Как настроить маршрутизацию между VLAN на hpe flexnetwork 5130?

Question

[Роман]

Добрый день, помогите пожалуйста настроить Inter VLAN маршрутизацию на hpe flexnetwork 5130 и прокинуть инет в созданные VLAN. Схема, упрощенная компьютеров гораздо больше, но для понимания достаточно и такой.



Изначально все ПК находились в дефолтной VLAN-1 и получали все по DHCP от роутера, соответственно они в сети друг друга видят и интернет есть. Но компьютеров стало очень много и их надо раскидать по VLAN. Для пробы на обоих коммутаторах создал VLAN-20. На коммутаторе 3 уровня прописал IP для VLAN-20.





В результате имею ПК из VLAN-1 которые имеют доступ в интернет и не пингуют ПК из VLAN-20, а ПК из VLAN-20 не имеет доступа в интернет и не пингует ПК из VLAN-1. Что еще нужно прописать на коммутаторе 3 уровня чтобы у всех VLAN был интернет и пинг между ПК разных VLAN?

Comments

[Bermut]

Админа, админ тебе нужен

Ах, это ты и есть

Сообщи сейчас же начальству о своей профнепригодности и напиши заявление на увольнение

[Valentin Barbolin]

Кто GW у ПК 192.168.1.3 ?

[Роман]

У ПК 192.168.1.3 шлюз по умолчанию 192.168.1.1

[Роман]

Bermut, По существу, есть что сказать? Или только умничать. Я не есть админ от слова совсем и взялся за это потому, что сейчас больше некому.

Answer 1

[asmelnik]

На 192.168.1.1 надо прописать маршрут к сети 192.168.20.0/24 через 192.168.1.11
И у всех в сети 192.168.20.0/24 шлюзом должен быть 192.168.20.1
И у Вашего L3 коммутатора, который 192.168.1.11, шлюзом должен быть 192.168.1.1

И да, могут быть на 192.168.1.1 приколы, связанные с icmp redirect...
Т.к. у вас пакет из 192.168.1.0/24 для 192.168.20.0/24 шлюз 192.168.1.1 должен отправить в тот же интерфейс, с которого принял. А в IPv4 на этот счет есть отдельные заморочки.

Такая проблема "рулится" легко.
Итерация 1-- путь запросов в инет:
1) есть ли шлюз у хоста? Доступен ли он?
2) на шлюзе хоста >=2 интерфейса? шлюз "смотрит" в какой интерфейс? Доступен ли щлюз?
3) повторяем 2) для следующего шлюза пока до выхода в инет не дойдем.

Итерация 2 -- путь ответов из инета:
1) знает ли инетовский шлюз, что сеть "хоста" (в вашем случае VLAN20) где-то есть?если нет -- прописываем маршрут, если да -- доступен ли шлюз для этой сети и идем на него.
2) Знает ли следующий шлюз о сети "хоста" (в вашем случае VLAN20)? если нет -- прописываем маршрут, если да -- доступен ли шлюз для этой сети и идем на него. ... повторяем 2), пока не дойдем до самого "хоста"

IP -- он не симметричен, каждый маршрутизатор принимает самостоятельное решение куда отправить пакет исключительно опираясь на адрес назначения (по классике, иное настраивается отдельно для особых случаев).
Есть отдельный путь "туда", и совершенно независимый "обратно", автоматического "туда-обратно" в IP НЕ ПРЕДУСМОТРЕНО от слова "совсем".

Comments

[Роман]

Большое спасибо, ваши советы реально помогли. Прописал на роутере и коммутаторе статические маршруты и у сети VLAN-20 появился интернет.





Осталось решить как ПК из VLAN-20 заставить видеть ПК из VLAN-1 и наоборот. Судя по всему на L3 коммутаторе нужно прописать еще статические маршруты?

[asmelnik]

На L3 коммутаторе маршруты для сетей 192.168.1.0/24 и 192.168.20.0/24 уже есть, т.к. у него есть интерфейс с IP из этих сетей.
как выглядит путь пакета из 192.168.20.0/24 в 192.168.1.0/24

(ПК_А)192.168.20.xx -(отправка на шлюз по умолчанию)-> 192.168.20.1(L3 switch) --> 192.168.1.yy(ПК_Б)
Теперь ПК_Б должен отправить что-то в ответ:
как ДОЛЖЕН выглядеть путь пакета:
192.168.1.yy -(отправка на шлюз по умолчанию)-> 192.168.1.1 -(согласно статического маршрута)-> 192.168.1.11 --> 192.168.20.xx
Вот на этапе 192.168.1.1 -(согласно статического маршрута)-> 192.168.1.11 и могут возникать проблемы.
Т.к. пакет должен быть отправлен в тот же интерфейс, с которого получен, то в целях безопасности это может быть запрещено на шлюзе.
Для выяснения так это или нет -- ставите на ПК_А и ПК_Б wireshark, запускаете, фильтр лучше IP конкретные указать, иначе он вам весь трафик вывалит. И пингуете (трейсете, сетевые шары по ip пытаетесь открыть) и смотрите что отправил ПК_А и что получил/ответил ПК_Б.

Можно сделать следующее:
1) адрес 192.168.1.1 прописываете на L3 вместо 192.168.1.11
2) создаете VLAN21 чисто для связи L3 и шлюза.
3) на шлюзе прописываете 2 маршрута, к сети 192.168.1.0/24 и к сети 192.168.20.0/24 через этот новый VLAN21, а на L3 шлюзом по умолчанию указываете IP вашего роутера в 21-м VLAN
Всей маршрутизацией у вас будет заниматься L3, а шлюз чисто выход в интернет отрабатывать.

Answer 2

[Bermut]

Ну так да, у тебя разные L2 домены, так и работает vlan, вопрос, зачем тебе вообще нужно раскидывать компьютеры по vlan, если ты даже не знаешь о их прямом назначении? Все можно оставить так, как есть, если все же кровь из носу тебе требуются разные домены, то можно на основном маршрутизаторе создать мост в который и запихнуть vlan1 и vlan20, если же такой вариант не катит, то можно назначить другую подсеть на маршрутизаторе для vlan20, условно 192.168.20.1/24, и назначить адреса из этого диапазона хостам в vlan20, это самые простые пути.

Comments

[Роман]

Раскидывать нужно для того, что в подсети 192.168.1.0/24 заканчиваются свободные адреса, а количество ПК будет увеличиваться еще. Да и вообще большой широковещательный домен — это плохо, а по поводу роутера написал ниже.

Answer 3

[Дмитрий]

В Network - Static Routing есть что-нибудь? А вообще, решать задачи маршрутизатора средствами коммутатора в корне неверно. Повесить 192.168.20.1 на роутер на 20 влан и жить спокойно, все равно транк там уже есть

Comments

[Роман]

В Network - Static Routing я ничего не прописывал. По поводу повесить все на роутер, изначально я так и сделал. На роутере создал VLAN-20, настроил DHCP сервер для VLAN-20, настроил VLAN-20 на коммутаторах. Все заработало и у VLAN-1 и у VLAN-20 был интернет.

Но! компьютеров в сети уже больше 200 и на другом форуме меня закидали тапками, мол так делать нельзя, аргументируя тем что через единственный порт роутера пойдет весь трафик и интернета и внутресетевой и вся сеть ляжет. Посоветовали делать межлановую маршрутизацию на комутаторе 3 уровня, а на нем я не совсем понимаю как правильно организовать все.

[Дмитрий]

Роман, теоретически, можно указать для обоих вланов адреса свитча как гейтвей и у него самого проставить в статических маршрутах 0.0.0.0/0 через 192.168.1.1. Может быть заработает, я так никогда не делал.
Если вдруг у шлюза есть 10Г-порт - можно не париться и спокойно отдать со свитча один кабель - нашему офису на 250 человек этого за глаза хватает. С локалкой, интернетами и прочей фигней. На крайний случай можно сделать link-aggregation на шлюзе и жить на 2Гбит/с.

[Дмитрий]

Роман, кстати, ещё один способ решить вашу задачу - расширить маску сети с 24 на 23. Всё юзеры будут в одной сети, лишней нагрузки на роутер не будет. Затраты - смена маски на шлюзе и свитчах (всего что на статике, без dhcp) коррекция диапазона dhcp.