某园区虚拟桌面网络设计

标签：网络架构

拓扑图（这拓扑图用GNS画得有点挫，常用GNS3的朋友可能知道其中不对，此图仅作图像表达）：

整个网络可以分为两部分来理解，即一间公司分配两个vlan，一个在内网用于客户的瘦客户机连接服务器上VM使用，一个用于通过该公司的路由器供服务器上VM上外网使用的VLAN。

内网Vlan：

客户的交换机和服务器器所连接的交换机接入到园区三层交换机，在三层设备做访问控制策略管理不同公司的网络（例如资源隔离）和vlan间路由，园区的三层交换机需要做DHCP中继给服务器的DHCP SERVER，由此瘦客户机获得ip连接到服务器的VM。

    外网VLAN：

客户路由负责该公司的外网vlan内VM连接internet，该公司的交换机通过trunk直接与服务器所连接的交换机直连，可以在该公司的路由器做dhcp或中继或使用静态IP，使用该路由IP作为网关，服务器使用另一网络端口接受该vlan。

这种网络拓扑有利于方便管理客户的网络管理，做资源隔离，日后的业务扩展。

--------------------------------三层交换机---------------------------------

en
vlan database
vlan 10
vlan 20
vlan 30
exit
conf t
ip routing
 
int vlan 20
ip address 192.168.20.10 255.255.255.0
ip helper-address 192.168.30.1
 
int vlan 10
ip address 192.168.10.10 255.255.255.0
ip helper-address 192.168.30.1
 
int vlan 30
ip address 192.168.30.10 255.255.255.0
ip helper-address 192.168.30.1
no sh
 
int f1/13
sw mode access
sw access vlan 30
no sh
int f1/14
sw mode access
sw access vlan 20
no sh
int f1/15
sw mode access
sw access vlan 10
no sh
end

---------------------switch-A--------------------

en
vlan database
vlan 10
vlan 100
exit
conf t
int f1/15
sw mode access
sw access vlan 10
int f1/14
switchport trunk encapsulation dot1q
switchport mode trunk
int range f1/1 - 10
sw mo access
sw access vlan 10
int vlan 10
ip address 192.168.10.11 255.255.255.0
no sh
end

-----------------------switch B-----------------------------

en
vlan database
vlan 20
vlan 200
exit
conf t
int vlan 20
ip address 192.168.20.12 255.255.255.0
no sh
int f1/14
sw mode access
sw access vlan 20
int f1/1
sw mode access
sw access vlan 20
int f1/15
switchport trunk encapsulation dot1q
switchport mode trunk
end

-----------------------manage switch-----------------------------

en
vlan database
vlan 30
vlan 100
vlan 200
exit
conf t
int vlan 30
ip address 192.168.30.12 255.255.255.0
no sh
int f1/13
sw mo access
sw access vlan 30
int f1/1
sw mode access
sw access vlan 30
int f1/15
switchport trunk encapsulation dot1q
switchport mode trunk
int f1/14
switchport trunk encapsulation dot1q
switchport mode trunk
end

---------------------riuter------------------

en
conf t
int f0/1
ip address 192.168.100.1 255.255.255.0
no sh
exit
ip dhcp pool  VLAN100
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
dns-server 8.8.8.8 202.106.148.10
lease 20
end

我使用window server 2008做DHCP SERVER：

模拟瘦客户机获取到IP：

模拟客户路由器分配IP给服务器的VM：

 现在的网络结构，vlan-10内的vm可以通过三层交换机的虚接口IP作为网关与vlan-20内vm，即公司A可以访问公司B的资源，这在生产环境中是不允许的。

个人初步打算添加如下ACL做管理：

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny ip any any
int f1/15
ip access-group 100 out

本文出自 “龙爱雪琪” 博客，谢绝转载！

某园区虚拟桌面网络设计

标签：网络架构

原文地址：http://dragon123.blog.51cto.com/9152073/1635877