iT邦幫忙

0

HPE FlexFabric 5700 的設定

網路管理 switch coreswitch sophos
StrangerT 2023-03-29 15:53:551088 瀏覽

  • 分享至 

  • xImage

公司想要把舊的 CoreSW 換掉(Brocade FCX624)
要換成 HPE FlexFabric 5700

所以盡量模擬現有環境簡化成如底下的小 LAB

請忽略左邊黃色與右邊紫色線路和 HUB
那個是讓我可以在同一台 PC 直接就連到 Switch、CoreSW、FW 做設定
方便不用把線拔來拔去而已(FW 的 Port1 與 CoreSW 的 Port24 就請當作直連)

LAB 環境中 FW 是跟正式環境一模一樣(包含型號跟設定)
但 5700 CoreSW 設定這部份真的不是很熟,研究了很久還是有問題

目前在 5700 中已經將各個 VLAN 都建立好、VLAN 的 IP 也設定好
FW 也從依照正式環境將 VLAN 建好

PC 模擬在其中一個 VLAN 15 下,所以 PC 的網卡設定 10.12.1.188
第二層的 Switch 是 Aruba Instant On 1930,也把該帶的 VLAN、Tag 設定好

  1. 我現在可以在 PC 上 Ping 到 5700 CoreSW 上的 GW(10.12.1.253)
    也能 Ping 到 5700 CoreSW 上其他 VLAN 的 GW IP (10.xx.xx.253)
    但就是沒辦法再往上到 FW,例如 10.12.1.254 ..等等

  2. 在 CoewSW 中使用 ping 10.xx.xx.254 會無法到達
    但改用 ping -a 192.168.199.188 10.xx.xx.254
    或 ping -a 10.1.254.253 10.xx.xx.254
    有指定要從那一條路出去就可以
    不過 ping 10.1.254.254 或 192.168.199.10 不用特別指定卻可以到達

  3. 我也有嘗試依照原本舊的 Brocade 設定加上 static route 也沒用
    例如:ip route-static 0.0.0.0 0 10.1.254.254
    可是我不太了解的是,原本的設定是 ip route 0.0.0.0 0.0.0.0 10.1.254.254
    但正常不是應該要走 LACP 這條上去嗎?還是是我搞錯了??

希望是在盡量不要動到 FW 設定,也就是單純把 CoreSW 換上後就好
因為現有正式環境是會通的

CoreSW 是還少設定什麼..可以幫幫忙嗎?
若有缺少什麼資訊的可以跟我說我再補充
謝謝..

太久沒來更新
補充一下..這個 Case 已經完成,原則上 Core Switch 的設定是 OK 的
後來發現主要是 Sophos 相關設定的關係
調整後就通了
謝謝有幫忙的各位

看更多先前的討論...收起先前的討論...
望空 iT邦新手 1 級 ‧ 2023-03-29 16:26:51 檢舉
LACP有檢查過嗎?
StrangerT iT邦新手 5 級 ‧ 2023-03-29 16:29:31 檢舉
請問是檢查LACP哪一部份呢?
望空 iT邦新手 1 級 ‧ 2023-03-29 16:30:40 檢舉
兩邊LACP有通嗎? 兩邊都是主動還是兩邊都是被動接收?
StrangerT iT邦新手 5 級 ‧ 2023-03-29 16:37:50 檢舉
我在 CoreSW 上使用 ping -a 192.168.199.188 10.12.1.254 指定用 LACP 的 IP 去 ping 是有通的,另外您說的主動被動這部份我也不太曉得,在 5700 上是可以更改的嗎?
望空 iT邦新手 1 級 ‧ 2023-03-29 16:54:05 檢舉
我在想LACP這條是trunk還是access mode
望空 iT邦新手 1 級 ‧ 2023-03-29 16:55:34 檢舉
還是你要把原有sw跟現在這台sw匯出後貼上來讓大家比對設定?
StrangerT iT邦新手 5 級 ‧ 2023-03-29 17:00:45 檢舉
這是 Port 39 和 40 的設定
interface Ten-GigabitEthernet1/0/39
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 100
port bridge enable
port link-aggregation group 1
#
interface Ten-GigabitEthernet1/0/40
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 100
port bridge enable
port link-aggregation group 1

Bridge-Aggregation 的設定
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 100
link-aggregation mode dynamic

新舊兩台 SW 的設定讓我整理後再貼上來,謝謝
michaelwan iT邦高手 1 級 ‧ 2023-03-29 17:25:42 檢舉
CoreSW, FW的routing table
StrangerT iT邦新手 5 級 ‧ 2023-03-29 18:00:28 檢舉
相關設定檔已經補上了,不過 LACP 的 VLAN 100 是我測試額外加上的,我也不確定到底須不需要..
michaelwan iT邦高手 1 級 ‧ 2023-03-30 10:51:42 檢舉
你的FW port1有帶tag嗎?
在5700的port 24是access vlan 18的
或者把FW 10.0.0.0/8 gateway 改到192.168.199.188.
StrangerT iT邦新手 5 級 ‧ 2023-03-30 11:27:23 檢舉
FW 我找不到地方可以設定帶 tag 耶
有測試過把 10.0.0.0/8 的 GW 改成 192.168.199.188,界面選 LACP 也是不行
(不過正式環境確實是 10.0.0.0/8 GW Vlan18的 IP、界面 Port1 是可以通的)

另外測試環境中我也測試過,從 FW 上去 Ping CoreSW 裡 VLAN 的 IP (ex. vlan8-10.xx.xx.253) 界面選擇從 LACP 出去,可以通
反過來從 CoreSW 去 Ping FW VLAN 的 IP (ex.vlan8-10.xx.xx.254) 界面從 LACP 出去,也是可以通
所以看起來其實是有通的,只是都必須手動加上出去的界面,不然它會迷路?
michaelwan iT邦高手 1 級 ‧ 2023-03-30 13:24:47 檢舉
Brocade FCX624原本是那一個port接FW Port1?
原本的架構中有那個HUB?
看看FW Port1的組態?
StrangerT iT邦新手 5 級 ‧ 2023-03-30 13:33:17 檢舉
Brocade FCX624 原本就是 Port 24 接 FW 的 Port1
接法我全部按照原本的方式去接

HUB 在圖底下就有說明請忽略左邊黃色與右邊紫色線路和 HUB 囉
主要是讓我可以在同一台 PC 直接就連到 Switch、CoreSW、FW 做設定
方便不用把線拔來拔去而已(FW 的 Port1 與 CoreSW 的 Port24 就請當作直連)
PC 只有在需要設定 FW 時會把那條線的網卡打開
michaelwan iT邦高手 1 級 ‧ 2023-03-30 14:42:44 檢舉
那你知道HUB是不能帶tag的嗎?
core要帶tag給FW才會連到在FW上與core相同的VLAN.
StrangerT iT邦新手 5 級 ‧ 2023-03-30 15:13:39 檢舉
右邊那個 HUB 是一個約 500 元左右沒有任何管理功能的 Switch (GS-105b),在我認知它就只是個收到什麼封包就一律照傳的設備,單純只是讓我省得來來回回進機房插拔線而已~所以才會寫 HUB..

我剛剛也試過把 HUB拔掉 直接 FW Por1 與 CoreSW Port24 對接
在 CoreSW CLI 中輸入:ping 10.xx.1.254 (在 FW 上的 VLAN 15 IP)
同樣顯示 time out

但若是在 CLI 中輸入:ping -a 10.x.254.253 10.xx.1.254 就沒問題
10.x.254.253 是 CoreSW VLAN 18 的 IP
10.xx.1.254 是 FW 上 VLAN 15 的 IP
ping 帶 -a 參數在 HPE FlexFabric 5700 是手動指定要從哪個 IP Ping 出去

這樣的結果跟中間有沒有那台 HUB 是一樣的唷
michaelwan iT邦高手 1 級 ‧ 2023-03-30 15:29:58 檢舉
大膽猜一下..FW上根本沒有VLAN ID.
只是有跟coreSW上VLAN同一段的IP位置而以.
StrangerT iT邦新手 5 級 ‧ 2023-03-30 18:45:39 檢舉
我先前就有依照正式環境的設定把 VLAN 建上了唷

後來我測試拿另一台 5700 把相關 VLAN 跟設定都設定好
原則上就是仿照 FW 上各 VLAN ID、IP 去設定,把 LACP 接上後直接 Ping 就會通了
就連最底下的 PC 去 Ping 第二台 5700 裡的 VLAN15 IP 10.xx.1.254 都可以...
其他 VLAN 也都 Ping 的到...所以感覺是 FW 的問題?

防火牆是 SOPHOS,但之前也沒用過..我能想到要設定的地方也看了
michaelwan iT邦高手 1 級 ‧ 2023-03-31 08:56:44 檢舉
>>FW 我找不到地方可以設定帶 tag 耶
>>我先前就有依照正式環境的設定把 VLAN 建上了唷
所以你FW上的interface組態? 每個port設定的VLAN ID? 我也沒用sophos可以看.
你的LACP是trunk port, 接FW的是Access.
StrangerT iT邦新手 5 級 ‧ 2023-03-31 09:19:31 檢舉
已經補上 FW 上的 interface 圖了,我也只能依照我能從正式環境看到的畫面來依樣畫葫蘆..不知道 SOPHOS 是不是還有什麼額外的要設定..?
michaelwan iT邦高手 1 級 ‧ 2023-03-31 14:02:33 檢舉
舊的環境上, FW沒有VLAN?
看設定port1沒有任何VLAN, 其他VLAN也只屬於LACP(後來建的?)
Brocade FCX624 untagged ethe 1/1/24也是沒帶tag.
所以FW的路由會走到 10.1.254.253
a_yu iT邦新手 4 級 ‧ 2023-03-31 19:51:22 檢舉
我覺得你把設定複雜化了
不用每個 vlan interface 都綁IP
core switch下去全做L2 上去防火牆只要一條L3 預設路由就可以了
但你又接兩路 一條LACP 一條旁接的用意是在?
另外5700上port 直接使用一般的 access or trunk就好
hybrid port 的概念比較獨特

ip route-static 0.0.0.0 0 10.1.254.254 這是走旁接那條路
LACP 在防火牆上有一port沒起來
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22199
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙