Aruba 2930f как правильно настроить VLAN&Routing и интернет через firewall DFL-860e и Proxy Traff Inspectr?

Question

[Вячеслав]

Схема не полная, на самом деле коммутаторов HP 1920 9Шт и VLANов планируется( сейчас все в бродкастовом домене), где то VLAN 10,20,30 -110 ( компов около 250 Шт, остальное сетевое оборудование еще где-то 120 Шт)
1- На D-Link (192.168.2.2) и PROXY(192.168.2.10) не указывал ни ВЛАНы ни транки т.к для меня пока нет ясности как лучше сделать чтобы например пользователи из ВЛАН 70, 5ПК отправлялись за инетом через d-link, а остальные 25 ПК шли через proxy??? Так же должно быть и из других Вланов.
2- Как поступить с принтерами, точки доступа wi-fi, сканеры штрих-кодов, и т д ( им присвоены статические IP-192.168.1.* , 192.168.2.* )?? и подключены они к коммутаторам L2 HP 1920.
Может для профи это и не сложно, но для меня загнать этот зоопарк в VLANы оказалось нетривиальной задачкой, прошу помощи!!!

Comments

[Вячеслав]

Удалось решить вопрос разделения интернета через PBR Policy на Arube
Решение выглядет вот так:

Создаем классы
class ipv4 localtraff
match ip 192.168.30.0/24 192.168.0.0/16
exit
class ipv4 inettraff
match ip 192.168.30.0/24 any
exit
Создаем политику PBR
policy pbr traffic
class ipv4 localtraff
action ip next-hop 192.168.30.1
exit
class ipv4 inettraff
action ip next-hop 192.168.2.2
exit
exit
(vlan-30)# service-policy traffic in

Вопрос решен!!! Всем спасибо

Answer 1

[Вячеслав]

Все железки стоят в лабе, кроме длинка и прокси( в продакшане, трогать не могу)
Как я думаю в качестве шлюза по умолчанию указать IP-адрес интерфейса L3 коммутатора для соответствующего VLAN. На самом коммутаторе L3 тогда указать в качестве места назначения для маршрута по умолчанию (0.0.0.0/0) адрес внутреннего интерфейса Длинка или Прокси?.
Может внутренние интерфейсы Длинка и Прокси вынести в отдельные VLANы ?
Я не очень шибко разбираюсь в маршрутизации, поэтому требуется помощь.

Answer 2

[Максим Гришин]

Во вланы нужно выносить машины, которые должны иметь возможность видеть друг друга на L2, но не видеть остальные в той же физической сети. Маршрутизацию нужно строить в таком случае с помощью policy based routing (понятие гуглится, вариант настройки на каждом роутере свой). Условно говоря, исходящие пакеты с какого-то внутреннего IP помечаются флагом, дальше при проверке правил маршрутизации одно из правил отправляет пакет в таблицу с маршрутом по умолчанию, отличным от общего. Обратные пакеты дойдут штатным образом, так как правило NAT-трансляции покажет корректный айпи-адрес. Надо целую группу направить - метим тем же флагом пакеты от всех IP узлов этой группы.

PS: на д-линке и прокси вланы не нужны уже, так как они доступны только через L3.

Comments

[Вячеслав]

Но ведь все Вланы у меня маршрутизируются на железке L3 и все работает компы получают адреса через ДХСП ( только статика у меня пока никак не настроена) зачем мне маршрутить вланы через Длинк?
Мне нужно чтобы одни компы шли в инет через Длинк( NAT настроен), а другие через Proxy Traff Inspectr

[Максим Гришин]

Вам нужно, чтобы компы, ходящие в интернет, были в одном и том же влане, в одной и той же подсети, видели друг друга и при этом выходили в сеть через разные узлы? Если не нужна L2-видимость, проще их разнести в разные вланы, в разные L3-подсети, и роутить в интернет их по-разному. Если нужна, то на L3-железке нужно маршруты писать под каждый комп.

[Вячеслав]

Максим Гришин, ((Вам нужно, чтобы компы, ходящие в интернет, были в одном и том же влане)), как раз и не нужно, судя схеме компы у меня уже в разных вланах и через L3 настроен routing между вланами 20,60,70,80,90 и получают адреса и шлюз согласно свому влану от ДХЦП, но пока выхода в инет не имеют так как я выше писал ( 1- На D-Link (192.168.2.2) и PROXY(192.168.2.10) не указывал ни ВЛАНы ни транки и вообще кроме адресов больше ничего не прописывал,т.к для меня пока нет ясности как лучше сделать чтобы например пользователи из ВЛАН 70, 5ПК отправлялись за инетом через d-link, а остальные 25 ПК шли через proxy??? )

[Максим Гришин]

Вопрос ещё раз: во влане 70 те 5 ПК, которых надо выводить в интернет через dlink, должны видеть остальные 25 по L2? Если нет, вынесите их в отдельный влан.

[Вячеслав]

Максим Гришин,Максим в этом и суть), да должны видеть друг друга!

[Максим Гришин]

Вячеслав, тогда хрен: https://community.hpe.com/t5/ProCurve-ProVision-Ba... Aruba 2930F is NOT capable of PBR, а вам для решения этой задачи нужен именно PBR. Советую между арубой и проксями поставить программный файрволл (iptables) и в нем настраивать policy-based routing через ip rule, для этого понадобится как-то разделить подсеть каждого влана на две части - которые нужно направлять в длинк, и которые в прокси, и соответственно настроить DHCP на арубе так, чтобы конкретные ПК попадали в "привилегированную" подсеть, а также настроить так, чтобы обычный комп не мог установить статику и получить выход вовне через роутер.

[Вячеслав]

Максим Гришин, а вот длинк умеет PBR, может через него, только я никогда этого не делал))

[Максим Гришин]

Если умеет, тогда на арубе всех посылаете на dlink, на нем роутите по умолчанию на прокси, а избранных (по айпи, потому как больше никак) - на шлюз.

[Вячеслав]

Максим Гришин, спасибо, попробуем.
Вот еще нашел если Арубу обновить, то она тоже сможет Creating a PBR policy
PBR enables you to manipulate a packet's path based on attributes of the packet. Traffic with the same
destination can be routed over different paths, so that different types of traffic, such as VOIP or traffic with special
security requirements, can be better managed.

Будем пробовать и так и через длинк

[Вячеслав]

Максим Гришин, На данный момент так:

Aruba-2930F-48G-4SFPP# sh run
Running configuration:

ip route 0.0.0.0 0.0.0.0 192.168.2.10
ip routing
И все прописанные Вланы идут в инет через прокси( на нем админются ), компы в Вланах IP получают от ДХЦП
vlan 80
name "buh"
tagged 8
ip address 192.168.80.1 255.255.255.0
ip helper-address 192.168.2.99 (сервер в Влан 20)
exit

А задачу по разделению чтобы пользователи из например ВЛАН 70, 5ПК отправлялись за инетом через d-link, а остальные 25 ПК шли через proxy, буду решать с помошью PBR на Arube( после обновления OS, она умеет это делать)
Всем спасибо!! Но если есть предложения, всегда готов прислушаться к совету.

[Вячеслав]

Удалось решить вопрос разделения интернета через PBR Policy на Arube
Решение выглядет вот так:

Создаем классы
class ipv4 localtraff
match ip 192.168.30.0/24 192.168.0.0/16
exit
class ipv4 inettraff
match ip 192.168.30.0/24 any
exit
Создаем политику PBR
policy pbr traffic
class ipv4 localtraff
action ip next-hop 192.168.30.1
exit
class ipv4 inettraff
action ip next-hop 192.168.2.1
exit
exit
(vlan-30)# service-policy traffic in

Вопрос решен!!! Всем спасибо

Answer 3

[Strabbo]

На примере данного свича подсказать не могу, но я бы сделал так:
1. На л3 свичах поднял бы нужные вланы с соответствующими л3 интерфейсами.
2. Поднял бы роутинг между л3 свичами и длинком (ваш длинк вроде умеет оспф) и отдавал бы 0.0.0.0/0 с длинка л3 свичам.
3. Если аруба не умеет оспф, то придется довольствоваться статическими маршрутами или же смотреть в сторону RIP вроде все железки имеют его.
4. Если прокси не прозрачный оставил бы всё как есть, кому надо будут по дефолту через длин уходить в инет, а у кого прокси указан будут через него ходить.
5. Если прокси прозрачный то доключил бы оба его порта на длинк в разные вланы (1 внутренний, второй внешний).
6. Ваш длин вроде умеет PBR. Через него направил бы трафик на внетрений интерфейс прокси тем устройствам, которым нужен доступ в инет через прокси.

Comments

[Вячеслав]

Будет время, буду пробовать,спасибо. А что посоветуете на второй вопрос про статику?

[Вячеслав]

(((2. Поднял бы роутинг между л3 свичами и длинком (ваш длинк вроде умеет оспф) и отдавал бы 0.0.0.0/0 с длинка л3 свичам.))
Принцип понятен, вот хорошо бы исходя из моей схемы, как это сделать!

[Вячеслав]

(((3. Если аруба не умеет оспф, то придется довольствоваться статическими маршрутами )))
ARUBA 2930F умеет:
ospf Configure OSPF, or enter OSPF configuration context.
ospf3 Configure OSPFv3, or enter OSPFv3 configuration context.
pim Configure PIM, or enter PIM configuration context.
rip Configure a RIP setting or enter RIP context.
ripng Configure a RIPng setting or enter RIPng context.
vrrp Configure VRRP, or enter VRRP configuration context.
На примере можете показать как использовать в моей схеме OSPF ?

[Strabbo]

Роутинг в вашей схеме нужен для того, чтобы длинк знал о сетях, которые крутятся на л3 свиче. Вам нужно отдавать все роуты с арубы длинку, а от длинка принять 0.0.0.0/0. Схема у вас простая, можете всё в арею 0 скидывать, вот пример конфига оспф в арубе, а тут пример длинка.
Принтеры, сканеры штрих кодов, точки доступа и т.д. лучше будет разделить по сегментам и присвоить уже к разным вланам. Всё зависит от оборудования и от специфики. Например если у вас вайфай только для гостей, то им разный влан и пусть там сидят одни. Если у вас например 5 принтеров и каждым принтером пользуется определенный сегмент, который вы уже посадили во влан, то и соответствующий принтер туда. Постарайтесь всю вашу сеть разделить на сегменты (вланы). Я бы еще на арубе запретил бы доступ с одного влана в другой если он не нужен.

[Вячеслав]

Strabbo, а какой командой на арубе делается запрет на доступ с одного влана в другой?

[Strabbo]

Посмотрите тут, вам нужна конфигурация ACL