Назад | Перейти на главную страницу

HP Procurve 2910 Inter VLAN routing частично работает

Я медленно пытаюсь решить проблему с унаследованным диапазоном IP-адресов.

На данный момент все находится на 100.100.100.x. Я медленно перехожу к диапазону 10.12.x.x. В настоящее время мой брандмауэр Watchguard на 100.100.100.222 выполняет мои функции для пользователей, я хочу изменить, чтобы Procurve на 100.100.100.79 вместо этого выполнял маршрутизацию.

Первым этапом была установка второго подключения к брандмауэру в VLAN 99 10.12.99.1, чтобы доступ в Интернет работал, а он работал в VLAN 123.

Вот моя настройка vlan.

VLAN ID Name                 | Status     Voice Jumbo
------- -------------------- + ---------- ----- -----
1       DEFAULT_VLAN         | Port-based No    No
20      ISCSI                | Port-based No    No
99      DMZ                  | Port-based No    No
121     Client_PCs           | Port-based No    No
122     Production           | Port-based No    No
123     Servers              | Port-based No    No

Я могу пинговать между VLAN 1 и 123. Я не могу пинговать между VLAN 122 и 123.

Вот моя рабочая конфигурация; Редактор конфигурации J9145A; Создано в выпуске # W.14.38

hostname "AKS-BROX-SW2"
module 1 type J9145A
interface 24
   name "LINK TO FP"
exit
trunk 19-22 Trk1 LACP
trunk 6-9 Trk2 LACP
ip default-gateway 100.100.100.222
ip routing
vlan 1
   name "DEFAULT_VLAN"
   untagged 1-3,5,10,24,Trk1-Trk2
   ip address 100.100.100.79 255.255.255.0
   no untagged 4,11-18,23
   exit
vlan 20
   name "ISCSI"
   untagged 11-18
   ip address 172.16.230.253 255.255.255.0
   tagged Trk1
   exit
vlan 121
   name "Client_PCs"
   ip address 10.12.1.254 255.255.255.0
   tagged Trk2
   exit
vlan 122
   name "Production"
   ip address 10.12.2.254 255.255.255.0
   tagged 1-2,5,10-11,Trk2
   exit
vlan 123
   name "Servers"
   ip address 10.12.3.254 255.255.255.0
   tagged 1-2,4-5,10-11,Trk2
   exit
vlan 99
   name "DMZ"
   untagged 23
   ip address 10.12.99.254 255.255.255.0
   exit
fault-finder bad-driver sensitivity high
fault-finder bad-transceiver sensitivity high
fault-finder bad-cable sensitivity high
fault-finder too-long-cable sensitivity high
fault-finder over-bandwidth sensitivity high
fault-finder broadcast-storm sensitivity high
fault-finder loss-of-link sensitivity high
fault-finder duplex-mismatch-HDx sensitivity high
fault-finder duplex-mismatch-FDx sensitivity high
timesync sntp
sntp unicast
sntp server priority 1 192.146.137.13 3
ip route 0.0.0.0 0.0.0.0 10.12.99.1
ip route 10.12.1.0 255.255.255.0 10.12.99.1
ip route 10.12.2.0 255.255.255.0 10.12.99.1
ip route 10.12.3.0 255.255.255.0 10.12.99.1
ip route 100.100.100.0 255.255.255.0 10.12.99.1
snmp-server community "snmp-public" operator
snmp-server community "monitor" operator
spanning-tree
spanning-tree 4 path-cost 41000
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree priority 7
no autorun
password manager

И наконец, что не менее важно, маршрутизация ...

                               IP Route Entries

  Destination        Gateway         VLAN Type      Sub-Type   Metric     Dist.
  ------------------ --------------- ---- --------- ---------- ---------- -----
  0.0.0.0/0          10.12.99.1      99   static               1          1
  10.12.1.0/24       Client_PCs      121  connected            1          0
  10.12.2.0/24       Production      122  connected            1          0
  10.12.3.0/24       Servers         123  connected            1          0
  10.12.99.0/24      DMZ             99   connected            1          0
  100.100.100.0/24   DEFAULT_VLAN    1    connected            1          0
  127.0.0.0/8        reject               static               0          0
  127.0.0.1/32       lo0                  connected            1          0
  172.16.230.0/24    ISCSI           20   connected            1          0

Я не могу заставить VLAN 122 и VLAN 123 общаться друг с другом, поэтому я предполагаю, что маршрут неправильный, но если я попытаюсь добавить маршрут ...

IP-маршрут 10.12.2.0/24 10.12.3.254

Я получаю эту ошибку. 10.12.3.254 нельзя переключать IP-адрес и маршрутизировать шлюз одновременно.

У меня должно быть что-то настроено неправильно, но я не могу понять, что это такое.

Спасибо

A 2910 с активированным ip routing маршрутизирует из и в любую VLAN, в которой ей назначен IP-адрес.

Таким образом, если узел не может достичь одной подсети VLAN из другой, скорее всего, он не находится в правильной VLAN.

ip route 10.12.2.0/24 10.12.3.254 не может работать, так как 10.12.2.0/24 уже подключен локально, а 10.12.3.254 - это сам коммутатор - вы не можете указать ему, чтобы он возвращался к самому себе.

Дополнительно, 

ip route 0.0.0.0 0.0.0.0 10.12.99.1
ip route 10.12.1.0 255.255.255.0 10.12.99.1
ip route 10.12.2.0 255.255.255.0 10.12.99.1
ip route 10.12.3.0 255.255.255.0 10.12.99.1
ip route 100.100.100.0 255.255.255.0 10.12.99.1

не имеют смысла. Все эти подсети являются локальными и не могут быть маршрутизированы в другое место.

кстати: версия прошивки 14.38 старая (до 2011 года, когда мы покупали 2910) ...

PS: Вы привязываете IP-адреса ко всем VLAN, включая iSCSI и DMZ - как указано выше, 2910 будет маршрутизироваться во все эти сети и выходить из них что совершенно точно не предназначено. Вам нужно будет либо удалить эти IP-адреса и маршрутизировать / фильтровать между этими VLAN в другом месте, либо настроить ACL, которые разрешают нужный вам трафик, одновременно фильтруя все остальное. Обратите внимание, что 2910 не допускает ACL VLAN, только ACL портов.