[wer_wolf]

Всем доброго времени.

Может быть вопрос и тупой но все таки.

Есть сеть построенная на Dlink, в сети активно используются vlan маршрутизация на коммутаторе dlink 3 уровня

И вот недавно попал мне в руки procurve 2910al, раньше их железо не юзал так что настраивал по мануалам в частности по вики http://xgu.ru/wiki/ProCurve_Switch

Соединил HP с Длинком оптикой через 22 порт, создал пару vlan. Тегированными их довел со стороны dlink до HP. 

На Hp получилось вот такое

  VLAN ID Name                 | Status     Voice Jumbo
  ------- -------------------- + ---------- ----- -----
  1       DEFAULT_VLAN         | Port-based No    No
  3       serv                 | Port-based No    No
ProCurve 2910al-24G Switch(config)# sh ip
 Internet (IP) Service
  IP Routing : Disabled
  Default Gateway : 10.1.1.254
  Default TTL     : 64
  Arp Age         : 20
  Domain Suffix   :
  DNS server      :
  VLAN                 | IP Config  IP Address      Subnet Mask     Proxy ARP
  -------------------- + ---------- --------------- --------------- ---------
  DEFAULT_VLAN         | Manual     10.1.1.4       255.255.0.0     No
  IK0SRV               | Disabled
ProCurve 2910al-24G Switch(config)# ping 10.1.1.3
10.1.1.3 is alive, time = 3 ms
ProCurve 2910al-24G Switch(config)# ping 10.3.0.10
Request timed out.
ProCurve 2910al-24G Switch(config)# ping 10.1.1.254
10.1.1.254 is alive, time = 10 ms
ProCurve 2910al-24G Switch(config)# ping 10.3.0.254
10.3.0.254 is alive, time = 12 ms

10.1.1.254, 10.3.0.254 - Адреса моего маршрутизатора

10.1.1.3 - один из моих старых свичей

10.3.0.10 - сервер в 3 vlan

 

Если пытаюсь пинговать НР свич или компьютер включенный в него со стороны сети то первый пакет доходит, затем тишина. Если пинг оставить на длительное время может пролетать примерно 1 пакет из 100.

С компьютера подключенного к свичу НР ситуация такая же, компьютер нормально пингует шлюз своей подсети, но не дальше.

Подскажите где я не прав?

 

[jffulcrum]

Покажите sh vlan 1 , sh vlan 3

[wer_wolf]

Вот так получается:

ProCurve 2910al-24G Switch(config)# sh vlan 1

 Status and Counters - VLAN Information - VLAN 1
  VLAN ID : 1
  Name : DEFAULT_VLAN
  Status : Port-based
  Voice : No
  Jumbo : No

  Port Information Mode     Unknown VLAN Status
  ---------------- -------- ------------ ----------
  1                Tagged   Learn        Down
  21               Untagged Learn        Down
  22               Untagged Learn        Up
  Trk1             Untagged Learn        Down
  Overridden Port VLAN configuration
  Port Mode
  ---- ------------

ProCurve 2910al-24G Switch(config)# sh vlan 3

 Status and Counters - VLAN Information - VLAN 3
  VLAN ID : 3
  Name : serv
  Status : Port-based
  Voice : No
  Jumbo : No
  Port Information Mode     Unknown VLAN Status
  ---------------- -------- ------------ ----------
  1                Untagged Learn        Down
  2                Tagged   Learn        Up
  3                Tagged   Learn        Down
  4                Tagged   Learn        Down
  5                Tagged   Learn        Down
  6                Tagged   Learn        Down
  7                Tagged   Learn        Down
  8                Tagged   Learn        Down
  9                Tagged   Learn        Down
  10               Tagged   Learn        Down
  11               Tagged   Learn        Down
  12               Tagged   Learn        Down
  13               Tagged   Learn        Up
  14               Tagged   Learn        Down
  15               Tagged   Learn        Down
  16               Tagged   Learn        Down
  17               Tagged   Learn        Down
  18               Tagged   Learn        Down
  19               Tagged   Learn        Down
  20               Tagged   Learn        Down
  21               Tagged   Learn        Down
  22               Tagged   Learn        Up
  Trk1             Tagged   Learn        Down

На 13 и 2 портах висят железки у которых в настройках сетевых карты сказано работать тегированным трафиком

[YuryD]

В 04.06.2022 в 16:54, wer_wolf сказал:

Вот так получается:

На 13 и 2 портах висят железки у которых в настройках сетевых карты сказано работать тегированным трафиком

 не реалтечные ли сетевухи ? у них было полно граблей в драйверах с vlan. Вообще-то дебаг вланов надо изучать со стороны mac-адресов.

 

[wer_wolf]

Нет сетевки Интеловые в сервере, и на моем Dlinke они в этом лане нормально работают с тегированным трафиком. 

Я пробовал и Untagget порт, тоже какая-то фигня. 

Сетевка не может получит адрес по DHCP хотя этот же комп на dlink все нормально получает в этом влане, если назначит IP руками то пинги идут только до шлюза подсети или до компьютеров этой посети. Если пинговать компьютер с других подсетей то первый пакет проходит, потом тишина, останавливаешь пинг, запускаешь опять, просто тишина, если после остановки подождать некоторое время опять 1 пакет проходит и тишина.

И если отбросить вопрос с компьютерами, все равно остается вопрос почему сам свич не пингуется и нет доступа к его консоли по ssh за пределами 1 влана.

 

 

Edited June 4, 2022 by wer_wolf

[jffulcrum]

А конфиг со стороны Dlink можете показать? Пакеты между свитчами ходят? Может что-то с физикой линка не так.

[wer_wolf]

НР подключен в порт 1:18  Вот 1 vlan на делинке

DGS-3627G:admin#show vlan vlanid 1
Command: show vlan vlanid 1
VLAN Trunk State        : Disabled
VLAN Trunk Member Ports :
VID             : 1          VLAN Name     : default
VLAN Type       : Static     Advertisement : Enabled
Member Ports    : 1:1-1:22,1:25,2:1-2:22
Static Ports    : 1:1-1:22,1:25,2:1-2:22
Current Tagged Ports  :
Current Untagged Ports: 1:1-1:22,1:25,2:1-2:22
Static Tagged Ports   :
Static Untagged Ports : 1:1-1:22,1:25,2:1-2:22
Forbidden Ports       :
Total Entries: 1

Вот 3 влан

DGS-3627G:admin#show vlan vlanid 3
Command: show vlan vlanid 3
VLAN Trunk State        : Disabled
VLAN Trunk Member Ports :
VID             : 3          VLAN Name     : serv
VLAN Type       : Static     Advertisement : Enabled
Member Ports    : 1:18-1:22,1:24,2:12
Static Ports    : 1:18-1:22,1:24,2:12
Current Tagged Ports  : 1:18-1:22,2:12
Current Untagged Ports: 1:24,2:24
Static Tagged Ports   : 1:18-1:22,2:12
Static Untagged Ports : 1:24,2:24
Forbidden Ports       :
Total Entries: 1

Со свича на свич пинг проходит нормально. Но как только пакету нужно пройти через мой маршрутизатор который на Делинке пакет как будто пропадает, причем первый пакет проходит, а потом тишина.

Вот как то так выглядит пинг на НР свич с компьютера из другой подсети, уже в порядке общего бреда сменил НР IP адрес с 4 на 5, но не помогло :)

C:\Users\administrator>ping 10.1.1.5 -t

Обмен пакетами с 10.1.1.5 по с 32 байтами данных:
Ответ от 10.1.1.5: число байт=32 время=15мс TTL=254
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 10.1.1.5:
    Пакетов: отправлено = 6, получено = 1, потеряно = 5
    (83% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 15мсек, Максимальное = 15 мсек, Среднее = 15 мсек
Control-C

Если запустить пинг повторно ничего не пройдет, но если после остановки подождать минут 10 скажем то опять 1 пакет пройдет.

[SUrov_IBM]

Wer_wolf, здравствуйте.

 

В 04.06.2022 в 00:01, wer_wolf сказал:

Если пинг оставить на длительное время может пролетать примерно 1 пакет из 100.

HP скорей всего не причём, как предположение - со стороны D-Link хозяйства, у Вас случайно не включены механизмы собственной D-Link кухни, под названием "asymmetric vlan" или "traffic segmentation"? По умолчанию, если я не ошибаюсь, они должны быть выключены, но чем чёрт не шутит. Если что-то, из вышеперечисленного включено, скорей всего оно и "творит чудеса".

 

P.S. Не сочтите за нахальство и нравоучение, но использовать VLAN ID 1 это б-р-р-р..., моветон и не важно untagged или tagged, просто ID 1 - это вечные грабли. Попробуйте создать отдельный VLAN для управления.

[nixx]

что в логах длинка/хьюлетта? очень похоже на срабатывание какой-то защиты, типа от колец или, там, от штормов.

потом по рекавери-таймауту защита снимается, пролетает один пакет, защита опять срабатывает.

[jffulcrum]

В 04.06.2022 в 19:15, wer_wolf сказал:

DGS-3627G

Железке, поди, лет 10 уже. Попробуйте выключить storm-control и flood

[wer_wolf]

On 6/5/2022 at 3:44 AM, nixx said:

что в логах длинка/хьюлетта? очень похоже на срабатывание какой-то защиты, типа от колец или, там, от штормов.

потом по рекавери-таймауту защита снимается, пролетает один пакет, защита опять срабатывает.

В логах тишина как на Длинке так и на НР

И ошибок на порту куда подключен НР как бы нет, только дропы пакетов

Port number : 1:18
                    RX Frames                                  TX Frames
                    ---------                                  ---------
 CRC Error          0                    Excessive Deferral    0
 Undersize          0                    CRC Error             0
 Oversize           0                    Late Collision        0
 Fragment           0                    Excessive Collision   0
 Jabber             0                    Single Collision      0
 Drop Pkts          62976                Collision             0
 Symbol Error       0
 Buffer Full Drop   0
 ACL Drop           0
 Multicast Drop     42023
 VLAN Ingress Drop  0

У НР на интерфейса тоже все более менее

ProCurve 2910al-24G Switch(config)# sh interfaces 22
 Status and Counters - Port Counters for port 22
  Name  :
  MAC Address      : c09134-c6ab6a
  Link Status      : Up
  Totals (Since boot or last clear) :
   Bytes Rx        : 997,095,745        Bytes Tx        : 2,265,083
   Unicast Rx      : 416,635            Unicast Tx      : 183
   Bcast/Mcast Rx  : 7,654,455          Bcast/Mcast Tx  : 12,927
  Errors (Since boot or last clear) :
   FCS Rx          : 0                  Drops Tx        : 0
   Alignment Rx    : 0                  Collisions Tx   : 0
   Runts Rx        : 0                  Late Colln Tx   : 0
   Giants Rx       : 0                  Excessive Colln : 0
   Total Rx Errors : 0                  Deferred Tx     : 0
  Others (Since boot or last clear) :
   Discard Rx      : 0                  Out Queue Len   : 0
   Unknown Protos  : 0
  Rates (5 minute weighted average) :
   Total Rx  (bps) : 5,019,896          Total Tx  (bps) : 1,035,576
   Unicast Rx (Pkts/sec) : 0            Unicast Tx (Pkts/sec) : 0
   B/Mcast Rx (Pkts/sec) : 16           B/Mcast Tx (Pkts/sec) : 0
   Utilization Rx  : 00.50 %            Utilization Tx  : 00.10 %

 

 

On 6/5/2022 at 9:38 AM, jffulcrum said:

Железке, поди, лет 10 уже. Попробуйте выключить storm-control и flood

Так и НР далеко не новорожденный

А по вашему совету все как бы выключено

DGS-3627G:admin#show traffic control
Command: show traffic control
Traffic Control Trap              : [None]
Traffic Control Auto Recover Time : 0 Minutes
Port Thres  Broadcast Multicast Unicast  Action   Count    Time     Shutdown
     hold   Storm     Storm     Storm             down     Interval Forever
---- ------ --------- --------- -------- -------- -------- -------- --------
1:12 131072 Disabled  Disabled  Disabled drop     0        5
1:13 131072 Disabled  Disabled  Disabled drop     0        5
1:14 131072 Disabled  Disabled  Disabled drop     0        5
1:15 131072 Disabled  Disabled  Disabled drop     0        5
1:16 131072 Disabled  Disabled  Disabled drop     0        5
1:17 131072 Disabled  Disabled  Disabled drop     0        5
1:18 131072 Disabled  Disabled  Disabled drop     0        5
1:19 131072 Disabled  Disabled  Disabled drop     0        5

 

[SUrov_IBM]

Wer_wolf,

 

В 05.06.2022 в 14:21, wer_wolf сказал:

Drop Pkts          62976

Хм..., появилась одна мысль, у Вас случайно Flow Control на DGS-3627G не включен? Если включен, выключите Flow Control на всех портах DGS-3627G, для теста.

[No_name]

Если проблема не решилась, покажите sh ru на нр, что там наконфигурено.

[wer_wolf]

On 6/7/2022 at 7:05 PM, No_name said:

Если проблема не решилась, покажите sh ru на нр, что там наконфигурено.

ProCurve 2910al-24G Switch(config)# sh run

Running configuration:
; J9145A Configuration Editor; Created on release #W.14.72

hostname "ProCurve 2910al-24G Switch"
module 1 type J9145A
trunk 23-24 Trk1 LACP
ip default-gateway 10.1.1.254
vlan 1
   name "DEFAULT_VLAN"
   untagged 21-22,Trk1
   ip address 10.1.1.5 255.255.0.0
   tagged 1
   no untagged 2-20
   exit
vlan 3
   name "SERV"
   untagged 1
   tagged 2-22,Trk1
   no ip address
   exit
vlan 2
   name "2F"
   untagged 2-4,13
   ip address 10.3.2.253 255.255.255.0
   tagged 21-22,Trk1
   exit
snmp-server community "public" unrestricted
spanning-tree Trk1 priority 4
no autorun

Наконфигурено совсем чутка.

По второму адресу коммутатор доступен для компьютеров из той же подсети по ssh и ping без проблем.

 

On 6/6/2022 at 12:53 AM, SUrov_IBM said:

Хм..., появилась одна мысль, у Вас случайно Flow Control на DGS-3627G не включен?

Самого это смущает, но нет выключено.

[jffulcrum]

show span detail сделайте

 

В 08.06.2022 в 19:48, wer_wolf сказал:

spanning-tree Trk1 priority 4

Вообще так не правильно делать. Надо или настраивать до конца, с учётом root, edge-port и т.п. или выключать вообще.

[No_name]

В вашем конфиге все ужасно :) и tag и untag, причем и в аплинке

 

Судя по вашему конфигу и описанию,

удаляем конфигкашу(если только вы не на удаленке), но думаю что нет ибо ничего не работает:

# erase startup-config

перегружаемси......

 

configure

vlan 1

tag 22

ip address 10.1.1.5/16

 

vlan 2

name "2F"
tagged 2-4,13
ip address 10.3.2.253/24
tagged 21-22

 

vlan 3

name "SERV"
untag 1

tag 2-22

 

ip routing

ip route 0.0.0.0 0.0.0.0 10.1.1.254

 

Со стороны длинка у вас должен быть маршрут на 10.3.2.0/24 через 10.1.1.5

 

Все для начала, чтобы было понимание, далее донастраиваете как нужно.

 

Если на серваках вланов нет, то порт надо прописывать как untag

И вообще, аплинковые порты делайте тегированными, а в случае разношерстного оборудования и подавно.

Далее, 1 vlan  в маршрутизации лучше не учавствовать, а сделать для управления например, потому как у нр и циски

разная философия его применения.

 

(поскольку скрипт форума настроен через жопу то тег <> не вставить,

вместо вставки крутится китайская хрень)

 

В 08.06.2022 в 20:26, jffulcrum сказал:

show span detail сделайте

 

Вообще так не правильно делать. Надо или настраивать до конца, с учётом root, edge-port и т.п. или выключать вообще.

На данном этапе оно ему не нужно вообще. пусть начинает с простейшего конфига.

А вообще, у ТС описание хотелок расходится с конфигом.

 

[wer_wolf]

On 6/8/2022 at 8:32 PM, No_name said:

ip routing

ip route 0.0.0.0 0.0.0.0 10.1.1.254

Как я понимаю это включит маршрутизацию на коммутаторе, изначально я этого делать не хотел так как за маршрутизацию у меня отвечает Длинковский стек потому и пописывал просто дефаултный роутер

On 6/8/2022 at 8:32 PM, No_name said:

Далее, 1 vlan  в маршрутизации лучше не учавствовать, а сделать для управления например, потому как у нр и циски

разная философия его применения.

Он у меня и так на всем оборудовании untag для управления, и проблема изначально и была в том что прописав все как всегда делаю на длинках я смог увидеть этот коммутатор с роутера, но не смог подключится к нему со своей машины так как мои пакеты не маршрутизировались на этот свич, хотя с остальными свичами кто работает в untag 1 все нормально

On 6/8/2022 at 8:32 PM, No_name said:

А вообще, у ТС описание хотелок расходится с конфигом.

Это уже конфиг результатов эксперимента, изначально я прописал 3 Влан, 1 untag и на него назначил IP для подключения к управлению и прописал дефаулт шлюз что бы можно было подключатся к управлению из других подсетей и все, но увы не взлетало.

[edo]

В 05.06.2022 в 01:51, SUrov_IBM сказал:

P.S. Не сочтите за нахальство и нравоучение, но использовать VLAN ID 1 это б-р-р-р..., моветон и не важно untagged или tagged, просто ID 1 - это вечные грабли.

аргументировать можно? оставляю vlan 1 нетегированным на транк-портах, в нём только управление, проблем не встречал.

единственное, что приходит в голову: злоумышленнику с ноутбуком будет проще попасть в управляющую сеть, но разница совсем не принципиальная.

[edo]

В 04.06.2022 в 00:01, wer_wolf сказал:

Если пытаюсь пинговать НР свич или компьютер включенный в него со стороны сети то первый пакет доходит, затем тишина. Если пинг оставить на длительное время может пролетать примерно 1 пакет из 100.

снять tcpdump нет возможности? (лучше, наверное, linux с двумя сетевыми портами и бриджем между ними)

посмотреть на всякие bpdu, icmp redirect и прочие arp. да ну и просто увидеть это один свитч перестаёт слать или другой отказывается принимать.

[jffulcrum]

В 12.06.2022 в 01:58, edo сказал:

оставляю vlan 1 нетегированным на транк-портах, в нём только управление, проблем не встречал.

Пока в нем не окажется какой-нибудь роутер TP-LINK с багами, который начнет сеять разумное, доброе, вечное.

[edo]

Разве смена vlan помешает роутерам «сеять разумное, доброе, вечное»?

И что делать wifi-роутерам в управляющем vlan свитчей?

[jffulcrum]

В 12.06.2022 в 10:17, edo сказал:

Разве смена vlan помешает роутерам «сеять разумное, доброе, вечное»?

ARP poisoning помешает. Задрюкать управление (особенно если нет COPP) - тоже.

 

[edo]

@jffulcrum вы точно со мной спорите? я как раз говорю, что пускать что-то «левое» в управляющий vlan не стоит.

возражал я лишь против сакральности номера 1 у vlan. по мне номер как номер, а для нетегированного vlan вообще какая разница какой номер стоит в конфиге?

[SUrov_IBM]

Edo, здравствуйте.

 

В 12.06.2022 в 01:58, edo сказал:

аргументировать можно?

 

На истину не претендую, идеология может быть разной, выскажу только свое мнение, почему стараюсь избегать VLAN ID 1 (имя ему - легион: Default VLAN, Native VLAN 1 и т.п.), если сеть в принципе подразумевает разделение на VLAN:

 

Поскольку в большинстве управляемых коммутаторов, в дефолтной конфигурации, порты коммутируются в VLAN ID 1 и если в порты что-то включено (активно), L2 "трафик-каша" (мусор) этих устройств начинает распространяться не только между портами конкретного коммутатора (в пределах ID 1), но и на соседей, если это не ограничено заранее (из-за того, что VLAN ID 1 предусмотрен в большинстве оборудования по умолчанию). Таким образом, этот "мусор" может витиевато распространиться в пределах сети и мешать работе устройств, которым через данный VLAN поступает непосредственно адресованный для них трафик (например управление).

 

Такая ситуация, может прослеживаться, когда вы присоединяетесь к сегменту "дружественной" сети (например, чтобы осуществить транзит VLAN ID 2 и т.д.), находящейся не под Вашим управлением и можете наблюдать, как со стороны VLAN ID 1 начинают прилетать все порожденья "Ethernet Бездны" соседа. ;)

 

В общем, использование VLAN ID 1, сравнимо с использованием IP адресации 192.168.0.0/24 и 192.168.1.0/24, которой я так-же стараюсь избегать, чтобы не наступать на подводные камни безделушек из поднебесного Китая. ;)

 

Нетегированному трафику (native, untagged), в сети разделённой на VLAN, место остаётся только между access портом и конечным point устройством.

В случае, если для восстановления работы сегмента, например с ноутбука потребуется попасть в управляющий VLAN через trunk коммутатора, то ничего не мешает назначить tagget на самом ноутбуке (в данное время, это позволяют практически любые драйвера, под любые сетевые карточки).

[edo]

В 12.06.2022 в 11:51, SUrov_IBM сказал:

Поскольку в большинстве управляемых коммутаторов, в дефолтной конфигурации, порты коммутируются в VLAN ID 1

вы имеете в иду, что если, например, сбросить конфиг у свитча, то весь трафик полетит в управляющий vlan соседних свитчей?

хм, надо эту мысль подумать…

 

кроме этого, я не вижу различий в наших подходах: вы перевешиваете управление на другой vlan, я же оставляю его на дефолтном vlan 1, но отключаю этот vlan на всех портах, кроме линков между свитчами. как говорится, что в лоб, что по лбу