Security

ESXi 5.5 隔離網路

  • October 28, 2015

我最近獲得了一個執行 esxi 5.5 的 poweredge,並且正在創建一個用於滲透測試的網路。目前我的主網路和滲透網路是完全獨立的實體,沒有任何連接。主網路在 192.168.1.0/24 執行,滲透測試網路將分配到 10.0.0.0/27。

我想將滲透測試網路(閱讀:易受攻擊)連接到網際網路以進行外部測試,但這需要與主網路共享路由器。

我如何隔離這兩個,以便兩者都可以接收網際網路,但 192.168.xx 和 10.xxx 之間不可能通話?這個網路將是中度到非常脆弱的,並且很容易成為目標。我想盡一切努力最大程度地減少對真實網路的影響。

更新:所以目前滲透測試網路是一個 ESXi 和 2 台筆記型電腦連接到一個 linksys soho 路由器。沒有 VLAN,沒有花哨。只是插入soho路由器的poweredge。雖然升級路由器的計劃最終會發生,但我現在並不關心。這個網路與其他任何東西都沒有連接。

主網路是一個 ddwrt soho 路由器,連接 2 個工作站、一個媒體伺服器和一個未知數量(平均 5 個)無線設備,並連接到網際網路。帶有 NAT 的基本 192.168.1.0/24 家庭網路。

更多的路由器、防火牆、IDS,任何東西都可以購買/虛擬化,因為安全、預算和時間都不是問題,但到目前為止它是一個標准設置。

這與在 ESXi 主機上幾乎無關 - 這是一個路由問題 - 您只需要來自路由器的兩個單獨的 VLAN,它們都有外部路由,並且它們之間沒有路由。然後只需將這些 VLAN 中繼到您的 ESXi 上行鏈路,並在您的 vSwitch/es 中創建兩個帶有 VLAN 標記的埠組。就這麼簡單。

請提供有關您的網路設置的一些資訊。ESXi 伺服器如何連接到網路?你如何路由你的網路?你有什麼樣的網際網路上行鏈路,它是如何連接到你的網路的?您使用 VLAN 嗎?您創建了什麼樣的網路來連接虛擬機?

你的兩個網路都是私有的,所以你需要某種路由來訪問網際網路。您可以簡單地決定不在路由器上的兩個網路之間進行路由,這將阻止從一個網路到另一個網路,我猜就是這種情況。

引用自:https://serverfault.com/questions/732231