相信这种需求很常见,
ESXI端口组中有配置vlan的参数,默认为vlan0,应该代表没有vlan,
把某个端口组设置为vlan20,这个端口组所链接的虚拟机无法获取IP地址(DHCP服务器是AC68u),且无法链接互联网及vlan外的任何设备,但是两台同端口组的虚拟机(guest1与guest2)可以互相连接。
那么问题来了,如果在AC68u与ESXI中加一台可划分vlan的交换机,能不能解决这个问题?
注意ESXI只有一个物理网口。
无线设备可以增加AP挂在交换机下
QQ20200329-0.jpg (135.56 KB, 下载次数: 0)
评论
本人知识只到ac68u可以走vlan才能解决问题,等楼下大牛解答
评论
**固件可以设置vlan,但是我试了一下,貌似他的vlanid只在自己的系统有用,出了AC68u就没用了。
评论
防火墙规则了解一下 很久不用美林了不知道有么有这个功能
评论
直接在防火墙上禁止访问不行么
评论
物理机用的什么平台?
我没有用ESXi,用的workstation,相同环境不同平台遇到过可访问/不可访问的问题。。不知道是否是类似的问题
评论
实在不行exsi里跑个软路由
我有个ac66b1,不能当简单的傻瓜交换机用,会把vlan tag去掉
编辑掉 ,刚看错了题目了
评论
你这个好歹要有两个VLAN互通的机制才行啊。
评论
内网设备的访问和防火墙规则无关啊,就算把AC68U去掉,虚拟机间依旧可以通过vSwitch互访的。
评论
物理机就是C621平台,俩网口一个直通给了群晖,就剩下一个网口可用。
评论
是的 好像固件会把自己的vlanid去掉
评论
只要两个vlan能够连通路由器就好了
评论
内网设备访问应该不需要过路由器,防火墙访问应该是对外网的吧
评论
你所有虚拟机出口都要过一遍esxi的防火墙啊
在esxi的防火墙上写规则不就行了
esxi的防火墙具体功能不太了解, 但是应该可以实现禁止虚拟机访问部分网域的功能把
评论
1、把设备暴露在外网有一个较为标准的说法叫DMZ,但一般不用。更通常的做法是在路由器上做端口映射,把外网对路由器(公网IP/DDNS域名)某个端口的访问转发到内网某台设备上,这样更安全。
2、就你画的拓扑和已有设备来看,实现你要的功能是没问题的。1)ESXI的设置没问题,只需这样划分vlan就可以了,不用在ESXI上搞什么防火墙配置,guest虚拟机的网段要与内网网段不一样;2)网管交换机上要做vlan配置(vlan1和vlan20),下接ESXI的端口要配置为trunk口,上联AC68u的端口也要配置为trunk口;3)AC68u上要做vlan配置(用robocfg命令),端口映射,以及到guest虚拟机的静态路由。
评论
试过Merlin的robocfg设定vlan,比如我设定为vlan 20关联端口1与8t(处理器),这时候ESXI保持土里的状态直接路由器1口的时候,vlan20依旧是无法连通路由器的,无DHCP,手动指定地址ping都不通,中间加管理交换机后,这个问题就可以解决了?
评论
与是否用管理交换机没有关系,它只算通道,关键在Meilin的配置。若你用的是Openwrt/LEDE软路由也许我可以帮你,而Merlin大半年没用,具体怎么弄记不清了,只能发一个我以前的帖子,讲的是如何让Meilin的访客网络用户不能访问内网,有些相同性供参考。
AP模式下**固件设置访客网络的方法
不知有没有朋友注意到,**固件在AP模式下的访客网络是一个“假访客网络”,也就是说这个访客网络事实上是与内部网络是联通的,没有起到访客网络的隔离作用。
原因是:在AP模式下,**固件将内部有线/无线网络和访客网络搭接在同一个网桥下(br0),使二者互通,当然就无法隔离访客网络了。
解决的思路使:新建一个网桥br1,将访客网络的两个无线接口(2.4G网和5G网)从br0网桥移到新建的br1网桥下,使之与内部网络隔离;然后让**内建的DHCP服务(dnsmasq)为这个访客网桥接入的设备分配动态IP,并通过Iptables的NAT使访客网桥可通过内部网络接入互联网。具体方法如下:
一、设备初始配置情况
主路由器ac88u, IP:192.168.10.1; 用于AP的路由器:R6400,**固件:380.70_0-X7.9.1,内部IP:192.168.10.3,主路由器接R6400的WAN口。
在初始配置下,使用brctl show命令可查询到只有一个br0网桥(IP:192.168.10.3),接入的网络接口有vlan1,eth1,eth2,wl0.1,wl1.1。其中wl0.1(注意是wl不是w1)是访客2.4G无线网络接口,wl1.1是访客5G无线网络接口。
二、网桥及nvram设置
1、网桥设置
#将访客网络接口从br0中删除
brctl delif br0 wl0.1
brctl delif br0 wl1.1
#新增br1网桥,并将访客网络接口加入br1
brctl addbr br1
brctl addif br1 wl0.1
brctl addif br1 wl1.1
#设置br1网桥的IP为10.10.10.1
ifconfig br1 10.10.10.1 netmask 255.255.255.0 up
2、nvram设置
#在nvram中也需要相同思路的设置
nvram set lan_ifnames="vlan1 eth1 eth2"
nvram set lan_ifname="br0"
nvram set lan1_ifnames="wl0.1 wl1.1"
nvram set lan1_ifname="br1"
nvram set lan1_ipaddr="10.10.10.1"
#重启eapd让nvram的设置生效
killall eapd
eapd
三、DHCP设置
现在从访客网络接入的设备被桥接在br1网桥下,原主路由器就不能为这些设备提供的DHCP服务了,因此需要启用AP路由器的DHCP服务(dnsmasq),为访客网络接入的设备分配IP。
dnsmasq配置文件:dnsmasq.conf
这个文件可放置在/jffs目录下(/jffs/dnsmasq.conf)
#文件内容
user=nobody
port=0 #默认端口
interface=br1 #只服务br1
except-interface=br0
dhcp-range=10.10.10.50,10.10.10.150,255.255.255.0,12h #分配的IP段为10.10.10.x
dhcp-option=3,10.10.10.1
dhcp-option=6,61.128.128.68,61.128.192.68
dhcp-leasefile=/tmp/mnt/sda/tmp/dnsmasq.leases #根据自己的情况修改leases文件保存位置
四、Iptables 设置
iptables -A INPUT -s 10.10.10.0/24 -d 10.10.10.0/24 -j ACCEPT
#禁止访客网络访问内部网段
iptables -A INPUT -i br1 -d 192.168.10.0/24 -j DROP
iptables -A FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -A FORWARD -i br1 -d 192.168.10.0/24 -j DROP
#访客网络通过NAT从AP路由器接入互联网
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source 192.168.10.3
五、设置生效方法
可以将以往内容写入services-start脚本中,AP路由器重启生效。
以下为services-start脚本中的内容,理解脚本内容请看前述:
brctl delif br0 wl0.1
brctl delif br0 wl1.1
brctl addbr br1
brctl addif br1 wl0.1
brctl addif br1 wl1.1
ifconfig br1 10.10.10.1 netmask 255.255.255.0 up
nvram set lan_ifnames="vlan1 eth1 eth2"
nvram set lan_ifname="br0"
nvram set lan1_ifnames="wl0.1 wl1.1"
nvram set lan1_ifname="br1"
nvram set lan1_ipaddr="10.10.10.1"
#重启eapd让nvram的设置生效
killall eapd
eapd
#重启dnsmasq加载新的配置脚本
killall dnsmasq
dnsmasq --conf-file=/jffs/dnsmasq.conf
#设置Iptables
iptables -A INPUT -s 10.10.10.0/24 -d 10.10.10.0/24 -j ACCEPT
iptables -A INPUT -i br1 -d 192.168.10.0/24 -j DROP
iptables -A FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -A FORWARD -i br1 -d 192.168.10.0/24 -j DROP
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source 192.168.10.3
六、最后的问题
#允许AP路由器转发网络包(在AP模式下, ip_forward被设置为0)
在路由器命令状态下输入:
echo 1 > /proc/sys/net/ipv4/ip_forward
评论
esxi防火墙能做到,要用esxcli去设置
评论
搞了一台可管理交换机,等设备到了研究下回来汇报结果。 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?