#原创分享#桌面云逻辑隔离,满足客户“任性”需求
  

佬狮姬 3647

{{ttag.title}}
桌面云逻辑隔离+复杂部署场景
【原创分享计划4信服体验,为你喜欢的产品/功能打CALL

客户需求桌面云替代传统物理机,访问内外网桌面时,能快速切换,并且保证网络的安全性,经过沟通,客户同意采用内外网逻辑隔离方案;

网络环境第三方服务器部署VMP 5.4.0R1,客户内外网纯物理隔离;

前期规划两种实现方案:

1.通过添加三层交换机,交换机上允许配置trunk,允许内外网不同VLAN通过,写路由分别让不同VLAN访问不同资源,实现内外网逻辑隔离。

     2.将内外网某公司公司机桥接到不同的某公司公司交换机,然后对应不同的物理网口,不同网口分别接到客户对应的内外网交换机上。


本项目采用第二种方法;

项目实施
1,下载最新版本安装包VMP 5.4.0R1,并且校验MD5值,用UltraISO制作启动盘;
2,本次采用华为RH2288H V3服务器,服务器开机按DEL进入BIOS,BIOS默认密码为“Huawei12#$”,在Advanced选项Intel RC Group选项中,将Power Policy Select修改为Performance.


某公司公司值保持默认;
3,服务器开机,Ctrl+A(不同型号存在差异)进入RAID配置,首先初始化驱动,RAID卡型号为PM8060,一直没找到怎么设置单盘raid0,打华为售后才知道此型号不支持做单盘raid0。不过创建 Volume就相当于raid0;

选择单块盘,Array Type的类型选Volum,所有的盘依次同样的操作。
4,重启服务器,将做好的启动盘插到服务器上,选择U盘启动,出现VMP界面后,按步骤安装就行了,选择系统安装位置时,检查盘数是不是对的;(当卡在6%的时候,说明没识别到磁盘)


麻烦来了:找客户要内外网IP的时候,客户说“我没有那么多内网IP给你,我只能给2-3个内网IP给你”,20台内网某公司公司机,就2-3个IP怎么弄!!和客户解释半天,内网某公司公司机都运行在服务器上,也需要IP才能访问内网资源,客户答“你用地址转换啊”,顿时觉得客户想象力超乎我的想象,不过客户是上帝,我们得满足客户需求,加设备吧,服务器前端加台防火墙做NAT

5,安装成功后,自动重启,拔U盘,浏览器输入设置好的VMP的IP,进入VMP,插Key激活授权,同步系统时间,初始化存储,创建VDC,导入VMA,安装性能优化工具,激活,克隆某公司公司机,转换成模板,一个内网模板,一个外网模板;登录VDC,授权设置VDC,测试VMP与VDC连通性,创建内外网资源,创建某公司公司,角色关联某公司公司和资源,分配IP,调策略(如关闭导航条,允许保存密码自动登录,关机一体化,盒子定时关机,某公司公司机定时关机)
说明:
服务器eth0口为管理口(192.192.193.X);
服务器eth1口为内网口(192.192.192.X),内网某公司公司交换机桥接eth1口和内网某公司公司机,某公司公司机网关为防火墙的下联口g1(192.192.***.254);
服务器eth2口为外网口(192.192.***.X),外网某公司公司交换机桥接eth2口和外网某公司公司机,某公司公司机网关为防火墙得下联口g2(192.192.***.254
防火墙设置两个下联口g1,g2对接服务器eth1和eth2口,两个上联口g3,g4分别是客户给的内外网地址,内10.10.***.10,外192.***.1.10;
防火墙分别做内外网的源地址转换(SNAT),将内网某公司公司机的地址转成出口10.***.10.10,外网某公司公司机的地址转成出口192.***.1.10;
防火墙写源路由,内网192.***.192.X下一跳为内网网关10.10.***.254,外网192.***.194.X下一跳为外网网关192.***.1.254

客户要求
内网物理机能通过10.10.***.10这个IP访问VDC,VMP,VDI,且不能ping192.192.193.X
外网物理机能通过192.***.1.10这个IP访问VDC,VMP,VDI,不能ping192.192.193.X

实现:在防火墙上做两个目的地址转换(DNAT),分别是
10.10.10.X,目的192.192.193.X,对应端口;
192.168.1.X,目的192.192.193.X,对应端口;

6,盒子端也需要自己设置IP,但盒子端不方便添加设置进行地址转换,只能借用客户现有的内外网环境,将盒子接到内网的网口,将服务器的eth0管理口直接接到内网交换机上。盒子设置成管理口同网段的IP(192.192.193.X),这样盒子就能与VMP和VDC通信,访问内外网某公司公司机。

最终实现功能
整个桌面云系统完全是隔离出来的,所有某公司公司机IP,管理IP几乎是自己设置的地址(不用客户内外网的地址),只用到客户一个内网某公司公司个外网地址,完美解决地址不够用的问题
1,客户能通过瘦终端访问内外网某公司公司机资源;
2,客户能通过物理机访问某公司公司机资源和管理控制台;

新功能加成
1,USB管控策略更细化了,支持根据IP组来限制是否禁用U盘,此功能解决了同一某公司公司关联了内外网资源时,想禁止一种网络资源使用U盘权限的需求;
2,管理员权限分级,更适合多分支,分级管理;
3,运维功能更强大;

702625dc8154035fde.png (59.53 KB, 下载次数: 374)

702625dc8154035fde.png

844785dc830d94449b.png (89.48 KB, 下载次数: 347)

844785dc830d94449b.png

81895dc840794e93d.png (852.35 KB, 下载次数: 360)

81895dc840794e93d.png

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

清风慕竹 发表于 2019-11-11 08:20
  
感谢楼主的精彩分享,学习了。逻辑隔离通过vlan来划分,学习了。只是有时候逻辑隔离在配置过程中一定要保证内外网不能路由可达。另外强烈建议物理隔离,还能够在卖一台服务器,您值得拥有。再次感谢楼主的精彩分享,学习了!
新手548437 发表于 2019-11-11 09:03
  
感谢分享。
Sangfor_闪电回_朱丽 发表于 2019-11-11 11:10
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
江南岸别离 发表于 2024-5-16 16:02
  
每天坚持打卡学习签到!!
火影忍者 发表于 2024-8-5 09:31
  
非常好的实践教程,谢谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

468
227
32

发帖

粉丝

关注

7
11
24

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

31
34
45

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人

runner

本周提问达人