Konfiguracja przełączników HP ProCurve Cz. II – VLAN’y i Agregacja łączy

  VLAN’y i Agregacja łączy VLANy – Cóż by zrobił bez nich świat.   W celu rozpoczęcia przygody z VLANami należy z głównego menu „Switch Configuration” wybierać opcję „VLAN Menu”. […]

 

VLAN’y i Agregacja łączy

VLANy – Cóż by zrobił bez nich świat.
 

W celu rozpoczęcia przygody z VLANami należy z głównego menu „Switch Configuration” wybierać opcję „VLAN Menu”.
Należy zacząć od „VLAN Names”. Pojawi się okno:

hp0                                                        25-Sep-2012  11:57:58
===========================- TELNET - MANAGER MODE -============================
                    Switch Configuration - VLAN - VLAN Names

  802.1Q VLAN ID      Name
  --------------  ------------
  1               DEFAULT_VLAN
  3               VOIP
  4               ADMINISTRACJA
  33              USERS
  44              SWITCHE
  55              SERWERY
  
 Actions->   Back     Add     Edit     Delete     Help

Return to previous screen.
Use up/down arrow keys to change record selection, left/right arrow keys to
change action selection, and <Enter> to execute action.

 
VLANy tworzymy według potrzeb. Naszym zdaniem minimalna opcja to po jednym:

  • do komunikacji między/z przełącznikami,
  • do komunikacji między serwerami,
  • jako dostępowy, tzn. przeznaczony dla userów,
  • do VOIPu (jeśli mamy).

Następnym krokiem jest przejście do konfiguracji „VLAN Support”.

hp0                                                        25-Sep-2012  13:19:12
===========================- TELNET - MANAGER MODE -============================
                   Switch Configuration - VLAN - VLAN Support

  Maximum VLANs to support [8] : 32
  Primary VLAN : SWITCHE
  GVRP Enabled [No] : No


 Actions->   Cancel     Edit     Save     Help

Cancel changes and return to previous screen.
Use arrow keys to change action selection and <Enter> to execute action.

Z powodów bezpieczeństwa zaleca się wyłączenie GVRP na przełącznikach dostępowych. Protokół ten znakomicie sprawdza się w rdzeniu sieci. Jako „Primary VLAN” należy wskazać ten przeznaczony do komunikacji między przełącznikami. Trafi tam, między innymi, ruch odpowiedzialny za stacking.
 
Pora na przypisanie portów do VLANów. Po wybraniu „VLAN Port Assignment” wyświetli się tabela powiązania:

hp0 serwerownia                                            25-Sep-2012  14:13:17
===========================- TELNET - MANAGER MODE -============================
               Switch Configuration - VLAN - VLAN Port Assignment

  Port   DEFAULT_VLAN    VOIP           USERS        Switches       Serwery
  ---- + ------------  ------------  ------------  ------------  ------------>
  36   | No            No            No            No            No            
  37   | No            No            No            No            No            
  38   | No            No            Untagged      No            No
  39   | No            No            Untagged      No            No
  40   | No            No            Untagged      No            No
  41   | No            No            Tagged        Tagged        Tagged
  42   | No            No            No            No            Untagged      
  43   | No            No            No            No            Untagged      
  44   | No            Untagged      No            No            No            
  45   | No            Untagged      No            No            No            
  46   | No            Untagged      No            No            No            
  Trk1 | No            Tagged        Tagged        Tagged        Tagged

 Actions->   Cancel     Edit     Save     Help

Select the tagging mode for the port/VLAN combination.
Use arrow keys to change field selection, <Space> to toggle field choices,
and <Enter> to go to Actions.

Zasad jest kilka:

  • na porcie może być tyko jedne nietagowany VLAN,
  • każdy port musi być przypisany do jakiegoś VLANu,
  • można przypisać do port do więcej niż jednego VLANu, ale maksymalnie jeden może być nietagowany.
  • W praktyce, jesli do portu przypisujemy już otagowany VLAN, nie powinniśmy przypisywać nietagowanego, bo pozostawia to dziurę do aktaków (polecam SCAPY)
  • nie stosuje się VLANu pierwszego – domyślny VLAN == wiele potencjalnych nieumyślnych problemów,
  • nie zaleca się stosowania nietagowanych VLANów w połączeniach między przełącznikami

Jako uzasadnienie dla powyższych zasad przedstawiam następującą sytuację.

  • Przełącznik ulega awarii i uruchamia się z ustawieniami fabrycznymi
  • Wszystkie podpięte urządzenia są odizolowane, bo trafiają do nieużywanego VLANu domyślnego.
  • Reszta sieci jest bezpieczna bo inne przełączniki ignorują nietagowane ramki.

 
Przełącznik został już wstępnie skonfigurowany na przyjęcie ruchu.
Trzeba go teraz wpiąć do infrastruktury.

Agregację czyli mała redundancja i szersze łącze.
 
Każdy sieciowiec zapytany o redundancję od razu pomyśli o STP/RSTP.
Niestety przyszły czasy, gdy staje się to bez sensu. Powolność protokołu, niepełne wykorzystywanie łącza, podatność na ataki. Wad więcej niż zalet.

W akademikach, gdzie warunki są ciężkie:

  • awarie prądu,
  • kombinujących userów jak „mrówków”,

przy blisko 100 przełącznikach średni uptime wynosi 1/2 roku, postanowiliśmy zrezygnować z STP.

Prawda, zdarza się, że wtyczka wypadnie, lub koparka „ugryzie” światłowód. By zapobiec przerwom w dostępie do sieci zdecydowaliśmy się na agregację łączy, co daje nie tylko redundancję, ale i zwiększa dostępne pasmo.
Przełączniki ze stajni HP dostarczą przynajmniej dwa sposoby agregacji łączy:

  • kontrolowany porzez standardowy trunk
  • kontrolowany przez LACP (Link Aggregation Control Protocol) 802.1ax

Polecamy LACP chodziarz by dlatego, że w równym stopniu wykorzystuje łącza fizyczne.
LACP pozwala na zagregowanie do 8 łącz. Co prawda standard przewiduje, że wszystkie łącza mają mieć taką samą szybkość, lecz w prezencie od HP możemy agregować łącza o różnej szybkości. Możliwa jest agregacja łączy optycznych i miedzianych jednocześnie.
Podczas stosowania agregacji nie zaleca się stosowania regeneratorów, mediakonwerterów (z wyłączeniem miniGbiców i podobnych modułów), ponieważ jeśli łącze ulegnie uszkodzeniu, a link nie spadnie z powodu podtrzymania przez inne urządzenie aktywne, ramki trafią w „kosmos” i komunikacja będzie niemożliwa do zrealizowania. Jeśli link zostanie zerwany wyżej opisany problem nie nastąpi.

Aby stworzyć zagregowanego linka należy wydać następujące polecenie z CLI w trybie konfiguracyjnym:

(config)# trunk 47-48 trk1 lacp

Spowoduje to storzenie truka Trk1, kontrolowanego przez LACP, na portach 47-48. Użyte porty znikną z listy portów, a zastąpi je nowo utworzony trunk, który będzie widoczny i konfigurowawalny tak samo jak zwykły port fizyczny. Należy zwrócić uwagę na to, że nowo utworzony trunk trzeba przypisać do odpowiedniego VLANu (domyślnie ląduje w VLANie 1).

Wyższe modele Prokuw pozwalają na skonfigurowanie rozproszonej agregacji, ale o tym kiedy indziej.
 

Na dziś to tyle następnym razem o Konfiguracja adresu IP oraz Autoryzacji.
AVE LAMA!