某园区虚拟桌面网络设计

拓扑图(这拓扑图用GNS画得有点挫,常用GNS3的朋友可能知道其中不对,此图仅作图像表达):

整个网络可以分为两部分来理解,即一间公司分配两个vlan,一个在内网用于客户的瘦客户机连接服务器上VM使用,一个用于通过该公司的路由器供服务器上VM上外网使用的VLAN。

内网Vlan:

客户的交换机和服务器器所连接的交换机接入到园区三层交换机,在三层设备做访问控制策略管理不同公司的网络(例如资源隔离)和vlan间路由,园区的三层交换机需要做DHCP中继给服务器的DHCP SERVER,由此瘦客户机获得ip连接到服务器的VM。

外网VLAN:

客户路由负责该公司的外网vlan内VM连接internet,该公司的交换机通过trunk直接与服务器所连接的交换机直连,可以在该公司的路由器做dhcp或中继或使用静态IP,使用该路由IP作为网关,服务器使用另一网络端口接受该vlan。

这种网络拓扑有利于方便管理客户的网络管理,做资源隔离,日后的业务扩展。

--------------------------------三层交换机---------------------------------

en
vlan database
vlan 10
vlan 20
vlan 30
exit
conf t
ip routing
 
int vlan 20
ip address 192.168.20.10 255.255.255.0
ip helper-address 192.168.30.1
 
int vlan 10
ip address 192.168.10.10 255.255.255.0
ip helper-address 192.168.30.1
 
int vlan 30
ip address 192.168.30.10 255.255.255.0
ip helper-address 192.168.30.1
no sh
 
int f1/13
sw mode access
sw access vlan 30
no sh
int f1/14
sw mode access
sw access vlan 20
no sh
int f1/15
sw mode access
sw access vlan 10
no sh
end

---------------------switch-A--------------------

en
vlan database
vlan 10
vlan 100
exit
conf t
int f1/15
sw mode access
sw access vlan 10
int f1/14
switchport trunk encapsulation dot1q
switchport mode trunk
int range f1/1 - 10
sw mo access
sw access vlan 10
int vlan 10
ip address 192.168.10.11 255.255.255.0
no sh
end

-----------------------switch B-----------------------------

en
vlan database
vlan 20
vlan 200
exit
conf t
int vlan 20
ip address 192.168.20.12 255.255.255.0
no sh
int f1/14
sw mode access
sw access vlan 20
int f1/1
sw mode access
sw access vlan 20
int f1/15
switchport trunk encapsulation dot1q
switchport mode trunk
end

-----------------------manage switch-----------------------------

en
vlan database
vlan 30
vlan 100
vlan 200
exit
conf t
int vlan 30
ip address 192.168.30.12 255.255.255.0
no sh
int f1/13
sw mo access
sw access vlan 30
int f1/1
sw mode access
sw access vlan 30
int f1/15
switchport trunk encapsulation dot1q
switchport mode trunk
int f1/14
switchport trunk encapsulation dot1q
switchport mode trunk
end

---------------------riuter------------------

en
conf t
int f0/1
ip address 192.168.100.1 255.255.255.0
no sh
exit
ip dhcp pool  VLAN100
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
dns-server 8.8.8.8 202.106.148.10
lease 20
end

我使用window server 2008做DHCP SERVER:

模拟瘦客户机获取到IP:

模拟客户路由器分配IP给服务器的VM:

现在的网络结构,vlan-10内的vm可以通过三层交换机的虚接口IP作为网关与vlan-20内vm,即公司A可以访问公司B的资源,这在生产环境中是不允许的。

个人初步打算添加如下ACL做管理:

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny ip any any
int f1/15
ip access-group 100 out

时间: 2024-10-29 19:06:54

某园区虚拟桌面网络设计的相关文章

虚拟桌面安全策略:网络隔离方案

在传统的桌面方案中网络隔离方面大多使用物理隔离(如隔离卡方案.双PC模式)以及逻辑隔离(如基于ACL/VLAN的网络策略)来实现网络的隔离. 此外也可以借此如网络准入操作简称NAC的方式来实现网络的逻辑隔离NAC的方式支持多种模式 基于802.1x(与网络交换机联动当发现用户终端不符合安全策略时将用户终端隔离到特定VLAN). 基于网关模式的NAC(如VPN模式当NAC设备放在用户需要访问的服务器的前端如公司内网门户用户访问后端服务时客户的流量因为需要经过NAC设备所以可以强制用户的设备做安全检

云计算和大数据时代网络技术揭秘(十四)虚拟桌面

云计算应用——虚拟桌面 Virtual Desktop Infrastructure是一种基于服务器的计算模型,VDI概念最早由VMware提出,目前已经成为标准的技术术语. 使用虚拟桌面可以在数据中心对资源进行统一管理,同时保证用户获得完整PC的使用体验.目前延迟是影响其发展的最大问题. 图 虚拟桌面示意图

虚拟桌面发展的下一个里程碑,构建在CWC之上的软件定义工作空间

1969年7月20日,当阿波罗-11号宇宙飞船的航天员阿姆斯特朗率踏上月球那荒凉而沉寂的土地时,他说出了此后在无数场合常被引用的名言:"这是个人迈出的一小步,但却是人类迈出的一大步." 在桌面虚拟化领域,同样也有那么一些时候能被我们所铭记,也会被载入史册.例如1989年Citrix公司开创的ICA协议,例如1995年Citrix协助微软开发了第一个多用户版本的Windows Server操作系统(NT4.0)并延续至今,2000年全世界第一款桌面虚拟化软件面世等.今天,在桌面虚拟化领域

笔记本和Ipad访问虚拟桌面登录速度差异性的问题探讨

之前在某项目上遇见一个现象: 一个联通的无线上网设备作为最终的上行出口,使用有线从无线设备接入一台笔记本,使用WIFI接入一部Ipad,然后通过公网访问Citrix XenDesktop的虚拟桌面: 发现通过笔记本访问虚拟桌面登录的速度大约在半分钟.运行的流畅度差不多和在局域网内使用的相差不大: 通过Ipad访问虚拟桌面,其登录的速度很慢,加载桌面启动画面和加载用户配置都有很长的时间,整个登录速度大约在2分钟左右. 值得讨论的是: 为什么同样是使用该台无线设备,其有线连接的笔记本和使用WIFI连

虚拟桌面 VDI

什么是VDI(Virtual Desktop Infrastructure): 通过对于本企业的服务器进行整合,使用VMware进行虚拟机部署,利用服务器资源,实现由一个物理机实现多个虚拟机,解决资源浪费. Vmware VDI的优势源自于 VMware 服务器虚拟化的成功及其对 IT 的业经验证的优势.在 VDI 中,ESX Server 包含的不是一系列虚拟服务器,而是虚拟桌面,每个 VM 都是使用用户的操作系统和应用程序载入或动态供应的.它拥有熟悉的用户体验.这是一个VMware的解决方案

通过NSX和AppVolumes部署基于角色的安全虚拟桌面

随着"互联网+"的概念普及,越来越多的数据中心如雨后春笋般冒了出来,桌面和应用虚拟化因其可将操作系统.应用和数据置于数据中心的特点,也迅速在各种规模的企业中大行其道.虚拟化后,可以减少因设备丢失或损坏造成的数据丢失,减少设备上安装的敏感应用被他人访问,有助于高效.集中备份和漏洞修补.在财务部工作的Eva不需要再忍受脚下传统PC吵杂的风扇声和不定期的宕机,可以更加高效地工作.然而随着公司规模的扩大,部门越来越多,不同部门的业务人员要求定制化的桌面和应用的呼声越来越高,于是虚拟桌面管理员L

虚拟桌面中关于Adobe Reader打开“拒绝访问”的解决方法

现象: 在虚拟桌面的桌面上打开PDF文档,提示"拒绝访问",如图: 问题分析: 首先明确下这个问题是Adobe Reader自身的已知问题,发生在网络文件路径中打开PDF文件会提示"拒绝访问",并且网络路径长度限制到 260 characters 由于虚拟桌面设置了桌面和文档为重定向方式,所以是网络路径,网络路径太长超过adobe reader这个限制. http://helpdesk.maytechgroup.com/support/solutions/artic

为什么虚拟桌面比物理桌面更安全

1        争论 在安全的问题上,物理桌面和虚拟桌面那个更有优势一直以来都存在争论?很多人认为虚拟桌面只是将桌面集中部署到数据中心,本质上没有改变桌面的使用方式,所以安全上没有改善,这种观点的主要论据如下: 桌面OS和软件没有变化,2种类型桌面还是会遭遇攻击,感染病毒等. 用户行为在使用2种桌面时没有区别.所以用户行为导致的安全威胁无论在哪种桌面上都存在.比如VDI用户还可以在通过邮件.网盘等方法向外传送数据.用户还是有可能浏览被种马的网页,打开被感染的文档. 虚拟桌面能防范的安全威胁,如

Cadence Virtual.Component.CO-Design.v2.2-ISO 1CD(虚拟元件协同设计,VCC)

CADENAS产品: Cadence Specman.Elite.V5.0.Linux64-ISO 1CDCadence Virtual.Component.CO-Design.v2.2-ISO 1CD(虚拟元件协同设计,VCC) InnovEDA产品:InnovEDA HyperLynx 6.0(电磁干扰分析)InnovEDA PowerPCB with BlazeRouter 5.0 1CDInnovEDA PowerPCB/BGA Suite 4.0.1 1CD InnovEDA Visu