- 主题:在同一物理线路上运行两个网段?
需求:在同一个物理网络内限制哪些客户端可以挂载nfs服务器的导出项。
A、B两台机器,通过同一台交换机连到一个更大的局域网(下称N)上
A、B各自有属于这个大局域网的地址e.g., 192.168.1.2, 192.168.1.3
B上通过nfs导出了一个目录,只希望A能挂载。
但是nfs并不提供任何认证服务(我知道有一个,那个太麻烦),当然可以在/etc/exports里限制谁能挂载,但是外部仍然能用showmounts来看有哪些挂载点。
我的方案是
在A、B的网卡上各自再绑定一个新的ip,比如10.11.0.2, 10.11.0.3,并确保防火墙对来自这两个地址的数据不加过滤,而对192网段的数据进行白名单限制。
所以实际上,A、B之间有另一个和网络N共享物理层的网络。
经过测试上述方法可以工作。
那么我的问题是,上述方法是否合理?在不增加硬件的条件下,有没有更好的方法?
--
FROM 123.113.34.*
我实测之后发现能work,可能当初他们挑了贵的买的
我想知道有没有更正规的方法
【 在 poocp 的大作中提到: 】
: 同一个物理链路下多个网络的通用方法是划分VLAN,当然,这个需要你的交换机支持,普通交换机不行,需要vlan交换机。
--
FROM 123.113.34.*
这台交换机是完全可控的,而且它的非uplink端口上的机器都是可信任的,uplink口会和不可信任交换机相连
【 在 adoal 的大作中提到: 】
: 如果同一个交换机的其它人知道了这事,故意设置10.11.0网段的IP,
: 就可能对你造成干扰。
: 话说既然你知道通过防火墙限制访问NFS的IP,那在192.168.1
: ...................
--
FROM 123.113.34.*
IC, 看来还是加钱吧
【 在 adoal 的大作中提到: 】
: 如果是纯交换机,uplink口接到的地方跟你是同一个二层,
: 所谓的uplink只是逻辑上的意义,跟其它端口是一样的。
--
FROM 123.113.34.*