eSXi网络实验环境搭建

Posted 2021-12-03 lzy821218

1、 接上一篇文章​​eSXi网络实验环境搭建​​ ,这篇是对第一篇文章的补充，容易忽略和难以吃透的点，再增加些图片帮助理解

2、 因为文章涉及linux、windows、虚拟化，所以不能做到面面俱到，我会用更多的文章去诠释我想要表达的，希望可以将我所知道的、经历的与有缘人分享和交流。

3、 映射端口的问题。Iptables上除了开放的SSH的2222端口外，还会开放所有虚拟服务器映射过来的端口，建议用20000以上的端口。例如：web的80端口，映射为20080，3389端口映射为33389。映射后一定要做一个表记录一下，或者在iptables.sh脚本里注明，以防时间久了，自己忘记

4、 Iptables中最重要的部分就是地址转换。家用胖路由里叫虚拟服务器，华为、思科里好像叫端口映射、端口重定向，其实要表达的都是一个意思。

① 地址转换又分为源地址转换、目的地址转换

② 源地址转换用于内网访问外网，将内部地址转换成防火墙地址再出去，实现了伪装

③ 目的地址转换用于外部访问内部，外部直接访问防火墙地址，再由防火墙将请求转发到内部地址上

5、 iptables的INPUT是发给防火墙本身的包

① 有人会问，防火墙架设在网络的出口，进来和出去的包都给防火墙。所有的包都是INPUT？

② 是的，没错。所有的包是都给防火墙，但是这里分直接给和间接给

③ 直接交给防火墙的，例如客户端ping 防火墙内网卡，这就是INPUT

④ 间接交给防火墙的，例如客户端ping 公网DNS ,这就是FORWARD

⑤ 防火墙ping 客户端，就是OUTPUT

⑥ 需要伪装客户端，就要用到POSTROUTING

⑦ 需要伪装服务器地址，就要用到PREROUTING

6、 千万不要忘记数据包是一来一回，有去有回，还是一套完整。建立规则时一定不要忘记这个原则

7、 跟别打电话时，先拨号，对方电话响铃后，接起电话，如果认识就开始通话，不认识挂掉。防火墙也要按照这个思路配置：

① 别人主动先给我打电话，我不接，就是--state NEW -j DROP

② 我主动给你打电话可以，就是 --state ESTABLISHED -j ACCEPT

③ 我给你打电话，但是接电话是别人，请把电话转给要找的人 ，就是 --state ESTABLISHED,RELATED -j ACCEPT

④ 就是利用TCP的状态来检测包的合法性

⑤ 内部主动发起建立的连接，建立后只要在这个连接上面干的任何事情都是合法的。

⑥ 外部主动找内部建立的连接全部说再见

8、 ESXI上安装WIN10虚拟机，然后再安装ensp模拟器，建立网络拓朴模型，用到的所有linux服务器，都通过图中的Cloud去绑定

① 图中centos8-dhcp-01、centos8-dhcp-01、centos8-gateway-01、centos8-01-l都是linux虚拟服务器，client-01-win10-l是windows虚拟服务器

② 通过ensp将所有虚拟机互连互通，做起实验来就方便很多

③ 下面单独有一张图是“云”绑定虚拟机的方法

1、 虚拟机建立好了，iptables策略也建立好了，下面就简单说一下，管理PC上都需要安装什么样的工具，来远程连接访问这些虚拟服务器、客户端

① Linux环境下，远程管理工具有：MobaXterm、Xshell、PuTTY 、SecureCRT，我喜欢用SecureCRT和MobaXterm

② MobaXterm有数量限制（原因都懂），但是界面配色鲜艳，功能很强大，支持的协议很多，没用过的建议试试

③ SecureCRT配置文件一定要记得备份，实验设备数量多了，还是很有用，版本不同路径不一样

C:\\Users\\用户配置文件名\\AppData\\Roaming\\VanDyke\\Config

C:\\Program Files\\VanDyke Software\\Clients\\Config

① Windows环境下，我用remote desktop connection manager v2.7,可以批量连接，切换方便。重要设置我已上图，其余默认即可

① 这样，所有在Esxi下建立的虚拟机，都可以在真实网络的管理PC上访问，安全又方便，所以iptables是关键

② Esxi下的所有虚拟机，除了iptables其中一块网卡绑定在esxi的物理网卡上。其余虚拟机全都绑在虚拟机网卡上。