Hp procurve vlan настройка

Обновлено: 06.07.2024

Недавно на сисадминовском форуме зашла речь о VLAN на прокурвах (серия свичей HP Procurve). Без картинок трудно было там описать, восполню тут пробел. Сперва немного занудства.

1. Технология VLAN

VLAN (Virtual LAN) — технология, позволяющая на одном коммутаторе (или группе связанных коммутаторов) реализовать несколько независимых широковещательных доменов.

Каждый VLAN на коммутаторе имеет уникальный идентификатор - VLAN ID. По сути, в прокурве изначально по умолчанию уже "настроен" дефолтный влан, ID которого - 1. По умолчанию все порты коммутатора находятся в одном дефолтном влане (Default VLAN).

Можно создать ещё один влан, например с ID 2 и назначить порты 7 и 8 в этот влан. Теперь последние два порта принадлежат влану 2 и образуют отдельный широковещательный домен. Трафик данного влан никак не пересекается с дефолтным. То есть можно представить вланы как логическое разделение коммутатора на два виртуальных независимых коммутатора.

Порты могут принадлежать влану в двух режимах: tagged и untagged. По иному – «тегированный», с "тегом" или без него. В нашем примере (при 2-х независимых виртуальных коммутатора) порты 7 и 8 принадлежат влану 2 в режиме untagged. Теги есть часть стандарта 802.1Q, описывающего дополнительные структуры Ethernet кадра (пакета). Каждый Ethernet кадр может быть снабжён меткой (тегом), означающей влан, в который его следует поместить.

Таким образом, в режиме tagged через порт трафик можно передавать в разные вланы, а не только в тот, которому данный порт принадлежит в режиме untagged. Если передающее устройство поддерживает 802.1Q, то оно может снабдить кадр тегом для того, чтобы он попал в соответствующий влан.

Допустим, что компьютер подключен в порт 6. Данный порт в режиме untagged принадлежит влану 1. Если комп передаёт кадр без тега, то данный кадр попадает в влан 1. Если комп снабжает кадр тегом 2, то данный кадр попадет в влан 2, и далее распространится на все порты, принадлежащие этому влану. Для того, чтобы кадр из 6 порта попал во влан 2 надо на коммутаторе явно разрешить порту 6 доступ к влан 2 в режиме tagged (указано пунктиром).

Порт в режиме untagged может принадлежать только одному влану.

В режиме tagged порт может иметь доступ к многим вланам.

Указание tagged влана на порту разрешает данному порту доступ в указанный влан.

Практический пример использование VLAN на примере HP Procurve 2510G-24 и Virtual Machine Manager 2008 R2

Пост от Алексей Леготин | в категории Virtual Machine Manager, Разное | добавлен 31-03-2012

В данном статье я попытаюсь рассказать о том, как настроить VLAN на примере управляемого свитча HP Procurve 2510G-24 и Virtual Machine Manager 2008 R2 (в “продакшен” среде пока не используем версию VMM 2012, релиз которой еще не состоялся, хотя уже вот-вот, надеюсь).

Вкратце о том, что такое VLAN и зачем все это нужно. VLAN (Virtual Local Area Network) – это виртуальная локальная сеть, представляющая собой группу устройств, связанных между собой на канальном уровне, хотя физически эти устройства могут быть подключены к разным коммутаторам. Или наоборот, устройства, физически подключенные к одному коммутатору, могут не видеть друг друга, если они находятся в разных виртуальных логических сетях.

VLAN применяется для изоляции сетевых устройств друг от друга, для удобного разделения устройств на группы, независимо от физического расположения-подключения. Также при применении VLAN сокращается широковещательный трафик в сети, обеспечивается лучшая безопасность .

Рассмотрим задачу, стоявшую передо мной. Связано это с внедрением виртуализации, а именно виртуализацией ISA Server (и заодно переходом на более новую версию, TMG 2010). Интернет-трафик у нас проходит от провайдера сначала через Cisco (2811), затем через ISA Server. На "железном" ISA-сервере таким образом было два сетевых интерфейса, внутренний и внешний, подсоединенный к внутреннему порту Cisco. На хост-системе используется два сетевых интерфейса, один для управления собственно хост-системой, второй сетевой интерфейс – для виртуальных машин. После виртуализации ISA-сервера пришлось бы выделять третий сетевой интерфейс на хост-системе для внешнего интерфейса ISA-сервера, а также подключать туда патч-корд, ведущий к Cisco. Не очень гибкое решение, к тому же приводящее к лишним телодвижениям при возможном переносе ISA-сервера на другую хост-систему.

Использование VLAN позволяет решить данную задачу достаточно красиво, не используя дополнительный физический сетевой интерфейс хост-системы и обеспечивая легкую миграцию ISA-сервера на другой хост. Примерная схема решения выглядит так:

Рисунок 1. Схема организации сети с использованием VLAN.

На схеме DELAULT VLAN – это виртуальная сеть, существующая изначально, т.е. все порты коммутатора до введения дополнительных виртуальных сетей объединены в эту виртуальную сеть по умолчанию, т.е. виртуальная топология совпадает с физической. Выделив два порта коммутатора под отдельную виртуальную сеть и соответственно настроив коммутатор, мы объединим эти два порта с портами, куда у нас подключены виртуальные машины первого и второго хоста, в одну VLAN. Сразу оговорюсь, два порта для подключения к Cisco выделять не нужно, достаточно одного. Второй так, для расширения был добавлен в ту же VLAN.

Рассмотрим настройку на примере HP ProCurve 2510G-24. Заходим в веб-интерфейс управления. Вкладка Configuration – VLAN Configuration. Вот так выглядят настройки по умолчанию, т.е. есть только VLAN по умолчанию (DEFAULT VLAN), объединяющая все порты:

Рисунок 2. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration.

Нажимаем кнопку ADD/REMOVE VLANs, вводим имя и номер VLAN. Номер VLAN – любое число, меньшее 4096. Я ввел номер сети 44. Имя значения не имеет, только для вашего понимания, для чего нужна данная VLAN.

Далее в списке сетей нужно нажать кнопку Modify на только что созданной нами VLAN. Выбираем порт, в который у нас будет подключена Cisco. В данном случае это порт 19. Устанавливаем для него режим Untagged.

Рисунок 3. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration. Модификация портов.

Теперь выберем порты, в которые у нас подключены сетевые интерфейсы хост-систем, предназначенные для общения виртуальных машин с "внешним миром". Нужный интерфейс первой хост-системы подключен у нас к порту 4, второй хост-системы – к порту 10. Установим для порта 4 режим Tagged.

Рисунок 4. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration.

Такую же операцию проделываем с портом 10. В итоге получим вот такую картину:

Рисунок 5. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration.

В итоге из Default VLAN исключились порты, куда подключена Cisco (19-20, колонка Untagged Ports), они теперь в VLAN 44. Порты, в которые включены интерфейсы хост-системы для виртуальных машин (в данном случае 4 и 10) в режиме Tagged принадлежит VLAN 44. Однако, 4 и 10 порты в режиме Untagged по-прежнему принадлежит сети DEFAULT VLAN.

Рисунок 6. Панель управления HP Procurve 2510G-24. Раздел VLAN Configuration. Список виртуальных сетей.

Таким образом, получается, что порты 4 и 10 будут работать в обычном режиме, как и раньше, в сети DEFAULT VLAN, а если на эти порты придут так называемые тэгированные пакеты с тэгом 44, то они попадут в сеть Cisco-ISA. Соответственно, пакеты, предназначенные для Cisco, попадут в порт 19. И обратный процесс, если пакеты идут от Cisco к виртуальному ISA-серверу, то они попадут с порта 19 в порт 4, причем приходящие с Cisco пакеты будут нетэгированными, а порт 19 ведь находится в виртуальной сети Cisco-ISA в режиме Untagged.

Рисунок 7. Virtual Machine Manager 2008 R2. Свойства хоста – Networking.

Далее редактируем свойства сетевого соединения, отмечаем там галочку "Enable VLANs on this connection", выбираем там режим Trunk Mode и добавляем сети 0 и 44. Это нужно для того, чтобы виртуальные машины видели как дефолтную VLAN, так и VLAN 44.

Рисунок 8. Virtual Machine Manager 2008 R2. Свойства хоста – свойства сетевого соединения.

Данную процедуру нужно проделать на обоих хостах, чтобы, при возможном переносе виртуальной машины ISA-сервера ничего лишний раз не настраивать.

Ну и в свойствах виртуальной машины, в свойствах сетевого интерфейса, отвечающего за "внешний мир", не забываем пометить VLAN ID 44.

Рисунок 9. Virtual Machine Manager 2008 R2. Свойства виртуальной машины с TMG 2010.

После этого все должно работать. 😉 Собственно, у меня работает.

Вообще говоря, это было мое первое столкновение с виртуальными локальными сетями (VLANs), в теории в принципе было все понятно, но в процессе реализации пришлось немного помучаться, так как на практике запутался в этих тэгированных-нетэгированных пакетах и как должно быть настроено, чтобы все работало. Поэтому решил написать эту заметку, надеясь, что он поможет кому-то разобраться в данных тонкостях.

На этой странице рассматривается процедура настройки VLAN в HP ProCurve.

Содержание

По умолчанию на коммутаторах HP ProCurve доступно не максимальное количество VLAN. Как правило, можно создать 8 VLAN. Это можно изменить с помощью команды max-vlans. Указание максимального количества VLAN (максимальное значение варьируется в зависимости от модели коммутатора):

Для применения этой команды необходимо сохранить конфигурацию и перезагрузить коммутатор.

Создание VLAN'а, задание имени и назначение портов:

Так как на коммутаторе sw2 нет VLAN'а 15, то мы не добавляем тегированный порт 22 в этот VLAN:

Просмотр информации о существующих VLAN'ах:

Посмотреть, какие порты принадлежат VLAN'у 2 и какой статус у порта:

Посмотреть, каким VLAN'ам принадлежит порт 22:

Дальнейшие настройки подразумевают использование коммутатора 3 уровня.

Для того чтобы настроить маршрутизацию между сетями разных VLAN на коммутаторе необходимо:

Включить ip routing
Назначить IP-адреса соответствующим VLAN

Кроме того, необходимо чтобы IP-адреса соответствующих VLAN были указаны как маршруты по умолчанию на хостах.

Включение маршрутизации на коммутаторе:

Задание адреса в VLAN. Этот адрес должен быть прописан как маршрут по умолчанию для компьютеров в VLAN 2:

Или, другой формат задания IP-адреса в VLAN:

Просмотр информации о заданных IP-адресах и включен ли ip routing:

Для сети изображенной на схеме приведены примеры конфигураций коммутаторов.

Коммутаторы sw1 и sw2 работают как коммутаторы 2 уровня. Коммутатор sw3 выполняет маршрутизацию между VLAN'ами хостов и серверным. Кроме того, на коммутаторе sw3 настроен DHCP relay agent, для того чтобы хосты могли получить IP-адреса и маршрут по умолчанию от DHCP-сервера (IP-адрес DHCP-сервера указан на схеме).

Настройка физического интерфейса:

После задания на физическом интерфейсе инкапсуляции 802.1Q на нем нельзя задать IP-адрес (адреса задаются на подынтерфейсах).

На логических подынтерфейсах необходимо указать номер VLAN и адрес. Если подынтерфейс должен передавать нетегированный трафик, то необходимо использовать опцию native (по умолчанию native VLAN 1).

В этой заметке описываю создание обособленной виртуальной частной сети (VLAN) от шлюза до виртуальной машины в гипервизоре MS Hyper-V.

Общая схема выглядит так:

Итого имеем задачу провести этот трафик отдельно от внутренней сети организации, но через те же коммутаторы.

Для начала попробую сделать так, чтобы подключиться к виртуалке можно было только засунув провод в 13-ый порт коммутатора. Использовать буду VLAN 41.

10 d NLAN to ALL (instead 1)

41 DMZ from 3 port of Kontinent

нетэгированные порты:
на выходе из порта в сторону подключенного устройства в своих фреймах не соделжат тэга о принадлежности к какому-то VLAN. Т.е. эсли этот порт принадлежит к какому-то влану, то трафик, идущий со стороны внутреннего мира коммутатора, растэгируется (лишается метки о своем влане). Если трафик идёт от подключенного устройства внутрь коммутатора, то этот порт присваивает трафику метку о VLAN этого порта.
тэгированные порты:
пропускают через себя только фреймы с меткой о влане, принадлежащем порту. не лишают и не присваивают метки о VLAN, а лишь пропускают через себя трафик выбранного влана.

Вкладки Port Detail и Detail исключительно информационные. В них мы можем просматреть принаднежность вланов выбранному порту и принадлежность портов выбранному влану соответственно.

Переходим в Modify VLAN

Это потому что 20-й порт имеет Type: Access, а должен быть Trunk.

Поэтому идём во вкладку Modify port, выбираем нужный порт (у меня 20-й), выбираем Type: Trunk и жмём Apply.

У меня 20-й порт подключен к сетевой карте сервера виртуализации, где развёрнут Hyper-V. В настройках нужной виртуальной машины у меня указан влан 41.

Итак, у нас получилось логически выделить виртуальный коммутатор к которому подключена виртуальная машина и физический порт № 13.

Теперь попробуем настроить связь по VLAN 41 от верхнего HP 1920 до виртуалки:

Заходим в Web-интерфейс верхнего коммутатора и делаем примерно следующее:

В это же время в нижнем у нас:

С такой конфигурацией мы получили примерно следующую картину:

Подтверждением этому служат выводы команд nmap -sn 192.168.41.0/24 и nmap -sn 192.168.0.0/24 на виртуальной машине:

Подключение к неподконтрольному АПКШ Континент:

Ну и не забываем сохранить конфигурацию коммутаторов, иначе после перезагрузки всё сбросится обратно!

(Просмотрено 12 711 раз, 4 раз за сегодня)

VLAN в ProCurve

Короткий URL: vlan/procurve

На этой странице рассматривается процедура настройки VLAN в HP ProCurve.

Сеть с VLANами на коммутаторах ProCurve

По умолчанию на коммутаторах HP ProCurve доступно не максимальное количество VLAN. Это можно изменить с помощью команды max-vlans. Указание максимального количества VLAN (максимальное значение варьируется в зависимости от модели коммутатора):

Для применения этой команды необходимо сохранить конфигурацию и перезагрузить коммутатор.

Дальнейшие настройки подразумевают использование коммутатора 3 уровня.

Для того чтобы настроить маршрутизацию между сетями разных VLAN на коммутаторе необходимо:

Включить ip routing
Назначить IP-адреса соответствующим VLAN

Кроме того, необходимо чтобы IP-адреса соответствующих VLAN были указаны как маршруты по умолчанию на хостах.

Включение маршрутизации на коммутаторе:

Задание адреса в VLAN. Этот адрес должен быть прописан как маршрут по умолчанию для компьютеров в VLAN 2:

Или, другой формат задания IP-адреса в VLAN:

Просмотр информации о заданных IP-адресах и включен ли ip routing:

Для сети изображенной на схеме приведены примеры конфигураций коммутаторов.

Настройка физического интерфейса:

Создание логического подынтерфейса для VLAN 1:

Создание логического подынтерфейса для VLAN 2:

Пример конфигурации R1:

! interface eth 0/1 encapsulation 802.1q no shutdown ! interface eth 0/1.1 vlan-id 1 native no shutdown ip address 10.0.1.1 255.255.255.0 interface eth 0/1.2 vlan-id 2 no shutdown ip address 10.0.2.1 255.255.255.0 interface eth 0/1.10 vlan-id 10 no shutdown ip address 10.0.10.1 255.255.255.0 interface eth 0/1.15 vlan-id 15 no shutdown ip address 10.0.15.1 255.255.255.0

VLAN на HP Procurve

1. Технология VLAN

Порт в режиме untagged может принадлежать только одному влану.

В режиме tagged порт может иметь доступ к многим вланам.

Указание tagged влана на порту разрешает данному порту доступ в указанный влан.

Читайте также: