Procurve switch (5412zl), VLANs, routing

[Ebirya]

народ, ткните носом где почитать, плиз.
дано:
свитч (прокурве 5412), где настроена одна-единственная DEFAULT VLAN.
Клиент хочет разбить существующую сетку на 3 VLANs, в каждом будет организовано по AD домейну с последующими trust relationships между ними. .
Не спрашивайте зачем - им так надо: на одном этаже сидят 3 конторы и шарят все что может шартиться.

"выход в интернет"/ firewall и прочие прелести в виде Exchange, и т.д. будет только у 1 VLAN (domain #1),

Идея такая:
- разрешить роутинг между ними таким образом, чтобы клиенты из VLAN2 и 3 могли коннектиться и к почтовику в 1-ой ВЛАН, и в интернет чтобы тоже выход был....

Я так понимаю, нужно:
- создать 3 port-based VLANs (и я так понимаю, порты нужно делать untagged)
- назначить каждой из них свою subnet, а также назначить IP самой VLAN, который будет использоваться к качестве default gateway клиентами этой VLAN
- разрешить routing
- разрешить rip

Вроде делаю,но в результате - VLAN2 и VLAN3 друг друга "видят" и клиенты друг-друга пингуют (они, кстати из 192.168.x.x/24 range). Однако, ни #2, ни #3 не видят VLAN1, которая настроена совершенно аналогично, но kak 10.0.0.1/24

Сорри если сумбурно - с красноречием/ясностью мысли в настоящий момент напряженка

ПС. Мануалы скачал, буду изучать завтра. Но если кто кинет линком/ткнет носом - то буду премного признателен

[white_raven]

я не разу не прокурве специалист но рип надо вторую версию включать, первый рип не понимает 10.0.0.1/24
а так получается как роутер на палке у сиско...каждой влан свой сабнет с дефолтным гейтом и

[Stanislav]

Блин... Увидел тему - первой мыслью было скорее написать - БЕРУ!!!
Зашел - понял, что ошибся...

Значицца так:
Сначала надо ему назчачить ИП.
Потом по http заходим - у него есть интерфейс админа.
Потом идем закладка Configuration - кнопка VLAN configuration (надеюсь интерфейс не сильно изменился относительно 4108GL)
Там создаем 3 VLAN - дальше кнопка Модифай - в каждую заносим принадлежащие ей порты как untagged, а не принадлежащие - forbid.
VLANам пофигу ваша сетевая структура - они работают с тегами VLAN.
Tagged порты - это порты принадлежащие 2 или более VLAN - соответственно сетевая карта должна поддерживать VLANы - соответственно такой сервак будет иметь доступ к 2 или более VLAN.
Раутов у меня нет...

[Ebirya]

Спасибо
2 white_raven:
Да, наверное дело в rip - version. Я совершенно точно конфигурировал v1. сегодня забегу к ним офис - попробую.
кстати я имел в ввиду 10.0.0.0/24, то была опечатка

2 Stanislav:
Да, спасибо - мне до этого тоже приходилось делать и транки, и порт аггрегешн и VLANs на Procurve'ах
Да и роутинг они пишут - разреши, и будет тебе счастье А все-таки не без засады обошлось.

Еще раз спасибо

[Ebirya]

и еще вопрос:
скажем, получится у меня настроить роутинг между влан'ами
и скажем, клиенту из влана3 нужно в интернет. Путь туда лежит через влан1. Значит, для клиента его запрос пойдет так:
через gateway (IP of VLAN3) to the next hope (which should be the IP of VLAN1) - это в случае, если роутинг работает
Но как потом пором передать этот пакет/запрос на интерфейс файервола?
Единственное, что мне приходит в голову - прописать static route для VLAN1, который все, что приходит от VLAN3, будет отправлять на адрес маршрутизатора/файрволла.

Может, я что упускаю, или есть другой способ похитрее?

[AndreyA]

Собственно сам свитч все умеет:
Layer 3 routing
Static IP routing: provides manually configured routing for both IPv4 and IPv6 networks New!

Routing Information Protocol (RIP): provides RIPv1 and RIPv2 routing

OSPF (requires Premium License): provides OSPFv2 for IPv4 routing and OSPFv3 for IPv6 routing New!

Вот тут можно найти доку: http://www.hp.com/rnd/support/manuals/5400zl.htm
Вот про раутинг: http://cdn.procurve.com/training/Manual ... _14_52.pdf

[Ebirya]

Собственно сам свитч все умеет:
Layer 3 routing
Static IP routing: provides manually configured routing for both IPv4 and IPv6 networks New!

Routing Information Protocol (RIP): provides RIPv1 and RIPv2 routing

OSPF (requires Premium License): provides OSPFv2 for IPv4 routing and OSPFv3 for IPv6 routing New!

Вот тут можно найти доку: http://www.hp.com/rnd/support/manuals/5400zl.htm
Вот про раутинг: http://cdn.procurve.com/training/Manual ... _14_52.pdf

угу, спасибо - его и читаю
про то, что свич это умеет, я и не сомневался. Как это сделать - это другой вопрос. Ну вот сделаю, и научусь чему-то новому

[AndreyA]

и еще вопрос:
скажем, получится у меня настроить роутинг между влан'ами
и скажем, клиенту из влана3 нужно в интернет. Путь туда лежит через влан1. Значит, для клиента его запрос пойдет так:
через gateway (IP of VLAN3) to the next hope (which should be the IP of VLAN1) - это в случае, если роутинг работает
Но как потом пором передать этот пакет/запрос на интерфейс файервола?
Единственное, что мне приходит в голову - прописать static route для VLAN1, который все, что приходит от VLAN3, будет отправлять на адрес маршрутизатора/файрволла.

Может, я что упускаю, или есть другой способ похитрее?

Зачем статический маршрут? Если есть маршрутизация между ВЛАНами то просто прописываете гатевэй на клиентах из 3 и свитч все сам отправит куда надо.

[AndreyA]

угу, спасибо - его и читаю
про то, что свич это умеет, я и не сомневался. Как это сделать - это другой вопрос. Ну вот сделаю, и научусь чему-то новому

В файле 3500-5400-6200-6600-8200-MRG-Mar10-K_14_52.pdf страница 175 (если РИП использовать то стр. 208)
По ВЛАНам посмотрите документ 3500-5400-6200-6600-8200-ATG-Mar10-K_14_52.pdf стр. 78

[white_raven]

делается роут 0.0.0.0 0.0.0.0.0 ipкудатовинтернет(или интерфейс туда смотрящий) - для запросов во внешнюю сеть

то есть есть рип v2
192.168.0.1/24
192.168.0.2/24
10.0.0.0/24

и деваулт роут 0.0.0.0 0.0.0.0.0 eth0/11 или 0.0.0.0 0.0.0.0.0 x.x.x.x

а кто делает нат?
нарисуй схему куда все идет

[AndreyA]

делается роут 0.0.0.0 0.0.0.0.0 ipкудатовинтернет(или интерфейс туда смотрящий) - для запросов во внешнюю сеть

то есть есть рип v2
192.168.0.1/24
192.168.0.2/24
10.0.0.0/24

и деваулт роут 0.0.0.0 0.0.0.0.0 eth0/11 или 0.0.0.0 0.0.0.0.0 x.x.x.x

а кто делает нат?
нарисуй схему куда все идет

Там даже OSPF есть

[Ebirya]

и еще вопрос:
скажем, получится у меня настроить роутинг между влан'ами
и скажем, клиенту из влана3 нужно в интернет. Путь туда лежит через влан1. Значит, для клиента его запрос пойдет так:
через gateway (IP of VLAN3) to the next hope (which should be the IP of VLAN1) - это в случае, если роутинг работает
Но как потом пором передать этот пакет/запрос на интерфейс файервола?
Единственное, что мне приходит в голову - прописать static route для VLAN1, который все, что приходит от VLAN3, будет отправлять на адрес маршрутизатора/файрволла.

Может, я что упускаю, или есть другой способ похитрее?

Зачем статический маршрут? Если есть маршрутизация между ВЛАНами то просто прописываете гатевэй на клиентах из 3 и свитч все сам отправит куда надо.

например:
влан1 - это 10.0.0.0/24 где 10.0.0.10 - это адрес самого ВЛАН, а 10.0.0.1 - это "общий" фиревалл/гейтвей
влан2 - это 192.168.100.0/24, где 192.168.100.1 - это адрес самого ВЛАН2, а 192.168.100.10 - пусть будет клиент2
влан3 - это 192.168.200.0/24, где 192.168.200.1 - это адрес самого ВЛАН3, а 192.168.200.10 - пусть будет клиент3

скажем,
клиент3 идет "в интернет".
значит, пакет пойдет так: 192.168.200.10->192.168.200.1->10.0.0.10
потом, по идее, свич должен отправить этот пакет дальше, на дефолт гейтвей влана1. Проблема (или непонимание) возникает от того, что в мануале написано, что при разрешенном роутинге дифолт гейтвейс для ВЛАН'ов игнорируются. Отсуда вопрос: каким образом 10.0.0.10 будет знать, что пакет нужно перебросить на 10.0.0.1?

ПС.
Это вовсе не спор, а так - мысли вслух. Т.е., я могу реально что-то очень базовое и очевидное упускать.
спасибо за внимание

[AndreyA]

например:
влан1 - это 10.0.0.0/24 где 10.0.0.10 - это адрес самого ВЛАН, а 10.0.0.1 - это "общий" фиревалл/гейтвей
влан2 - это 192.168.100.0/24, где 192.168.100.1 - это адрес самого ВЛАН2, а 192.168.100.10 - пусть будет клиент2
влан3 - это 192.168.200.0/24, где 192.168.200.1 - это адрес самого ВЛАН3, а 192.168.200.10 - пусть будет клиент3

скажем,
клиент3 идет "в интернет".
значит, пакет пойдет так: 192.168.200.10->192.168.200.1->10.0.0.10
потом, по идее, свич должен отправить этот пакет дальше, на дефолт гейтвей влана1. Проблема (или непонимание) возникает от того, что в мануале написано, что при разрешенном роутинге дифолт гейтвейс для ВЛАН'ов игнорируются. Отсуда вопрос: каким образом 10.0.0.10 будет знать, что пакет нужно перебросить на 10.0.0.1?


спасибо за внимание

Ну так на клиентах влан3 пропишите гейтвей 10.0.0.1 и все.

[Ebirya]

схему могу замутить чуть попозже.
А пока вот

5412zl(vlan-200)# show ip route

IP Route Entries

Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
10.0.0.0/24 DEFAULT_VLAN 1 connected 1 0
127.0.0.0/8 reject static 0 0
127.0.0.1/32 connected 1 0
192.168.100.0/24 VLAN2 100 connected 1 0
192.168.200.0/24 VLAN3 200 connected 1 0


5412zl(vlan-200)# show ip rip general

RIP global parameters

RIP protocol : enabled
Auto-summary : enabled
Default Metric : 1
Distance : 120
Route changes : 0
Queries : 0

RIP interface information

IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.0.0.10 enabled V1-compatible-V2 V1-or-V2 1 none
192.168.100.1 enabled V1-compatible-V2 V1-or-V2 1 none
192.168.200.1 enabled V1-compatible-V2 V1-or-V2 1 none

[Ebirya]

Ну так на клиентах влан1 пропишите гейтвей 10.0.0.1 и все.

а каким образом это поможет клиентам влан3?
по идее, должен быть способ назначить гейтвей для самого свича. Тогда все было бы логично