新手626351 发表于 2024-7-17 08:47
  

感谢分享,有助于工资和学习
山东_杨绪旺 发表于 2024-7-19 09:05
  
感谢分享,有助于工作和学习
颜琛 发表于 2024-7-29 09:30
  
一起来学习 一起来学习
科思哲 发表于 2024-7-29 14:08
  
一起来学习 一起来学习
记一次桌面云aspace_portal统一门户实施&华为/华三/锐捷交换机如何通过DHCP地址池的扩展字段批量修改盒子中心端地址
  

85039王毅波 56341人觉得有帮助

{{ttag.title}}
本帖最后由 85039王毅波 于 2024-8-14 11:14 编辑

        
       背景:某客户集团300点桌面云,2台VDC组建集群(10.0.26.26);分公司330点,2台VDC组建集群(10.0.97.97)。两地物理位置相距800公里,中间专线300M,分公司无出口,走集团出口上网,视频监控和上网共享300M。集团和分公司客户会有调动和交流,客户要两边接入同一个地址或者域名来访问,刚好匹配我司统一门户aspace_portal方案,客户两套VDC集群版本都是5.5.6R1。统一门户用户手册见附件

       集团是一直用的本地用户,分公司一开始就是域用户,所以分公司相对切换统一门户比较顺利。分公司直接对接到集团的AD域,导入信息(用户信息是和分公司之前的账号一样的),所以虚拟机和用户的关联关系不变。

       集团本地用户操作相对比较麻烦:需要先在VDC导出虚拟机信息,然后再做好虚拟机和用户的管理关系准备导入,并且截图保存角色授权里面,每个角色对应的用户/部门(这个很重要),涉及特别多的要点进去截图保存,另外就是如果角色超过25个,记得要翻页,不然漏掉第二页就坑了。

        然后就是解绑用户和虚拟机关系,解绑后才能删除本地用户;删除本地用户后,导入集团域用户信息,导入域用户信息后,是无法直接导入用户和虚拟机关联关系的,需要将角色授权里面的角色按照之前截图的内容,么个月选择对应用户/部门。
        然后就可以愉快的导入虚拟机和用户的对应关系了。

       PS:如果不慎恢复VDC集群的全局配置可能会出现一台VDC无法上线,原因是配置备份恢复的时候,两台VDC恢复的是同一个地址。所以要再恢复前确认好每台VDC的设备ID、授权和IP信息,全局配置恢复后如果一台VDC无法上线,可以直连设备按照之前记录的正确的信息,修改设备地址即可,可以看到该VDC上面一直报地址冲突。
        建议VDC集群部署模式,分别备份两台VDC的配置,然后单独恢复。再重新组建集群。
      
       一、统一门户aspace_portal方案使用要求和注意事项:

         1、当前版本暂不支持linux客户端、信创终端、安卓移动端接入aSpace Portal
         2、仅支持LDAPRadius用户接入aSpace Portal,本次使用LDAP对接(搭建的AD域服务器:10.0.0.4)
         3、当前仅支持密码认证的方式;
         4、统一门户安装在VMP上默认配置[size=13.9333px]2C VCPU、4GB 内存、65GB 硬盘、千兆网卡即可,建议按照4C8G200G来配置,两台组建集群(10.0.0.5)。可以支持1000用户并发,目前客户侧是330点用户在使用,高峰期流量很小。如下图





二、搭建好AD域后,对接两套VDC导入用户账号密码信息,提前在两套VDC集群导出虚拟机和用户的关联关系。



        另一套VDC和统一门户aspace_portal集群也是同理,都要对接AD域里面集团+分公司的账号密码信息即可。这里一定注意,不是对接集团的,分公司对接分公司的,是集团和分公司对接都对接包含集团和分公司的AD域用户信息。其他默认即可





三、统一门户aspace_portal组建集群很简单,按照用户手册操作即可,统一门户集群对接两套VDC集群如下:使用联动码对接即可。






注意需要在VDC上开启OpenAPI功能,才可以进行VDC策略纳管,VDC操作如下:


      四、期间遇到的异常问题和处理办法。

        1、桌面云盒子当时接入统一门户集群地址后,部分用户进入资源比较卡慢。是个已知问题,需要给VDC打个芯片优化的通用补丁包,打完后盒子都会自动升级到5.9.2.202版本,期间升级+自动重启大概得4-5分钟,升级后盒子登录进入资源界面大概10秒钟左右,快很多
https://pan.sangfor.com/index.ht ... y=17194823059042916 通用补丁在这里, 文档有说明。



       2、这个盒子芯片优化的补丁包打上后,有3%左右的盒子可能会自动升级失败或者频繁自动升级。也是已知问题,https://tskb.atrust.sangfor.com/ ... iewthread&tid=33517


3、如果客户前期是本地用户,要注意做完统一门户对接后,及时导出虚拟机和用户的关联关系。




五、华为、华三、锐捷交换机:如何将盒子中心端地址批量修从VDC集群地址批量改成统一门户集群地址。

华为、华三、锐捷交换机DHCP地址池都支持option 180 ascii  字段来批量修改盒子中心端地址;
华为命令:dhcp server option 180 ascii 10.0.0.25
华三命令:option 180 ascii 10.0.0.25
锐捷命令:option 180 ascii 10.0.0.25
a、华三:H3C交换机如何将盒子中心端地址批量修从VDC集群地址批量改成统一门户集群地址如下:


dhcp server ip-pool vlan-18

gateway-list 10.0.18.1

network 10.0.18.0 mask 255.255.255.0

dns-list 202.100.138.68 202.100.128.68

option 180 ascii 10.0.26.250

看上图,很清晰。滴滴滴

b 、华为:华为交换机也可以通过DHCP的扩展字段option 180  IP地址来批量修改盒子中心端地址。

interface Vlanif20
ip address 10.XXX.XXX.XXX     255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 10.XXX.XXX.XXX 10.XXX.XXX.254
dhcp server dns-list 10.80.63.1 10.80.63.2
dhcp server option 180 ascii 10.0.26.250
最后这条很关键,干就完事。重启盒子后中心端地址就自动改了。

c、锐捷:锐捷交换机可以通过DHCP的扩展字段option 180  IP地址来批量修改盒子中心端地址。


network 10.XX.XX.0 255.255.254.0
default-router 10.XX.XX.254
option 180 ascii 10.0.26.250

锐捷和华三的扩展字段配置方式是一样的

       六、客户侧分公司全部是STD-320的盒子,测试330点全部是可以通过上述在核心交换机DHCP地址池扩展字段的方式来批量修改盒子中心端地址。集团有一批STD-200-H的盒子,这个要注意老盒子的机制和新盒子机制不同:200-H盒子的连接流程:盒子需要在连接中心管理器地址失败后,再去连dhcp下发的VDC地址。
      解决方案:在核心上做ACL,限制所有盒子的网段访问VDC地址(包含VDC集群地址),重启盒子后就会在盒子的中心端就会自动拿到DHCP里面的扩展字段地址。

当时提前记录的操作步骤:

20240627集团和分公司数据融合计划:
1、保存分公司当前VDC配置和用户VDI配置。-完成
2、分公司用户全部导入集团AD域。-完成
3、分公司VDC对接AD域,导入更新用户信息。10.0.0.24
4、分公司VDC导入用户和虚拟机关联关系。
5、分公司VDC对接集团统一门户集群地址10.0.0.25
6、华三交换机批量下发配置,分公司所有盒子中心端地址改为集团统一门户集群地址10.0.0.25。
7、重启所有在线的盒子,调度中心和一楼其他办公室全部测试2小时,确保接入和使用无问题。
在线监测,IOM评分较差用户问题远程和现场处理。

PS:前期桌面云最佳实践没要求VDC组集群,盒子连接的基本都是单台VDC的地址,通过这个办法也可以批量把盒子中心端地址改成VDC集群地址。

over,欢迎指正交流。

3196866839a37d330f.png (43 KB, 下载次数: 93)

3196866839a37d330f.png

深信服aSpace_Portal用户手册_V5.5.6_3.pdf

6.77 MB, 下载次数: 2

售价: 10 S豆  [记录]  [购买]

深信服桌面云__瘦客户机自动配置中心管理器地址部署(1).pdf

2.09 MB, 下载次数: 1

售价: 50 S豆  [记录]

其他批量修改盒子中心端地址的方法

打赏鼓励作者,期待更多好文!

打赏
31人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

47
14
0

发帖

粉丝

关注

60
24
2

发帖

粉丝

关注

6
2
0

发帖

粉丝

关注

本版达人