外网+城域网+vlan应用实例

muyijin

外网+城域网+vlan应用实例
单位是学校,由于增加城域网接入,原来的防火墙网络接口不够（其实是不想研究）。就用一台机器上了三个8139的网卡做防火墙。实施过程如下（第6步开始是按菜单顺序做的，改造是晚上0点以后做的，具体操作过程忘记了）：
1、网络环境（见附件1）






网络结构2.JPG
(14.67 KB)
2008-2-26 01:19 PM
2、安装系统，设置LAN 接口IP为：192.168.254.2/24
3、用WEB 方式设置WAN接口：61.157.x.x/24 网关：61.157.x.1 DNS:61.139.x.x，其它默认。
4、网络接口中依次选：（指派）》+号  自动增加opt1接口






pf1.JPG
(15.5 KB)
2008-2-27 04:01 PM
5、配置opt1接口 10.0.3.46/24 网关：10.0.3.45  勾上：打开附属的 1 号接口






pf2.JPG
(15.67 KB)
2008-2-27 04:01 PM
6、增加内网服务器与城域网 网段的别名，让部分机器只能访问内网服务器和城域网服务器






pf3.JPG
(9.72 KB)
2008-2-27 04:01 PM
7、NAT
转入：映射内网服务器IP到外网IP






pf4.JPG
(15.47 KB)
2008-2-27 04:01 PM
转出：指定城域网服务器NAT用OPT1端口，其它从WAN  NAT 出去






pf5.JPG
(45.86 KB)
2008-2-27 04:01 PM
8、规则
LAN：只允许2段机器访问指定的服务器，其它段无限制访问。






pf6.JPG
(19.83 KB)
2008-2-27 04:01 PM
WAN:规则是自己生成的






pf7.JPG
(21.91 KB)
2008-2-27 04:01 PM
OPT1：允许访问10段服务器，并指定出口网关






pf8.JPG
(12.14 KB)
2008-2-27 04:01 PM
9、虚拟IP（IP有多的，服务器用的另外的IP）






pf9.JPG
(10.8 KB)
2008-2-27 04:01 PM
10、使用了DNS转发用的DNS欺骗，没有用什么NAT回流。主要是让外网直接访问服务器，不到防火墙这里来转。






pf10.GIF
(39.4 KB)
2008-2-27 04:01 PM

回头一看，少了静态路由的设置
补上
附件


pf10.JPG
(11.08 KB)
2008-3-14 04:04 PM




本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/65289/showart_514728.html