Forum

Procurve vlan confi...
 
Bildirimler
Hepsini Temizle

Procurve vlan config

11 Yazılar
3 Üyeler
0 Reactions
1,368 Görüntüleme
(@CanElmas)
Gönderiler: 27
Eminent Member
Konu başlatıcı
 

 

Arkadaşlar Merhaba, Forumu araştırdım ama şemadaki network yapımı bozmadan nasıl yapabileceğimi bilmediğim için var olan konulardan çözüm yolu bulmadım.

 

Yukarıdaki şemaya göre Vlan yapısı oluşturmaya çalışıyorum. Yapmak istediğim, kenar switcin belirli portlarına vlan oluşturup, backbone üzerinden fortigate ile internete çıkarmak. Backbone ve kenar üzerinde nasıl bir config yazmam gerekiyor?

 

 

 

 

 
Gönderildi : 20/06/2013 18:41

(@efesulukcu)
Gönderiler: 1424
Noble Member
 

kenar switch üzerinde istediğiniz vlanları oluşturun. bu vlanların idlerinin 100 ve 200 olduğunu varsayarsak, kenar sw.in backbone bağlı olduğu portu bu iki vlan için de tagged şekilde ayarlayın.

 backbone üzerinde de iki vlanınızı oluşturun ve kenar sw. bağlı olduğu portu bu vlanlar için tagged hale getirin.

fortigate üzerinde isterseniz tek interface ile vlan tagging yaptırabilir, isterseniz lan için kullandığınız port haricinde bir portu konfigure edebilirsiniz.

eğer vlan tagging kullanacaksanız fortinin bacbkbonea girdiği portu tüm vlanlarınız için tagged hale getirin.

eğer ikinci bir interface yapılandıracaksanız fortinin backbonea girdiği portu yeni oluşturduğunuz vlan için untagged yapmanız yeterlidir.

 
Gönderildi : 21/06/2013 00:14

(@CanElmas)
Gönderiler: 27
Eminent Member
Konu başlatıcı
 

.Efe hocam, iki vlan derken nasıl anlayamadım. Ben yapıma göre aşağıda ki confiği yazdım ama 192.168.11.1 vlanını 192.168.34.0 networkü ile haberleştiremedim. firewall üzerinde rouing tanımınıda yaptım. Aşağıdaki config de nerede hata var?

 

BACKBONE

Startup configuration: 12

; J8697A Configuration Editor; Created on release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "Omurga-Yedek"
module 1 type j8702a
module 2 type j8706a
ip default-gateway 192.168.34.1
ip route 0.0.0.0 0.0.0.0 192.168.34.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact
vlan 1
   name "DEFAULT_VLAN"
   untagged A1-A24,B1-B24
   ip address 192.168.34.23 255.255.240.0
   exit
vlan 10
   name "VLAN10"
   tagged B1-B24
   ip address 192.168.11.1 255.255.255.0
   ip helper-address 192.168.34.2
   exit
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator

KENAR

Startup configuration:
; J9280A Configuration Editor; Created on release #Y.11.12
hostname "ProCurve Switch 2510G-48"
ip default-gateway  192.168.11.1
snmp-server community "public" Unrestricted
vlan 1
   name "DEFAULT_VLAN"
   untagged 41-48
   ip address 192.168.34.92 255.255.240.0
   no untagged 1-40
   exit
vlan 10
   name "VLAN10"
   untagged 1-40
   ip address 192.168.11.2 255.255.255.0
   tagged 48
   exit
spanning-tree

 
Gönderildi : 21/06/2013 18:14

(@riza-sahan)
Gönderiler: 18032
_
 

Tag ve untagged ler çelişkili olumuş. Güzelce şeklini çizip hangi portlar hangi vlanda hangi portlar tagged olacak onları belirleyip ekler misiniz?

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 21/06/2013 19:02

(@CanElmas)
Gönderiler: 27
Eminent Member
Konu başlatıcı
 

 
Gönderildi : 22/06/2013 04:26

(@CanElmas)
Gönderiler: 27
Eminent Member
Konu başlatıcı
 

Hocam bağlantılarım tam bu şekilde;

Yapmak istediğim şey tam bu..! Yazdığım configlerde kablosuz ağ için vlan yok. Diğer vlanı çalıştırmadığım için ona geçemedim..

 
Gönderildi : 22/06/2013 04:29

(@efesulukcu)
Gönderiler: 1424
Noble Member
 

.Efe hocam, iki vlan derken nasıl anlayamadım. Ben yapıma göre aşağıda ki confiği yazdım ama 192.168.11.1 vlanını 192.168.34.0 networkü ile haberleştiremedim. firewall üzerinde rouing tanımınıda yaptım. Aşağıdaki config de nerede hata var?

 

BACKBONE

Startup configuration: 12

; J8697A Configuration Editor; Created on release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "Omurga-Yedek"
module 1 type j8702a
module 2 type j8706a
ip default-gateway 192.168.34.1
ip route 0.0.0.0 0.0.0.0 192.168.34.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact
vlan 1
   name "DEFAULT_VLAN"
   untagged A1-A24,B1-B24 
   ip address 192.168.34.23 255.255.240.0
   exit

vlan 10
   name "VLAN10"
   tagged B1-B24
   ip address 192.168.11.1 255.255.255.0
   ip helper-address 192.168.34.2
   exit

default vlan kullanmamanız önerilir. ö yüzden
kullanıcılar için farklı bir vlan oluşturun. burada eğer kenar switchten gelen
kablonuz b24'e giriyorsa mesela vlan 50 yi aşağıdaki şekilde oluşturup b24'ü
vlan 50 için tagged duruma getirin. size iki seçenek söylemiştim. birincisi
backbone switch ile fgate arasında tek kablo üzerinden işlem yapmak
istiyorsanız. fgate cihazı da b23'e taktıysanız bu portu da tagged olarak her
vlan için ayarlamalısınız.

 

; J8697A Configuration Editor; Created on
release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "Omurga-Yedek"
module 1 type j8702a
module 2 type j8706a
ip default-gateway 192.168.34.1 (buna gerek yok)

ip route 0.0.0.0 0.0.0.0 192.168.34.1 (buna gerek yok)
ip routing (bunu da yazaıp acl belirlemezseniz tüm
vlanlarınız biribiriyle haberleşir ki siz bunu istemiyorsunuz dolayısıyla
silin)

snmp-server community "public" unrestricted
snmp-server contact
vlan 1
   name "DEFAULT_VLAN"
   no untagged A1-A24,B1-B24 
   no ip address

   exit 

vlan 50

name "ofis kullanıcıları"

untagged A1-A24, B1-B22

tagged b23-B24

ip address blabla

exit 

vlan 10
   name "kablosuz"
   tagged B24
   ip address 192.168.11.1 255.255.255.0 (backbone
cihaz için her vlanda farklı bir ip vermenize gerek yok bunu silebilirsiniz.)

   ip helper-address 192.168.34.2 (farklı
ihtiyaçlarınız yoksa buna da gerek yok.)

   exit

 

eğer fgate üzerinde iki port aktive
edecekseniz o zaman mesela kablosuz için b22'yi kullandıysanız

; J8697A Configuration Editor; Created on
release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "Omurga-Yedek"
module 1 type j8702a
module 2 type j8706a
ip default-gateway 192.168.34.1 (buna gerek yok)

ip route 0.0.0.0 0.0.0.0 192.168.34.1 (buna
gerek yok)
ip routing (bunu da yazaıp acl belirlemezseniz tüm vlanlarınız biribiriyle
haberleşir ki siz bunu istemiyorsunuz dolayısıyla silin)
snmp-server community "public" unrestricted
snmp-server contact
vlan 1
   name "DEFAULT_VLAN"
   no untagged A1-A24,B1-B24 
   no ip address
   exit

 

vlan 50

name "ofis kullanıcıları"

untagged A1-A24, B1-B21

tagged b23-B24

ip address blabla

exit 

vlan 10
   name "kablosuz"

untagged b22
tagged B24

   ip address 192.168.11.1 255.255.255.0 (backbone cihaz için her
vlanda farklı bir ip vermenize gerek yok bunu silebilirsiniz.)
   ip helper-address 192.168.34.2 (farklı ihtiyaçlarınız yoksa
buna da gerek yok.)
   exit

 


no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator

 backbone önermli olduğundan her ipyi keşfeden monitor edemesin diye

ip authorized-managers istediğiniz ip 255.255.255.255 access manager

komutuyla da web arayüz girişi yapılabilecek yerleri kısıtlayabilirsiniz.

 

KENAR

Startup configuration:
; J9280A Configuration Editor; Created on release #Y.11.12
hostname "ProCurve Switch 2510G-48"
ip default-gateway  192.168.11.1
snmp-server community "public" Unrestricted
vlan 1
   name "DEFAULT_VLAN"
   untagged 41-48
   ip address 192.168.34.92 255.255.240.0
   no untagged 1-40
   exit
vlan 10
   name "VLAN10"
   untagged 1-40
   ip address 192.168.11.2 255.255.255.0
   tagged 48
   exit
spanning-tree

burayı da vlan 50 'yi ofis kullanıcıları için açıp, port ayarlarını yukarıda yazdığım gibi yapın. default vlan için tüm portlar untagged olsun, vlan 50 ve 10 için backbone giden kablo tagged olsun.

 
Gönderildi : 23/06/2013 15:47

(@CanElmas)
Gönderiler: 27
Eminent Member
Konu başlatıcı
 

Hocam, Fortigate 110C kullanıyorum. Bu model de fiber modul yok! Ethernet portuna interfaceler açılmış..


Örn: Port1 Local_Network 192.168.34.1 /255.255.240.0


Ben  vlanı  Local_Network altında yeni interface açarak yapmaya çalışıyorum. Bu şekilde olmaz mı?


Yoksa;


Benim yapmam gereken, Fortigate'nin diğer boş olan portlarından birine omurga dan bir kablo bağlayıp, fortinin arayüzünde o porta interface oluşturup, omurgadan o porta tagged yapmam mı gerekiyor? Eğer bu şekilde yaparsam forti üzerinde 4 tane boş portum var ben 4 vlan dan fazla vlan yapamıycağım anlamına gelmiyor mu ? 1 ay sonra Fortininn daha üst modeli gelecek onda fiber modulde olacak ve benim omurga ile forti arasında fiber bağlantı şansım da olacak.


Eğer böyle bir sıkıntım olacaksa, birde vlanlar performans açısından fiberden çalışsın diye düşünüyorsam, vlan işini biraz bekletip, yeni fortinin gelmesini beklemeliyim..  (Yeni forti geldiğinde vlan işi yeniden yapılacak.. Yanlış mı düşünüyorum) 🙂


Birde Dhcp loglarımı mı ve yönetimimi rahat takip edebilmek için ip havuzumu 192.168.34.2 li Dhcp sunucumdan dağıtmam gerekiyor. Bu yüzden ip helper-address komutunu kullandım.


Saygılar..


 


 

 
Gönderildi : 23/06/2013 22:54

(@efesulukcu)
Gönderiler: 1424
Noble Member
 

fortigate için internet çıkışınız gigabitten yüksek değilse ki ben böyle bir bağlantı hayatımda bir defa gördüm, fgnin fiber ile çalışmasının herhangi bir anlamı yok. bunun için ek ücret verecekseniz vermeyin.

fgate üzerinde ikinci bir lan portu belirleyebilirsiniz. bu port ve önceden kullandığınız lan portu için fgate üzerinde sabit ip belirlemekten başka ek tanıma gerek yok. dikkat etmek gereken daha once yazdığım gibi bunların backbone bağlandığı portları untagged olarak ayarlamanızdır.

4 boş portunuz varsa vlan tagging yapmadan evet 4 vlandan fazlasını kullanamazsınız. 

eğer fgate üzerinde tek port kullanmak isterseniz ki bu size birçok vlan oluşturma şansı verecektir., bu portu backbone üzerinde her iki vlana da tagged olarak ayarladığınız porta takmanız ve fgate üzerinde vlan tagging tanımı yapmanız gerekir.

ip helper-address komutu da tam olarak istediğiniz iş için değildir. yapınız için kabaca dhcp istek paketlerinin farklı bir vlana aktarılması içindir. eğer yalnızca belirlediğiniz dhcp sunucudan ip dağıtmak, başka hiçbir dhcp sunucunun dağıtmaması gerekiyorsa dhcp snooping fonksiyonuna bakmanız gerekir.

vlanlar sabit olduğu müddetçe fgate gelmiş, yeni modeli gelmiş, yerine sonicwall yapmışsınız hiçbir etkisi olmaz. beklemenize gerek yok bence.

 

 
Gönderildi : 24/06/2013 18:00

(@CanElmas)
Gönderiler: 27
Eminent Member
Konu başlatıcı
 

Efe hocam, Forti kullanıcı sayısını aştığı için değiştiriyorum. Elimdeki 200 kullanıcı destekliyor ben 400 kullanıcı bağladım. Cpu %99 dan aşağı inmiyor. 🙂

Yani, vlan için forti değiştirmiyorum. Sadece almışken fiber modüllümü alsam diye sorayım dedim. İnternet hızımız max. 80mbps..

Birde hocam kenar switchler backbone fiber bağlı.. backbone fortiye Ethernet bağlı. dar boğaz olmaması açısından en azından forti ile backbone arasını fibere çevirsem daha  iyi olmaz mı ?

Zaten benim ömrüm GBPS internet görmeye yetmez herhalde. Siz yine şanslısınız..:)

ip helper komutunu da ben yanlış biliyormuşum. Okuduğum makalelerde her vlan için yeni scop aç.. o vlana o scop ip dağıtsın gibi anlatmışlar.. Okuduğum makaleyi size özelden gönderiyorum. Bahsettiğiniz Dhcp snooping fonksiyonunu Windows server üzerinden yapabilirmiyim. Tek dhcp den bütün vlanlara ip dağıtma işini becerebilirsem süper olacak.

 

 

 
Gönderildi : 24/06/2013 19:01

(@efesulukcu)
Gönderiler: 1424
Noble Member
 

fibere gerek yok bu durumda, darboğaz cihazın limitlerinin üstüne çıktığınızda olur. her pakedi gw (fgate) üzerinde işlememek için dhcp üzerinden dağıttığınız gw adresini backbone switch olarak gösterebilirsiniz. buraya da bir route yazıp internet ihtiyacı olanları yalnızca fgate üzerine gönderebilir fiber ihtiyacınızı tamamen kaldırırsınız.

gönderdiğiniz çözümdeki gibi bir uygulama yapılabilir. dikkat edilmesi gerekenler anlatılmış zaten.

dhcp snooping işleminin maksadı sizden habersiz dhcp sunucuların ip dağıtmasının önüne geçmektir. dhcp sunucunuzu trusted olarak belirleyip ipyi yalnızca onun dağıtmasını sağlarsınız. windows server da bu işlemi yapamıyorsunuz switch üzerinde tanımlamalısınız.

 
Gönderildi : 25/06/2013 02:46

Paylaş: