从2012年接触网络到现在,只接触过两次大二层(印象中)的网络。
其一,某公司研究单位,内网有十几个网段,但在同一个VLAN,所有的网关在出口的防火墙上,防火墙的LAN口配置了十几个网关。 其二,某公司政府单位,区级单位,内网两个网段,在同一个VLAN。
[color=#ff某公司公司]大二层:某公司公司没有释义。这个概念是听我同事提及的,意思就是说不同的网段在同一个VLAN下,不同于一般的二层,所以叫大二层。
[color=#某公司公司ff]一、客户网络结构 出口交换机--防火墙--核心交换机--接入交换机
SW1是上级单位交换机,网段为10.10.X.X,SW2为客户内网交换机,网段为10.10.X.X,网段主要用于服务器。 FW是出口防火墙,用于内网某公司公司192.168.0.0/24上网。 SWS是核心交换机,其上配置着Vlan 1,2,10。Vlan 1是FW与SW3的互联VLAN(192.168.2.0/24),Vlan 10是192.168.0.0/24网段,Vlan 2是192.168.1.0/24网段。
[color=#某公司公司ff]二、VDC部署 1、方案1 VDC使用10网段,aDesk使用192.168.1.0/24网段,某公司公司机使用192.168.0.0/24网段。
(1)在FW上添加命令:
a.允许将192.168.1.0/24网段转换为FW的WAN口IP。 acl number 2某公司1 rule 10 permit source 192.168.1.0 0.0.0.255
b.添加回包路由 ip route-static 192.168.1.0 255.255.255.0 192.168.2.2
(2)VDC的网关指向FW的WAN口。
(3)aDesk的网关指向FW上Vlan 2的网关。
最终方案1未能实现。原因:aDesk网段与10网段不互通。 当时尝试了很多方法,从终端逐个设备往上查,发现接入交换机(管理IP为192.168.0.0/24网段)可以与VDC互联,而下面的PC就不可以,怀疑中间有设备做了拦截。 推测原因:a.中间有一台思科设备,不知道密码,某公司公司法登录获取配置;b.vlan部署有问题。
2、方案2 VDC使用192.168.30.0/24网段,aDesk使用192.168.30.0/24网段,某公司公司机使用192.168.0.0/24网段。
当方案1发现行不通时,想在内网新加个Vlan,然后将aDesk接的口接到交换机属于该Vlan的接口上。客户表示不同意,觉得以后每增加一台aDesk,还要寻线,特别麻烦。 客户说他们的交换机没有绑定vlan(当时说了一个挺拗口的词,没记住),连接的PC配置上哪个网段的IP就能跟哪个网段的设备通。当时我没反应过来,特意查看了他们的交换机配置,发现接入层交换机都属于Vlan 10,怎么能进行通信呢。 我表示怀疑后,客户当场试验。将自己PC原本的192.168.0.0/24网段的IP改成192.168.1.0/24网段的IP,就可以和该网段的PC通信了。当时我的头都大了,心说这是什么鬼?感觉现象颠覆了我的认知。 后来我才反应过来,这不就是大二层吗?所有PC都属于同一个VLAN。跟交换机接口属于哪个VLAN是没有关系的。
于是,就得出了上面的方案。 该方案有很明显的缺点:管理不便,客户想要管理VMP和VDC,需要先将IP从192.168.0.0/24改到192.168.30.0/24;网络不清晰,所有数据在同一个LAN;某公司公司机与aDesk的流量占用管理口带宽。 但客户接受了,觉得这才是他们想要的效果。
[color=#某公司公司ff]三、如何配置LDAP 1、LDAP认证 在部署LDAP时,遇到了一个难题。VDC是192.168.30.0/24网段的IP,而LDAP服务器是192.168.0.0/24网段的。两个网段不通,怎么办? 这时可以通过配置LAN口的第二IP或配置DMZ口地址实现。
这里配置完成后,需要在VMP的“某公司公司网络”里,新增某公司公司交换机,将VDC的网卡2桥接到对应的物理网卡上。
配置LDAP认证: 路径:VDI设置--认证设置--LDAP认证选项,新增LDAP服务器,其配置方式与VPN添加LDAP服务器相同。
配置组映射:
组映射生成的本地组:
2、域认证 域认证的作用是当某公司公司登录某公司公司机时,自动加入域。 路径:VDI设置--资源管理--域配置和自动登录 注:“绑定域某公司公司登录”这里指的不是该某公司公司机与该某公司公司进行关联,不能解除。而是该登录该某公司公司机的某公司公司某公司公司法注销,登录某公司公司域某公司公司。
| 
发表于 2017-12-31 15:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家4级 
