IP。
更多详情请点击
欢迎补充及指正。
- 2017.8.22 更新了物理双网隔离支持的盒子 |