#原创分享#桌面云逻辑隔离，满足客户“任性”需求

桌面云逻辑隔离+复杂部署场景

【原创分享计划4】信服体验，为你喜欢的产品/功能打CALL

客户需求：桌面云替代传统物理机，访问内外网桌面时，能快速切换，并且保证网络的安全性，经过沟通，客户同意采用内外网逻辑隔离方案；

网络环境：第三方服务器部署VMP 5.4.0R1，客户内外网纯物理隔离；

前期规划两种实现方案：

1.通过添加三层交换机，交换机上允许配置trunk，允许内外网不同VLAN通过，写路由分别让不同VLAN访问不同资源，实现内外网逻辑隔离。

     2.将内外网某公司公司机桥接到不同的某公司公司交换机，然后对应不同的物理网口，不同网口分别接到客户对应的内外网交换机上。

本项目采用第二种方法；

项目实施：

1，下载最新版本安装包VMP 5.4.0R1，并且校验MD5值，用UltraISO制作启动盘；

2，本次采用华为RH2288H V3服务器,服务器开机按DEL进入BIOS，BIOS默认密码为“Huawei12#$”，在Advanced选项Intel RC Group选项中，将Power Policy Select修改为Performance.

某公司公司值保持默认；

3，服务器开机，Ctrl+A（不同型号存在差异）进入RAID配置，首先初始化驱动，RAID卡型号为PM8060，一直没找到怎么设置单盘raid0,打华为售后才知道此型号不支持做单盘raid0。不过创建 Volume就相当于raid0；

选择单块盘，Array Type的类型选Volum，所有的盘依次同样的操作。

4,重启服务器，将做好的启动盘插到服务器上，选择U盘启动，出现VMP界面后，按步骤安装就行了，选择系统安装位置时，检查盘数是不是对的；（当卡在6%的时候，说明没识别到磁盘）

麻烦来了：找客户要内外网IP的时候，客户说“我没有那么多内网IP给你，我只能给2-3个内网IP给你”，20台内网某公司公司机，就2-3个IP怎么弄！！和客户解释半天，内网某公司公司机都运行在服务器上，也需要IP才能访问内网资源，客户答“你用地址转换啊”，顿时觉得客户想象力超乎我的想象，不过客户是上帝，我们得满足客户需求，加设备吧，服务器前端加台防火墙做NAT。

5，安装成功后，自动重启，拔U盘，浏览器输入设置好的VMP的IP，进入VMP，插Key激活授权，同步系统时间，初始化存储，创建VDC，导入VMA，安装性能优化工具，激活，克隆某公司公司机，转换成模板，一个内网模板，一个外网模板；登录VDC，授权设置VDC，测试VMP与VDC连通性，创建内外网资源，创建某公司公司，角色关联某公司公司和资源，分配IP，调策略（如关闭导航条，允许保存密码自动登录，关机一体化，盒子定时关机，某公司公司机定时关机）。

说明：

服务器eth0口为管理口（192.192.193.X）；
服务器eth1口为内网口（192.192.192.X），内网某公司公司交换机桥接eth1口和内网某公司公司机，某公司公司机网关为防火墙的下联口g1（192.192.***.254）；
服务器eth2口为外网口（192.192.***.X），外网某公司公司交换机桥接eth2口和外网某公司公司机，某公司公司机网关为防火墙得下联口g2（192.192.***.254）；

防火墙设置两个下联口g1,g2对接服务器eth1和eth2口，两个上联口g3,g4分别是客户给的内外网地址，内10.10.***.10，外192.***.1.10；
防火墙分别做内外网的源地址转换（SNAT），将内网某公司公司机的地址转成出口10.***.10.10，外网某公司公司机的地址转成出口192.***.1.10；
防火墙写源路由，内网192.***.192.X下一跳为内网网关10.10.***.254，外网192.***.194.X下一跳为外网网关192.***.1.254；

客户要求：

内网物理机能通过10.10.***.10这个IP访问VDC，VMP，VDI，且不能ping192.192.193.X；

外网物理机能通过192.***.1.10这个IP访问VDC，VMP，VDI，不能ping192.192.193.X；

实现：在防火墙上做两个目的地址转换（DNAT），分别是

源10.10.10.X，目的192.192.193.X，对应端口；

源192.168.1.X，目的192.192.193.X，对应端口；

6，盒子端也需要自己设置IP，但盒子端不方便添加设置进行地址转换，只能借用客户现有的内外网环境，将盒子接到内网的网口，将服务器的eth0管理口直接接到内网交换机上。盒子设置成管理口同网段的IP（192.192.193.X），这样盒子就能与VMP和VDC通信，访问内外网某公司公司机。

最终实现功能：

整个桌面云系统完全是隔离出来的，所有某公司公司机IP，管理IP几乎是自己设置的地址（不用客户内外网的地址），只用到客户一个内网某公司公司个外网地址，完美解决地址不够用的问题；

1，客户能通过瘦终端访问内外网某公司公司机资源；

2，客户能通过物理机访问某公司公司机资源和管理控制台；

新功能加成：

1，USB管控策略更细化了，支持根据IP组来限制是否禁用U盘，此功能解决了同一某公司公司关联了内外网资源时，想禁止一种网络资源使用U盘权限的需求；

2，管理员权限分级，更适合多分支，分级管理；

3，运维功能更强大；

感谢楼主的精彩分享，学习了。逻辑隔离通过vlan来划分，学习了。只是有时候逻辑隔离在配置过程中一定要保证内外网不能路由可达。另外强烈建议物理隔离，还能够在卖一台服务器，您值得拥有。再次感谢楼主的精彩分享，学习了！

感谢分享。

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

每天坚持打卡学习签到！！

非常好的实践教程，谢谢分享