看看图、改改线，分析解决"后遗症"~

看看图、改改线，分析解决"后遗症"~

如图，网络未改造前拓扑是基准线左边所示：所有的网关存在Cisco 6509上，全网全2层；服务器（生产、办公）全挂在65下连交换机上。
现需对网络进行改造：
1、生产的网关全部切换到4507R上。
2、生产有关的服务器挂DMZ去（启用单网卡的服务器使用的为生产网段IP,启用双网卡的服务器使用办公和生产网段段IP）。
3、办公与生产网关通过防火墙隔离，办公用户不能访问生产采集设备和终端。
4、办公上所有用户均能访问DMZ中服务器。
5、DMZ中生产服务器能采集到生产设备数据，及生产采集设备上数据都通过4507R到服务器。
方案设计：
（1）将原位置服务器切换到DMZ中并更改服务器IP地址，生产网卡不变，直接挂4507R上。（这种改造方案方便，亦是甲方上级规定，咱的活少、双手赞同；但软件部不同意了，改服务器IP，我的软件要做很大改动，加密狗与IP绑定了，需要返回USA。方案废掉）。
（2）服务器IP地址不变：
A.只将生产服务器中的双网卡服务器的生产网卡接4507R，其余不动。（但DMZ区就是个摆设了，最开始被否定了）。
B.生产网卡挂4507R，办公网卡地址不动切至DMZ区。
与甲方商量，决定采用(2)-B方案。DMZ网关设置为与服务器办公网卡同网段中未使用的IP（但该网段真正网关存在于6509上），在65和45上增加到DMZ的路由，FW上做映射。
改完测试问题出来了：
其他办公网段均能正常访问DMZ中服务器，但与DMZ中服务器同网段的IP不能访问。（为什么呢？想想……）
既然都这么改动了，那就把该网段中办公用户的地址改了吧，网关从65上删除；可问题又出在使用该网段的用户上了，使用的用户均为甲方领导，还有财务科的(恰恰财务科的IP又与上级系统绑定了)，哎……一波N折啊（ ）。
不过人是活的，那把该大段IP划分成三个Vlan（1-128；129-192；193-154），就三个网关，IP地址都不动，大不了咱的活多点，改交换机接口所属Vlan和PC网关；可服务器的IP使用的有16、53、88（1-128），更多的是使用210以后的（193-254）。
怒了，真怒了（ ）……谁规划的IP，就算没规划好，你就不能配置连续的IP吗，非得跳着配。这就是IP规划、使用不合理留下的后遗症啊。
执行(2)-A方案吧。