记一次桌面云aspace_portal统一门户实施&华为/华三/锐捷交换机如何通过DHCP地址池的扩展字段批量修改盒子中心端地址

        

       背景：某客户集团300点桌面云，2台VDC组建集群（10.0.26.26）；分公司330点，2台VDC组建集群（10.0.97.97）。两地物理位置相距800公里，中间专线300M，分公司无出口，走集团出口上网，视频监控和上网共享300M。集团和分公司客户会有调动和交流，客户要两边接入同一个地址或者域名来访问，刚好匹配我司统一门户aspace_portal方案，客户两套VDC集群版本都是5.5.6R1。统一门户用户手册见附件

       集团是一直用的本地用户，分公司一开始就是域用户，所以分公司相对切换统一门户比较顺利。分公司直接对接到集团的AD域，导入信息（用户信息是和分公司之前的账号一样的），所以虚拟机和用户的关联关系不变。

       集团本地用户操作相对比较麻烦：需要先在VDC导出虚拟机信息，然后再做好虚拟机和用户的管理关系准备导入，并且截图保存角色授权里面，每个角色对应的用户/部门（这个很重要），涉及特别多的要点进去截图保存，另外就是如果角色超过25个，记得要翻页，不然漏掉第二页就坑了。

        然后就是解绑用户和虚拟机关系，解绑后才能删除本地用户；删除本地用户后，导入集团域用户信息，导入域用户信息后，是无法直接导入用户和虚拟机关联关系的，需要将角色授权里面的角色按照之前截图的内容，么个月选择对应用户/部门。

        然后就可以愉快的导入虚拟机和用户的对应关系了。

       PS：如果不慎恢复VDC集群的全局配置可能会出现一台VDC无法上线，原因是配置备份恢复的时候，两台VDC恢复的是同一个地址。所以要再恢复前确认好每台VDC的设备ID、授权和IP信息，全局配置恢复后如果一台VDC无法上线，可以直连设备按照之前记录的正确的信息，修改设备地址即可，可以看到该VDC上面一直报地址冲突。

        建议VDC集群部署模式，分别备份两台VDC的配置，然后单独恢复。再重新组建集群。

      

       一、统一门户aspace_portal方案使用要求和注意事项：

         1、当前版本暂不支持linux客户端、信创终端、安卓移动端接入aSpace Portal；

         2、仅支持LDAP、Radius用户接入aSpace Portal，本次使用LDAP对接（搭建的AD域服务器：10.0.0.4）。

         3、当前仅支持密码认证的方式；

         4、统一门户安装在VMP上默认配置[size=13.9333px]2C VCPU、4GB 内存、65GB 硬盘、千兆网卡即可，建议按照4C8G200G来配置，两台组建集群（10.0.0.5）。可以支持1000用户并发，目前客户侧是330点用户在使用，高峰期流量很小。如下图

二、搭建好AD域后，对接两套VDC导入用户账号密码信息，提前在两套VDC集群导出虚拟机和用户的关联关系。

        另一套VDC和统一门户aspace_portal集群也是同理，都要对接AD域里面集团+分公司的账号密码信息即可。这里一定注意，不是对接集团的，分公司对接分公司的，是集团和分公司对接都对接包含集团和分公司的AD域用户信息。其他默认即可

三、统一门户aspace_portal组建集群很简单，按照用户手册操作即可，统一门户集群对接两套VDC集群如下：使用联动码对接即可。

注意需要在VDC上开启OpenAPI功能，才可以进行VDC策略纳管，VDC操作如下：

      四、期间遇到的异常问题和处理办法。

        1、桌面云盒子当时接入统一门户集群地址后，部分用户进入资源比较卡慢。是个已知问题，需要给VDC打个芯片优化的通用补丁包，打完后盒子都会自动升级到5.9.2.202版本，期间升级+自动重启大概得4-5分钟，升级后盒子登录进入资源界面大概10秒钟左右，快很多

https://pan.sangfor.com/index.ht ... y=17194823059042916 通用补丁在这里， 文档有说明。

       2、这个盒子芯片优化的补丁包打上后，有3%左右的盒子可能会自动升级失败或者频繁自动升级。也是已知问题，https://tskb.atrust.sangfor.com/ ... iewthread&tid=33517

3、如果客户前期是本地用户，要注意做完统一门户对接后，及时导出虚拟机和用户的关联关系。

五、华为、华三、锐捷交换机：如何将盒子中心端地址批量修从VDC集群地址批量改成统一门户集群地址。

华为、华三、锐捷交换机DHCP地址池都支持option 180 ascii  字段来批量修改盒子中心端地址；
华为命令：dhcp server option 180 ascii 10.0.0.25
华三命令：option 180 ascii 10.0.0.25
锐捷命令：option 180 ascii 10.0.0.25

a、华三：H3C交换机如何将盒子中心端地址批量修从VDC集群地址批量改成统一门户集群地址如下：

dhcp server ip-pool vlan-18

gateway-list 10.0.18.1

network 10.0.18.0 mask 255.255.255.0

dns-list 202.100.138.68 202.100.128.68

option 180 ascii 10.0.26.250

看上图，很清晰。滴滴滴

b 、华为：华为交换机也可以通过DHCP的扩展字段option 180  IP地址来批量修改盒子中心端地址。

interface Vlanif20

ip address 10.XXX.XXX.XXX     255.255.255.0

dhcp select interface

dhcp server excluded-ip-address 10.XXX.XXX.XXX 10.XXX.XXX.254

dhcp server dns-list 10.80.63.1 10.80.63.2

dhcp server option 180 ascii 10.0.26.250

最后这条很关键，干就完事。重启盒子后中心端地址就自动改了。

c、锐捷：锐捷交换机可以通过DHCP的扩展字段option 180  IP地址来批量修改盒子中心端地址。

network 10.XX.XX.0 255.255.254.0

default-router 10.XX.XX.254

option 180 ascii 10.0.26.250

锐捷和华三的扩展字段配置方式是一样的

       六、客户侧分公司全部是STD-320的盒子，测试330点全部是可以通过上述在核心交换机DHCP地址池扩展字段的方式来批量修改盒子中心端地址。集团有一批STD-200-H的盒子，这个要注意老盒子的机制和新盒子机制不同：200-H盒子的连接流程：盒子需要在连接中心管理器地址失败后，再去连dhcp下发的VDC地址。
      解决方案：在核心上做ACL，限制所有盒子的网段访问VDC地址（包含VDC集群地址），重启盒子后就会在盒子的中心端就会自动拿到DHCP里面的扩展字段地址。

当时提前记录的操作步骤：

20240627集团和分公司数据融合计划：

1、保存分公司当前VDC配置和用户VDI配置。-完成

2、分公司用户全部导入集团AD域。-完成

3、分公司VDC对接AD域，导入更新用户信息。10.0.0.24

4、分公司VDC导入用户和虚拟机关联关系。

5、分公司VDC对接集团统一门户集群地址10.0.0.25

6、华三交换机批量下发配置，分公司所有盒子中心端地址改为集团统一门户集群地址10.0.0.25。

7、重启所有在线的盒子，调度中心和一楼其他办公室全部测试2小时，确保接入和使用无问题。

在线监测，IOM评分较差用户问题远程和现场处理。

PS：前期桌面云最佳实践没要求VDC组集群，盒子连接的基本都是单台VDC的地址，通过这个办法也可以批量把盒子中心端地址改成VDC集群地址。

over，欢迎指正交流。

感谢分享，有助于工资和学习

感谢分享有助于工资和学下！

感谢分享有助于工资和学下！

每天坚持打卡学习签到！！

一起来学习，一起来学习

感谢分享                                        

一起来学习，一起来学习

感谢分享，有助于工资和学习

感谢分享有助于工资和学下！