VLANS and DHCP on HP ProCurve

[SysAdmin1]

טוב, אז ניתן כבר לסכם מה הושג ולהתקדם עוד צעד אחד קטן...

דבר ראשון, כבר קיימת קישוריות L2 בין המתג הישן והחדשים, קיים VLAN חדש מתפקד ומקושר גם לפורטים של המחשבים שיהיו מחוברים עליו וקיימת התחלה של ניתוב L3 בתוך המתגים לתת רשת החדשה של ה VLAN החדש.
עכשיו כדאי לחשוב למה לא ניתן להגיע למחשבים של התת הרשת הישנה מתוך התת רשת החדשה וגם הפוך.
מחשבים של התת הרשת הישנה לא מודעים כלל לתת רשת החדשה מבחינת הניתוב שלהם, כי הנתב שלהם ( שער ברירת מחדל שלהם ) הוא אותו Fortigate 100D , הידוע לשמצה. לכל תקשורת שמחוץ לתת רשת שלהם הם פונים עליו. והוא בתורו צריך לדעת לאן לנתב את התקשורת זו. כרגע הוא יודע איך לצאת לאינטרנט ויכול להיות גם יודע איך לצאת לתת רשת של הטלפונייה ארגונית, אבל לא לתת רשת החדשה. כל מה שנצטרך להגדיר ב FORTINET, זה ניתוב סטטי שמוביל לתת רשת זו וגם להגדיר כלל ב FIREWALL שלו שמאפשר לתקשר עם תת רשת זו והפוך. בשביל ניתוב זה נגדיר כרשת יעד : 10.10.201.0/24 , כ GATEWAY את הרגל של המתג שקרובה לנתב שכרגע מגדירים: 10.10.200.254 , וגם את הרגל של FORTINET שמחוברת לתת רשת 10.10.200 ( שאת השם של הרגל זו אתה כבר צריך לדעת לפי החיבורים הקיימים במקום ) .
אחרי זה נדרש להגדיר גם את הכלל המתאים ב FIREWALL .
ועכשיו לסיבה חשובה למה הניתוב לא עובד גם אחרי זה.
במתג הראשי שלך בטבלת ניתוב שלו מוגדרת שורה של ניתוב ברירת מחדל שפונה לעצמו ולא לשער ברירת מחדל האמיתי ( ל FORTIGATE ) . כך שהמתג וההתקנים שמשתמשים בו כבנתב לא יכולים להמשיך ממנו הלאה לשום מקום. השורה : ip route 0.0.0.0 0.0.0.0 10.10.200.254 לא מובילה לשום מקום. והיא צריכה להיות :
ip route 0.0.0.0 0.0.0.0 10.10.200.1
עכשיו זה כבר נראה יותר היגיוני ושני הנתבים יודעים זה על זה וכל ההתקני רשת שמחוברים עליהם יכולים לנסות לתקשר אחד עם השני. בתהליך של ההגדרות הניתוב מומלץ גם להשתמש בכלי traceroute שיכול לתת דיאגנוסטיקה מצויינת לניתוב לא תקין ולזיהוי של לולאות ניתוב שצריך להפתר מהן.

וכרגע לכמה תובנות נוספות חשובות. אם ניתוב ברשת זו יעבוד בצורה תקינה כמו שהיא מחוברת כרגע, זה עדיין לא סיום של העבודה. אלה רק ההתחלה שלה. ואני אסביר למה אני מתכוון. בטופולוגיית רשת כפי שקיימת כרגע, ניתוב של כל התעבורה בין הרשתות של ה VLANS השונים תעבור דרך מנגנון ניתוב של FORTIGATE . דבר זה בעיתי ביותר, כי מוצר זה לא יכול לנתב נפחים גדולים של תעבורה.
מתגי L3 נועדו לזה שהניתוב בין התתי רשתות שקיימות על כל ה VLANS שלהם יתבצעו בתוך המתג. הניתוב בתוך המתג מתבצע בתוך ה backbone שלו במהירות של wirespeed ולא קשור במעבד חיצוני. לצורך זה נדרש לתכנן את הרשת כך שהנתב ( במקרה שלך זה FORTIGATE ) שמוביל לעולם החיצון ( לאינטרנט ) יהיה מחובר על VLAN נפרד שמשמש רק לניתוב. כך כל הניתוב בין ה VLANs יתבצע בתוך המנגנון הניתוב של המתג הראשי וכל שאר התקשורת תופנה לנתב החיצוני. מדובר על דבר שהוא א' ב'.
עכשיו על הדברים שכבר הזכרתי מקודם. כמו שאתה רואה, ברגע שלא מוגדר פרוטוקול סביר של ניתוב דינאמי, למשל OSPF , כל הגדרת ניתוב, אפילו הכי קטנה ופשוטה הופכת להיות לסיפור שלא נגמר שמצריך הגדרות ידניות בכל הציודי תקשורת ובכל שינוי זה חוזר על עצמו. שימוש בניתוב דינאמי פותר את הבעיה זו אחד ולתמיד.
בקשר לחוסר של הגנת LOOP . היום במצב הקיים ברשת שלך, כל אחד שיחבר שני קצוות של כבל רשת לשני נקודות תקשורת יגרום להשבתה מוחלטת לרשת כולה. בגרך כלל זה לא קורה במזיד, אלה מחוסר ההבנה של האנשים. דבר ראשון שמבצעים במתגים, זה מונעים מצב זה.
בקשר לחוסר ההגנה מ rogue dhcp . היום במצב הקיים ברשת שלך, כל אחד שיחבר רכיב רשת ( נתב ביתי שהוא הביא מהבית בשביל שיהיה לו חיבור אלחוטי במשרד ) או יריץ על מחשב שלו שרת DHCP בטעות, יגרום למצב שכל התת רשת זו תהייה מושבתת כליל בגלל שכל המחשבים והתקני רשת יקבלו כתובות מ rogue dhcp . וכאן לא מדובר אפילו על פורצים או אנשים רעים שבשנייה משביתים לך את הרשת ללא שיש לך אפשרות לאתר את הבעיה.

עכשיו בקשר לרשת שירשת. כמו במקרים אחרים שיודעים שקיימת תורשה בעייתית, כמו נטייה להשמנה, לסוכרת וכו', נדרשת עבודה מאומצת לצורך הקטנת סיכונים. במקרה שלך מדובר על תכנון כללי של כל הרשת שלך ובשלב הראשון של הפעלת כל המנגנוני רשת נדרשים, שכבר פירטתי לפני זה.
בשלב הבא, כדאי מאוד להתחיל להטמיעה מנגנוני רשת אוטומטיים וכאלה שנותנים אפשרות של אבטחת מידע תוך כדי הקטנה של הפעיולות הנדרשת לצורך הגדרות רשת שונות. למשל טמעה של מנגנונים כמו הקצאה דינאמית של מספרי VLAN לפי הזיהוי של המחשב המחובר ופרוטוקולים זיהוי, כמו 802.1x , שנותנים אפשרות של העברת מחשב ממשרד למשרד עם כל ההגדרות של VLAN שלו על הפורט ללא הצורך בהגדרות ידניות בתוך המתג. גם שימוש ב VTP מפשט בהרבה את העבודה של ההגדרות המתגים וכו'.

 

[kitt]

הDC חייב להכיר את כל הVLANS ולענות בכל Scope

ל VLAN המתאים (הגדרה בDHCP)

 

[SysAdmin1]

ואיך בידיוק הDC חייב להכיר את כל הVLANS ?

ואיך בידיוק הDC חייב להכיר את כל הVLANS ?

מבחינתו זה בכלל תתי רשתות אחרות ( מרוחקות ) שהקישור עליהם הוא דרך נתב חיצוני ולא ישיר ( לא סתם מדובר כאן על מתג L3 , שזה כל הנקודה המרכזית בנושא זה). שרת DHCP לא מכיר כלל מושג כזה VLANS ואת המנגנון של תשובה מתאימה לבקשה שנועדה ל SCOPE הנדרש כבר פירטתי במדוייק לפני זה וגם נתתי קישור מדוייק להסבר בסיסי ומפורט, שאני יכול לחזור עליו ושמסביר למה שרת DC לא מכיר שום VLAN ואיך כל העסק הזה עובד:
https://www.petenetlive.com/KB/Article/0001168
ולפני שכלל ניגשים לנושא של שרת DHCP, כמו שכבר הסברתי במפורש, חייב להיות ניתוב תקין בין הרשתות ההשונות של ה VLANS השונים, דבר שעוד לא הושג בשלבים הקודמים של הדיון.
כך שחבל לנסות לבלבל את מי שגם כך יכול ללכת לאיבוד.

 

[אורי גיל]

VLANS and DHCP on HP ProCurve

שאלה בנושא VLANS בסוויצ'ים של HP:

יש לי סוויץ ראשי שמבצע ניתוב ויש בו 2 VLANS:
DEFAULT VLAN - משמש את טווח הכתובות העיקרי ברשת החברה.
VLAN 30 - עבור VOIP, משתמש באותה תשתית של ה-LAN עם טווח כתובות אחר.
שרת ה-DHCP יושב בטווח כתובות העיקרי ומשמש את שני ה-VLANS.

אני מעוניין לחבר סוויץ נוסף ברשת לראשי ולהגדיר בו טווח כתובות אחר עם VLAN חדש וגם את VLAN 30 על כל הפורטים. אז בראשי יצרתי את ה-VLAN החדש על שני פורטים המשורשרים לסוויץ החדש והגדרתי בו ip helper לשרת ה-DHCP. בשרת הגדרתי POOL חדש עבור טווח הכתובות החדש.

בסוויץ החדש הגדרתי 2 VLANS: חדש + VOIP על כל הפורטים כאשר ה-DEFAULT איננו בשימוש ואין לו כתובת IP. כאשר אחבר מחשב לסוויץ הזה באיזה VLAN הוא יצור קשר עם השרת DHCP, החדש או ה-VOIP? כלומר באיזה טווח כתובות?

מקווה שהייתי ברור

 

[kitt]

ה DC צריך להיות מחובר או לפורט בסוויץ' שמכיר את כל ה VLANs

ואז על כרטיס הרשת של ה DC לשים כתובת מכל אחד מה VLANs ולנתב לכל scope את הכתובת שלו, או (המצב העדיף לדעתי) כמה כרטיסי רשת מהשרת, כל אחד מחובר ל VLAN שלו ומוגדר בscope המתאים.

 

[SysAdmin1]

ואולי בכל זאת הייה כדי לך לקרוא את השאלה או את התשובות...

ואולי בכל זאת הייה כדי לך לקרוא את השאלה המקורית או את התשובות עליה, לפני שאתה רושם דברים לא קשורים לשאלה.
וזה כבר אחרי שפעם אחד הוסבר לך שמדובר כאן על נושא של שרת DHCP לרשת שבנוייה על מתג L3 שמנתב בין ה VLANS השונים. וגם הוסבר כמה פעמים שברשת כזו שרת DHCP נמצא רק ב VLAN אחד מכל ה VLANS הקיימים ומתקשר עם שאר הלקוחות דרך IP-Helper של כל אחד מה VLANS .
מדובר כאן ביסודות הפשוטים של התקשורת מחשבים. ברשת כזו, כמובן שאסור שעל כרטיס הרשת של ה DC יהיה כתובת IP מכל אחד מה VLANS . את הקישורים שצירפתי לך לפני זה לא התאפשר לך לקרוא לפי מה שאני רואה, אז אני מצרף צילום מסך של הקטע הרלוונטי שמסביר איך פועל שרת DHCP בשביל רשתות שמחוברות דרך נתב לרשת שבה נמצא שרת DHCP.

 

[SysAdmin1]

נתחיל מהדברים הפשוטים...

אם תחבר מחשב למתג ועל הכרטיס רשת של מחשב זה לא מוגדר תיוג למספר של VLAN ספציפי, אז אותו כרטיס רשת ( מחשב ) יתקשר רק עם Native VLAN שמוגדר על הפורט שעליו הוא מחובר ( אם כמובן מוגדר Native VLAN כלשהוא על פורט זה של המתג, כי אם מוגדרים לפורט זה, רק VLANS מתוייגים אז מחשב לא יוכל לתקשר כלל עם שום VLAN ). אם תגדיר תיוג מתאים על הכרטיס רשת של המחשב הוא יוכל לתקשר עם ה VLAN שמספר תיוג מוגדר לו ( כמובן עם מספר VLAN זה מוגדר כמתוייג על פורט של המתג שהמחשב מחובר עליו ). אם תגדיר על הכריס רשת של המחשב בנוסף לתקשורת של Native VLAN גם עוד מספר של VLANS מתוייגים, אז יתווספו לך במחשב עוד מספר כרטיסי רשת וירטואליים שכל אחד מהם יוכל לתקשר עם ה VLAN שלו בנוסך לכרטיס רשת המקורי שיתקשר עם ה NATIVE VLAN .
אלה הם היסודות בפשוטים והבסיסיים של רשת מחשבים ומכאן אתה צריך כבר לבדוק מה הגדרת על הפורטים של המתגים ומה על הכרטיס רשת של המחשב.
כמובן שדיאגנוסטיקה אחרי זה מתחילים מהדברים הפשוטים של הקישוריות הבסיסית ואז אחרי שמזהים תקשורת תקינה בין פורט ספציפי של המתג והמחשב ולאורך כל שרשרת של המתגים המשורשרים עם הגדרות IP ידניות במחשב עוברים לבדיקות תקינות הניתוב של תקשורת IP לאורך כל השרשרת של המתגים L3 בדרך ועד לשרת ורק אז בודקים, אם המחשב יכול למשוך את כתובת IP מהשרת מה POOL הנכון ואם לא, בודקים מה הסיבה.
גם יעזור לך, אם תשרטט ב VISIO למשל תרשים מדוייק של הרשת עם המתגים וההגדרות שלהם, עם השרת וההגדרות הרלוונטיות שלו ורק כך יהיה לך יותר פשוט גם לשאול על סמך תרשים זה את השאלות הרלוונטיות ויהיה לך יותר פשוט לזהות את הבעיות. בידיוק לזה נועדו כלי תכנון רשת, כמו VISIO .

 

[אורי גיל]

מוסיף תרשים

תודה רבה על הפירוט.
צירפתי תרשים מקווה שהוא ברור

אז הנה הטופולוגיה, ישנם כ-4 סוויצ'ים כולם עם קינפוג זהה למספר 2 וכולם באותו סאבנט של 10.10.200.0.

מפאת חוסר בכתובות והרחבת המשרד אני מכניס סוויצ'ים נוספים (5 בתרשים) ומעוניין ליצור סאבנט חדש של 10.10.201.0.

כל הנושא של טאג ו אנטאג ב-HP חדש לי, למדתי מזמן על סיסקו וגם את זה זכרתי בקושי. איך אני גורם למחשבים ומכשירים שאינם מודעים ל-VLAN ושאני מחבר אותם לסוויץ' החדש לקבל כתובת מה-DHCP בסאבנט של ה-200?

לקחת מחשב והגדרתי לו VLAN 201 בכרטיס הרשת והוא עדיין לא קיבל DHCP. את הטלפונים בחברה אני מגדיר ידני ב-VLAN 30 ומגדיר להם גם GW, כמובן שאיני מעוניין לעשות זאת גם עם המחשבים ברשת החדשה.

אודה לעזרה :-!

 

[SysAdmin1]

נמשיך מהדברים הכי פשוטים, כי אין טעם להתקדם, אם לא נדע את...

נמשיך מהדברים הכי פשוטים, כי אין טעם להתקדם, אם לא נדע את היסודות.
אם אנחנו רוצים שהמחשבים שמחוברים למתגים החדשים ( למתגים מס' 5 ) ומחוברים ל VLAN חדש ( VLAN 201 ) יוכלו לתקשר עם ה VLAN הזה ללא הגדרות נוספות של תיוג בצד המחשבים, נדרש להגדיר את ה VLAN הזה ( VLAN 201 ) בפורטים שלשם יתחברו מחשבים של התת רשת החדשה ( תת רשת 10.10.201 ) כ VLAN לא מתוייג ( Native VLAN ) על הפורטים האלה של המתגים האלה. גם על הפורטים האלה לא צריך יהיה להגדיר קישור ל VLAN1 . ואם למתגים החדשים יתחברו מחשבים ששיכים רק ל VLAN201 החדש ולא יהיה בהם מחשבים ( או שיהיה מעט מאוד ) שנדרשים להיתחבר ישירות ל VLAN1 , במקרה כזה מומלץ בחום להגדיר במתגים החדשים את VLAN201 כ DEFAULT_VLAN .
עכשיו, אם נחבר לאחד המתגים החדשים מחשב לאחד הפורטים של המתג שהוגדרו לתת רשת החדשה ונגדיר בצורה ידנית כתובת IP במחשב מה תת רשת החדשה , למשל 10.10.201.2 ועם שער ברירת מחדל של 10.10.201.1 , אם הכל הוגדר תקין, אנחנו אמורים לקבל PING מהכתובת IP של המתג הראשי שבאותו ה VLAN ( 201 ) ומאותה התת רשת, מדובר על PING מ 10.10.201.1 . אם מתקבל ה PING, אפשר לעבור הלאה ולנסות לבצע PING לכתובת IP של הרגל השנייה של המתג הראשי, מדובר על כתובת 10.10.200.254 . התקשורת עליהה צריכה לעבור דרך מנגנון ניתוב ישיר של המתג הראשי לרגל שנמצאת ב VLAN1 . אם גם לשם מגיע ה PING , סימן שעד כאן הכל מוגדר נכון ואפשר להתקדם הלאה. ננסה לבצע PING שרת DC1 למשל, לכתובת 10.10.200.7 , אם גם לכאן עובר ה PING וגם, אם ניתן לבצע PING מהשרת DC1 למחשב החדש ( ל 10.10.201.2 ) , אז גם החלק של הניתוב במתג הראשי מתפקד.
אבל כבר בשלב זה לא ניתקל בבעיה בגלל שבתצורה של המתג הראשי חסרה שורת ניתוב לתת רשת החדשה. ונצטרך להשלים אותה. השורה יכולה להיות למשל:
ip route 10.10.201.0 255.255.255.0 10.10.201.1
אם הניתוב הוגדר בשלב זה נכון, אז כבר אמורה להיות תקשורת ל DC1 וממנו למחשב החדש.

ועכשיו לחלק של מנגנון DHCP . אם בשרת DC1 הוגדר SCOPE חדש ( 201 ) בצורה תקינה, אז כל מחשב מהרשת החדשה יוכל למשוך כתובת IP בצורה תקינה מה SCOPE המתאים בשבילו משרת DHCP .
עכשיו לאיך זה מתבצע מאחורי הקלעים:
מחשב שמחובר לתת רשת חדשה ( ל VLAN 201 ), שולח בקשת קבלת כתובת DHCP כ BROADCAST , שרת IP-HELPER בכתובת 10.10.201.1 של המתג הראשי קולט אותה ומעביר דרך מנגנון הניתוב של המתג הראשי לכתובת IP של שרת DHCP של DC1 בכתובת 10.10.200.7 , אותו שרת DHCP של DC1 מקבל אותה ומחלץ ממנה את הכתובת של שרת IP-HELPER , שהיא 10.10.201.1 , כך הוא יודע שהוא צריך להגיש למחשב זה את הכתובת מה SCOPE של 10.10.201 ושולח את התשובה לכתובת של IP-HELPER שהיא כתובת 10.10.201.1 , שרת IP-HELPER מקבל את המסר הזה מהשרת DHCP של DC1 ושולח אותו כבר למחשב שביקש לקבל כתובת DHCP.
מצורף קישור להסבר פשוט של הנושא:
https://www.petenetlive.com/KB/Article/0001168

ועכשיו למספר הבהרות:
1. לצורך זה שלמחשבים מהתת רשת החדשה תהייה גישה לאינטרנט נדרש להגדיר את הרשת החדשה ב FireWall של ה Fortigate .
2. DEFAULT_VLAN או בשם המדעי NATIVE VLAN בשום מקרה לא משתמשים במספר VLAN1 , בגלל בעיות אבטחת מידע.
3. כל הממשקי ניהול של כל המתגים מוצאים ל VLAN נפרד, ל Management VLAN שיהיה נגיש רק ממחשבים של ניהול רשת. זה החלק הכי בסיסי של מבוא לכניסה להתחלת הנושא של אבטחת מידע ברשת וללא זה לא מתחילים לעבוד.
4. בקבצי תצורה של המתגים שצורפו לא ראוים שמופעלת הגנה נגד LOOPS ונגד שרתי rogue dhcp . אם שני הדברים אלה לא מוגדרים ולא פעילים, חייבים לעצור הכל ולהגדיר אותם ואחרי זה לבדוק את הפעילות ואת ההגנה שלהם.
5. נדרש להגדיר בכל המתגים את המנגנוני דיאגנוסטיקה וניהול רשת הבסיסיים, כמו שליחת התראות SYS LOG לשרת מרכזי מכל הציוד רשת, מנגנון SNMP , מנגנון LLDP וכל השאר הדברים הסטנדרטיים.
6. מנגנון ניתוב דינאמי בשם RIP חייבים לשכוח כחלום בלהות מצמרר, לכבות ולהשתמש לצורך ניתוב דינאמי בפרוטוקול מתאים יותר, למשל ב OSPF .

בגדול זה תמצית של הדברים הבסיסיים שנדרשו כאן ומאוד מומלץ בחום שבארגון שלכם יהיה לפחות בן אדם אחד שמכיר טיפה את היסודות של תקשורת מחשבים, כך אפשר יהיה במקרה הצורך להגדיר את הדברים הבסיסיים בציוד רשת שלכם.

 

[SysAdmin1]

ועוד משהו חשוב...

מסכת רשת שסימנתי באדום, היא כזו באמת, או שזה בצחוק, כי, אם זה לא בצחוק, אז כל הכתובות 10.10.200.0 - 10.10.207.255 כבר מוגדרות ברשת הישנה והתת רשת 10.10.201 לא אפשרית לשימוש כרשת נפרדת.