Hp v1905 настройка vlan

Обновлено: 05.07.2024

В компании достаточно бестолково организована локальная сеть.
По сути - это некоторое количество обыкновенных свичей уровня доступа. К одному из них подключены все остальные.
Это и компьютеры пользователей, и серверы, и АТС с небольшим количеством ip-телефонов (в дальнейшем планируется замена всех телефонов на ip), и различные сетевые МФУ.
На части оборудования прописаны статические адреса, на остальном - DHCP.
Грубо говоря, порядка 50 адресов - статика.
Порядка 280 - dhcp. Из них порядка 80 - адреса, которые получают сотрудники удаленных подразделений, подключаясь по vpn.
Сеть не побита на подсети.
Соответственно, адрес сети 192.168.2.0/23.
Возникло желание все переделать.
Часть имеющихся свичей оставить на уровне доступа, часть заменить.
Есть пара железок от CISCO, на которых можно настроить маршрутизацию.
Логично разбить все это хозяйство на vlanы.
Выделить отдельно телефонию, сервера, сетевые устройства.
Вопрос - стоит ли делить имеющиеся компьютеры также на подсети? Просто очень многие оставляют их в одной подсети.
Или все же сделать по правильному, и разграничить компьютеры пользователей по отделам/географическому положению?

Основная часть свичей уровня доступа - HP V1905 (48), HP 1920-24G, есть несколько DLink (yу их думаю заменить в итоге).
Есть также cisco WS-C2960X-24TD-L с LAN Base.
А также cisco 2911.
Конечно, не идеальный вариант, но мне видется следующее:
Воткнуть в 2960-х все свичи уровня доступа. Прописать vlan. Настроить маршрутизацию на 2911. Просто в редакции lan base 2960-x не даст развернуться с маршрутизацией.

В общем, насколько стоит сильно дробить сеть и насколько работоспособна данная конфигурация?

В общем, я думаю нет смысла дробить уж очень сильно сеть.
Выделить отдельно vlan на сервера, на телефонию, на сетевое оборудование.
Остальных распределить по географическому признаку.
В самом худшем случае в одном таком vlan будет порядка 100 устройств (компьютеров и мфу).

Правильно, совсем сильно дробить не надо, это ни к чему!

Я бы сделал отдельный vlan по сервера, отдельный vlan на каждую региональную локалку (т.е. МФУ, пользователи и прочее), отдельный vlan для телефонии, и что Вы имеете в виду под vlan для сетевого оборудования? Менеджмент или что-то другое?

Сильно дробить имеет смысл (отделы/департамент/. ), когда есть секьюрные политики для каждого отдела, если у Вас нет межсетевого экрана или next-generation файрвола, то это не нужно.

Будут вопросы, обращайтесь.

Сейчас часть коммутаторов уровня доступа у меня на HP.
Есть также неуправляемые, которые надо однозначно менять.
Стоит ли мне взять подобные имеющимся устройства от HP, или лучше постепенно менять на cisco?
Что бы посоветовали взять на 48 гигабитных портов у циски? С возможностью vlan, ssh, установкой в стойку.
При этом не сильно дороже HP1910-48G или HP1920-48G. Кстати, кто может подсказать по отличию серий HP 1910 и 1920?
По идее, 1920 - развитие. Но при этом у них объем оперативной флеш-памяти меньше (32 вместо 128).
Также у 1920 нет статической маршрутизации. То есть по сути, предыдущая модель лучше.
Также интересно, кто что может сказать по серии Cisco SG300. Вроде бы достаточно бюджетный вариант. Есть ли особенности, на которые стоит обратить внимание? IMHO (на собственном опыте): на основании вышеизложенных описания сети (далеко не самая большая) и требований к ее организации (по сути базовые вещи) - коммутаторов HP на доступ более чем достаточно, тем более, что 19-серия у HP это линия бывшего 3COM достаточно надежная и полнофункциональная для "среднего" уровня запросов. И смысл платить в данном случае больше за CISCO на доступ?

shwed писал(а): В компании достаточно бестолково организована локальная сеть.
По сути - это некоторое количество обыкновенных свичей уровня доступа. К одному из них подключены все остальные.
Это и компьютеры пользователей, и серверы, и АТС с небольшим количеством ip-телефонов (в дальнейшем планируется замена всех телефонов на ip), и различные сетевые МФУ.
На части оборудования прописаны статические адреса, на остальном - DHCP.
Грубо говоря, порядка 50 адресов - статика.
Порядка 280 - dhcp. Из них порядка 80 - адреса, которые получают сотрудники удаленных подразделений, подключаясь по vpn.
Сеть не побита на подсети.
Соответственно, адрес сети 192.168.2.0/23.
Возникло желание все переделать.
Часть имеющихся свичей оставить на уровне доступа, часть заменить.
Есть пара железок от CISCO, на которых можно настроить маршрутизацию.
Логично разбить все это хозяйство на vlanы.
Выделить отдельно телефонию, сервера, сетевые устройства.
Вопрос - стоит ли делить имеющиеся компьютеры также на подсети? Просто очень многие оставляют их в одной подсети.
Или все же сделать по правильному, и разграничить компьютеры пользователей по отделам/географическому положению?

В общем, насколько стоит сильно дробить сеть и насколько работоспособна данная конфигурация?

У вас в сетевой инфраструктуре мешанина SMB-железок (Smart коммутаторы 19xx)
и Enterprise железа Catalyst 2960, ISR 29xx.

В коммутаторах Cisco cерии 2960 LANBase есть возможность использовать
и cтатическую маршрутизацию и маршрутизацию между VLAN (разумеется в пределах
аппаратных возможностей коммутаторов). В дефолтной конфигурации SDM Template
для серии 2960 включает в нем лишь L2 возможности (это типичный функционал
для коммутатора уровня доступа). Если нужен функционал маршрутизации между VLAN,
то можно переключить SDM Template в режим LAN Base Routing, при этом
произойдет перераспределение ресурсов коммутатора и появится базовый L3 функционал
(например появится возможность создавать VLAN SVI, т.е IP-интерфейсы привязанные к VLAN,
статическая маршрутизация и т.д.). Разумеется полного L3 функционала не появится,
это все таки железка в доступ проектировалась, причем L2 доступ.
С точки зрения маршрутизации между VLAN - здесь 2960 будет быстрее чем маршрутизатор 2911,
но менее гибкий с точки зрения функционала маршрутизации. Но если надо всего
навсего сегментировать VLAN на нем и делать на нем же InterVLAN Routing, это возможно.

С точки зрения Cisco это нерекомендуемые "хаки", в агрегацию нужно ставить полноценный L3 коммутатор.

С точки зрения адресации и VLAN руководствуйтесь принципами
- не делать сети с слишком большими сегментами, /24 на VLAN и не более
- усложнять структуру без четкого понимания не стоит
- критичный трафик к задержкам и джиттеру (Voice, Video) лучше выделять в отдельный VLAN
- InterVLAN трафик гонять через маршрутизатор 29xx, который позиционируется в бордер
небольшого филиала ставить я бы не стал, по причинам производительности и лишней нагрузки
на маршрутизатор бордера.

UPS Network Management Card w/ Environmental Monitoring & Out of Band Management.

Factory Reset

Press the Reset button once. The Status LED will flash rapidly (almost immediately) while alternating between orange and green. Press the Reset button again a second time immediately while the LED is rapidly flashing - which will cause the LED to then go off - in order to reset the User Name and Password to their defaults temporarily (the default User Name and password are both apc).

The default TCP/IP configuration setting, BOOTP & DHCP, assumes that a properly configured BOOTP or DHCP server is available to provide TCP/IP settings to Management ards. The Management Card first attempts to discover a properly configured BOOTP server, and then a DHCP server. It repeats this pattern until it discovers a BOOTP or DHCP server.

3com Superstack II 1100

Скорость 1200 / 2400 / 4800 / 9600 / 19200
Размер символа 8
Чётность NONE
Стоповые биты 1

3com Superstack 3 4250

Автовыбор скорости
8 бит данных
1 стоповый бит
нет чётности

3com Superstack 3 4400

Автовыбор скорости
8 бит данных
1 стоповый бит
нет чётности

Все набираемые в cli команды можно сокращать до размера, когда они не начнут пересекаться с другими командами, напр. pro > ip > int равносильно protocol > ip > interface

Reset to factory defaults Перейдите в меню system > control > initialize. Для подтверждения введите: yes.

Поиск по mac-адресу

ip-адрес свитча Перейдите в protocol > ip > interface

Для просмотра текущего адреса используйте команду:

Обзор осуществляется при выборе:

Смена адреса одного из интерфейсов выполняется мастером, вызываемым командой:

Для настройки статического адреса выберите:

Далее введите требуемые адрес, маску и номер управляющего vlan:

Cisco

air-ap1242ag-a-k9

Point your web browser to the AP. In my case, the DHCP-obtained IP address was 192.168.1.106. The default login (console or web) is Cisco and Cisco (not cisco and cisco) for the username & password. Here is what I saw:

Настроить бродкаст беспроводной сети. Express Security > SSID

Ставим галку Broadcast SSID Network interfaces Включить Radio0, Radio1

D-Link

Просмотр системной информации и текущих сетевых настроек:

Конфигурация ip-адреса и маски подсети:

DES-3526

Доступ по RS-232:

9600 baud
no parity
8 data bits
1 stop bi

Добавить порты в vlan:

Удалить порт из vlan`а:

Запретить порт в vlan`е:

DWL-3260AP

По умолчанию (после hard reset) точка настроена следующим образом:

Ноутбук или ПК для настройки можно настроить следующим образом:

Настройки подключения к локальной сети находятся в Basic Settings > LAN. Задайте адрес, маску и шлюз, нажмите Save. После смены адреса на точке не забудьте дать адрес ноутбуку в той же подсети.
Беспроводная сеть настраивается в меню Basic Settings > Wireless. Для настройки свободной нешифрованой зоны выберите следующее и нажмите Save:

Пароль администратора задается в меню Tools > Administrator Settings в разделе Login Settings. Задайте старый пароль, новый и подстерждение. Нажмите Save.
Для применения настроек и перезагрузки нажмите Configuration > Save and activate

HP ProCurve

HP Procurve 5406zl (J8697A)

Loop Protect has disabled port ХХХ

Настройка времени/часов NTP

Серийный номер: JD877A (бывший 3CRDSF9PWR)
Порты: 8+1
PoE: Есть

38,400 baud (bits per second)
8 data bits
no parity
1 stop bit
no hardware flow control

Default login password:

At the login prompt, enter admin as your user name and press Return.

The Password prompt displays.

Настройка свитча:

Пароль администратора (по умолчанию admin):

Добавление портов в vlan:

<port_list> - номер порта, несколько портов через запятую,диапазон через тире. <vlan_list> - список портов через запятую.

Удаление портов из vlan:

Шлюз по умолчанию:

Сохранение текущей конфигурации:

Сброс на заводские настройки/Reset to factory defaults

HP V1905-24-PoE Switch (JD992A)

Документация HP V1905-24-PoE Switch Через консоль настраивается управляющий vlan, управляющие порты и ip-адрес, а через web-интерфейс полноценно настриваются все vlan'ы, пароль администратора и пр.
Докумпентация online
Важно! Ограничение на длину пароля 8 символов.

38,400 baud (bits per second)
8 data bits
no parity
1 stop bit
no hardware flow control

HP Procurve 2626

Любая скорость от 1200 до 115200
8 бит данных
1 стоповый бит
нет чётности
управление потоком установить в Xon/Xoff

Для Windows Terminal также выключите (снимите метку) “Use Function, Arrow, and Ctrl Keys for Windows” (Использовать функциональные кнопки, стрелки, кнопки Ctrl). Для Hilgraeve HyperTerminal выберите вариант “Terminal keys” для параметра “Function, arrow, and ctrl keys act as”

HP Procurve 2510

Любая скорость от 1200 до 115200
8 бит данных
1 стоповый бит
нет чётности
управление потоком установить в Xon/Xoff

HP Procurve 5304

Любая скорость от 2400 до 115200
8 бит данных
1 стоповый бит
нет чётности
управление потоком установить в None

Просмотр vlan`ов на порту:

Установка пароля (CLI)

Set operator and manager password

Перезаходим по SSH и:

DHCP Snooping

Порядок настройки DHCP snooping

Покажем работу с DHCP-Snooping на примере 5304xl. Перепрошиваем до E.10.61 или выше.

Заходим в нужный раздел в cli:

Добавить порт, на котором сидит DHCP-Server (например, 8й порт модуля A):

Указать VLANы, для которых настроено (VLAN 2):

Записать конфигурацию во flash-память свитча, чтобы она подхватилась после перезагрузки:

DHCP Relay (Option 82)

Настройка на примере коммутатора L3 Procurve 5304xl. Имеем основной VLAN (ID 16) где находится dhcp-сервер, и клиентские VLAN'ы (ID 20). Предполагается, что коммутатор настроен в режиме маршрутизатора и имеет ip-адреса в каждом из VLAN'ов (192.0.2.1/25 и 192.0.2.129/25). Адрес DHCP-сервера 192.0.2.2.

В консоли Procurve пишем следующее:

На DHCP сервере разрешаем на firewall'e соединения с адресом 192.0.2.129

В настройках named.conf в самом верху пишем (это поможет при анализе логов и настройке правил):

Маршрутизация

Как просмотреть существующие маршруты?

Маршрутизацию между Vlan'ами L3-коммутатора и сетью, находящейся за роутером внутри одного из vlan'ов прописываем на примере Procurve 5304xl следущим образом:

192.51.100.ХХХ - удаленная подсеть
192.0.2.1 - адрес роутера, в одном из vlan'ов коммутатора

чтобы удалить маршрут, пишем:

ZyXEL

ZyXel ES-2008

Скорость 9600
8 бит данных
1 стоповый бит
нет чётности
Управление потоком - none

Пароль по умолчанию

Пароль пользователя admin

Factory reset

Если cli свитча доступен через telnet или RS-232

Resets the Switch to the factory default settings:

Сохранить настройки

Например, пропало питание во время сохранения настроек через web-интерфейс. Решение протестировано на свитче Документация по ZyXEL ES-2024A.

Что нужно сделать:

После перезагрузки долго инициализируется, но, в итоге, предлагает авторизоваться.

IP-configuration Просмотр текущей конфигурации сетевых интерфейсов по vlan`ам осуществляется командой:

Задать ip адрес свитча в требуемом vlan`е можно из меню configure перейдя командой vlan <vlan id> в требуемый vlan. IP-адрес задается командой ip address <address> <mask>. Например:

Задать основной шлюз можно в меню configure командой ip address default-gateway <address>:

System information Общую системную информацию можно просмотреть командой:

Имя свитча задается в меню configure командой:

Контактное лицо и расположение в системной информации задается командой:

Здесь <system-contact> и <system-location> указываются без пробелов, хотя в документации указано обратное. Пример:

VLAN Просмотр текущей конфигурации vlan`ов выполняется командой:

Если параметр <vlan id> опустить, то будет выведена информация о всех существующих vlan на свитче.

Создание или редактирование vlan происходит в меню configure. Команда vlan <vlan id> открывает для изменения существующий vlan или создает новый, если <vlan id> не используется:

В меню конфигурации имя текущего vlan задается командой:

Для создания статического vlan следует указать порты, принадлежащие vlan как постоянно принадлежащие этому vlan. Это делается командой:

В списке подряд идущие порты указываются через дефис, а остальные через запятую. Тегированные порты задаются командой no untagged, а нетегированные - untagged. Стоит запретить командой остальным портам быть в составе этого vlan:

Выход из меню конфигурации vlan осуществляется командой:

После конфигурации состава портов на vlan`е для них нужно задать pvid. По стандарту IEEE 802.1Q когда на свитч приходит тегированный трафик, а pvid совпадает с идентификатором пакета vlan id, то тег удаляется из пакета. Если идентификатор пакета vlan id не совпадает с pvid, но является разрешенным на этом порту, т. к, например, он входит в состав нескольких vlan`ов, то тег не удаляется.

Для заданных портов настройка pvid проводится в меню configuration командой:

PVID задается командой:

В соответствии со стандартом IEEE 802.1Q назначаем нетегированным портам pvid равный vlan id, а тегированным - номер default_vlan.

Рассмотрим пример создания статического vlan с vlan id 2000, в состав которого входят нетегированные порты 5-8 и тегированный порт 26 на свичте 24+2:

Подключение адаптера RS-232 на контролере PL-2303 в Mac OS X

В этом разделе описано подключение PL-2303 USB-to-Serial Bridge Controller в Mac OS X.

На этой странице рассматривается процедура настройки VLAN в HP ProCurve.

Содержание

По умолчанию на коммутаторах HP ProCurve доступно не максимальное количество VLAN. Это можно изменить с помощью команды max-vlans. Указание максимального количества VLAN (максимальное значение варьируется в зависимости от модели коммутатора):

Для применения этой команды необходимо сохранить конфигурацию и перезагрузить коммутатор.

Несмотря на то, что коммутаторы могут поддерживать, например, всего 256 VLAN'ов, диапазон допустимых значений идентификаторов этих VLAN'ов от 1 до 4094.

Создание VLAN'а, задание имени и назначение портов:

Так как на коммутаторе sw2 нет VLAN'а 15, то мы не добавляем тегированный порт 22 в этот VLAN:

Просмотр информации о существующих VLAN'ах:

Посмотреть, какие порты принадлежат VLAN'у 2 и какой статус у порта:

Посмотреть, каким VLAN'ам принадлежит порт 22:

Дальнейшие настройки подразумевают использование коммутатора 3 уровня.

Для того чтобы настроить маршрутизацию между сетями разных VLAN на коммутаторе необходимо:

Включить ip routing
Назначить IP-адреса соответствующим VLAN

Кроме того, необходимо чтобы IP-адреса соответствующих VLAN были указаны как маршруты по умолчанию на хостах.

Включение маршрутизации на коммутаторе:

Задание адреса в VLAN. Этот адрес должен быть прописан как маршрут по умолчанию для компьютеров в VLAN 2:

Или, другой формат задания IP-адреса в VLAN:

Просмотр информации о заданных IP-адресах и включен ли ip routing:

Для сети изображенной на схеме приведены примеры конфигураций коммутаторов.

Коммутаторы sw1 и sw2 работают как коммутаторы 2 уровня. Коммутатор sw3 выполняет маршрутизацию между VLAN'ами хостов и серверным. Кроме того, на коммутаторе sw3 настроен DHCP relay agent, для того чтобы хосты могли получить IP-адреса и маршрут по умолчанию от DHCP-сервера (IP-адрес DHCP-сервера указан на схеме).

Настройка физического интерфейса:

После задания на физическом интерфейсе инкапсуляции 802.1Q на нем нельзя задать IP-адрес (адреса задаются на подынтерфейсах).

На логических подынтерфейсах необходимо указать номер VLAN и адрес. Если подынтерфейс должен передавать нетегированный трафик, то необходимо использовать опцию native (по умолчанию native VLAN 1).

Недавно на сисадминовском форуме зашла речь о VLAN на прокурвах (серия свичей HP Procurve). Без картинок трудно было там описать, восполню тут пробел. Сперва немного занудства.

1. Технология VLAN

VLAN (Virtual LAN) — технология, позволяющая на одном коммутаторе (или группе связанных коммутаторов) реализовать несколько независимых широковещательных доменов.

Каждый VLAN на коммутаторе имеет уникальный идентификатор - VLAN ID. По сути, в прокурве изначально по умолчанию уже "настроен" дефолтный влан, ID которого - 1. По умолчанию все порты коммутатора находятся в одном дефолтном влане (Default VLAN).

Можно создать ещё один влан, например с ID 2 и назначить порты 7 и 8 в этот влан. Теперь последние два порта принадлежат влану 2 и образуют отдельный широковещательный домен. Трафик данного влан никак не пересекается с дефолтным. То есть можно представить вланы как логическое разделение коммутатора на два виртуальных независимых коммутатора.

Порты могут принадлежать влану в двух режимах: tagged и untagged. По иному – «тегированный», с "тегом" или без него. В нашем примере (при 2-х независимых виртуальных коммутатора) порты 7 и 8 принадлежат влану 2 в режиме untagged. Теги есть часть стандарта 802.1Q, описывающего дополнительные структуры Ethernet кадра (пакета). Каждый Ethernet кадр может быть снабжён меткой (тегом), означающей влан, в который его следует поместить.

Таким образом, в режиме tagged через порт трафик можно передавать в разные вланы, а не только в тот, которому данный порт принадлежит в режиме untagged. Если передающее устройство поддерживает 802.1Q, то оно может снабдить кадр тегом для того, чтобы он попал в соответствующий влан.

Допустим, что компьютер подключен в порт 6. Данный порт в режиме untagged принадлежит влану 1. Если комп передаёт кадр без тега, то данный кадр попадает в влан 1. Если комп снабжает кадр тегом 2, то данный кадр попадет в влан 2, и далее распространится на все порты, принадлежащие этому влану. Для того, чтобы кадр из 6 порта попал во влан 2 надо на коммутаторе явно разрешить порту 6 доступ к влан 2 в режиме tagged (указано пунктиром).

Порт в режиме untagged может принадлежать только одному влану.

В режиме tagged порт может иметь доступ к многим вланам.

Указание tagged влана на порту разрешает данному порту доступ в указанный влан.

Читайте также: