3com switch 4200g настройки

3COM 4200G Swich
Software Version: 3.02.04s56
Bootrom Version: 2.03
Hardware Version: REV.B

На коммутаторе 3COM 4200G создано 3 VLAN

VLAN1 — порты 23, 24, 47,48
VLAN5 — порты 1-22
VLAN7 — порты 25-46

VLAN 1 интерфейс — 192.168.250.253 255.255.255.0
VLAN 5 интерфейс — 192.168.181.100 255.255.255.0
VLAN 7 интерфейс — 192.168.191.100 255.255.255.0

на коммутаторе добавлен маршрут
0.0.0.0 0.0.0.0 192.168.250.201 Vlan-Interface1 netmgmt

В интернет все ходят через шлюз 192.168.250.201
на шлюзе добавлены маршруты
192.168.181.0 mask 255.255.255.0 192.168.250.253
192.168.191.0 mask 255.255.255.0 192.168.250.253

Необходимо запретить
1. VLAN5 и VLAN7 общаться между собой
2. VLAN5 и VLAN7 общаться со всеми узлами VLAN1, кроме шлюза

1.
acl number 3001
rule 1 deny ip source 192.168.181.0 0.0.0.255 destination 192.168.191.0 0.0.0.255
quit

acl number 3002
rule 1 deny ip source 192.168.191.0 0.0.0.255 destination 192.168.181.0 0.0.0.255
quit

packet-filter VLAN 5 inbound ip-group 3001
packet-filter VLAN 7 inbound ip-group 3002

после этого VLAN5 и VLAN7 друг друга больше не видят

2.
пробовал создать правило
deny ip source 192.168.191.0 0.0.0.255 destination 192.168.250.0 0.0.0.255
после этого VLAN7 перестает общаться со всеми узлами VLAN1

разрешающие правила для 192.168.250.201 и 192.168.250.253 ничего не дают

Rule 1 permit ip source 192.168.250.253 0.0.0.0 destination 192.168.191.0 0.0.0.255
Rule 2 permit ip source 192.168.191.0 0.0.0.255 destination 192.168.250.253 0.0.0.0
Rule 3 permit ip source 192.168.250.201 0.0.0.0 destination 192.168.191.0 0.0.0.255
Rule 4 permit ip source 192.168.191.0 0.0.0.255 destination 192.168.250.201 0.0.0.0

в любом порядке, в любом сочетании
до запрещающего правила, после запрещающего правила
даже если я их применяю не к VLAN, а к Global ( в мануале говорится, что у Global приоритет выше)

судя по куче примеров на разных ресурсах выборочно закрывать/открывать узлы из VLAN можно
Что я делаю неправильно?

источник

3com switch 4200g настройки

Схема будет такая — один 3Com 4200G в серверной, второй — у пользователей, и связка с помощью XFP — я даже не знаю что это — сейчас пойду читать.

В общем к тому что всё это надо будет смонтировать, так ещё разбить на vlanы и группы портов и выделить из данных 10Гбит доли каждой группе по сколько то Гбит.

Я конечно сейчас полезу сам по интернету документации искать, но думаю может специалисты подскажут (чтобы много времени не терять на поиск и изучение неважных пунктов) с чего начать, на что обратить внимание?
Любые ссылки и пояснения приветствуются.
До понедельника изучаю теорию.

1. RU_Taurus , 11.11.2009 21:53

Im27th
с помощью XFP
SFP. Модули уже есть в наличии?

один 3Com 4200G в серверной, второй — у пользователей
Что между ними? Я так подозреваю, что оптика, она разварена в кроссы? Патчкорды имеются в наличии?

с чего начать, на что обратить внимание?
Начать с понимания того, что такое вланы, «транки» по 802.1Q, LACP. Сесть изучать CLI этого 3кома. А уж там спросите если что непонятно будет.

2. vitalyb , 11.11.2009 23:19

RU_Taurus
http://en.wikipedia.org/wiki/XFP_transceiver

Im27th
Можете начать с литературы/курсам по CCNA — Cisco Certified Network Associate для усвоения сетевых основ и документации на ваш коммутатор.

3. RU_Taurus , 12.11.2009 11:32

vitalyb
Да, сорри, увидел в спецификации 4 комбо порта с SFP и поправил, на отдельный порт как-то внимание не обратил. Лично я с большим трудом представляю зачем между «серверной» и «пользователями» может потребоваться 10 гигабит.

4. Im27th , 12.11.2009 13:10

Лично я с большим трудом представляю зачем между «серверной» и «пользователями» может потребоваться 10 гигабит.
Это сейсмики и геологи работают — у них там проекты в террабайты.

Осталось 2 дня до того, как железки привезут. Накачал с сайта 3Com себе документаций но туго идёт пока что.

Может дадите конкретные ссылки или на пальцах поясните как вообще туда можно будет подконнектиться и какие там основные команды или конфигурационные файлы, чтобы мне было с чего начать.

А уж там должно попереть как снежный ком, когда практика с теорией начнёт смешиваться. Ибо сейчас за два дня в куче документаций трудно выискать то, с чем прийдётся столкнуться на самом первом этапе — подключиться.

Разбиение на vlanы и группы портов будет вторым этапом.

Добавление от 12.11.2009 13:20:

RU_Taurus
Да, оптика, но сначала тупо поставлю у себя в комнате оба устройства и буду моделировать наверное, только пока что трудно представляю как.

vitalyb
CCNA в процессе будет. Сейчас надо основ нахвататься быстренько.

5. Komrus , 12.11.2009 14:43

Im27th
с чем прийдётся столкнуться на самом первом этапе — подключиться.
Убедитесь, что оптические патч-корды вообще заказаны и что типы разъемов соответствую: а) оптической патч-панели — с одной стороны; б) разъему на XFP порту (LC, если склероз мне не изменяет) — с другой. ну и что оптический кабель — тот, что нужен.
После механического подключения, если оно правильно выполнено (Rx Tx — для оптики) пакетики начинают летать. Желательно только прописать пароль, отличный от дефолтного и IP адрес — для управления.

Сейчас надо основ нахвататься быстренько.
А чего основ?
Если представляетет вообще, что такое VLAN’ы и между чем в L3 свичах роутинг осуществляется — то нажимание кнопочек в web — морде не представляет особых проблем.

6. Im27th , 12.11.2009 14:52

Komrus
Что такое vlanы представляю лишь теоретически, но сам их ни разу не делал и даже ни одной команды по их конфигурации не знаю.

Чего основ?
Команд конфигурационных типа display или set — только вот пока что ничего похожего на set или edit не нашёл.
Ого, я и не думал, что через web можно. Рассчитывал на ssh или telnet — так интересенее.

7. Komrus , 12.11.2009 17:37

Im27th

так интересенее
Я не понял — Вам результат нужен или процесс?

Чего основ?
Команд конфигурационных
забудьте для начала про команды. Что такое VLAN’ы, как они соотносятся с физическим портами, что такое транкинг, кому присваиваются IP адреса, между чем работает L2 свичинг, а между чем L3 роутинг.
Вначале поймите, ЧТО Вы хотите сделать. Потом найдите, КАК это делается в конкретной железке.

8. Im27th , 12.11.2009 18:33

Komrus
И результат и процесс и к тому же где-то прочитал, что веб-версия урезанней, чем telnet. К тому же в документации всё только по telnet расписано.

Да опять одни разглагольствования. Сходи в гугл, подумай что надо. Как это относится к этому.
Нет бы сразу написали к примеру:
system-view
vlan 101
port GigabitEthernet 1/0/1
quit
Это делает то-то, это делает то-то и всё понятно.

Добавление от 13.11.2009 11:04:

1 этап — я просто поставлю железку рядом с собой и мне необходимо знать простые команды как посмотреть и как редактировать конфигурацию.
Ну я уже нашёл всякие system-view и display но там столько параметров, что пока не понятно на какие обратить внимание.

2 этап — в теории мне надо будет разбить всё на три группы — по всей видимости это будет три vlanа привязанные к трём группам портов — для каждого отдела (сейсмики, геологи, геофизики).
Они должны видеть друг друга, но у каждого должна быть своя полоса пропускания к серверам, к примеру
геофизики — 2Гбит/c
геологи — 3Гбит/c
сейсмики — 5Гбит/c
чтобы если какой-то отдел запустил какую-то охерительную задачу, то это не мешало бы другим отделам работать нормально.

9. Komrus , 13.11.2009 11:18

Im27th
бы сразу написали
Нет бы сразу спросить — как в Vlan такой-то включать физические порты?
Я бы и ответил. А то — как настраивать, как настраивать.

А потом ведь небось спросите — как vlan’у присвоить IP адрес.

И придётся рассказывать, что
interface Vlan-interface101
ip address 192.168.101.1 255.255.255.0

А после еще появится желание запихать в один транковый инрейфейс несколько вланов (в данном примере — 1й и 101й) и придёцца рассказыать про то, что

interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 101
undo jumboframe enable

Добавление от 13.11.2009 11:22:

PS.
Im27th
как посмотреть конфигурацию
disp cur
как редактировать конфигурацию.
system-view
без параметров, если склероз не изменяет.

как посмотреть состояние интерфейсов
disp int

10. Im27th , 13.11.2009 13:53

Komrus
Огромное спасибо!

Конечно обязательно спрошу ещё что-нибудь.

В общем с помощью ваших подсказок и некоторой документации у меня вроде сложилось представление о командах.
Теперь перехожу к теории. Поскольку я как собачка сейчас — что надо сделать представляю, а в терминах это выразить не могу.

11. Komrus , 13.11.2009 15:02

Im27th
у каждого должна быть своя полоса пропускания к серверам
По поводу этого боюсь тебя разочаровать
The S4200G series do not support line rate.
http://support.3com.com/documents/switches/3Com_Stac…_Config_Guide.pdf

12. Im27th , 13.11.2009 15:47

Komrus
Это конечно больше разочарование будет моего начальника, который всё это дело закупил.
А моё дело будет искать извращенские пути для хоть какой-то реализации данной проблемы.

13. vitalyb , 13.11.2009 16:57

Im27th
CCNA в процессе будет. Сейчас надо основ нахвататься быстренько.
Я имел ввиду не сертификат как бумажку, а литературу, в которой эти самые основы описаны.

14. Im27th , 16.11.2009 17:28

Да, известие The S4200G series do not support line rate действительно повергло начальника в уныние. Он и правда, как я и предполагал, первоочередной задачей хотел сделать разбиение по полосам, чтобы отделы не мешали друг другу.
Есть ли какие-то извращенские способы разделить скорость по полосам?

И второе:
А как на начальном этапе подключиться?
Я так понял веб-интерфейс выключен и надо будет сначала как-то зайти внутрь и включить его. Не подскажете как? В документации не могу этот нулевой этап найти. Точнее я нашёл что зайти можно через com-порт и параметры вроде есть
19,200 baud (bits per second)
8 data bits
no parity
1 stop bit
no hardware flow control
Это то?
Ну а как веб-интерфейс включить?
Или задав ip-адрес он включается автоматически?
Мне что-то так не кажется.

15. RU_Taurus , 16.11.2009 22:29

Im27th
Точнее я нашёл что зайти можно через com-порт и параметры вроде есть
19,200 baud (bits per second)
8 data bits
no parity
1 stop bit
no hardware flow control
Это то?
То. Открываете Hyperterminal и создаете подключение с такими параметрами (кстати, параметры стандартные, можно в проге нажать кнопку «Восстановить умолчания», а потом изменить только скорость). Больше вроде ничего умного там нет.

16. init0 , 17.11.2009 11:45

Народ!
А объясните мне про 2-ой и 3-ий уровень на пальцах.
Я конечно в институте когда-то проходил, но тогда не обратил внимания — думал не пригодится — шёл работать в другую сторону. А щас заинтересовался, но видимо моск начал черстветь — что-то не пойму отличия их применения в сетевых устройствах.
Что может такого 3-ий то чего не может 2-ой?
И наоборот.
Плеазе!

17. Komrus , 17.11.2009 13:05

init0

А объясните мне про 2-ой и 3-ий уровень на пальцах.

http://www.citforum.ru/nets/ito/index.shtml
Internetworking Technology Overview
Layyer-2 Канальный уровень
Канальный уровень (формально называемый информационно-канальным уровнем) обеспечивает надежный транзит данных через физический канал. Выполняя эту задачу, канальный уровень решает вопросы физической адресации (в противоположность сетевой или логической адресации), топологии сети, линейной дисциплины (каким образом конечной системе использовать сетевой канал), уведомления о неисправностях, упорядоченной доставки блоков данных и управления потоком информации.

Layer-3 Сетевой уровень
Сетевой уровень — это комплексный уровень, который обеспечивает возможность соединения и выбор маршрута между двумя конечными системами, подключенными к разным «подсетям», которые могут находиться в разных географических пунктах. В данном случае «подсеть» — это по сути независимый сетевой кабель (иногда называемый сегментом).

Т.к. две конечные системы, желающие организовать связь, может разделять значительное географическое расстояние и множество подсетей, сетевой уровень является доменом маршрутизации. Протоколы маршрутизации выбирают оптимальные маршруты через последовательность соединенных между собой подсетей. Традиционные протоколы сетевого уровня передают информацию вдоль этих маршрутов.

PS. Академические знания имеют такую особенность, что прогулянная лекция может оказаться зело необходимой через много лет.

Добавление от 17.11.2009 13:22:

Im27th
А как на начальном этапе подключиться?
Аж с картинками, английским по белому всё расписано.
http://support.3com.com/documents/switches/4200G/100…Switch_4200G2.pdf
Getting Started Guide

18. init0 , 17.11.2009 16:11

Komrus
Спасибо, конечно, но эти определения я прочитал в энциклопедии. Мне не понятно их применение. То есть получается, что устройства 2-го уровня могут работать только в рамках одной подсети, а 3-го — соединять свзяь между подсетями?
Тогда непонятно зачем нужны дорогие устройства 2-го уровня, если можно использовать обычные хабы?

19. Im27th , 17.11.2009 16:17

Komrus
Да это-то я прочитал. Но меня смутило 2 момента:
1. Вряд ли с устройством прийдёт шнурок для подсоединения к com-порту, мне либо прийдётся его искать, либо всё-таки соединяться ещё каким-то способом?
2. В любом случае там не описано включение веб-интерфейса. Там прописывают ip-адрес, а в следующей главе уже предлагают зайти через веб-интерфейс. Мне не кажется это правильным. А если я к примеру наоборот хочу ходить телнетом, но хочу чтобы веб был закрыт? Должны бы команды по его активации и дезактивации.

20. Джамаль , 17.11.2009 16:20

init0

Устройства второго уровня могут класть бааальшой болт на стек TCP/IP, бо на втором уровне есть соединение только по MAC-адресам. Действительно, устройства второго уровня работают в пределах одной подсети (грубо говоря, поскольку есть много тонкостей и подводных камней).

Тогда непонятно зачем нужны дорогие устройства 2-го уровня, если можно использовать обычные хабы?

Они нужны для того, чтобы можно было дробить сеть на более мелкие сегментики в зависимости от потребностей админа, не нарушая при этом функционирование других устройств второго и более высоких уровней.

Добавление от 17.11.2009 16:23:

Im27th
Вряд ли с устройством прийдёт шнурок для подсоединения к com-порту

Почти наверняка придёт. В крайнем случае, можно зайти на первый этаж (ты же всё ещё в тематике работаешь?) и попросить связистов собрать тебе кабель по документации, которая есть на сайте изготовителя. В принципе, там должен быть типа нульмодемного кабеля, только с соответствующими разъёмами

21. Komrus , 17.11.2009 16:31

init0
Да это-то я прочитал.
Точно прочитали? Даже раздел «Package Contents»?
Видимо, его пропустили.
Ибо иначе увидели, что там наличествует (должен наличествовать) «Console Cable (RJ-45)»
и не стали бы сумневаться, что
1. Вряд ли с устройством прийдёт шнурок для подсоединения к com-порту

2. В любом случае там не описано включение веб-интерфейса.
.
Там прописывают ip-адрес, а в следующей главе уже предлагают зайти через веб-интерфейс
Этого достаточно.

А если я к примеру наоборот хочу ходить телнетом, но хочу чтобы веб был закрыт? Должны бы команды по его активации и дезактивации.
Дык когда с более насущными вопросами разберетесь — читайте вышеупомянутый «Advanced Configuration Guide».
Там в первой же главе описывается, что можно сделать с web-мордой (подсказка — ее обычно не полностью запрещают, а ограничивают к ней доступ)

init0
непонятно зачем нужны дорогие устройства 2-го уровня, если можно использовать обычные хабы?
Просто поверьте Они нужны. Хотя нонче промышленность упорно к Layer3 свичам сдвигается. (NB! Я достаточно слабо разбираюсь в SOHO сегменте. )

цитата (http://support.3com.com/infodeli/tools/switches/ss3/management/ug/setup.htm): 1 . You must connect the management workstation to the console port directly using a standard null modem cable. The console port of the Switch has a male 9-pin d-type connector. You can find a pin-out diagram for the cable in your Switch User Guide.

a . Attach the female connector on the cable to the male connector on the console port of the Switch.

b . Tighten the retaining screws on the cable to prevent it from being loosened.

c . Connect the other end of the cable to your management workstation.

Добавление от 17.11.2009 16:35:

Komrus
Ибо иначе увидели, что там наличествует (должен наличествовать) «Console Cable (RJ-45)»
и не стали бы сумневаться, что
1. Вряд ли с устройством прийдёт шнурок для подсоединения к com-порту

Там, где Im27th работает, очень распространена практика сплавливания б/у оборудования из головного предприятия на периферию. Соответственно, оборудование уже было настроено, проработало лет десять, кабелей нет и не предвидится.

Добавление от 17.11.2009 16:38:

Getting Started Guide (http://support.3com.com/infodeli/tools/switches/4200/3Com_Switch-4200G_Getting-Started-Guide.pdf) , страница 89 — там разводка кабеля есть, по ней можно собрать консольный шнурок

22. Джамаль , 17.11.2009 16:32

23. Im27th , 17.11.2009 16:53

Komrus, Джамаль
Спасибо! Ну буду пока есть время изучать команды и ждать прихода оборудования.

24. Komrus , 17.11.2009 17:54

Im27th
Спасибо!
Не стесняйтесь нажимать на кнопочку «поблагодарить за сообщение

Джамаль
Там, где Im27th работает, очень распространена практика сплавливания б/у оборудования из головного предприятия на периферию
Ну с телепатией у мя плохо, посему если кому-то прилетает птицца счастья, то я предполаю, что это аист и несёт он свежерождённый коммутатор.

25. Джамаль , 17.11.2009 18:03

Komrus

Ну, в данном случае это не телепатия — мы с Im27th вместе работали несколько лет и ситуёвину с б/у оборудованием вместе проходили — нам присылали сановские серверы без винчестеров и без половины планок памяти, которые были вдвое тормознее уже имевшихся у нас тогда сановских же рабстанций, ради которых сейчас коммутаторы и городятся

26. Im27th , 18.11.2009 16:15

В общем открылись мне тайны того, что хотел начальник от двух 4200G и XFP.
1. Запустить между серверной и пользователями 10Гбит/с.
2. Разбить на полосы пропускания.
Но так как 4200G не поддерживает разбиение, то теперь он хочет просто и тупо всех загнать в 10Гбит/с.

Подскажите как правильно это сделать?
Я так представляю:

24-портовый 4200 у пользователей
system-view
[SwitchA] vlan 2
[SwitchA-vlan2] а тут-то надо задавать порты, интерфейсы или ip, если все пользователи работают в одной сетке? все ip статические
[SwitchA-vlan2] quit
выделим порт для соединения с 4200 который в серверной
[SwitchA] interface Ethernet 1/0/10
[SwitchA-Ethernet1/0/10] port link-type trunk
[SwitchA-Ethernet1/0/10] port trunk permit vlan 2
и всё? ну нифига мне так не кажется, наверное ещё что-то надо

24-портовый 4200 в серверной
system-view
[SwitchB] vlan 2
[SwitchB-vlan2] ip address 194.204.54.1 255.255.255.0 (это пользовательская сетка)
[SwitchB-vlan2] quit
некоторые сервера находятся в сетке, которую пользователи не видят
[SwitchB] vlan 3
[SwitchB-vlan3] ip address 193.203.53.1 255.255.255.0
[SwitchB-vlan3] quit
выделим порт для соединения с 4200 который у пользователей
[SwitchB] interface Ethernet 1/0/10
[SwitchB-Ethernet1/0/10] port link-type trunk
[SwitchB-Ethernet1/0/10] port trunk permit vlan 2 3
или vlan 3 не надо?

Железок до сих пор нет, поэтому даже потренироваться не на чем.

27. Джамаль , 19.11.2009 10:38

Падажди, не надо назначать каждому влану свой адрес

Коммутатору адрес нужен только для целей администрирования и только.

Третий влан в транк включать не нужно — ведь его не нужно пробрасывать на соседний коммутатор, а надо оставить только на серверном коммутаторе.

Добавление от 19.11.2009 10:41:

и адреса у тебя какие-то странные. Уверен, что нужно ставить адреса из Эстонии и Венгрии?

28. Im27th , 19.11.2009 11:10

Джамаль
Ну это я для примера поставил такие адреса.

Коммутатору адрес нужен только для целей администрирования и только.
Да, я так понял для этого vlan 1 существует.
Получается, что vlan 2 можно поднять без параметров или вообще не поднимать?

Тогда другой вопрос:
А если всё же понадобиться разделить пользователей на отделы?
Как надо будет vlanы поднимать? С какими параметрами?
Надо будет каждому порту задавать к какому он vlanу относится?

29. Джамаль , 19.11.2009 11:36

Ну, в нынешней схеме можно поднять один-единственный влан для отдельностоящих серверов, а остальных оставить в дефолтном влане, а коммутаторы соединить между собой как обыкновенные свичи без выпендрёжа с транками.

А если нужно будет делить юзеров на отделы — тогда надо создать столько вланов, сколько есть отделов, соединить коммутаторы транком, включить в транк все эти вланы (кроме влана для изолированных серверов, само собой), и включить в состав всех этих вланов порты, предназначенные для подключения общих серверов.

Добавление от 19.11.2009 11:37:

Im27th
Надо будет каждому порту задавать к какому он vlanу относится?

30. Im27th , 23.11.2009 16:39

И ещё один вопрос:
А если задать обеим 4200g один ip-адрес, то этого хватит для объединения их в стек и управления ими как единым устройством?
Спрашиваю заранее, перед тем как почитал. Спросил и пошёл читать, ибо не уверен, что из прочитанного усвою всё.
Точнее среди десятка документов нашёл только это.
system-view
[SwichA] stacking ip-pool 194.204.54.54
[SwichA] stacking enable
[stack_0.SwichA] quit
stacking 1

А дальше?
А на втором что писать?
В интернете пишут, что всё просто, но конкретики нету.

31. Джамаль , 23.11.2009 17:02

Нет, одного адреса недостаточно. Более того — нельзя

32. Im27th , 02.12.2009 13:37

Началось в колхозе лето.
Притащили мне эти два 4200G.

Через Сom1 не стал подключаться, ибо у меня СentOs а я чего-то не врубился через что тут действовать.
Повезло что оба аппарата подхватили адреса DHCP. Зашёл через веб, поменял адреса на статические.
Соединил оба устройства через XFP и оптику — огоньки MOD загорелись.
Воткнул в один из них сетку а из него мой комп — сеть есть.

Теперь пытаюсь собрать стек:

system-view
System View: return to User View with Ctrl+Z.
[4200G]stacking ip-pool 193.200.56.254 2
^
% Unrecognized command found at ‘^’ position.
[4200G]ip-pool 193.200.56.254 2
^
% Unrecognized command found at ‘^’ position.

Ладно. Вроде вот так попёрло:

[4200G]cluster enable
[4200G]
[4200G]cluster
[4200G-cluster]ip-pool 193.200.56.254 2
Can not add cluster private IP address or stack primary IP address to vlan interface.

Я ведь должен забивать IP этого устройства?
Хотя чую я что кластер это всё таки не то.

источник

Расскажите о нас

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

➤