HP Procurve 2610

[DyadyaGenya]

Интересуют следующие вопросы по этому коммутатору (по мере появления ответов буду тут же в шапке писать коротко под существующими вопросами, чтоб не искать по всей теме, если конечно решения найдуться) :

1.-Можно ли настроить MVR (Multicast VLAN Registration)?

2.-Как правильно настроить Dynamic_ARP_Protection, чтоб и блокировало и показывало статистику?

3.-В мануале вроде есть такая фишка Connection-rate filtering (Virus Throttle), но реально я её не нашел, это глюк прошивки или мануал неточный?

4.-Хотелось бы попробовать настроить схему "PrivateVLAN + Local Proxy ARP". Но на 2610 нашел только Proxy ARP, а аналога для PrivateVLAN не вижу. Это я не внимательно смотрю, или его просто нет?

5.-Когда настраивал влн, обратил внимание на существование следующей команды: vlan id protocol ipv6, но так и не понял зачем она тут, хотелось бы подсказки

[edgars]

Про multicast тут http://cdn.procurve.com/training/Manuals/2610-AdvTrafficMgmt-Dec2007-59918641.pdf

Про арп протекшен: dhcp-snoping <enter>

arp-prot vlan xxx <enter>

arp-prot trust nomer_porta <enter>

 

vlan id protocol ipv6 - vlan будет изолирован для ipv6, по ходу ipv4/ipx/decnet/etc там не будет бегат.

connection-rate-filter - на 2610 нету, только 3500 и в верх

private vlan - вроде как нету

[DyadyaGenya]

Про multicast тут http://cdn.procurve.com/training/Manuals/2610-AdvTrafficMgmt-Dec2007-59918641.pdf

там конечно много написано про мультикаст, но нет ничего о том можно ли организовать Multicast VLAN Registration или его аналог

Про арп протекшен: dhcp-snoping <enter>

arp-prot vlan xxx <enter>

arp-prot trust nomer_porta <enter>

ну эта инструкция как то не совсем полная, ещё ж надо прописать пары с привязкой по порту, а я не могу напр, прописать пару сразу на несколько портов, хотя в примере написано сразу несколько, и главное, как смотреть статистику, кого и за что блокирует, в той же инструкции есть команда debug arp-protect, а на свиче я её не вижу.

 

private vlan - вроде как нету

ну а неужели нет никакого аналога, или скажем приблизительно такого же по сути, это ж я так понимаю аналог трафик сегменмейшн, если смотреть на длинках, может можно как то с помощью статических роутов прописать?

 

vlan id protocol ipv6 - vlan будет изолирован для ipv6, по ходу ipv4/ipx/decnet/etc там не будет бегат.

connection-rate-filter - на 2610 нету, только 3500 и в верх

 

вот за это спасибо

Edited May 17, 2011 by DyadyaGenya

[edgars]

MVR, private vlan - Вот нету, ето больше ISP фишки, procurve как бы энтерпраиз. Зато у H3C это на борту.

 

ip source binding vlan ip mac port - Попробуите так.

Edited May 17, 2011 by edgars

[DyadyaGenya]

MVR, private vlan - Вот нету, ето больше ISP фишки, procurve как бы энтерпраиз. Зато у H3C это на борту.

isp это типа провайдер работающий с конечным пользователем? а энтерпрайз? и странно, если типа не isp то зачем биндинг?

 

ip source binding vlan ip mac port - Попробуите так.

пробовал, прописывает только на один порт, хотя в инструкции указано несколько

 

и кстати, никогда не слышал про H3C

и ещё, по поводу прокурвы, тоесть решить такую задачу с помощью статических роутов, или какого нибудь аналога PIM нельзя?

и что скажите по поводу debug arp-protect? есть ли такая команда на вашем свиче? и почему её может не быть на моем?

Edited May 18, 2011 by DyadyaGenya

[edgars]

isp это типа провайдер работающий с конечным пользователем? а энтерпрайз? и странно, если типа не isp то зачем биндинг?

Да. Энтерпраиз ето офиснии сети. Ну тут надо спрашивать HP :)

 

пробовал, прописывает только на один порт, хотя в инструкции указано несколько

Ну хрен его знает тогда. У меня юр. лица 90%. Хомяки на пппое и соответственно не актуальна эта фишка.

 

H3C это новое детя от hp. Н - huawei, 3C - 3com, а софт от Тippingpoint, вот и получился H3C. Сколко удалось посмотреть, очень косит под циску, конфиг идентичен :)

 

и ещё, по поводу прокурвы, тоесть решить такую задачу с помощью статических роутов, или какого нибудь аналога PIM нельзя?

PIM - по моиму начиная с 3500 :)

с помощью статических роутов - как?

 

и что скажите по поводу debug arp-protect? есть ли такая команда на вашем свиче? и почему её может не быть на моем?

в наличии. может софт старый или на 2626/2650/25xx смотрите?

Edited May 18, 2011 by edgars

[DyadyaGenya]

пробовал, прописывает только на один порт, хотя в инструкции указано несколько

Ну хрен его знает тогда. У меня юр. лица 90%. Хомяки на пппое и соответственно не актуальна эта фишка.

может я как то не правильно влн создал? в тех же примерах везде указывают порт с приставкой какой нибудь буквы, а у меня на буквы ругается, то есть запись типа: "а1-5,а9" не прокатывает

 

H3C это новое детя от hp. Н - huawei, 3C - 3com, а софт от Тippingpoint, вот и получился H3C. Сколко удалось посмотреть, очень косит под циску, конфиг идентичен :)

что то я не нашел сходу где такое чудо продается и где можно по русски почитать о нем :-)

 

PIM - по моиму начиная с 3500 :)

с помощью статических роутов - как?

ну может не с помощью стат роутов, есть же даже в 2510 такая настройка как Protected port. вот она как раз и заставляет весь трафик с портов свича пропускать строго через аплинк, а в 2610 не могу найти

 

 

в наличии. может софт старый или на 2626/2650/25xx смотрите?

версия прошивки R_11_63.swi

внутрь вроде заглядывал, вроде все честно, везде 2610, да и били какие то настройки которые на 2626 не бывают, а на моем есть, щас правда не помню. может я как то не так прошил? там была очень старенькая прошивка и пару конфигов от старых хозяев

Edited May 18, 2011 by DyadyaGenya

[vIv]

у а неужели нет никакого аналога, или скажем приблизительно такого же по сути, это ж я так понимаю аналог трафик сегменмейшн, если смотреть на длинках, может можно как то с помощью статических роутов прописать?

Если верить http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1305778359097+28353475&threadId=1263083

то там, вроде бы, есть source-port filtering

[edgars]

ну может не с помощью стат роутов, есть же даже в 2510 такая настройка как Protected port. вот она как раз и заставляет весь трафик с портов свича пропускать строго через аплинк, а в 2610 не могу найти

Кстати, нашол. filter source-port

 

 

что то я не нашел сходу где такое чудо продается и где можно по русски почитать о нем :-)

http://h17007.www1.hp.com/us/en/products/switches/index.aspx A series 3100 - 58xx. EI - enchanced

 

может я как то не правильно влн создал? в тех же примерах везде указывают порт с приставкой какой нибудь буквы, а у меня на буквы ругается, то есть запись типа: "а1-5,а9" не прокатывает

с буковками это для модульного шасси :) vlan <id> name <name>

 

 

версия прошивки R_11_63.swi

внутрь вроде заглядывал, вроде все честно, везде 2610, да и били какие то настройки которые на 2626 не бывают, а на моем есть, щас правда не помню. может я как то не так прошил? там была очень старенькая прошивка и пару конфигов от старых хозяев

просмотрел каких 8 штук, всюду имеется. А вы может просто пробовали из configure terminal режима запустить? даж на R.11.22 есть

[DyadyaGenya]

у а неужели нет никакого аналога, или скажем приблизительно такого же по сути, это ж я так понимаю аналог трафик сегменмейшн, если смотреть на длинках, может можно как то с помощью статических роутов прописать?

Если верить http://forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1305778359097+28353475&threadId=1263083

то там, вроде бы, есть source-port filtering

о, спасибо, похоже то что нужно

 

что то я не нашел сходу где такое чудо продается и где можно по русски почитать о нем :-)

http://h17007.www1.hp.com/us/en/products/switches/index.aspx A series 3100 - 58xx. EI - enchanced

и за эту ссылку тоже спасибо :-)

 

просмотрел каких 8 штук, всюду имеется. А вы может просто пробовали из configure terminal режима запустить? даж на R.11.22 есть

не совсем понял о чем идет речь? я пробовал и вот так

ProCurve Switch 2610-24# debug
acl                   Display debug messages on access control lists.
all                   Display all debug messages.
cdp                   Display CDP information.
destination           Select destination for debug messages.
event                 Display event log messages.
lldp                  Display LLDP information.
security              Display all Security messages.
ProCurve Switch 2610-24#

 

и вот так:

ProCurve Switch 2610-24# configure
ProCurve Switch 2610-24(config)# debug
acl                   Display debug messages on access control lists.
all                   Display all debug messages.
cdp                   Display CDP information.
destination           Select destination for debug messages.
event                 Display event log messages.
lldp                  Display LLDP information.
security              Display all Security messages.
ProCurve Switch 2610-24(config)#

видно из списка что нужной команды нет

 

 

и похоже если разобраться с дебугом, то останется выяснить можно ли мультикаст влны загнать в один влн, именно для этого нужен MVR

 

хотя возник еще вопрос, поскольку эта моделька имеет в свем арсенале влн ipv6, то может ли она настраиваться под ipv6?

Edited May 19, 2011 by DyadyaGenya

[edgars]

Как то странно, вон што у меня показывает.

d19-core# debug

acl Display debug messages on access control lists.

all Display all debug messages.

arp-protect Display Dynamic ARP Protection messages.

destination Select destination for debug messages.

dhcp-snooping Display all DHCP Snooping messages.

event Display event log messages.

lldp Display LLDP information.

ssh Display SSH debug messages at specified verbosity.

 

 

Может стоит перешить софт?

 

 

 

хотя возник еще вопрос, поскольку эта моделька имеет в свем арсенале влн ipv6, то может ли она настраиваться под ipv6?

Имеетса в виду поднять ipv6 адрес на влан? Если да, то не умеет он.

[DyadyaGenya]

Может стоит перешить софт?

я конечно попробую перешить, но странно что сразу на нескольких показывает одно и то же. это могло быть изза того что со старенькой прошивки сразу на 11.63 прыгнул? была вроде 11.11 ну или что то в этом роде

[DyadyaGenya]

решил почистить все что мог, и фот что получилось:

HP ProCurve Switch 2610-24 (J9085A)
ROM Build Directory: /sw/rom/build/nemorom(ndx)
       ROM Version: R.10.06
    ROM Build Date: 16:36:54 Nov 28 2007
  ROM Build Number: 14201

Copyright (c) 1995-2001 Hewlett-Packard Company. All rights reserved.

                        RESTRICTED RIGHTS LEGEND

Use, duplication, or disclosure by the Government is subject to restrictions
as set forth in subdivision (b) (3) (ii) of the Rights in Technical Data and
Computer Software clause at 52.227-7013.

   Hewlett-Packard Company, 3000 Hanover Street, Palo Alto, CA 94303

Enter h or ? for help.

=>?

LAN Monitor Commands

 do(wnload)                      - Download via Xmodem
 sp(eed) <baud>                  - Set a new baud rate
 h(elp)                          - Display help screen
 ?                               - Display help screen
 id(entify)                      - Print out identification string
 jp(jump) <1|2>   - Jump to product code, optional 1-primary, 2-secondary
 q(uit)                          - Exit the monitor
 boot                            - Reboot the system
 reset                           - Reset the system
 v(ersion)                       - Display version information
=>

есть способ как то залить прошивку?

Edited May 22, 2011 by DyadyaGenya

[vIv]

Спроси там: http://itrc.hp.com/

Можно, но я не помню, как и железки под руками нет.

[edgars]

do(wnload) - Download via Xmodem

[DyadyaGenya]

я пробовал, но наверно просто поскольку раньше с таким не сталкивался, то не знаю как правильно это сделать, одним словом не получается, бежит прогресбар, потом выдает ошибку, мол не доступен. до сих пор всегда обновлялся через тфтп сервер

 

Разобрался, оказывается просто надо включать одновременно и на свиче и передачу через терминал, так что прошивку залил новую, уже 11-72, но все равно дебуг не появился

Edited May 25, 2011 by DyadyaGenya

[edgars]

Штото у вас там ни-того, проверил на всех 2610, всюду есть эта фича

[DyadyaGenya]

да я сам вижу, что не того, вопрос где?

[DyadyaGenya]

она то нашлась, но немного не там и все равно не работает

 

ProCurve Switch 2610-24(config)# debug security


arp-protect           Display Dynamic ARP Protection messages.
dhcp-snooping         Display all DHCP Snooping messages.

dynamic-ip-lockdown   Display Dynamic IP Lockdown messages.
port-access           Display all Port Access messages.

port-security         Display all Port Security messages.

radius-server         Display all RADIUS Server messages.

ssh                   Display SSH debug messages at specified verbosity.

tacacs-server         Display all TACACS Server messages

[DyadyaGenya]

Появился вопрос для уточнения

дебуг арп-протект показывает результаты в окне консоли? или выводит отчет на указанный сервер? по идее и так и так должен?

[edgars]

там же в консоли

[edgars]

debug security xxxxxx - это чего-то с 2910

[DyadyaGenya]

debug security xxxxxx - это чего-то с 2910

но у меня то 2610

 

ну и я конечно же видел что там можно настроить вывод и на сервер и на экран, просто не работает, а в мануале и пояснениях производителя это упущено (пытаюсь общаться с колцентром, и либо я слишком умно вопросы закручивают либо они ответы шифруют не для таких как я)

Edited June 17, 2011 by DyadyaGenya

[edgars]

даж и не знаю! бомбите нр суппорт :)

[DyadyaGenya]

странно, вроде уже писал что решил проблему

повторюсь

на моем свиче debug arp-protect включается следующей последовательностью:

сперва настраивается сам арп-протект, потом включается просто дебуг, потом debug secyrity, и только потом debug secyrity arp-protect

но к сожалению не умеет разбивать инфу по заказанным портам, напр, только по 23 или только по 12, и очень тяжело остановить поток логов, ну да задал вопрос в суппорт, если неповоротливый сервис НР разродиться то может и упростят выключение потока логов и сделают разбивку по портам

 

остается вопрос про возможность завернуть мультикастовые влны в один

кстати, где то тут на наге читал статью про то как организовывается iptv с помощью mvr, может кто подскажет ссылку?