Мне для экспериментов с сервисам на моем гипервизоре нужна сеть которая не будет иметь доступ к домашней сети и сервисам внутри нее.
Моя домашняя инфраструктура состоит из:
Mikrotik (v6.40.5 on RB2011UiAS-2HnD) → HP MicroServer Gen8 (4CPUs x 2,494Ghz, Intel Xeon CPU E3-1265L V2 2.50GHz, RAM 12Gb)
Я хочу поднять почтовый сервер, а как известно чтобы развернуть Exchange 2013 нужен контроллер домена и потому сеть должна отличаться от текущей в которой я сейчас работаю. Для чего я это делаю, просто на новом месте работы используется почтовый сервер Exchange 2013, а я пока с ним не работал, но очень хочу приобщиться и быть наравне с тем кто там работает. Время есть и его нужно проводить с пользой постоянно повышая свой уровень как системного администратора.
Начинаю воплощение своей задумки:
Шаг №1: С рабочего ноутбука Lenovo E555 операционной системы Ubuntu Trusty Desktop (Gnome Classic) запускаю утилиту Winbox:
Приложения — Стандартные — Терминал и ввожу команду winbox
ekzorchik@system:~$ winbox
Шаг №2:
Затем подключаюсь (ip&dns:port&user&pass) к домашнему Mikrotik и создаю VLAN: Interfaces — вкладка VLAN — Add
- Name: vlanMAIL
- ARP: enabled
- VLAN ID: 5
- Interface: указываю интерфейс который в моей сети является Master для всех остальных, к примеру: ether2-master-local и нажимаю Apply — Ok или все тоже самое но через New Terminal
[ekzorchik@ekzorchik] > interface vlan add name=vlanMail arp=enabled vlan-id=5 interface=ether2-master-local
Шаг №3:
Затем присваиваю данному интерфейсу IP адрес (сетевой адрес выбираю любой из серых адресов)
IP — Addresses — Add
- Address: 172.34.34.0/24
- Interface: выбираю созданный выше vlanMail
или все то же самое но через New Terminal
[ekzorchik@ekzorchik] > ip address add address=172.34.34.0/24 interface=vlanMAIL
Шаг №4:
Теперь чтобы созданная сеть присвоенная VLAN“у не перекликалась с домашней нужно в Firewall создать правило блокирующее трафик между ними:
IP — Firewall — вкладка Filter Rules — Add
вкладка: General
- Chain: forward
- Src. Address: указываю сеть VLAN 5, т. е. 172.34.34.0/24
- Dst. Address: указываю домашнюю сеть, т. е. 172.38.38.0/24
вкладка: Action
- Action: drop
и сохраняю внесенные изменения Apply — Ok, после данное правило нужно поднять после всех разрешающих. Чтобы создать данное правило через New Terminal
[ekzorchik@ekzorchik] > ip firewall filter add chain=forward src-address=172.34.34.0/24 dst-address=172.38.38.0/24 action=drop
Шаг №5:
Чтобы сеть VLAN 5 имела доступ в интернет нужно правило MASQUERADE
IP — Firewall — вкладка NAT — Add
вкладка General
- Chain: srcnat
- Scr. Address: 172.34.34.0/24
- Out. Interface: vlanMail
вкладка Action:
- Action: masquerade
и сохраняю внесенные изменения Apply — Ok. Чтобы создать данное правило через New Terminal
[ekzorchik@ekzorchik] > ip firewall nat add chain=srcnat src-address=172.34.34.0/24 out-interface=vlanMAIL action=masquerade
Шаг №6:
Если нужно то можно поднять DHCP сервис на Mikrotik который будет выдавать IP адреса, но в моем случае он не нужен, т. к. мне нужна сеть с домен контроллером на котором будет развернута роль DHCP.
Шаг №7:
Теперь нужно завести данный VLAN в гипервизор ESXi 5.5, но вот под Ubuntu нет vSphere клиента для подключения к гипервизору, но я знаю на что я подписывался используя в повседневности систему Ubuntu Trusty Desktop. Выходом из этой ситуации у меня служит домашняя система виртуализации Virtualbox с развернутой внутри рабочей системой Windows 7 x64 SP1 Pro где установлен vSphere Client. Запускаю его и указываю IP&DNS&USER&PASS для подключения. После того как подключился, выделяю в левой панели сам сервер точнее его IP адресс и перехожу в Configuration — Networking — Add Networking — выбираю тип соединения Virtual Machine и нажимаю Next, после отмечаю галочкой сетевой адаптер (у меня пока подключен один)
Use vSwitch0 (Broadcom Corporation NetXtreme BCM5720 Gigabit Ethernet)
vmnic0 — должен быть отмечен галочкой которая затемнена
и нажимаю Next. Именую новую сеть:
- Network Label: vlanMail
- VLAN ID (Optional): вот здесь указываю идентификатор созданного на Mikrotik вилана, т. е. 5 и нажимаю Next — Finish
Итак я завел в гипервизор ESXi 5.5.0, 3116895) новую сеть и обозначил ее VLAN ID 5
Шаг №8:
Создаю в гипервизоре виртуальную машину на базе шаблона Windows 7 x64, устанавливаю ось Windows 7 x64 Pro SP1 и когда она загрузится прописан настройки IP адреса вручную в свойствах сетевого адаптера, а именно:
IP address, Mask, Gateway из созданной сети, т. е. К примеру:
- 172.34.34.24
- 255.255.255.0
- 172.34.34.1
и нужно не забыть прописать DNS адреса, а вот откуда их брать, а берутся они от настроек которые предоставляет мне мой провайдер интернета если этого не сделать выход из этой сети не будет работать.
Когда все сделано, то открыв консоль командной строки и выполнив ICMP запрос к примеру до сайта ya.ru в ответ приходят положительные пакеты о доставке:
Отлично я все задокумментировал и запомнил. Я так работаю и изучаю что-то что мне может пригодиться в работе. Воссоздаю всю задачу на виртуальном окружении, а не дожидаюсь покуда на рабочем месте поступит задача и ее буду решать совершая кучу ошибок. Собеседую сотрудника в свой отдел я спрашиваю, а что вы сами делали, а не кто-то другой. Порой слыша что соискатель Администрировал Exchange к примеру превращается в то, максимум что делалось это создание почтовых ящиков, а вот устанавливал, восстанавливал, осуществлял бекапирование и восстановление и тому подобное — ответ нет, был так называемый эксперт который не подпускал никого в свою вотчину. И в следствии этого соискатель уже ни как не будет принят ко мне в отдел. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.