Configurando uma vlan privada para um laboratório de teste, mas ainda acessa a internet

1

Eu tenho procurado e tentando encontrar ideias sobre como isolar um laboratório de teste de nossa rede principal enquanto ainda permite o acesso do laboratório de testes à Internet.

No momento, nossa rede principal está em uma sub-rede 10.11.23.x. Para isso, adicionamos um Cisco Catalyst WS2960 em 10.11.23.245. Eu criei vlan23 neste switch, 10.11.23.245 e vlan192, 192.168.0.252.

Conectado fisicamente ao vlan23 deste switch está o eth0 de um servidor desktop HP que executa o CentOS. Conectado em vlan192 do switch é eth1 da mesma máquina HP.

Assim, a configuração do switch mostra:

interface Vlan23
 ip address 10.11.23.245 255.255.255.0
!
interface Vlan192
 ip address 192.168.0.252 255.255.255.0

E a caixa do CentOS mostra:

eth0      Link encap:Ethernet  HWaddr A0:48:1C:D6:8D:78  
          inet addr:10.11.23.212  Bcast:10.11.23.255  Mask:255.255.255.0
          inet6 addr: fe80::a248:1cff:fed6:8d78/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4463062082 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4058451942 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1677558138503 (1.5 TiB)  TX bytes:1109258225607 (1.0 TiB)
          Interrupt:17 

eth1      Link encap:Ethernet  HWaddr A0:48:1C:D6:8D:79  
          inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::a248:1cff:fed6:8d79/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2983685 errors:1 dropped:0 overruns:0 frame:2
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:231387664 (220.6 MiB)  TX bytes:522 (522.0 b)
          Interrupt:18 

Da caixa do CentOS eu posso pingar qualquer coisa na vlan23 mas nada na LAN de teste privada, vlan192. O mesmo vale para o switch, ele nem pode fazer o ping de eth1 na caixa do CentOS, que está fisicamente conectada a uma de suas próprias portas.

Queremos que o vlan192 permaneça invisível a partir do vlan23, pois estamos configurando um controlador de domínio de teste e queremos ter certeza de que ele não interfira de forma alguma, no entanto, o gateway para a Internet é 10.11.23.254. Isso pode ser feito?

Agradecemos antecipadamente por qualquer sugestão.

    
por Becky 22.02.2016 / 14:58

1 resposta

0

Se você tiver um firewall entre a VLAN de teste e o gateway principal, tente criar uma regra que permita o acesso a "não 192.168.0.0/16, 172.16.0.0/16, 10.0.0.0/8". Isso deve equivaler a "permitir acesso a tudo que não estiver em uma rede privada", que é a Internet. Não sou especialista, mas tenho uma VLAN de servidores isolados em casa configurada com uma regra como essa e ela pode acessar a internet e sua própria VLAN, mas nada mais.

    
por 22.02.2016 / 16:50

Tags