背景介绍：

前期在做机房规划的时候忘记做其他的vlan的划分，现在有需求添加私网的一个环境给研发作调试用（172.16.1.0/24）。在满足172网段互通的同时还要保证可以访问外网，同时由于安全考虑不能访问其他的网段机服务器。

准备工作：

a. 宿主机连接的交换机端口设置为trunk, 允许所有vlan通过

b. 在交换机上预先创建vlan，交换机上不存在的vlan是无法通讯的（这里坑了我半天）

创建虚拟交换机（在相关宿主机上)

ip link add link bond0 name bond0.12 type vlan id 12

ip link set dev bond0.12 up

brctl addbr br12                                

brctl addif br12   bond0.12                       

ip addr add 172.16.1.22/24 brd 172.16.1.255 dev br12 （可以不需要配地址）

ip link set br12 up

创建虚拟路由器

a. 1. 创建虚拟机。外网vlan(192.168.0.0),

    2. echo 1 > /proc/sys/net/ipv4/ip_forward

     3. 在虚拟路由器上起keepalived

b. 增加一个内网vlan,就给虚拟路由器加个接口)

c. 在路由器内加路由条目（博兴路由器还是公司路由器）？

d. 在外部路由器上加入指向虚拟路由器的静态路由

e. 在虚拟路由器上加ACL（重要！！！！安全）

性能从1M到100M之间浮动，

提高性能参考lvs优化？ 关闭tso?

创建虚拟机

a. 虚拟机有一个网卡在该vlan

b. 设置默认网关为虚拟路由器IP

后期安全加固：

要求172网段服务器只可以访问172网段和外网，不能访问除了192.168.0.230这个路由转发服务器之外的其他192网段服务器。

大坑操作：

前期思路：

在iptables上把input的规则加上禁止172网段的其他服务器访问192网段的其他服务器

例如这样的规则：

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  172.16.1.0/24          192.168.0.254       
DROP       all  --  172.16.1.0/24           192.168.0.0/24      
           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

发现没有任何作用，后期又在output连上做了一些类似的操作，但是都是没有作用。

经过冷静，发现是在路由服务器上做的路由转发，所以我在input和output上作的规则是没有任何作用的，在这个环境里我做的是禁止转发，所以

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.0.254       
DROP       all  --  0.0.0.0/0            192.168.0.0/24      

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

完美的解决问题，我只需要把访问网关的允许其他的drop接可以了

反思：

以前对于iptables的用发主要集中在input这个链上，或者snat和dnat上，所以先入为主，把大量的精力用在了错误的上面。