Как настроить Vlan routing между L3 и L2?

Question

[Sergey Ryzhkin]

Приветствую Вас, Камрады!

Нужна помощь, разобраться с маршрутизацией Vlan'ов на 3-м маршрутизаторе. Казалось бы все тривиально, но что-то я упустил и не догоняю.

Есть коммутаторы 2 уровня (HPE Aruba 2530) на портах которых настроил Vlan'ы: 102, 103 и 99. Порт 49 сделал Trunk.
На коммутаторе 3-го уровня (HPE Aruba 2930F) создал Vlan'ы: 101, 102, 103, 99 и задал им адреса по маске 192.168.*.250
Сервер с адресом 192.168.1.2 будет раздавать адреса в сети сем устройствам.
Сервер с адресом 192.168.1.4 это Керио, он будет раздавать интернет, поэтому будет прописан у всех ПК из Vlan 102 основным шлюзом.
Помогите настроить ip routing между железками. На L3 я включил маршрутизацию, следовательно на L2 я должен указать его шлюзом, т.е. настроить ip default-gateway. Какой адрес прописывать на L2 как дефолт, т.е. с какого Vlan'а или можно указать любой?
После чего на L3 нужно настроить маршрут. Свой собственный адрес т.е. к примеру для Vlan102 указать маршрут ip route 192.168.2.0 255.255.255.0 192.168.2.250 не выйдет, железка ругается. Тогда какой адрес указывать нужно в маршруте ? пробовал адреса серверов, но не работает.

Конфиг L3:

Aruba-2930F-48G-01# sh run

Running configuration:

hostname "Aruba-2930F-48G-01"
module 1 type jl260a
time timezone 180
ip routing
snmp-server community "public" unrestricted
vlan 1
   name "DEFAULT_VLAN"
   no untagged 11-32,47-48
   untagged 1-10,33-46,49-52
   no ip address
   exit
vlan 99
   name "Management"
   untagged 47-48
   tagged 51-52
   ip address 192.168.99.250 255.255.255.0
   exit
vlan 101
   name "Servers"
   untagged 11-20
   ip address 192.168.1.250 255.255.255.0
   exit
vlan 102
   name "Users"
   tagged 51-52
   ip address 192.168.2.250 255.255.255.0
   ip helper-address 192.168.1.2
   exit
vlan 103
   name "Printers"
   tagged 51-52
   ip address 192.168.3.250 255.255.255.0
   ip helper-address 192.168.1.2
   exit
management-vlan 99
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
device-profile name "default-ap-profile"
   cos 0
   exit
activate provision disable
password manager

Конфиг L2:

HP-2530-48G-01# sh run

Running configuration:

hostname "HP-2530-48G-01"
time timezone 180
ip default-gateway 192.168.99.250
snmp-server community "public" unrestricted
vlan 1
   name "DEFAULT_VLAN"
   no untagged 1-48
   untagged 49-52
   no ip address
   exit
vlan 99
   name "Management"
   untagged 47-48
   tagged 49
   ip address 192.168.99.10 255.255.255.0
   exit
vlan 102
   name "Users"
   untagged 1-30
   tagged 49
   no ip address
   exit
vlan 103
   name "Printers"
   untagged 31-46
   tagged 49
   no ip address
   exit
management-vlan 99
no tftp server
no dhcp config-file-update
no dhcp image-file-update
password manager

Схема будет такая:

Answer 1

[Дмитрий]

У Вас 2530 должен быть доступен только через vlan99, вот через него и пишите дефолт до 2930. А клиентам через dhcp раздавайте в качестве дефолта адрес 2930 в своём vlan-е

Comments

[Sergey Ryzhkin]

Про 2530 понятно, как дефолт укажу 192.168.99.250, а что на счет ip routing на L3 ? Маршрут не получается добавить статический, что мне нужно написать вместо *** в строке ip route 192.168.2.0 255.255.255.0 192.168.******
Не могу сообразить никак.

[Дмитрий]

Sergey Ryzhkin: не понял на счёт статического маршрута. Что вы хотите этим сделать? Если нужно вывести в интернет, то указываете дефолтом адрес Kerio и через acl ограничичаете кто туда может ходить.

[Sergey Ryzhkin]

Вопрос в том что щас маршрутизация не работает, в той настройкой что есть ни ПК ни Принтера из разных Влан не получают адреса с ДХЦП.

[Дмитрий]

Sergey Ryzhkin: для этого на 2930 нужно настроить dhcp-relay

[Sergey Ryzhkin]

Дмитрий: так настроен же на Вланах ip helper

[Дмитрий]

Sergey Ryzhkin: тогда нужно траблшутить вашу сеть и смотреть почему не работает. На dhcp созданы пулы для соответствующих сетей? С статически указанными адресами всё работает?

[Дмитрий]

Дмитрий: Не силён в маршрутизации именно на l3 коммутаторах, но траффику разрешено ходить между виланами. Возможно нужно добавить acl.

[Sergey Ryzhkin]

Дмитрий: так вот тожь самое. Если руками прописать адрес из 102 Влана то дхцп не пингуется, нужно 100% ip route настроить, но не соображу с каким адресом. Все что предполагал попробовал, не прокатило.

[Дмитрий]

Sergey Ryzhkin: как транки настраивали? в конфигах нет упопинаний о них. Думается, что по аналогии с циской, нужно определить транковый порт и указать какие виланы могут через него ходить.

[RazorBlade]

Sergey Ryzhkin: На L3 коммутаторе не нужно настраивать маршрутизацию между Vlan'ами - она работает по-умолчанию. Сделайте show ip route и посмотрите. Из маршрутизации у вас должен быть только один статический маршрут на L3 - ip route 0.0.0.0 0.0.0.0 192.168.1.4 и на керио - 192.168.0.0 255.255.0.0 192.168.1.250
С клиентами пробуйте сначала на статике, а потом уже разбирайтесь с DHCP. Сделайте на клиенте статический ip 192.168.2.2/24 и шлюз 192.168.2.250 и попробуйте сделать пинг например до керио.

[Sergey Ryzhkin]

RazorBlade: Понял, спасибо! Попробую.

[Sergey Ryzhkin]

RazorBlade: Расклад следующий: сделал как Вы и сказали, прописал на L3 маршрут с адресом Керио. На самом керио сделал маршрут с адресом на *.1.250.
С портов Vlan102 и Vlan103 адреса начали раздаваться из соответствующих подсетей, т.е. из 2 и 3. Для ПК шлюзом указан керио, поэтому ПК получил адрес 192.168.2.1 маска 255.255.255.0 шлюз 192.168.1.4, но с него ничего не пингуется в других сетях. Тобишь адрес с DHCP он принял нормально, но если запустить пинги на керио 1.4 или на сам ДХЦП 1.2, но они не пингуются. Трасерт до них тоже не работает, выдается ошибка: Заданный узел не доступен.
Если я прописываю адрес руками и вместо шлюза 1.4 (керио) пишу шлюз 192.168.2.250 (L3) то, пинг до Керио 1.1 появляется, а до 1.2 (ДХЦП) по прежнему не доступен.

[RazorBlade]

Sergey Ryzhkin: Для всех ПК шлюзом должен быть соответствующий Vlan на L3. На dhcp тоже нужно указать шлюз, иначе он не знает куда посылать ответ. То есть на всех устройствах сети должен быть указан шлюз - L3 свитч, кроме керио.

[Sergey Ryzhkin]

RazorBlade: Спасибо, похоже все функционирует как надо.

[Sergey Ryzhkin]

RazorBlade: Камрад, а не подскажете на счет Nat на самом Керио. Керио почему-то не хочет раздавать инет никому, кроме 1-ой подсети, т.е. той в которой сам находится. Я вроде бы все проверил и добавил 2 и 3 подсеть в правила трафика ( вот скрин https://habrastorage.org/files/c4a/01f/e52/c4a01fe... )
Но из других подсетей Керио не видно. Другие адреса пингуются и открываются, а Керио нет. Вот с текущей схемой на ПК в другом Влане показано что значек интернета у сети активен и написано интернет есть, но при попытке открыть сайт он не открывается (DNS впорядке), а когда запускаешь диагностику сети Windows она говорит что все настроено верно, но нет ответа от керио и указывается его адрес.

[RazorBlade]

Sergey Ryzhkin: Я в керио не силен, но скорее всего он не пингутся из-за дефолтных правил - обычно такое поведение на всех фаерволах.
А так, смотрите логи, под какое правило попадает трафик из других сетей.

[Sergey Ryzhkin]

RazorBlade: Понятно я того же мнения, про защиту. Хотя еще есть вариант из-за того что у меня на этом интерфейсе не стоит шлюз, т.к. шлюз я прописал на другом, который смотрит в интернет. Если добавить на внутренний интерфейс шлюз самого керио, т.е. его локальный адрес, то Керио ругается что не может быть два шлюза.

[RazorBlade]

Sergey Ryzhkin: Все верно, шлюз должен быть прописан на внешнем интерфейсе. А чтобы попасть во внутренние сети, нужно прописать статические маршруты. Либо средствами керио (если такое возможно) либо в самой винде - что-то типо того route -p add 192.168.0.0 mask 255.255.0.0 192.168.1.250

[Sergey Ryzhkin]

RazorBlade: этот маршрут прописан, но интернет есть только у 1-ой подсети, как раз у той где шлюз *.1.250. А другие подсети где шлюз 2.250 и 3.250 нет. По идее тот маршрут что написано захватывает и 2 и 3-ю. Пробовал на всякий случай добавить еще маршрут только для 2-ой подсети ip route 192.168.2.0 mask 255.255.0.0 192.168.2.250. Но эффект тот же, из этой подсети не видно Керио. Он пингуется только из первой подсети. У него нет шлюза на внутреннем интерфейсе и скорее всего поэтому он и не может разрулить трафик из других подсетей.

[RazorBlade]

Sergey Ryzhkin: Может можно средствами керио как то добавить маршрут.
Еще попробуй с самого керио пингануть/трасернуть машину из другой сети, только отключи на ней брэндмауэр встроенный.

[Sergey Ryzhkin]

RazorBlade: Спасибо, на праздниках бошка не работает вообще. Я маршрут на керио привязал не к тому интерфейсу, к внешнему. Понял это когда сделал трасерт локального адреса, а он начал ломиться через циску наружу. Вопрос закрыт. Спасибо за помощь!!!

[Вячеслав]

Sergey Ryzhkin, Привет) если не трудно можешь show run L2-2шт, и L3 выложить окончательные когда у тебя все заработало после разборов с RazorBlade, Спасибо!

[Sergey Ryzhkin]

Вячеслав, show run не изменился в начале, проблема была не в коммутаторах. Я тупанул в настройках Kerio, поэтому ничего не работало.

[Вячеслав]

чтобы пользователей из разных Вланов, отправлять за интернетом на разные шлюзы (один это firewall 192.168.2.2, второй-proxy 192.168.2.10. какие настройки придется прописать на L3 ? Оба воткнуты в порты L3 Untagged в Влане 20 ip address 192.168.20.1 255.255.255.0

[Sergey Ryzhkin]

Вячеслав, Нарисуйте схему, чтобы было понятно.

[Вячеслав]

Схема не полная, на самом деле коммутаторов HP 1920 9Шт и VLANов планируется( сейчас все в бродкастовом домене), где то VLAN 10,20,30 -110 ( компов около 250 Шт, остальное сетевое оборудование еще где-то 120 Шт)
1- На D-Link (192.168.2.2) и PROXY(192.168.2.10) не указывал ни ВЛАНы ни транки т.к для меня пока нет ясности как лучше сделать чтобы например пользователи из ВЛАН 70, 5ПК отправлялись за инетом через d-link, а остальные 25 ПК шли через proxy??? Так же должно быть и из других Вланов.
2- Как поступить с принтерами, точки доступа wi-fi, сканеры штрих-кодов, и т д ( им присвоены статические IP-192.168.1.* , 192.168.2.* )?? и подключены они к коммутаторам L2 HP 1920.
Может для профи это и не сложно, но для меня загнать этот зоопарк оказалось нетривиальной задачкой, прошу помощи!!!

[Вячеслав]

[Sergey Ryzhkin]

Вячеслав, Ну так как у вас и Прокся и Стена в одной сети, то вам нужно прописать их шлюзом на нужных машинах. Те у кого прописан 2.2 будут ходить через него, с 2.20 соответственно. Те кто находится в том же Влане будут их видеть, для других Вланов нужно пробросить через tagged.

[Вячеслав]

но на машинах шлюз прописывается автоматом от ДХСП, свой влан-свой шлюз, на L3 IP ROUTING.
И может быть проксю и длинк в отдельные вланы загнать, и уже на L3 там как-то разруливать?
А что посоветуете с статическим зоопарком, как поступить? У меня мысли путаются по этому вопросу, не могу понять в какую сторону копать))

[Sergey Ryzhkin]

Вячеслав, Копать надо с основ построения сети. Смотрите видео "Сети для самых маленьких" там цикл статей как правильно строить сети.

Answer 2

[Вячеслав]

Привет всем!
Sergey Ryzhkin , у нас на работе тоже прикупили HP Aruba 2930f , но оказалось что информации по их настройке совсем мало в интернте, у тебя вижу есть опыт с этими свичами, поможешь разобраться если вопросы будут?

Comments

[Sergey Ryzhkin]

Да попробуй написать, если буду знать помогу.

[Вячеслав]

Sergey Ryzhkin, ссори не разобрался, я в чате я могу сообщения в личку отправлять?

Answer 3

[Артем Енин]

Сергей, день добрый. У вас есть возможность сейчас еще ответить (можно по почте) на вопрос касательно vlanов на 2930f , у меня сейчас примерно та же ситуация, что была у вас, все обдумал, понастроил-перенастроил но затык какой-то все равно. Если да, то схему и вопрос пришлю. В рунете кроме этой ветки на форуме ничего ближе не нашел. Заранее спасибо=)

Comments

[Sergey Ryzhkin]

Пишите, погляжу.