BAS逼出奇葩拓扑

      某985大学XX学院，机房电脑已使用多年，性能稍落后，管理维护不便，耗费大量人力物力。客户准备上一套桌面云虚拟化系统来改变现状，最终选用了某公司的aDesk利旧方案。硬件采用三台华为服务器，购买软件授权，利用原有电脑，登陆VDI访问虚拟资源，老师可以后台对教学电脑进行软件和虚拟硬件的管理和维护。

     实施过程在某公司同事的帮助下还算顺利，局域网测试也都还好，当把学校的光纤接入交换机后，噩梦开始了，发现VMP集群地址打不开了，这时的拓扑就是比较常见的VDC单臂，VDC和VMP的管理口都是桥在一个虚拟

     交换机上，看图，VDC可以访问，VDC里面VMP的连接状态也正常，就是打不开集群IP，看了一下ARP，集群IP居然和网关一样！！看159.90和159.1，还怀疑过arp攻击，159.2和159.3是我ping的，只要是ping一个不存在的地址，就会有一条ARP，于是找到了网管，把这个MAC给他看了，让他帮查一下，结果查到是学校BAS，接入认证服务就是有这个机制，不存在的IP他就会接管，生成一个MAC地址是BAS的arp，而某公司的集群IP对于BAS来说就是一个不存在的IP，他也不允许有地址飘来飘去，经过沟通，学校网管是不会为了这个学院改BAS的，说别的学院也有VMware在用，没有问题，肯定是部署问题。。。

    于是想到先搭建一套局域网，然后通过NAT的方式接入学校，这样就可以不受学校的管理了。一开始是用了一个外置的路由器，把三台VMP的管理口挂在路由器的LAN口，启用1.1.199.X网段，WAN口接入学校的1.1.159.X，在路由器上把集群IP映射出来，管理可以使用159.99的地址加端口号管理VMP了，考虑经过外置路由器的流量问题，把业务口改到了VMP的ETH1，与终端通信和虚拟机上网都是从ETH1出去，ETH0变成了纯管理口。看似较好地解决了问题。

     既然是都是软件定义网络了，可不可把这个路由器使用虚拟机的形式呢，和400沟通后发现可以直接使用VDC的网关模式，把VDC的LAN口和VMP的eth0桥接到一个虚拟交换机0上，把VDC的WAN口和VMP的Eth1口桥接到一个虚拟交换机1上，这样拓扑就变成了这样。

    由于VMP上只能加一个默认网关，已指向了159.1，所有在VDC上做映射的时候要做双向地址转换，VDC上地址转换看似功能太简单，一个双向地址转换纠结了一下午，原来只要打个钩就好，允许从LAN访问，允许从DMZ访问，这里就此问题感谢2234，当然还有之前好多帮助我实施这个项目的工程师，基本上每一次打电话描述拓扑都要解释好久好久，确实太奇葩了。后续希望客户可以正常使用吧。

呵呵，写的非常好，

感谢分享，get到了。:感恩: