有一个机房里面有几台服务器,一台交换机和一个防火墙。两个外网光猫。一个是公网ip一个是视频专网。隔壁还有几台电脑。
防火墙被重置过,需要重新配置规则实现内网访问公网,同时让公网能访问内网服务。
来到现场后,发现能访问防火墙和交换机,但是无法访问到服务器。先排查服务器。
服务器是海康威视的hikvision os。首先开机,发现有两台是未使用的,输入默认初始密码123456后进入了重置密码环节。而另外三台服务器是使用过的。不知道什么原因这些服务器上有三个启动项,选择中间的启动项才能进系统,不过有一个选了也进不去,那台只能放弃了。旧服务器已有op写入,而新机没有,首先输入
ip a查看本机网卡。
这台服务器上有两个网卡对应两个网口,用ethtool的一个命令可以亮起网卡接口右边的黄灯,从而确定是哪个口。
确定哪个口后需要按照操作说明,找到并进入ifcfg-网卡名,修改里面的配置。
根据我这里的网络拓扑,其中需要将默认的dhcp换成static。
onboot改成yes,然后补充ipaddr,netmask和gateway。
保存退出后,输入systemctl restart network.service重启网络。
配置防火墙连公网。
跟几个层面。首先要找到网口,一般来说防火墙页面里面会有一个可视图,提示插入网线的每个口在防火墙里的名字。
需要给每个网口分一个域,并且绑一个ip,对应本防火墙在这个口的网络地址。
不同的域之间不互通,需要设置域间规则放行。我这里设置的外网是untrust,内网是trsut,要开启untrust到trust,trust到untrust的规则,才能实现内网访问公网。
公网访问内网服务,则需要在nat内部服务器设置中开放端口映射。并且开启nat出方向的访问控制。
实际部署时遇到个问题就是两条网线都插入后,上不了网了。但是视频能看。排查发现是路由规则里面有两条0.0.0.0的路由,分别通向两个网络前者覆盖了后者。
我不知道如何为设备配置不同的路由。采用的方法是将0.0.0.0路由分给公网,再写一个优先级靠前的视频设备的网络前缀路由。这样访问视频设备时可以先匹配专线,其它的请求转到公网。
发表回复