大二层环境下如何部署VDC?(元旦快乐 2017 Final 2)
  

adds 3089

{{ttag.title}}
    从2012年接触网络到现在,只接触过两次大二层(印象中)的网络。
    其一,某公司研究单位,内网有十几个网段,但在同一个VLAN,所有的网关在出口的防火墙上,防火墙的LAN口配置了十几个网关。
    其二,某公司政府单位,区级单位,内网两个网段,在同一个VLAN。

    [color=#ff某公司公司]大二层:某公司公司没有释义。这个概念是听我同事提及的,意思就是说不同的网段在同一个VLAN下,不同于一般的二层,所以叫大二层。

    [color=#某公司公司ff]一、客户网络结构
    出口交换机--防火墙--核心交换机--接入交换机
   

    SW1是上级单位交换机,网段为10.10.X.X,SW2为客户内网交换机,网段为10.10.X.X,网段主要用于服务器。
    FW是出口防火墙,用于内网某公司公司192.168.0.0/24上网。
    SWS是核心交换机,其上配置着Vlan 1,2,10。Vlan 1是FW与SW3的互联VLAN(192.168.2.0/24),Vlan 10是192.168.0.0/24网段,Vlan 2是192.168.1.0/24网段。

    [color=#某公司公司ff]二、VDC部署
    1、方案1
    VDC使用10网段,aDesk使用192.168.1.0/24网段,某公司公司机使用192.168.0.0/24网段。

    (1)在FW上添加命令:

    a.允许将192.168.1.0/24网段转换为FW的WAN口IP。
    acl number 2某公司1
    rule 10 permit source 192.168.1.0 0.0.0.255

    b.添加回包路由
    ip route-static 192.168.1.0 255.255.255.0 192.168.2.2

    (2)VDC的网关指向FW的WAN口。

    (3)aDesk的网关指向FW上Vlan 2的网关。

    最终方案1未能实现。原因:aDesk网段与10网段不互通。
    当时尝试了很多方法,从终端逐个设备往上查,发现接入交换机(管理IP为192.168.0.0/24网段)可以与VDC互联,而下面的PC就不可以,怀疑中间有设备做了拦截。
    推测原因:a.中间有一台思科设备,不知道密码,某公司公司法登录获取配置;b.vlan部署有问题。

    2、方案2
    VDC使用192.168.30.0/24网段,aDesk使用192.168.30.0/24网段,某公司公司机使用192.168.0.0/24网段。

    当方案1发现行不通时,想在内网新加个Vlan,然后将aDesk接的口接到交换机属于该Vlan的接口上。客户表示不同意,觉得以后每增加一台aDesk,还要寻线,特别麻烦。
    客户说他们的交换机没有绑定vlan(当时说了一个挺拗口的词,没记住),连接的PC配置上哪个网段的IP就能跟哪个网段的设备通。当时我没反应过来,特意查看了他们的交换机配置,发现接入层交换机都属于Vlan 10,怎么能进行通信呢。
    我表示怀疑后,客户当场试验。将自己PC原本的192.168.0.0/24网段的IP改成192.168.1.0/24网段的IP,就可以和该网段的PC通信了。当时我的头都大了,心说这是什么鬼?感觉现象颠覆了我的认知。
    后来我才反应过来,这不就是大二层吗?所有PC都属于同一个VLAN。跟交换机接口属于哪个VLAN是没有关系的。

    于是,就得出了上面的方案。
    该方案有很明显的缺点:管理不便,客户想要管理VMP和VDC,需要先将IP从192.168.0.0/24改到192.168.30.0/24;网络不清晰,所有数据在同一个LAN;某公司公司机与aDesk的流量占用管理口带宽。
    但客户接受了,觉得这才是他们想要的效果。

    [color=#某公司公司ff]三、如何配置LDAP
   
    1、LDAP认证
   
    在部署LDAP时,遇到了一个难题。VDC是192.168.30.0/24网段的IP,而LDAP服务器是192.168.0.0/24网段的。两个网段不通,怎么办?
     这时可以通过配置LAN口的第二IP或配置DMZ口地址实现。

     

    这里配置完成后,需要在VMP的“某公司公司网络”里,新增某公司公司交换机,将VDC的网卡2桥接到对应的物理网卡上。
   

     配置LDAP认证:
     路径:VDI设置--认证设置--LDAP认证选项,新增LDAP服务器,其配置方式与VPN添加LDAP服务器相同。
     

    配置组映射:
   

    组映射生成的本地组:
   

    2、域认证
    域认证的作用是当某公司公司登录某公司公司机时,自动加入域。
    路径:VDI设置--资源管理--域配置和自动登录
   
   
    注:“绑定域某公司公司登录”这里指的不是该某公司公司机与该某公司公司进行关联,不能解除。而是该登录该某公司公司机的某公司公司某公司公司法注销,登录某公司公司域某公司公司。

  

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

韩立春 发表于 2018-1-2 08:42
  
不错,写的非常棒,长经验了!辛苦!
熙瑞 发表于 2018-1-20 09:54
  
大神真不错,天天总结真不容易
西红柿煮番茄的猫 发表于 2024-7-24 10:16
  
非常好的实践教程,谢谢分享
发表新帖
热门标签
全部标签>
技术盲盒
每日一问
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
标准化排查
产品连连看
2023技术争霸赛专题
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

468
227
32

发帖

粉丝

关注

7
11
24

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

31
34
45

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人

runner

本周提问达人