Меню

настройка hp 1920 24g poe

Настройка hp 1920 24g poe

В этой заметке описываю создание обособленной виртуальной частной сети (VLAN) от шлюза до виртуальной машины в гипервизоре MS Hyper-V.

Цифрами обозначены физические порты различных устройств. Конечная точка — виртуальная машина в гипервизоре Hyper-V с операционной системой CentOS 7 и поднятым на ней Web-сервером Nginx. Весь путь от АПКШ Континент до него должен быть полностью изолирован от локальной сети. Эта задача решается с применением VLAN на управляемых коммутаторах и в гипервизоре. Локальная сеть начинается с порта номер 5.

АПКШ Континент — это аппаратный криптошлюз, управляемый из центра обработки данных из другого города — я не имею доступа к его конфигурации. На входе он получает интернет, а на выходе он отдаёт интернет + частную сеть вышестоящей организации. Изначально я просил просто пробросить порты 80, 443 и 9950 на pfSense, но безопасник ЦОДа категорически отказался это делать, и вместо этого сделал проброс данных портов на адрес виртуальной машины, из отдельного физического порта Континента (порт 2). Плюс к этому, поместил этот трафик в VLAN 41.

Итого имеем задачу провести этот трафик отдельно от внутренней сети организации, но через те же коммутаторы.

Для начала попробую сделать так, чтобы подключиться к виртуалке можно было только засунув провод в 13-ый порт коммутатора. Использовать буду VLAN 41.

Заходим в Веб-интерфейс нижнего на картинке коммутатора в раздел Network -> VLAN. Во вкладке в Create и создаем VLAN’ы которые хотим использовать.

Если Вы принялись настраивать VLAN’ы, то настоятельно рекомендуют полностью отказаться от использования 1-ого VLAN’а из соображений безопасности. Якобы он не тэгируется совсем. Ну х.з., я не проверял и просто последую этой рекомендации. Теперь всё что у меня было в 1-ом VLAN’е отныне будет в 10-ом.
Также рекомендуют создавать отдельный DUMMY (бесполезный) VLAN и засовывать туда все неиспользуемые порты коммутатора. Опять же из соображений безопасности.

У меня получились следующие VLAN’ы:
1 VLAN 0001
10 Shared NLAN to ALL (instead 1)
41 DMZ from 3 port of Kontinent
777 DUMMY

Для удобства тестирования, Вы можете открыть доступ к Web-интерфейсу свича в создаваемом VLAN’е. Для этого заходим в раздел Network -> VLAN Interface и делаем примерно следующее:

У меня здесь данный свич имеет свой IP-адрес в двух VLAN’ах: 1-ом (192.168.0.6) и 41-ом (192.168.41.6)

Главное-не забыть убрать доступ если сеть не доверенная, как у меня.

Далее заходим в Network -> VLAN -> Select VLAN и выбираем все VLAN’ы (выбрать Display all VLANs и нажать Select)

Это необходимо для вкладок Detail и Modify VLAN, т.к. в комбобоксе будут доступны выбранные на данном этапе VLAN’ы

В разделе VLAN Summary для каждого VLAN’а указан список нетэгированных и тэгированных портов.

нетэгированные порты:
на выходе из порта в сторону подключенного устройства в своих фреймах не соделжат тэга о принадлежности к какому-то VLAN. Т.е. эсли этот порт принадлежит к какому-то влану, то трафик, идущий со стороны внутреннего мира коммутатора, растэгируется (лишается метки о своем влане). Если трафик идёт от подключенного устройства внутрь коммутатора, то этот порт присваивает трафику метку о VLAN этого порта.

тэгированные порты:
пропускают через себя только фреймы с меткой о влане, принадлежащем порту. не лишают и не присваивают метки о VLAN, а лишь пропускают через себя трафик выбранного влана.

Вкладки Port Detail и Detail исключительно информационные. В них мы можем просматреть принаднежность вланов выбранному порту и принадлежность портов выбранному влану соответственно.

Переходим в Modify VLAN
— выбираем влан который будем редактировать
— выбираем один из пунктов Untagged, Tagged, Not A Member. Грубо говоря это цвет, которым мы будем закрашивать порты.
— закрышиваем порты. Синим (Untagged) пометим нетэгированные порты выбранного влана, Зелёным (Tagged) — тэгированные. Серым можете сбросить принадлежность порта данному влану.

Я пометил 7-ой порт синим (нетэгированным), а 20 — зеленым (тэгированным), нажал Apply и получил предупреждение: Access port GE1/0/20 will be change to hybrid port. С чего это? Жму нет. Х.з. что такое hybrid port.

Это потому что 20-й порт имеет Link Type: Access, а должен быть Trunk.

Access порты служат для подключения конечных устройств, того что не должно занать о существовании каких-то вланов в принципе (в общем случае — компьютеры сотрудников, сетевые принтеры, устройства конференц-связи и тому подобное). Эти порты нетэгированные.

Trunk — порты которые умеют передавать через себя помеченный вланами трафик. Тэгированные порты.

Поэтому идём во вкладку Modify port, выбираем нужный порт (у меня 20-й), выбираем Link Type: Trunk и жмём Apply.

Теперь можем повторить операцию в предыдущем пункте на вкладке Modify VLAN. В итоге имеем грубо говоря: порт 7 — физический порт для подключения какого-либо конечного устройства (не содержит информации о влане). Принадлежит виртуальному коммутатору, обслуживающему выбранный влан (у меня это влан 41). порт 20 — физический порт, принадлежащий тому же виртуальному коммутатору, и служит для подключения устройства, понимающего вланы, например, другого коммутатора того же влана.

Читайте также:  как сохранить настройки флеш плеера

У меня 20-й порт подключен к сетевой карте сервера виртуализации, где развёрнут Hyper-V. В настройках нужной виртуальной машины у меня указан влан 41.

Итак, у нас получилось логически выделить виртуальный коммутатор к которому подключена виртуальная машина и физический порт № 13.

Теперь попробуем настроить связь по VLAN 41 от верхнего HP 1920 до виртуалки:

Заходим в Web-интерфейс верхнего коммутатора и делаем примерно следующее:

В это же время в нижнем у нас:

С такой конфигурацией мы получили примерно следующую картину:

Подтверждением этому служат выводы команд nmap -sn 192.168.41.0/24 и nmap -sn 192.168.0.0/24 на виртуальной машине:

Подключение к неподконтрольному АПКШ Континент:

Остался последний шаг — подключение к неподконтрольному шлюзу. Как Вы помните, в нём проброшены порты 40, 443 на ip-адрес виртуальной машины. Так как данный VLAN — недоверенная сеть, то закрываем все ненужные ресурсы.

  • Нужно в разделе VLAN Interface на 41 VLAN у обоих коммутаторов убрать ip адреса.
  • Нужно убрать порты 7 и 17.
  • Нужно создать Trunk 41 — порт для подключения проводом к криптошлюзу.
  • Нужно отказаться от использования VLAN 1. Когда будете переносить все порты с VLAN 1 на VLAN 10, не накосячьте с доступом в WEB-интерфейс. Создайте сначала его, а то рискуете потерять управление. Также не накосячьте со своими виртуальными машинами, т.к. у каждой машины в сетевом интерфейсе нужно прописать 10 VLAN. К тому же в виртуальных коммутаторах самого Hyper-V нужно прописать VLAN 10 чтобы была возможность управлять виртуалками оттуда.

Ну и не забываем сохранить конфигурацию коммутаторов, иначе после перезагрузки всё сбросится обратно!

Вместо заключения:

Данная статья призвана разъяснить использование VLAN в web-интерфейсе коммутаторов HP и показать как пробрасывать влан до виртуалки на Hyper-V. Да, я не рекомендую настраивать сеть подобным образом так как во-первых, трафик от неподконтрольного роутера идёт прямиком во внутреннюю сеть. По-хорошему нужно пропустить его через свой маршрутизатор pfSence. Во-вторых: веб-сервер крутится на том же гипервизоре что и виртуальные машины для внутренней сети (если в гипервизоре обнаружится уязвимость, позволяющая проникнуть в хостовую ОС, будет очень плохо). Надо бы выделить отдельный физическй комп — Web-сервер и подключить его сразу к 3-му порту. В дальнейшем я, конечно повышу безопасность этой схемы, но на данном этапе моя задача показать настройку VLAN’ов.

источник

Настройка hp 1920 24g poe

Коммутаторы HPE OfficeConnect 1920S

24- и 48-портовые модели снабжены дополнительными портами SFP для подключения по оптоволокну. Модели без PoE не имеют вентиляторов охлаждения, и могут быть установлены непосредственно в офисных помещениях вблизи рабочих мест.

Одним из основных преимуществ коммутаторов HPE OfficeConnect 1920S является наличие пожизненной ограниченной гарантии от производителя, включая предоставление технической поддержки в режиме 24?7 по телефону в первые 90 дней после покупки. Наличие круглосуточной поддержки особенно важно для небольших организаций, технические специалисты которых могут не обладать достаточным опытом для самостоятельной настройки всех параметров коммутатора. Кроме того, в течение всего гарантийного периода предоставляется замена вышедшего из строя оборудования и обновление программного обеспечения коммутаторов через российскую сеть сервисных центров HPE, а также круглосуточная поддержка в онлайн чате на англоязычном портале .

Модельный ряд

  • JL380A HPE OfficeConnect 1920S 8G Switch
  • JL381A HPE OfficeConnect 1920S 24G 2SFP Switch
  • JL382A HPE OfficeConnect 1920S 48G 4SFP Switch
  • JL383A HPE OfficeConnect 1920S 8G PPoE+ 65W Switch
  • JL384A HPE OfficeConnect 1920S 24G 2SFP PPoE+ 185W Switch
  • JL385A HPE OfficeConnect 1920S 24G 2SFP PoE+ 370W Switch
  • JL386A HPE OfficeConnect 1920S 48G 4SFP PPoE+ 370W Switch

Характеристики и функционал

Управление

  • Управление через Web-интерфейс. Базовая настройка коммутаторов HPE 1920S может быть выполнена даже неспециалистом. Поддерживаются HTTP и HTTPS.
  • Поддержка SNMPv1, v2c, и v3. Стандартный протокол управления по сети, который поддерживается множеством программных пакетов под любыми операционными системами.
  • Логирование сессии. Все действия по администрированию коммутатора в web-интерфейсе записываются в отдельный журнал, что позволяет в дальнейшем ускорить обнаружение проблемы.
  • Зеркалирование портов. Позволяет дублировать трафик физического пората или VLAN для анализа и мониторинга.
  • Основной и резервный образы встроенного ПО. Наличие двух образов обеспечивает возможность быстрого устранения проблем, связанных с обновлением встроенной операционной системы.
  • Клиент Network Time Protocol (NTP), протокола синхронизации времени.
  • DHCP-клиент.
  • FTP/TFTP — используется для обновления конфигурации.
  • RMON. Расширение SNMP. Используется для сбора дополнительной статистики и событий.

QoS (приоритизация трафика)

  • IEEE 802.1p/Q — тегирование трафика для определения принадлежности к VLAN и приоритета.
  • Дополнительная приоритизация трафика на основе L2/L3/L4.
  • Защита от широковещательного шторма.
  • Класс обслуживания — установка метки 802.1p на основе IP-адреса, содержимого поля Type of Service (ToS) IP-пакета, номера TCP/UDP порта источника или назначения.
  • Обработка очередей QoS методом строгого приоритета (Strict Priority, SP) или на базе взвешенного циклического алгоритма (Weighted Round Robin, RR). Выбор режима настраивается индивидуально для каждого порта коммутатора.
  • Автоматическое назначение VLAN для голосового трафика при помощи протокола LLDP-MED.

Подключение

  • Поддержка IPv6. Управление и все функции, связанные с сетевым (третьим уровнем), работают с IPv6.
  • IEEE 802.3X — управление потоком. Позволяет избежать снижения производительности сети из-за потери пакетов при переполнении буфера.
  • IEEE 802.3at Power over Ethernet (PoE+). Обеспечивает подачу до 30 Вт на порт. Увеличенная в сравнении с обычным PoE мощность требуется для IP-видеофонов, высокопроизводительных точек доступа Wi-Fi и камер управляемых камер видеонаблюдения. Обеспечивается обратная совместимость с IEEE 802.3af.
  • Отключение PoE по расписанию. Возможна настройка часов или дней недели, в течение которых подача питания группу портов будет отключено для экономии электроэнергии.
  • Дополнительные порты SFP для подключения по оптическому волокну. Два порта SFP в 24-портовых коммутаторах и 4 порта — в 48-портовых.

Безопасность

  • ACL (списки управления доступом). Доступ к порту или VLAN может быть ограничен на основе таблицы критериев: IP- и MAC-адрес, номер порта или тип протокола.
  • RADIUS — протокол аутентификации, авторизации и сбора статистики.
  • Контроль доступа на основе IEEE 802.1X.
  • Изоляция портов. Для изолированной группы портов может быть ограничено перенаправление трафика.
  • Защита от DoS-атак.

Канальный уровень (уровень 2)

  • Канальный протокол STP (Spanning Tree Protocol). Поддерживаются IEEE 802.1D STP, IEEE 802.1w Rapid Spanning Tree Protocol (RSTP) и IEEE 802.1s Multiple Spanning Tree Protocol (MSTP).
  • Фильтрация BPDU при отключении STP на одном из портов.
  • Поддержка Jumbo-фреймов размером до 9216 байт.
  • Поддержка VLAN (IEEE 802.1Q). До 256 VLAN с идентификаторами в диапазоне 2–4093.

Сетевой уровень (уровень 3)

  • Address Resolution Protocol (ARP). Отображает MAC-адреса по IP-адресам узлов в одной подсети.
  • Функция DHCP relay. Упрощает управление DHCP-адресами в сетях с несколькими подсетями.
  • Статическая маршрутизация IPv4. Поддерживается до 32 маршрутов.
  • Агрегация портов. Поддерживается объединение до восьми портов в одном транке на основе Link Aggregation Control Protocol (LACP). 8-портовые модели поддерживают до 4 транков, 16- и 24-портовые — до 8 транков, 48-портовые — до 16 транков.

HPE OfficeConnect 1920S JL384A

В нашем распоряжении оказался коммутатор HPE OfficeConnect 1920S 24G 2SFP PPoE+ 185W (партномер JL384A). Это модель с 24 портами RJ-45, из которых 12 поддерживают PoE+ с общим лимитом мощности в 185 Вт, и с двумя портами SFP.

На первый взгляд кажется, что на передней панели нет ничего необычного, но стоит отметить свойственное всей продукции Hewlett Packard Enterprise внимание к деталям. В левой части панели можно увидеть полное наименование коммутатора и партномер — данная информация будет крайне полезной при обращении в службу технической поддержки. В нижней части приведена расшифровка режимов работы светодиодных индикаторов на портах, отображающих состояние линка и наличие трафика, скорость подключения и статус PoE.

Глубина коммутаторов подобного класса, как правило не превышает 30 сантиметров, так что рельсы для монтажа в стойку не требуются, достаточно крепления через уголки. Так как линейка HPE OfficeConnect 1920S предназначена для небольших организаций, то эти коммутаторы можно монтировать не только в стойку, но и непосредственно к стене при помощи тех же уголков, развернутых на 90°, или просто установить на стол, приклеив к нижней стенке идущие в комплекте резиновые ножки.

Кнопка Mode в левой части панели отвечает за режим работы светодиодных индикаторов. Светодиоды, отвечающие за индикацию линка и активности, при нажатии этой кнопки отображают статус PoE.

На задней панели находится наклейка с серийным номером и MAC-адресом первого порта коммутатора, а также разъём питания. 8-портовые модели питаются от внешнего блока питания, причём модель без PoE можно запитать от другого устройства с PoE через первый порт.

Порты SFP не являются совмещёнными, то есть при их использовании вы не теряете основные порты. Будьте внимательны при выборе трансиверов. Поддерживаются только трансиверы производства HPE/Aruba*:

  • Aruba 100M SFP LC FX 2km MMF XCVR J9054D — 100BASE-FX (100 Мбит), мультимодовое оптоволокно, до 2 км.
  • Aruba 1G SFP LC SX 500m MMF XCVR J4858D — 1000BASE-SX (1 Гбит), мультимодовое оптоволокно, до 500 м.
  • Aruba 1G SFP LC LX 10km SMF XCVR J4859D — 1000BASE-FX (1 Гбит), одномодовое оптоволокно, до 10 км.
  • Aruba 1G SFP RJ45 T 100m Cat5e XCVR J8177D — 1000BASE T (1 Гбит), разъём RJ-45, витая пара, до 100 метров.

Половину корпуса коммутатора занимает импульсный блок питания. Помимо питания самого коммутатора ему нужно обеспечить резерв в 185 Вт для питания подключённых устройств через PoE.

В целях борьбы с возможным появлением неприятного резонансного писка дроссели и трансформаторы блока питания дополнительно укреплены клеем. Массивные радиаторы призваны обеспечить достаточное охлаждение компонентов в тесном одноюнитовом корпусе.

За охлаждение коммутатора отвечает работающий на выдув 40-мм вентилятор с автоматической регулировкой оборотов. Он протягивает воздух от перфорированной противоположной стенки через блок питания и обе платы коммутатора. Активное охлаждение нужно прежде всего для охлаждения мощных блоков питания моделей с PoE. Вентилятор издаёт достаточно заметный шум, так что коммутаторы HPE 1920S с PoE вряд ли можно назвать подходящими для размещения в непосредственной близости от рабочих мест. Модели без PoE обходятся пассивным охлаждением и совершенно бесшумны.

Качество изготовления печатных плат и пайки не вызывает никаких нареканий. Сетевое оборудование Aruba до и после вхождения в состав HPE всегда отличалось хорошим качеством изготовления.

Подключиться к web-интерфейсу коммутатора HPE OfficeConnect 1920S очень легко благодаря встроенному DHCP-клиенту. Интерфейс унифицирован между тремя линейками коммутаторов — 1920S, 1850 и 1820. Даже при отсутствии опыта работы с другими коммутаторами HPE добраться до нужных настроек не составит труда благодаря интуитивно понятной классической компоновке интерфейса. Основное меню, состоящее из раскрывающихся списков, расположено слева, настройки сгруппированы по основным функциям коммутатора: сервисная сеть, коммутация, настройка VLAN, маршрутизация и так далее.

Управление пользователями и правами доступа в коммутаторах 1920S осуществляется на достаточно простом уровне. Есть лишь два типа прав — с доступом на чтение/запись и с доступом только на чтение. Разделения доступа к отдельным категориям функций тут нет, но стоит помнить, что 1920S предназначен для организаций малого бизнеса, где администрированием сети занимаются обычно не более 2–3 сотрудников.

Для каждого порта можно индивидуально включить или выключить STP, LACP, настроить параметры защиты от штормов (широковещательного, multicast, unicast).

Auto Voice VLAN Configuration — данная функция упрощает настройку приоритизации голосового трафика в сети. Голосовой трафик можно выделять автоматически в отдельный VLAN на основе меток 802.1p.

HPE OfficeConnect 1920S поддерживает как LACP, так и статическое агрегирование каналов. При планировании конфигурации стоит лишь помнить о следующих лимитах:

  • 8-портовые модели: четыре транка, до четырёх портов на транк
  • 24-портовые модели: восемь транков, до четырёх портов на транк
  • 48-портовые модели: шестнадцать транков, до восьми портов на транк

Модели коммутаторов 1920S с поддержкой PoE поддерживают новую спецификацию PoE+ (IEEE 802.1at, до 30 Вт на порт) и обеспечивают обратную совместимость с обычным PoE (802.3af, до 15,4 Вт на порт). При планировании конфигурации с PoE следует учитывать два фактора: число портов с поддержкой PoE и ограничение на суммарную мощность всех PoE-портов. Например, модель JL384A имеет 24 порта, из которых только первые 12 поддерживают PoE+. Лимит мощности составляет 185 Вт — это означает, что максимум по 6 портам возможна отдача предусмотренных спецификацией 30 Вт. Если задействованы все 12, то ограничение составит 15,4 Вт на порт.

Коммутатор позволяет задать для каждого порта с поддержкой PoE приоритет по отдаче мощности. Питаемые устройства могут передать требования к подводимой мощности через LLDP, но можно указать лимит вручную. Динамическое перераспределение лимитов мощности между портами является крайне полезной функцией с учётом наличия общего лимита, но при появлении проблем с питанием устройств такое перераспределение можно быстро отключить.

Коммутаторы HPE OfficeConnect 1920S могут самостоятельно обнаруживать и блокировать несколько типов DoS-атак. Опция Auto DoS включает автоматическое блокирование всех поддерживаемых типов атак, возможна и индивидуальная настройка с указанием параметров. Важно лишь помнить, что коммутатор, предназначенный для организаций малого бизнеса, не может заменить полнофункциональную систему обнаружения вторжений (IDS), но способен защитить сеть организации от самых распространённых DoS-атак без использования дополнительного оборудования или программного обеспечения. Из-за ограниченности ресурсов коммутатор никак не протоколирует обнаружение DoS-атаки (не создаёт записей в логе или SNMP trap’ов), а только отрабатывает защиту.

Dual Image. Очень удобная функция для быстрого отката на другую версию прошивки в случае появления проблем после обновления. Коммутатор может хранить два образа встроенного ПО — основной и резервный.

Перед обновлением достаточно скачать текущую прошивку и конфигурацию, затем поместить образ в слот Backup code. Новая прошивка закачивается в слот Active code. При появлении проблем тратить время на закачивание образа не нужно, достаточно выбрать слот Active или Backup и перезагрузить коммутатор.

Коммутаторы OfficeConnect 1920S можно назвать удачным примером модернизации линейки сетевого оборудования для организаций малого бизнеса. Ассортимент коммутаторов, сочетающих высокое качество, производительность, простоту настройки и достаточно широкий функционал, расширился после вхождения компании Aruba в состав Hewlett Packard Enterprise, и пришло время для оптимизации продуктовых линеек. При использовании коммутаторов 1920S заказчики смогут получить тот же уровень производительности и качества за меньшую цену.

Коммутаторы HPE OfficeConnect 1920S отлично подходят для небольших организаций, использующих в своей инфраструктуре IP-телефонию и системы видеонаблюдения, благодаря наличию моделей с поддержкой PoE и развитой поддержке приоритизации трафика. Как и другие продукты HPE, коммутаторы 1920S снабжены подробной и качественной технической документацией. Не стоит забывать про одно из главных преимуществ — пожизненную ограниченную гарантию от производителя, в том числе бесплатную техническую поддержку в режиме 24/7 в течение первых 90 дней.

источник